SPO

Verdedig jezelf met Office 365 tegen Ransomware

Ransomware is een van de snelst groeiende aanvallen die uitgevoerd worden op zowel bedrijven als consumenten. Dit artikel beschrijft wat het is, wat Office 365 doet om je te beschermen en wat je kunt doen als het via een gebruiker toch je Office 365 omgeving binnen komt.

Wat is het?

Ransomware is software (code) dat een (deel) van de computer in gijzeling neemt (onbruikbaar maakt), welke na betaling van losgeld weer vrij wordt gegeven.
Ransomware bestaat als begrip al sinds 1989, waar de PC Cyborg trojan een personal computer binnendrong, op slot zette en er gevraagd werd om $189 losgeld. Daarna werd het stil.
Maar sinds 2005 is het aan een opmars bezig waar het sinds 2015 een explosieve groei meemaakt. Meer diepgaande info over ransomware in het rapport Evolution of Ransomware

Ransomware verschijnt in 2 soorten; locker & crypto.
Locker: Dit vergrendeld de gehele PC
Crypto: Dit versleutelt bestanden op de PC

De crypto versie vertegenwoordigt minimaal 65% van alle meldingen van ransomware aanvallen. Dit komt omdat het makkelijker en net zo effectief is om data aan te vallen dan een volledig systeem. In dit artikel focussen we ons op deze vorm omdat dit type zich een weg naar Office 365 kan vinden.

Hoe komt de infectie binnen?

De infectie komt op verschillende manieren binnen. Bijvoorbeeld via een hack. Deze vorm is vooral voor criminele hackers die bedrijven/organisaties binnen dringen en vervolgens de ransomware op de het netwerk laden om zo een hoge losgeld prijs te eisen. Hiervan zijn al enkele spraakmakende voorbeelden van in de media verschenen; L.A. Hospital infected by ransomware .

Een andere bekende manier is via SPAM waarbij er getracht wordt om de gebruiker ervan te overtuigen om een bijlage te openen, waarna de ransomware losgelaten wordt op het systeem.

Verder komt de infectie binnen via sites die bestanden/programma’s verspreiden die geïnfecteerd zijn.

Hoe werkt het?

De crypto ransomware voert bij binnenkomst 2 processen uit;

1. Zoeken naar alle bestanden van een of meerdere specifieke type(n). Meestal gaat het op zoek naar alle Office documenten (Word, Excel, PowerPoint) en/of afbeeldingen en/of e-mail berichten.
2. Het past de bestandsextensie aan, vraagt via internet een geheime sleutel op en versleutelt met deze sleutel de bestanden waardoor ze corrupt worden gemaakt.

Hierna start de afpersing. De bekenste versie is Cryptolocker, welke $300 aan bitcoins vraagt.
Wanneer dit betaald wordt en je hebt geluk, dan ontvangt de software via de server een andere sleutel om de bestanden vrij te geven.

50.1.png

Wat doet Microsoft om Office 365 te beschermen?

Microsoft heeft een uitgebreid arsenaal van beveiligingsmethoden om Office 365 te beschermen tegen infectie van virussen e.d.
De belangrijkste;

– Actieve bescherming: constant lopende antivirus/-malware software controleren en beschermen continue de Office 365 servers.

– Pro-actieve bescherming: 2 teams binnen Microsoft houden zich constant bezig met het pro-actief testen van de beveiliging. 1 team valt de servers aan en 1 team moet verdedigen.

– Back-ups: Back-ups zijn de allerbeste bescherming tegen infecties. Mocht het namelijk toch een keer voorkomen, dan kun je snel terug naar de laatste ongeinfecteerde back-up. Microsoft draait constante back-up routines.

– MFA & Password policies: Microsoft dwingt af dat de eigen medewerkers enkel en alleen met gebruik van MFA (Multi-Factor Authentication) en biometrische scans toegang krijgen tot hun werkplek. Daarnaast dwingt Office 365 het gebruik van harde wachtwoorden af van gebruikers en biedt het de mogelijkheid om MFA in te zetten.

– SPAM/Virus filter op Exchange Online: e-mails worden gescanned en bij minimaal gerede twijfel wordt de email tegengehouden. Dit voorkomt dat gebruikers per ongeluk een bijlage binne krijgt welke de eigen omgeving kan infecteren.

