Wereldwijde cyberaanval WannaCry: Wat te doen?

Berichtgeving in de ICT ging afgelopen dagen over 1 ding. Een omvangrijke cyberaanval met de ransomware WannaCry. De software richt zich op een lek in een veelvuldig gebruikte netwerkstandaard (SMB). Organisaties die door deze aanval zijn getroffen, blijken veel vragen te hebben over wat ze nu moeten doen. De grootste vraag is of er sprake is van een datalek?

Autoriteit Persoonsgegevens meldt het volgende:
‘Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, dan is dit een datalek. Om te bepalen of een organisatie dit datalek moet melden bij de AP, gelden dezelfde criteria als voor datalekken met een andere oorzaak. Dit houdt in dat een organisatie het datalek bij de AP moet melden als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Lees hier het volledige bericht van de AP.

En hoe zit het met organisaties die nog niet zijn getroffen, wat kan je doen om te voorkomen dat je slachtoffer wordt van WannaCry of andere cyberaanvallen?

  • Patchenpatch, SMB, WannCry, ComPromise

Regel nummer 1. Zorg voor systemen die up to date zijn. Microsoft heeft een beveiligingsupdate uitgebracht. Deze moet zo snel mogelijk geïnstalleerd worden. Besteedt u het beheer uit aan ComPromise, dan is deze al geïnstalleerd. Het gaat om een beveiligingsupdate die afgelopen maart namelijk reeds uitgerold is. Onze beheerklanten zijn dus voorzien van de patch.

  • Bewust mailenMail, Patch, WannaCry, SMB, ComPromise

Ga verstandig om met je inbox. Krijg je mail die je niet vertrouwd? Delete. Krijg je een verzoek van een ‘collega’ of ‘instantie’ dat onlogisch lijkt? Delete. Openen van bijlages en klikken op linkjes zijn de grootste no-no’s bij onbekende mails. Maar ook bij mail van bekende afzenders is het altijd verstandig goed te kijken. Klopt het adres van de afzender (piet@bekend.nl is opeens Pyt@bekent.nl), is het logisch dat hij/zij deze bijlage verstuurd?

  • Firewall controleren

Laat controleren of je Firewall inkomend SMB-verkeer op poort 445 blokkeert. Dit is namelijk het verkeer dat WannaCry gebruikt om zichzelf te verspreiden. Ook hier geldt: ComPromise heeft poorten standaard dichtgezet. Standaard passen wij SMB niet toe, tenzij dit expliciet noodzakelijk is.

Kwetsbare systemen

WannaCry(pt ) richt zich op het SMB-protocol in combinatie met niet-gepatchte systemen. Voor niet ondersteunde Windowsversies (zoals XP en Server 2003) heeft Microsoft de patch alsnog vrijgegeven.

Les geleerd?

Patchen is enorm belangrijk. Het is goed om een nieuwe patch te evalueren, te kijken wat deze doet, maar het is nog belangrijker om patches op korte termijn te installeren en hier niet weken, of zelfs maanden mee te wachten. ComPromise voert deze controle op (beveiligings)updates daarom altijd zo snel mogelijk uit, zodat kwetsbaarheden zo kort mogelijk bestaan. Naar nu blijkt lijkt de aanval begonnen te zijn in een SMB-server die niet gepatched was. Zie deze uitleg van Sophos. Het lijkt er dus op dat deze ransomware aanval een atypische start kende doordat de oorsprong ligt in een niet-gepatchte server en niet een phishing mail.

Wilt u controle of uw systeem veilig is? Aarzel niet en neem contact met ons op via afdeling Verkoop te bereiken via telefoonnummer 088 – 730 6300 of per e-mail verkoop@compromise.nl.