Welke antiransomware raad jij aan anno 2022 ?

zit er geen (standaard) malwarescanner bij de NAS. bijv QNAP heeft Malware Remover in het QTS OS meegeleverd.

Focus je niet alleen op een magic bullet. Kijk ook hoe en waarom men binnen kon komen en escaleren van eind-gebruiker naar backup user/admin.

Zorg dus in ieder geval dat een NAS niet via internet benaderbaar is, uptodate firmware heeft en je beheer over VPN loopt. Geen directe RDP aan internet.

Met voldoende rechten kan men natuurlijk ook de anti-ransomware software verwijderen voor de encryptie start. En je voorkomt er geen data exfiltratie mee....

Belangrijkste vraag is bovenal hoe het binnengekomen is en wat voor stappen ze hebben doorlopen.

Als ik lees dat een NAS encrypt is, dan vermoed ik eerder dat die aan het internet hing en niet op tijd bijgewerkt was met de laatste updates.

En dat is eigenlijk veruit het belangrijkst, zorg er voor dat niets vanaf het internet bereikbaar is zonder VPN met 2fa. Dus geen RDP, geen NAS en al helemaal geen Exchange in een MKB bedrijf.

Als het via mail is binnengekomen, zorg dan voor een goede mail filter en een EDR-achtige oplossing. ESET klinkt mij als een goed en je kunt ook nog kijken naar Defender for Endpoint. Die hebben ook een business versie tegen lagere kosten. Belangrijk is wel dat je naar de meldingen gaat kijken. Het zijn geen magische tools die alles tegenhouden. Ze rapporteren ook vaak 'grijs' gebied waar je soms wat mee moet.

[Voor 4% gewijzigd door oak3 op 22-11-2022 08:59]

@Jemboy alternatieve poorten is schijnveiligheid. Een portscan geeft ze zo weer. 3 maanden is lang.... een nieuwe vulnerability wordt vaak binnen 24 uur aangevallen. Kan de NAS ook automatisch updaten? Admin en ip block beschermen je verder niet tegen Remote Code Execution vulnerabilities in de networkdaemons van je NAS. Daarom kun je beter kijken of de externe toegang noodzakelijk is. Zo ja, laat het via VPN lopen.

Ik zou zeker eens gaan kijken hoe je monitoring en alerting op kan zetten naast ransomware endpoint protection. Op dit moment heb je geen inzicht en idee wat er precies is gebeurd en dat is gevaarlijk. Voor prive situaties is dat niet erg, voor MKB kan het onbedoeld nare gevolgen hebben...

Jemboy schreef op maandag 28 november 2022 @ 03:08:
De volgende ochtend hebben we elke PC 1 voor 1 getest met MalwareBytes en HitManPro.Alert en niks gevonden. Mijn vermoeden is dat de ransomware in "userspace" draaide en door het uitzetten van de PC uit het geheugen is verdwenen.

Dat kan, maar het ontbreken van bewijs is geen bewijs dat het er niet is*. Wat je kan doen is PC's inspecteren door via een PE USB op te starten. Kijk naar bestanden met recente datum, verdachte startups, executables op vreemde plaatsen opsporen.

Executables kun je controleren op geldige certificaten. Dat vereist een internetverbinding. Verdachte bestanden kun je ontdekken door directory listings te vergelijken met een diff tool.

Met een checksum analyse kun je checksums vergelijken met geverifieerde bestanden. Dat kun je ook aantreffen in logging van NIDS en HIDS (intrusion detection) systemen. Daarmee verhoog je de zichtbaarheid. Tegenwoordig zijn er geintegreerde systemen met monitoring en analyse.

Het is voor elk antivirusproduct hit or miss, soms doet de een het beter en soms de ander. Hoe recenter de updates, hoe meer kans je hebt dat malware wel wordt gevonden. Volkomen nieuwe malware heeft vaak een slechte detectiegraad. De makers kunnen net zo lang knutselen totdat het niet meer wordt gedetecteerd door populaire antivirus software.

Er is verschil tussen een virus en een trojan. Een virus infecteert executables, een trojan staat op zichzelf.

Verder, waar @sh4d0wman al naar hint: je kunt het beste de wijze van toegang goed beveiligen. Patches bijhouden, systemen veilig inrichten, niet iedereen toegang geven tot alle data, monitoren, etc. Antivirus kan een succesvolle besmetting niet voorkomen omdat het vaak reactief is, dat is dus geen oplossing.

'Antiransomware' is vooral effectieve marketing.

* Absence of evidence is not evidence of absence

Jemboy schreef op maandag 28 november 2022 @ 03:08:
@oak3 De NAS was via internet benaderbaar, maar via alternatieve poorten en redelijk up-to-date, daar ik het ongeveer elke 3 maanden een update deed.
Daarnaast was admin disabled en stond IP-block aan voor elke 3 login failures.
Het vermoeden is dat het via 1 bepaalde PC gebeurd is, omdat deze PC de enige was die bij een bepaalde share kon komen.

Op het moment dat ik erachter kwam dat een ransomware de NAS aan het encrypten was en bestanden zag die net enkele minuten daarvoor encrypt waren, heb ik alle PC's laten uitzetten.
Vanaf dat moment is het encrypten op de NAS ook gestopt.

De volgende ochtend hebben we elke PC 1 voor 1 getest met MalwareBytes en HitManPro.Alert en niks gevonden. Mijn vermoeden is dat de ransomware in "userspace" draaide en door het uitzetten van de PC uit het geheugen is verdwenen.

Je wilt echt niets aan het internet hangen als je 1x per drie maanden update. Stop alles achter een VPN met MFA, en zorg dat die altijd bij is. Anders ga je sowieso weer een keer de pineut zijn, ook als het deze keer niet via deze route was.