– Whitelist: Servers van Office 365 maken gebruik van whitelists. Dit betekent: enkel en alleen opdrachten die op de goedgekeurde lijst voorkomen, mag en zal ik uitvoeren. Alle andere programma’s, services, code wordt automatisch uitgesloten.

– Encryptie: Altijd en overal maakt Microsoft gebruik van sterke encryptie. Alle bestanden en servers zijn versleuteld en maken enkel gebruik van de beveiligde verbindingen waarover enkel versleutelde data verzonden wordt.

Lees meer over bescherming op het Trust Center voor Office 365 of in de whitepaper Security in Office 365

Hoe kan Ransomware dan toch mijn Office 365 omgeving binnen komen?

Ondanks alles is het toch mogelijk dat ransomware je Office 365 omgeving binnen sluipt. Zoals elke beveiliging, is deze zo sterk als de zwakste schakel. Ondanks alle beveiliging van Office 365 zelf, is het wel mogelijk dat een gebruiker zelf geïnfecteerd raakt. Dat komt doordat deze persoon via een persoonlijk e-mailadres een geïnfecteerde email ontvangt, de bijlage opent, waarna de gebruiker zichzelf infecteert.

De ransomware gaat vervolgens alle Office bestanden versleutelen. Dus ook Office bestanden die via OneDrive for Business zijn gesynchroniseerd met Office 365. Dit kan de persoonlijk OneDrive zijn, maar ook SharePoint bilbiotheken die gesynchroniseerd worden.

Omdat de bestanden “geupdate” zijn, gaat OneDrive deze nieuwste versie direct synchroniseren met Office 365. Hierdoor komen deze corrupte bestanden in de cloud.

Bijkomend effect is, dat iedereen die dezelfde bibliotheek hebben gesynchroniseerd, deze laatste versie ook ontvangen. Waardoor ook de versie op hun PC corrupt raakt.

Zie ook het schema hieronder hoe dit er uit ziet.

50.2.png

Op deze wijze komen de corrpute bestanden Office 365 in. Gelukkig is het niet zo dat de ransomware zich als een worm gedraagt, corrupte bestanden kunnen niet zelfstandig andere bestanden corrupt maken. Office 365 zelf raakt hierdoor niet corrupt of geinfecteerd, maar wel de bestanden die binnen gebracht zijn. Deze weg het zorgt er wel voor dat elke versie die gesynchroniseerd wordt, wordt geinfecteerd. Het grote voordeel van OneDrive, werkt in dit geval niet ons voordeel.

Wat doe ik als er geinfecteerde bestanden op mijn Office 365 zijn binnen gekomen?

Ten eerste; wees kalm. Er zijn opties om zonder losgeld te betalen, je bestanden terug te krijgen.

ten tweede; loop de volgende checklist na om de corrupte bestanden terug te zetten. Voer deze checklist uit op Office 365. Op deze manier gebruiken we het voordeel van Office 365 weer voor onszelf, doordat de schone bestanden de laatste versie zijn, worden deze weer verspreid worden via OneDrive sync naar alle aangesloten gebruikers.

1. Verwijder de extra toegevoegde extensie van de bestanden. De bestanden krijgen allemaal een nieuwe extensie mee (document.docx wordt bijvoorbeeld document.docx.ltygh) en deze zullen we eerst moeten verwijderen.

2. Herstel de laatste schone versie, te herkennen aan de juiste extensie, van het bestand. (voorwaarde is wel dat versioning aan staat).

3. Verwijder de ransomware van de bron PC door deze te scannen met de juiste software, de PC te herstellen naar een herstel punt van voor de infectie of door de PC compleet te resetten.

Dit hele proces (extensie verwijderen, versie terug zetten) is ook te scripten en uit te voeren via bijvoorbeeld een ConsoleApp. Rapid Circle kan hierbij assisteren of de oplossing leveren.

Hoe is dit te voorkomen?

Zoals eerder aangegeven is het in dit geval vooral de gebruiker zelf die ervoor zorgt dat corrupte bestanden binnen Office 365 kunnen binnen komen. Wat kun je als organisatie doen om dit (zoveel mogelijk) te voorkomen;

– Backup, backup, backup: Backups en herstelpunten in Windows voorkomen een infectie niet, maar zorgen er wel voor dat je snel weer verder kunt met een schone omgeving.

