Wat is ransomware en wat kan ik ertegen doen?

1. Introductie

Ransomware is een methode om bedrijven af te persen voor eigen financieel gewin. Door ransomware in te zetten kunnen aanvallers de toegang tot bestanden, applicaties en/of hele systemen verstoren totdat het slachtoffer losgeld betaalt.

Om de toegang te herstellen moet het slachtoffer losgeld betalen om een decoderingssleutel te ontvangen of de data en systemen herstellen vanuit back-ups. Zodra ransomware is binnengedrongen in de organisatie gebruikt deze privileged accounts (bijv. accounts met beheerders rechten) en vertrouwensrelaties om lateraal tussen systemen te verspreiden.

In de praktijk zien we vaak twee methodes waarmee ransomware wordt verspreid in de omgeving;

1. Handmatige verspreiding: Nadat de aanvaller de omgeving is binnengedrongen en op één of andere manier beheerders rechten heeft verkregen kan deze overgaan tot.
   1. Handmatig uitvoeren van encryptie tools op systemen
   2. Verspreiding via windows batch files door te verbinden met de C$ share, de files te kopiëren en vervolgens uit te voeren via PS remoting of psexec.
   3. Via microsoft GPO’s
   4. Via bestaande beheer tools die een organisatie dagelijks gebruikt.
2. Geautomatiseerde verspreiding: Hierbij maakt de aanvaller gebruik van:
   1. Inloggegevens of windows tokens worden gebruikt die uit het geheugen of van de hardschijf (zoals de SAM database) zijn verkregen.
   2. Vertrouwensrelaties (trusts) tussen applicaties en het gebruikt van WMI, SMB of Psexec.
   3. Ongepatchede systemen en software waar remote code execution (RCE) mogelijk is.

Het doel van deze blog is om practice maatregelen te bieden die de verspreiding van ransomware binnen uw organisatie kan verhinderen, vertragen en hopelijk de mogelijke impact kan beperken.

Let op! De voorgestelde wijzigingen en aanpassingen kunnen conflicterend zijn en downtime veroorzaken. Wij adviseren om eventuele aanpassingen goed te testen voordat ze in productie worden toegepast.

2. Hardenen van werkstations, servers en randapparatuur

Tijdens een ransomware uitbraak gebruiken veel varianten geprivilegieerde en vertrouwde accounts om zich te binden aan systemen binnen een omgeving. Gewoonlijk wordt Server Message Block (SMB) gebruikt voor het communicatiekanaal tussen systemen. Hoewel SMB doorgaans vereist is binnen een Windows-besturingssysteem (bijv. werkstation naar domeincontrollers of bestandsservers), kan de reikwijdte van SMB-communicatie die rechtstreeks tussen systemen is toegestaan, worden beperkt en geminimaliseerd (bijv. werkstation-naar-werkstation).

2.1 Segmentatie van netwerken

Bij het ontwerpen van netwerken is een belangrijke beveiligingsmaatregelen het opbouwen in segmenten. Denk hierbij aan de verdediging van een middeleeuws kasteel. Mocht één beveiligingsmaatregel zwak of gebrekkig blijken te zijn, dan zorgen de verschillende andere lagen van uw defensieve strategie nog steeds voor bescherming. Het algemene doel is ervoor te zorgen dat niet een enkele fout of inbraak een probleem in de verdediging kan veroorzaken.

2.2 Windows firewall

Tijdens een ransomware aanval kan de Windows Firewall zo worden geconfigureerd dat de toegestane communicatie tussen systemen binnen de omgeving wordt beperkt. Dit firewallbeleid kan lokaal of centraal worden afgedwongen met bijvoorbeeld een GPO. De poorten en protocollen die moeten worden geblokkeerd tussen werkstation-naar-werkstation, en werkstations naar niet-domeincontrollers en niet-bestandsservers, zijn minimaal maar kunnen wel een behoorlijk verschil maken. De aanbevolen poorten en protocollen die beperkt dienen te worden zijn als volgt:

• SMB (TCP/445, TCP/135, TCP/139)
• Remote Desktop Protocol (TCP/3389)
• Windows Remote Management / Remote PowerShell (TCP/80, TCP/5985, TCP/5986)
• WMI (dynamic port range assigned through DCOM)

De instellingen kunnen worden aangepast via de volgende GPO:

• Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security

Tabel 1. Windows Firewall aanbevolen Instellingen.

Figuur 1. Windows Firewall aanbevolen Instellingen.

