Verdedig jezelf met Office 365 tegen Ransomware

Ransomware is een van de snelst groeiende aanvallen die uitgevoerd worden op zowel bedrijven als consumenten. Dit artikel beschrijft wat het is, wat Office 365 doet om je te beschermen en wat je kunt doen als het via een gebruiker toch je Office 365 omgeving binnen komt.

Wat is het?

Ransomware is software (code) dat een (deel) van de computer in gijzeling neemt (onbruikbaar maakt), welke na betaling van losgeld weer vrij wordt gegeven.
Ransomware bestaat als begrip al sinds 1989, waar de PC Cyborg trojan een personal computer binnendrong, op slot zette en er gevraagd werd om $189 losgeld. Daarna werd het stil.
Maar sinds 2005 is het aan een opmars bezig waar het sinds 2015 een explosieve groei meemaakt. Meer diepgaande info over ransomware in het rapport Evolution of Ransomware

Ransomware verschijnt in 2 soorten; locker & crypto.
Locker: Dit vergrendeld de gehele PC
Crypto: Dit versleutelt bestanden op de PC

De crypto versie vertegenwoordigt minimaal 65% van alle meldingen van ransomware aanvallen. Dit komt omdat het makkelijker en net zo effectief is om data aan te vallen dan een volledig systeem. In dit artikel focussen we ons op deze vorm omdat dit type zich een weg naar Office 365 kan vinden.

Hoe komt de infectie binnen?

De infectie komt op verschillende manieren binnen. Bijvoorbeeld via een hack. Deze vorm is vooral voor criminele hackers die bedrijven/organisaties binnen dringen en vervolgens de ransomware op de het netwerk laden om zo een hoge losgeld prijs te eisen. Hiervan zijn al enkele spraakmakende voorbeelden van in de media verschenen; L.A. Hospital infected by ransomware .

Een andere bekende manier is via SPAM waarbij er getracht wordt om de gebruiker ervan te overtuigen om een bijlage te openen, waarna de ransomware losgelaten wordt op het systeem.

Verder komt de infectie binnen via sites die bestanden/programma’s verspreiden die geïnfecteerd zijn.

Hoe werkt het?

De crypto ransomware voert bij binnenkomst 2 processen uit;

1. Zoeken naar alle bestanden van een of meerdere specifieke type(n). Meestal gaat het op zoek naar alle Office documenten (Word, Excel, PowerPoint) en/of afbeeldingen en/of e-mail berichten.
2. Het past de bestandsextensie aan, vraagt via internet een geheime sleutel op en versleutelt met deze sleutel de bestanden waardoor ze corrupt worden gemaakt.

Hierna start de afpersing. De bekenste versie is Cryptolocker, welke $300 aan bitcoins vraagt.
Wanneer dit betaald wordt en je hebt geluk, dan ontvangt de software via de server een andere sleutel om de bestanden vrij te geven.

50.1.png

Wat doet Microsoft om Office 365 te beschermen?

Microsoft heeft een uitgebreid arsenaal van beveiligingsmethoden om Office 365 te beschermen tegen infectie van virussen e.d.
De belangrijkste;

– Actieve bescherming: constant lopende antivirus/-malware software controleren en beschermen continue de Office 365 servers.

– Pro-actieve bescherming: 2 teams binnen Microsoft houden zich constant bezig met het pro-actief testen van de beveiliging. 1 team valt de servers aan en 1 team moet verdedigen.

– Back-ups: Back-ups zijn de allerbeste bescherming tegen infecties. Mocht het namelijk toch een keer voorkomen, dan kun je snel terug naar de laatste ongeinfecteerde back-up. Microsoft draait constante back-up routines.

– MFA & Password policies: Microsoft dwingt af dat de eigen medewerkers enkel en alleen met gebruik van MFA (Multi-Factor Authentication) en biometrische scans toegang krijgen tot hun werkplek. Daarnaast dwingt Office 365 het gebruik van harde wachtwoorden af van gebruikers en biedt het de mogelijkheid om MFA in te zetten.

– SPAM/Virus filter op Exchange Online: e-mails worden gescanned en bij minimaal gerede twijfel wordt de email tegengehouden. Dit voorkomt dat gebruikers per ongeluk een bijlage binne krijgt welke de eigen omgeving kan infecteren.

– Whitelist: Servers van Office 365 maken gebruik van whitelists. Dit betekent: enkel en alleen opdrachten die op de goedgekeurde lijst voorkomen, mag en zal ik uitvoeren. Alle andere programma’s, services, code wordt automatisch uitgesloten.

– Encryptie: Altijd en overal maakt Microsoft gebruik van sterke encryptie. Alle bestanden en servers zijn versleuteld en maken enkel gebruik van de beveiligde verbindingen waarover enkel versleutelde data verzonden wordt.

Lees meer over bescherming op het Trust Center voor Office 365 of in de whitepaper Security in Office 365

Hoe kan Ransomware dan toch mijn Office 365 omgeving binnen komen?

Ondanks alles is het toch mogelijk dat ransomware je Office 365 omgeving binnen sluipt. Zoals elke beveiliging, is deze zo sterk als de zwakste schakel. Ondanks alle beveiliging van Office 365 zelf, is het wel mogelijk dat een gebruiker zelf geïnfecteerd raakt. Dat komt doordat deze persoon via een persoonlijk e-mailadres een geïnfecteerde email ontvangt, de bijlage opent, waarna de gebruiker zichzelf infecteert.