– Antivirus/-malware & firewall: Het regelmatig updaten van antivirus/-malware en firewall instellingen zorgen ervoor dat de PC zo beveiligd mogelijk is. Hiermee volstaat de standaard Microsoft Defender service, maar mocht je de allerbeste beveiliging willen, dan zijn er hele goede 3rd party programma’s. Voor antivirus zijn dat Avira, Kaspersky & BitDefender, voor malware is dat MalwareBytes. Meer info over antivirus software: AV-Comparatives

– Uitschakelen van Sync: Het is in Office 365 mogelijk om de synchronisatie van bestanden uit te schakelen. Hiermee kun je voorkomen dat belangrijke bibliotheken geïnfecteerd kunnen raken via OneDrive. Dit doe je door in de geavanceerde instellingen van de bibliotheek de “Beschikbaarheid van offlineclient” uit te schakelen. Dit kan ook Site Collectie niveau door de gelijknamige site collectie onderdeel uit te schakelen.

50.3.png

– SPAM/Junk filter: Een goede spam/junk filter houdt heel veel tegen en de meeste providers bieden dit al standaard aan. Maar daarnaast is er ook de persoonlijke filter. Als een e-mail verdacht lijkt dan is dit ook zo. Open nooit zomaar een bijlage, zeker niet van iemand die je niet kent.

– Bewustzijn: De meesten van ons zijn ons niet bewust van de gevaren die het internet ook biedt. We weten allemaal dat je niet zomaar bijlagen moet openen, maar toch gebeurd het vaak genoeg. Ook moet je goed kunnen beoordelen of een site wel betrouwbaar is voordat je er iets van download. Een korte online traninig van Webdetective kan al genoeg zijn. Communiceer over veilig internet gebruik actief naar je de eigen gebruikers toe. Een eerste guide staat op Get Safe Online.

Dit artikel is mede tot stand gekomen met de hulp van Gino Kemp van het ROC van Amsterdam. Hij heeft mij geholpen aan de real life voorbeelden van Ransomware infecties op via OneDrive. Ook heeft hij de oplossing gedeeld hoe zij dit herstellen.

Neem contact met ons op via Mark.Overdijk@RapidCircle.com of Support@RapidCircle.com.

Bronvermelding

Nieuwe ervaring SharePoint Online Bibliotheken

De ervaring van SharePoint bibliotheken verandert

Microsoft heeft middels een update, MC44849, in het berichten centrum van Office 365 en een update op de Office 365 support site., laten weten dat er een update doorgevoerd wordt, dat de gebruikersbeleving, de ervaring, van SharePoint Online bibliotheken verandert.

Het bericht komt niet onverwacht. We hebben al een tijd kunnen wennen aan de nieuwe look & feel van OneDrive voor Bedrijven. Het was wachten op het moment dat deze nieuwe ervaring ook naar SharePoint Online bibliotheken zou worden overgezet. Dat moment is aangebroken.

Ben ik geupdate?

Er zijn 2 manieren om te zien of je de update hebt ontvangen.

1. De nieuwe ervaring instelling is toegevoegd aan de SharePoint Beheer Centrum instellingen.
Ga naar SharePoint Beheer Centrem en kies voor instellingen. Wanneer jouw tenant is geupdate, is er een instelling (zie ook screenshot hieronder) bijgekomen: “Ervaring met SharePoint-lijsten en -bibliotheken”.

52.1.png

 

2. Wanneer je een bibliotheek opent in SharePoint Online, staat er een melding bij dat er een update heeft plaatsgevonden.
Als deze melding (zie ook screenshot hieronder), “Documentbibliotheken krijgen een nieuw uiterlijk!”, getoond wordt, is de update doorgevoerd.

52.2.png

Video overview

Bekijk alle aanpassingen in een kort filmpje (3:30min) van de nieuwe ervaring van SharePoint bibliotheken.

