De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben eigenaren en beheerders van vitale infrastructuur opgeroepen om alert te zijn op ransomware-aanvallen en verschillende maatregelen te nemen om infecties te voorkomen of sneller te herstellen mocht een aanval succesvol zijn. Aanleiding voor de oproep is de aanval op Colonial Pipeline met de DarkSide-ransomware waardoor de brandstofvoorziening in de VS is verstoord.

Om infecties te voorkomen adviseert de FBI het gebruik van multifactorauthenticatie, spamfilters, trainingsprogramma’s voor het personeel, het filteren van netwerkverkeer, updaten van software, het beperken van RDP, het uitschakelen van macro’s in Microsoft Office, het monitoren en/of blokkeren van inkomende verbindingen van Tor-servers en het gebruik van signatures om inkomende verbindingen van Cobalt Strike-servers te herkennen.

Er zijn daarnaast verschillende maatregelen die organisaties kunnen nemen om de impact van een succesvolle aanval te beperken, zoals het netwerksegmentatie tussen it- en ot-netwerken, het geregeld testen van de handmatige bediening, het implementeren van een goed back-upbeleid voor zowel it- als ot-netwerken, het verdelen van ot-systemen in logische zones en het beperken van de rechten van gebruikers.

Is een systeem binnen de organisatie met ransomware besmet geraakt dan moet dat worden geïsoleerd en alle mogelijke netwerkinterfaces worden uitgeschakeld. Tevens moeten alle systemen worden uitgeschakeld die op hetzelfde netwerk als de besmette computer zaten en nog niet volledig zijn versleuteld door de ransomware. Verder adviseert de FBI om back-ups offline te bewaren en die met een virusscanner op malware te controleren. Afsluitend stellen de FBI en het CISA dat ze het betalen van losgeld afraden.

Source