De ransomware gaat vervolgens alle Office bestanden versleutelen. Dus ook Office bestanden die via OneDrive for Business zijn gesynchroniseerd met Office 365. Dit kan de persoonlijk OneDrive zijn, maar ook SharePoint bilbiotheken die gesynchroniseerd worden.

Omdat de bestanden “geupdate” zijn, gaat OneDrive deze nieuwste versie direct synchroniseren met Office 365. Hierdoor komen deze corrupte bestanden in de cloud.

Bijkomend effect is, dat iedereen die dezelfde bibliotheek hebben gesynchroniseerd, deze laatste versie ook ontvangen. Waardoor ook de versie op hun PC corrupt raakt.

Zie ook het schema hieronder hoe dit er uit ziet.

50.2.png

Op deze wijze komen de corrpute bestanden Office 365 in. Gelukkig is het niet zo dat de ransomware zich als een worm gedraagt, corrupte bestanden kunnen niet zelfstandig andere bestanden corrupt maken. Office 365 zelf raakt hierdoor niet corrupt of geinfecteerd, maar wel de bestanden die binnen gebracht zijn. Deze weg het zorgt er wel voor dat elke versie die gesynchroniseerd wordt, wordt geinfecteerd. Het grote voordeel van OneDrive, werkt in dit geval niet ons voordeel.

Wat doe ik als er geinfecteerde bestanden op mijn Office 365 zijn binnen gekomen?

Ten eerste; wees kalm. Er zijn opties om zonder losgeld te betalen, je bestanden terug te krijgen.

ten tweede; loop de volgende checklist na om de corrupte bestanden terug te zetten. Voer deze checklist uit op Office 365. Op deze manier gebruiken we het voordeel van Office 365 weer voor onszelf, doordat de schone bestanden de laatste versie zijn, worden deze weer verspreid worden via OneDrive sync naar alle aangesloten gebruikers.

1. Verwijder de extra toegevoegde extensie van de bestanden. De bestanden krijgen allemaal een nieuwe extensie mee (document.docx wordt bijvoorbeeld document.docx.ltygh) en deze zullen we eerst moeten verwijderen.

2. Herstel de laatste schone versie, te herkennen aan de juiste extensie, van het bestand. (voorwaarde is wel dat versioning aan staat).

3. Verwijder de ransomware van de bron PC door deze te scannen met de juiste software, de PC te herstellen naar een herstel punt van voor de infectie of door de PC compleet te resetten.

Dit hele proces (extensie verwijderen, versie terug zetten) is ook te scripten en uit te voeren via bijvoorbeeld een ConsoleApp. Rapid Circle kan hierbij assisteren of de oplossing leveren.

Hoe is dit te voorkomen?

Zoals eerder aangegeven is het in dit geval vooral de gebruiker zelf die ervoor zorgt dat corrupte bestanden binnen Office 365 kunnen binnen komen. Wat kun je als organisatie doen om dit (zoveel mogelijk) te voorkomen;

– Backup, backup, backup: Backups en herstelpunten in Windows voorkomen een infectie niet, maar zorgen er wel voor dat je snel weer verder kunt met een schone omgeving.

– Antivirus/-malware & firewall: Het regelmatig updaten van antivirus/-malware en firewall instellingen zorgen ervoor dat de PC zo beveiligd mogelijk is. Hiermee volstaat de standaard Microsoft Defender service, maar mocht je de allerbeste beveiliging willen, dan zijn er hele goede 3rd party programma’s. Voor antivirus zijn dat Avira, Kaspersky & BitDefender, voor malware is dat MalwareBytes. Meer info over antivirus software: AV-Comparatives

– Uitschakelen van Sync: Het is in Office 365 mogelijk om de synchronisatie van bestanden uit te schakelen. Hiermee kun je voorkomen dat belangrijke bibliotheken geïnfecteerd kunnen raken via OneDrive. Dit doe je door in de geavanceerde instellingen van de bibliotheek de “Beschikbaarheid van offlineclient” uit te schakelen. Dit kan ook Site Collectie niveau door de gelijknamige site collectie onderdeel uit te schakelen.

50.3.png

– SPAM/Junk filter: Een goede spam/junk filter houdt heel veel tegen en de meeste providers bieden dit al standaard aan. Maar daarnaast is er ook de persoonlijke filter. Als een e-mail verdacht lijkt dan is dit ook zo. Open nooit zomaar een bijlage, zeker niet van iemand die je niet kent.

– Bewustzijn: De meesten van ons zijn ons niet bewust van de gevaren die het internet ook biedt. We weten allemaal dat je niet zomaar bijlagen moet openen, maar toch gebeurd het vaak genoeg. Ook moet je goed kunnen beoordelen of een site wel betrouwbaar is voordat je er iets van download. Een korte online traninig van Webdetective kan al genoeg zijn. Communiceer over veilig internet gebruik actief naar je de eigen gebruikers toe. Een eerste guide staat op Get Safe Online.

Dit artikel is mede tot stand gekomen met de hulp van Gino Kemp van het ROC van Amsterdam. Hij heeft mij geholpen aan de real life voorbeelden van Ransomware infecties op via OneDrive. Ook heeft hij de oplossing gedeeld hoe zij dit herstellen.

Neem contact met ons op via Mark.Overdijk@RapidCircle.com of Support@RapidCircle.com.

Bronvermelding