Deprecated: class-phpmailer.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/PHPMailer.php. The PHPMailer class has been moved to wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Deprecated: class-smtp.php is verouderd sinds versie 5.5.0. Gebruik in plaats daarvan wp-includes/PHPMailer/SMTP.php. The SMTP class has been moved to the wp-includes/PHPMailer subdirectory and now uses the PHPMailer\PHPMailer namespace. in /www/wp-includes/functions.php on line 4963 Duitse overheid meldt aanzienlijke schade door Emotet-malware – Securatis

Duitse overheid meldt aanzienlijke schade door Emotet-malware

doorSecuratis

Duitse overheid meldt aanzienlijke schade door Emotet-malware

“Veel van de schade kan worden voorkomen als it-beveiligingsmaatregelen rigoureus worden geïmplementeerd. Het gaat dan om het trainen van het personeel alsmede het geregeld maken van back-ups en het uitrollen van beveiligingsupdates”, aldus BSI-directeur Arne Schönbohm.

Ervan uitgaande dat je met training niet in alle gevallen voorkomt dat medewerkers in nepmails trappen, zijn die maatregelen onvoldoende. Emotet, en aanvullende malware die door Emotet wordt gedownload, verspreiden zich in de meeste AD domeinen razendsnel (lateral movement) en probeert daarbij accounts met zo hoog mogelijke privileges over te nemen.

Je moet dus zoveel mogelijk voorkomen dat malware, zodra deze een account heeft gecompromiteerd, met dat account via het netwerk kan inloggen op systemen om daar verder schade te veroorzaken. Ook als het account op geen enkele PC adminrechten heeft, moet je ervan uitgaan dat er wel ergens een privilege escalation mogelijk is, waarna het uitlezen van cached passwords en password-hashes mogelijk is (UAC is natuurlijk sowieso geen security boundary). Tools van penetratietesters zoals Bloodhound, Responder en Mimikatz worden ook door deze malware ingezet. Alleen patchen is niet genoeg; je zult actief legacy protocollen en verouderde configuraties -waaronder identieke admin passwords op meerdere systemen- moeten opsporen en zoveel mogelijk elimineren!

Terugzetten van back-ups lijkt mij een laatste redmiddel, want vaak weet je niet wanneer de eerste compromittering plaatsvond, en dus hoever je in de tijd terug moet (hoe ouder de back-up, hoe veiliger, maar hoe meer werk verloren gaat).

Door verspreidingsmogelijkheden zoveel mogelijk te beperken en/of te vertragen, en compromittering bijtijds te detecteren en snel en verstandig in te grijpen (een op de plank liggend plan kan onnodige ellende door ondoordachte acties helpen voorkomen), kun je de totale schade beperken. Nb. Ik vrees dat deze golf, vroeger of later, ook naar Nederland komt; we zijn immers een rijk land…

https://www.security.nl/posting/625267/Duitse+overheid+meldt+aanzienlijke+schade+door+Emotet-malware?channel=rss

Over de auteur

Securatis administrator