Ransomware isoleren? – zet de server uit!

talosintel630Er gaat geen dag voorbij of er blijkt weer een handvol ziekenhuizen, overheidsdiensten of gewone kantoren te zijn platgelegd door ransomware. Het aantal gevallen waarbij gewone eindgebruikers opeens naar een hele vreemde tekst op het scherm tuurt wordt niet eens meer bijgehouden, zo omvangrijk zijn de cybercriminele acties.

Elke keer weer is de oorzaak voor de besmetting snel gevonden, het aantal mogelijkheden is dan ook beperkt. Advertentienetwerken, schimmige sites en mails en natuurlijk “gewoon” gehackte sites voeren dat lijstje aan. Dat lijstje zelf, daar valt zowel wat positiefs als negatiefs over te zeggen. Om met het goede te beginnen: het laat zien dat er sprake is van een omvangrijk probleem en dat laat zich vertalen naar “alert zijn!”. Het negatieve heeft daar direct mee te maken. Reeds in eerdere vervelende situaties is waargenomen dat consumenten maar ook bedrijven op gegeven moment de aandacht laten verslappen omdat het probleem als te groot wordt ingeschat (je zag dat o.a. bij skimming).

Het is goed dat security bedrijven blijven publiceren over de kwetsbaarheden die ze vinden en aandacht besteden hoe ze daar over schrijven. Met makkelijk leesbare teksten bereiken ze in principe beide groepen. Mooi voorbeeld daarvan is deze tekst van Talosintel / Cisco. Het probleem (backdoors die wachten op de payload) is simpel beschreven. De omvang van het probleem wordt genoemd, maar er zit geen overdrijving of sales pitch in verwerkt. Eveneens beschreven zijn de doelgroepen (hier gaat het om lekke software die vooral in het onderwijs voorkomt) en de reactie van de software vendor, die overigens stug volhardt in het gebruik van flash, maar dat terzijde.

In dit geval is er een patch beschikbaar, die uiteraard van harte door vendor en Talosintel wordt aanbevolen. Talosintel gaat echter nog een stap verder dan die aanbevling: “Given the severity of this problem, a compromised host should be taken down immediately as this host could be abused in a number of ways“.

Daar doemt natuurlijk de vraag op: wie gaat dat doen? Gaat een bedrijf dat leest dat ze met brakke software werken de servers echt uitzetten? Kunnen ze dat wel, of doet de IT beheersorganisatie dat automatisch van afstand of de managed service provider waar diensten van worden afgenomen. Die vragen kan iedereen verzinnen, maar hoe zit het met de antwoorden?

Als een van je klanten je vraagt wat jij doet als zijn server iets met ransomware doet, wat zegt je dan? En de achterliggende vraag: pakken hosters – als ze er al weet van hebben! – dit soort overlast in het “eigen netwerk” op dezelfde wijze aan als botnets?