Australië geeft tips tegen ransomware: let op admin-accounts, MFA en TeamViewer

In dit artikel:

De Australische overheid (via het Australian Cyber Security Centre, ACSC) waarschuwt voor aanvallen door de INC Ransom-groep en geeft concrete beveiligingsadviezen aan organisaties. INC Ransom opereert als Ransomware‑as‑a‑Service: ontwikkelaars leveren de malware aan partners die de aanvallen zelf uitvoeren, vaak met gestolen inloggegevens en via kwetsbare, vanaf internet toegankelijke systemen. De groep is onder meer verantwoordelijk gehouden voor de aanval op de Amerikaanse tak van Ahold Delhaize (waarbij personeelgegevens van Albert Heijn, Etos en Gall & Gall betrokken waren) en voor aanvallen op Britse ziekenhuizen. Sinds vorig jaar richten de aanvallers zich steeds vaker op Australische en Nieuw‑Zeeelandse organisaties, met name in de zorg.

Kenmerkend voor deze aanvallen is dat aanvallers eerst data exfiltreren en pas daarna bestanden versleutelen; bij weigering van losgeld dreigen ze de gestolen gegevens openbaar te maken via hun eigen website. Om de kans op succes te verkleinen adviseert het ACSC onder meer:
- tijdig patchen van kwetsbaarheden en extra beveiligen van VPN‑toegang;
- waar mogelijk multifactorauthenticatie (MFA) invoeren;
- back‑ups veilig aanleggen en regelmatig testen;
- netwerkverkeer filteren en monitoren;
- standaardgebruikersaccounts scheiden van admin‑accounts en ingebouwde of gedeelde lokale admin‑accounts beperken of uitschakelen;
- remote‑managementtools zoals TeamViewer en AnyDesk alleen door geautoriseerde beheerders laten gebruiken (of uitschakelen als ze niet nodig zijn).

Door deze maatregelen toe te passen verkleinen organisaties de kans op succesvolle credential‑misbruik, laterale beweging en datadiefstal voorafgaand aan ransomware‑activatie.