Ransomwaregroepen maken gebruik van allerlei verschillende kwetsbaarheden. Toch zijn er veel manieren om voor betere security te zorgen. Het beperken van de inzet van remote desktop-sessies is daar één van, zo blijkt wederom uit een recent rapport vanuit o.a. de FBI.
De Amerikaanse en Australische onderzoekers hebben de praktijken van de BianLian-ransomwaregroep onder de loep genomen. Opvallend is dat deze partij inmiddels afziet van de gebruikelijke encryptie op gevoelige data. Een getroffen organisatie hoeft dus niet zozeer te vrezen dat hun gegevens ontoegankelijk zijn, menen de overheidsexperts. BianLian heeft het namelijk gemunt op de dreiging van het lekken van zeer gevoelige data. De doelwitten zijn overwegend Amerikaanse organisaties binnen “kritieke infrastructuur-sectoren”. Denk aan energiebedrijven, financiële diensten of gezondheidszorg. Deze partijen zijn vatbaar voor de gebruikelijke dreigingstactieken van ransomwaregroepen mede omdat ze aan strenge wetgeving te voldoen hebben. Het lekken van data kan immense gevolgen hebben.
De flexibiliteit van remote desktop
Het exploiteren van remote desktop-gebruik is de voornaamste reden dat de BianLian-groep heeft kunnen opereren. De inzet van deze remote access-methode is vrij voor de hand liggend. Zo is het namelijk een snelle en ruim inzetbare manier om een workstation op afstand te besturen met een veel minder krachtige laptop of kan een systeembeheerder op afstand sleutelen aan de instellingen op een externe computer. In feite opereer je een machine op afstand met de internetsnelheid als een van de weinige beperkingen. Remote desktops worden op veel verschillende manieren beveiligd, maar in veel gevallen is de security ervan te makkelijk onderuit te halen. Overigens is hier wel sprake van een gradatie. Wie secuur omgaat met de privileges bij remote desktop-sessies en de security-opties van partijen als TeamViewer en AnyDesk raadpleegt, kan zichzelf in ieder geval beter beschermen tegen de ergste gevolgen van cybercrime.
BianLian verkrijgt toegang tot de systemen van slachtoffers door valide Remote Desktop Protocol (RDP)-inloggegevens te bemachtigen. Deze kunnen veelal ingekocht worden bij IAB’s: Initial Access Brokers. Recent wisten autoriteiten een grote vis in de IAB-oceaan aan de haak te slaan: Genesis Market, dat met digitale vingerafdrukken aan de haal ging. Overigens wist BianLian ook inlogdata te verkrijgen met phishing-emails, een dreiging die net zo oud is als het moderne internet zelf.
Daarna kon de groep met eigen backdoors remote management-software installeren, zoals TeamViewer of AnyDesk. Met hulp van Windows-tools bracht de groep het geïnfiltreerde netwerk in kaart. De flexibiliteit van RDP stond de cybercriminelen toe om met veel minder tussenstappen lateraal door een netwerk te bewegen. Kortom: de gebruiksvriendelijkheid van remote desktop zorgde voor effectief en behendig crimineel gedrag. De groep kon op deze manier bij gevoelige data komen.
Advies
De FBI, het CISA en de Australische ACSC stellen voor om remote access zoveel mogelijk in te perken. Het gevaar van remote desktop zit hem in een onzorgvuldige invulling. Zo raden de drie partijen aan om alleen binnen een privé-netwerk gebruik te maken van een remote access-oplossing. Immers voorkom je als organisatie dat je direct vatbaar bent voor een cyber-aanval door de verbinding naar buiten toe zoveel mogelijk in te perken. Echter is dit een gevaarlijke denkwijze: als je onbewust alsnog kwetsbaar bent of bent geweest, kan bijvoorbeeld een backdoor geïnstalleerd zijn. Criminelen kunnen dan gebruikmaken van een ongepatchte kwetsbaarheid die niet direct met het internet verbonden is. Met andere woorden: patch alle software die je in huis hebt, ook als die niet blootgesteld is aan de buitenwereld.
Als je wel gebruik moet maken van remote desktop, geeft het rapport een aantal adviezen. Zo moeten ongebruikte RDP-poorten afgesloten worden en is de instelling van MFA (multi-factor authentication) belangrijk. Uiteindelijk is er een logisch alternatief voor veel instanties waarin je wellicht remote desktop zou willen gebruiken, maar dan op basis van zero trust-principes. Dit houdt in dat alle gebruikers geverifieerd moeten worden op een continue basis, dus zonder enig voortdurend vertrouwen in bepaalde accounts of apparaten. Het credo is “never trust, always verify”. In feite betekent dit dat admins en andere accounts alleen kunnen uitvoeren wat op dat moment strikt noodzakelijk is.
Uiteindelijk is de werkwijze van een partij als de BianLian-ransomwaregroep afhankelijk van security-mazen die vaak eenvoudig te voorkomen zijn. De inzet van remote desktop-sessies is nooit zonder risico’s. Om die reden kun je als organisatie het beste zo min mogelijk gebruik maken van deze verbindingsmethode, hoe gebruiksvriendelijk het ook is.
Tip: Zero trust in complexe omgevingen: hoe borg je veilige toegang tot apps?