Om ervoor te zorgen dat alleen centraal beheerde firewallregels worden afgedwongen tijdens quarantaine (en niet lokaal kunnen worden overschreven door een kwaadwillende aanvaller), kunnen de instellingen voor "Lokale firewallregels toepassen" en "Beveiligingsregels voor lokale verbindingen toepassen" worden ingesteld op "No” voor alle profielen.

Figuur 2. Maatregel om lokale settings niet de GPO regels te laten overschrijven.

Als ransomware zich door een omgeving verspreidt kan het een noodzakelijk stap zijn om “Block all connections” aan te zetten via GPO voor snelle inperking van de dreiging. Dit is een instelling die kan worden afgedwongen op werkstations en laptops, maar heeft hoogstwaarschijnlijk wel invloed op de werking van servers als deze daarop wordt afgedwongen.

Figuur 3. Maatregel om alle verbindingen te weigeren.

Zodra de dreiging is ingeperkt en de omgeving weer als "veilig" wordt beschouwd, kan de verbinding tussen systemen weer worden hersteld door de GPO "Inkomende verbindingen" weer te wijzigen in "Block (default)".

De protocollen en poorten die in tabel 2 worden vermeld, worden het meest gebruikt door aanvallers. Als het blokkeren van alle inkomende verbindingen op de windows firewall geen optie is het raadzaam om ten minste de protocollen en poorten in tabel 2 in overweging te nemen.

Tabel 2. Windows Firewall voorgestelde block regels.

Het kan voorkomen dat bepaalde applicaties toegang nodig hebben tot bovenstaande poorten, in dat geval moet er in het lokale firewall policy worden geconfigureerd worden dat alleen apparaten met specifieke IP-adressen inkomende verbindingen mogen maken.

Figuur 4. Windows Firewall voorgestelde GPO settings.

Om detectie systemen te omzeilen gebruiken aanvallers in veel gevallen legitieme tools om malware en backdoors te downloaden en te installeren vanaf interne en externe bronnen. Om dit te voorkomen kan de Windows Firewall worden geconfigureerd om te voorkomen dat specifieke binaire bestanden uitgaande verbindingen mogen maken.

Figuur 5. Windows firewall voorbeeld voor het blokkeren van tools.

In het bovenstaande voorbeeld worden tools als powershell.exe en bitsadmin.exe geblokkeerd om uitgaande verbindingen tot stand te brengen.

2.3 Remote Desktop (RDP)

Remote Desktop Protocol (RDP) is een veelgebruikte methode die door aanvallers wordt gebruikt om op afstand verbinding te maken met systemen en tussen segmenten en netwerken malware te verspreiden. Vooral externe systemen met RDP open voor internet zijn een verhoogd risico. Aanvallers kunnen namelijk RDP misbruiken om toegang te krijgen tot de organisatie en op deze manier malware te verspreiden op het netwerk.

RDP (TCP/3389) en andere protocollen zoals (SMB – TCP/445) mogen nooit direct openstaan ​​voor het internet en om hier zeker van te zijn dienen organisaties proactief en regelmatig hun openbare IP-adressen te scannen om eventuele systemen te identificeren. Indien toegang is vereist voor operationele doeleinden, moeten er Access Control Lists (ACL’s) worden geïmplementeerd om het aantal IP adressen wat mag verbinden te beperken.

2.3.1 Verplicht multifactor authenticatie (MFA)

Als externe toegang tot RDP moet worden gebruikt voor operationele doeleinden dient er ten alle tijden multi-factor authenticatie worden afgedwongen. Dit kan worden bereikt door een integratie met bijvoorbeeld DUO Security of een Remote Desktop Gateway en Azure multi-factor Authentication-server met RADIUS.

2.3.2 Activeer Network Level Authentication (NLA)

Voor extern gerichte RDP-servers biedt Network Level Authentication (NLA) een uitkomst, NLA biedt een extra laag bescherming door pre-authenticatie toe te passen voordat een verbinding tot stand is gebracht. NLA is ook nuttig voor bescherming tegen brute force aanvallen, die zich vaak richten op open internetgerichte RDP-servers. NLA kan worden geconfigureerd via de gebruikersinterface (UI) of via GPO.

Figuur 6. Network Level Authentication (NLA) via de GUI.

Via GPO kan de instelling voor NLA worden ingeschakeld via:

• Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security > Require user authentication for remote connections by using Network Level Authentication

Een paar zaken om rekening mee te houden bij het activeren van NLA:

• De gebruikte RDP client versie dient hoger of gelijk te zijn aan v7 anders kan deze niet verbinden.
• NLA maakt gebruik van CredSSP om authenticatie aanvragen te versturen. Hiermee worden deze inlog gegevens om te verbinden opgeslagen in het geheugen van het systeem dat verbinding maakt. Deze gegevens kunnen in het geheugen blijven opgeslagen zelfs als een gebruiker al is uitgelogd.
• Als NLA wordt afgedwongen op de RDP server moeten gebruikers de rechten “Access this computer from the network ” krijgen. Dit kan in strijd zijn met bestaande hardening policies.