Belangrijkste veranderingen

Er zijn een aantal aanpassingen doorgevoerd die wezenlijk het gebruik en interactie van een document bibliotheek aanpassen. Dit zijn de belangrijkste;

– UI

Wanneer een bibliotheek wordt geopend, wordt deze in de standaard OneDrive styling (blauw/wit) geopend. Het lijkt een beetje alsof je uit je huidige SharePoint site wordt gehaald en ergens anders de documenten bekijkt. Het kan verwarrend zijn voor gebruikers, maar het is uit te leggen wanneer je de opslag van documenten en presentatie in een subsite van elkaar los trekt. Op deze wijze open je vanaf de site de bron waar de bestanden zich bevinden.

52.3.png

– Upload

Aan de functionaliteit is niet veel veranderd, maar er is nu wel de mogelijkheid toegevoegd om mappen te uploaden. En dat is hartstikke nieuw. Nadat is gebleken dat  gebruikers massaal de klassieke weergave gebruikten van OneDrive om via daar “Openen met verkenner” te gebruiken om mappen te uploaden/beheren, is het logisch  dat deze functionaliteit is toegevoegd.

– Navigatie

Zoals gezegd wordt de bibliotheek gepresenteerd in zijn eigen scherm, bijna als aparte Office 365 app. De top bar/globale navigatie is weg, het site logo is weg en alle aanwezige styling is ook weg. Wat overgebleven is, is de quick launch/huidige navigatie op de vertrouwde plek aan de linkerkant.

– Koppeling als inhoudstype

Het is nu mogelijk voor een gebruiker om een koppeling toe te voegen aan bilbiotheek. Zo kun je dus een link toevoegen naar een externe site of naar een document dat ergens anders al geplaatst is. Hiermee voorkom je dat er meerdere versies van het zelfde bestand gaan ontstaan.

52.4.png

– Information pane

De live preview van een bestand en enkele eigenschappen worden niet langer bij een bestand zelf getoond, maar in het informatie paneel aan de rechtenkant. Deze kan uitgeschoven worden door een druk op de info (i) knop. Dit paneel bevat de live preview, maar ook de eigenschappen (die direct aan te passen zijn), de deel opties en de versie geschiedenis. Erg handig.

– Spotlight

Er is de mogelijk om bestanden uit te lichten. Deze kunnen aan Spotlight worden toegevoegd zodat een preview van het bestand in een nieuwe balk bovenaan de documentenlijst wordt getoond. Hier kun je dus bestanden in de spotlight zetten of als favoriet of als belangrijk.

52.5.png

Veelgestelde vragen

Ben ik nu de hele navigatie kwijt?
Niet helemaal. Het linker navigatie menu (quick launch / huidige navigatie) wordt meegenomen en ook aan de linkerkant geplaatst. Het valt alleen niet gelijk op. Dit komt mede door de andere styling.

Kan dit ook uitgeschakeld worden?
Jazeker. Via het SharePoint Beheer Centrum is dit uit te schakelen.
Ga naar het SharePoint Beheer Centrum en kies voor instellingen (directe link: https://[DOMEIN]-admin.sharepoint.com/_layouts/15/online/TenantSettings.aspx). Bij instellingen zoek naar het subkopje “Ervaring met SharePoint-lijsten en -bibliotheken” en kies voor “Klassieke Weergave”. Dit voert voor de hele tenant door dat de klassieke weergave standaard ingesteld staat.

Kan ik voorkomen dat deze update ook op mijn tenant wordt uitgevoerd?
Nee. Je kunt wel updates uitstellen door een ander service model te kiezen. Dit zorgt ervoor dat je een uitrol met een aantal maanden vertraagd. Bijkomend symptoon is dat dit ook geldt voor alle andere onderdelen. Dit zouden updates kunnen zijn die je niet wilt uitstellen. Lees meer hierover op Technet: Change management for Office 365 clients.

Waarom staat de optie standaard op Nieuwe Ervaring?
Microsoft wil graag de vooruitgang tonen en gebruik hiervan stimuleren. Daarom zijn features gelijk ingeschakeld, anders kan het zo zijn dat de update wel beschikbaar is, maar niet gevonden wordt door de beheerder. Ze bieden wel aan om de update (tijdelijk) terug te draaien.

Meer weten?
Neem contact met ons op via Mark.Overdijk@RapidCircle.com of Support@RapidCircle.com.