2.3.3 Beperkt toegang van "geprivilegieerde accounts"op externe RDP servers

Het is raadzaam om geprivilegieerde en lokale beheer accounts uit te sluiten van het mogen verbinden op extern gerichte RDP-servers om bij eventuele aanvallen de aanvaller niet meer rechten te geven. Het invoeren van dit soort restricties kan worden afgedwongen met de volgende GPO.

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Deny log on through Terminal Services

Figuur 7. GPO om restricties op te leggen voor privileged en lokale accounts.

2.4 Adminitstratieve en verborgen netwerkshares

Sommige ransomware varianten proberen gebruikt te maken van administratieve of verborgen netwerkshares, ook als ze geen stationsnaam hebben toegewezen. Als tegenmaatregel dient een organisatie waar mogelijk de standaard administratieve of verborgen shares uit te schakelen zodat deze niet toegankelijk zijn voor aanvallers. Dit kan worden bereikt door het register te wijzigen, een service te stoppen of door de Group Policy template "Microsoft Security Guide" uit de Microsoft Security Compliance Toolkit te gebruiken.

Veel gebruikte administratieve en verborgen netwerk shares zijn:

• ADMIN$
• D$
• C$
• IPC$

Het uitschakelen van deze administratieve shares kan wel een impact hebben op domein controllers en servers in het domein en dient eerst goed getest te worden. Ook werken tools zoals PsExec die gebruik maken van de ADMIN$ niet meer.

Uitschakelen van administratieve en hidden shares via het register kan op de volgende manier:

Werkstations:

• HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• DWORD Name = “AutoShareWks” zet op "0" (Disabled)

Servers:

• HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• DWORD Name = “AutoShareServer” zet op "0" (Disabled)

Figuur 8. Disablen van de LanmanServer service.

Lokaal op werkstations en servers kan het ook via:

Met behulp van de "MSS (Legacy)" GPO’s, kunnen administratieve en verborgen shares ook worden uitgeschakeld op een server of werkstation.

• Computer Configuration > Policies > Administrative Templates > MSS (Legacy) > MSS (AutoShareServer)
• Computer Configuration > Policies > Administrative Templates > MSS (Legacy) > MSS (AutoShareWks)

Figuur 9. Disablen van de administratieve en verborgen shares via de “MSS (Legacy)” Group Policy template.

2.5 Schakel SMBv1 uit op werkstations, randapparatuur en servers

Aanvallers maken graag gebruik van oudere kwetsbare protocollen en kwetsbaarheden om ransomware te verspreiden op het netwerk. Naast dat het belangrijk is om systemen regelmatig te patchen kan het uitschakelen van SMB v1 op werkstations en servers verdere verspreiding voorkomen.

Er zijn diverse manieren om SMBv1 uit te schakelen, dit kan via powershell, het register of met behulp van Group Policy (GPO) template uit de Microsoft Security Compliance Toolkit.

Powershell methode:

• Set-SmbServerConfiguration -EnableSMB1Protocol $false

Figuur 10. Uitschakelen van SMBv1 via powershell.

Via het register:

Schakel SMBv1 Server uit:

• HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• DWORD Name = “SMB1” zet op "0" (Disabled)

Schakel SMBv1 Client uit:

• HKLM\SYSTEM\CurrentControlSet\services\mrxsmb10
  • Registry entry: Start
  • REG_DWORD = “4” (Disabled)
• HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
  • Registry entry: DependOnService
  • REG_MULTI_SZ: “Bowser”,“MRxSmb20”,“NSI”

2.6 Windows Remote Management (WinRM)

Powershell Remoting (PS Remoting) is een standaard windows feature die gebouwd is op Windows Remote Management (WinRM) om op afstand powershell commando’s uit te voeren op werkstations en servers. Aanvallers kunnen deze functie misbruiken om ransomware te verspreiden over het netwerk. WinRM staat aan op alle windows server 2012 versies en hoger maar is standaard uitgeschakeld op windows werkstations en oudere windows server versies.

Het is aan te raden om via een powershell commando “Disable-PSRemoting -Force” deze functie uit te schakelen. Nadat dit commando is uitgevoerd is het niet meer mogelijk om op afstand powershell connecties te maken naar deze machine.

Figuur 11. Uitschakelen van “PS Remoting” via powershell met waarschuwing op de te ondernemen stappen.

Het uitschakelen van de functie heeft verder geen impact op lokale powershell activiteiten of het opzetten van powershell verbindingen naar andere machines.

Om de security verder te verbeteren adviseert microsoft om additionele stappen te ondernemen om er voor te zorgen dat WinRM volledige is uitgeschakeld. Het is wel belangrijk om te realiseren dat sommige applicaties afhankelijk kunnen zijn van WinRM zoals de Windows Server Manager.

1. Disable the listener that accepts requests on any IP address
   1. dir wsman:\localhost\listener
   2. Remove-Item -Path WSMan:\Localhost\listener\<Listener name>
2. Stop en schakel de WinRM Service uit.
   1. Stop-Service WinRM -PassThru
   2. Set-Service WinRM -StartupType Disabled -PassThru
3. Disable the firewall exceptions for WS-Management communications
   1. Set-NetFirewallRule -DisplayName 'Windows Remote Management (HTTP-In)' -Enabled False -PassThru | Select -Property DisplayName, Profile, Enabled

Figuur 12. Uitschakelen van “PS Remoting” met de door microsoft geadviseerde stappen.

Het is ook mogelijk om dit uit te voeren via GPO:

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service > Allow remote server management through WinRM

Als de bovenstaande instelling is geconfigureerd als "Uitgeschakeld", reageert de WinRM-service niet op verzoeken van een externe computer, ongeacht of er al dan niet WinRM- listeners zijn geconfigureerd.

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Shell > Allow Remote Shell Access

Deze instelling beheert de configuratie van externe toegang voor alle ondersteunde shells om scripts en opdrachten uit te voeren.

3. Hardenen van wachtwoorden en het gebruik

Lokale accounts op werkstations en servers worden vaak misbruikt door aanvallers om zicht te verplaatsen (laterale verplaatsing) over het netwerk. Deze methode is vooral effectief als lokale beheer accounts dezelfde wachtwoorden delen en gebruikt worden op meerdere machines.

3.1 Het gebruik van lokale accounts

Om de impact van lokale beheer accounts te verkleinen heeft Microsoft Security Advisory 2871997 geïntroduceerd waarbij twee (2) bekende SID’s zijn vastgesteld die gebruikt kunnen worden i.c.m. Group Policies (GPO) om laterale verplaatsing te beperken.

• S-1-5-113: NT AUTHORITY\Local account
• S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

Om op korte termijn stappen te zetten is vooral de S-1-5-114 SID erg belangrijk om een aanvaller (of ransomware-variant) te stoppen die zich verspreidt met behulp van inloggegevens van lokale beheer accounts.

Om dit te doen hebben we twee opties, namelijk;

1. Het beperken van rechten van SID S-1-5-114 op werkstations en servers
   • Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
     • Deny access to this computer from the network (SeDenyNetworkLogonRight)
     • Deny log on as a batch job (SeDenyBatchLogonRight)
     • Deny log on as a service (SeDenyServiceLogonRight)
     • Deny log on through Terminal Services
     • (SeDenyRemoteInteractiveLogonRight)
     • Debug Programs (SeDebugPrivilege)—permission used for attempted privilege escalation and process injection

Belangrijk is wel dat er rekening gehouden wordt met eventuele failover clustering op het netwerk. Het blokkeren van network logon permissions kan ervoor zorgen dat cluster services falen indien hier gebruik wordt gemaakt van lokale beheer accounts. Indien het niet mogelijk is om de punten uit optie 1 op korte termijn door te voeren raden we aan om de punten uit optie 2 te overwegen. Hiervoor is echter wel de Group Policy template uit de Microsoft Security Compliance Toolkit nodig.

2. User Account Control (UAC) token filtering
   • Computer Configuration > Policies > Administrative Templates > MS Security Guide > Apply UAC restrictions to local accounts on network logons.
   • Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > User Account Control: Admin
   • Computer Configuration > Policies > Administrative Templates > MS Security Guide > User Account Control: Run all administrators in Admin Approval Mode

3.2 LAPS

Zodra het gebruik van lokale accounts is beperkt en niet meer gebruikt kunnen worden om verbinding te maken met andere assets is het tijd om na te denken over de implementatie van Microsoft Local Administrator Password Solutions (LAPS). LAPS is een methode om te zorgen dat op elk werkstation en server het wachtwoord uniek is.

3.3 Geprivilegieerde en service accounts

Net als bij lokale accounts kunnen zowel service accounts als geprivilegieerde accounts gebruikt worden voor de verspreiding van ransomware. Vaak in grotere omgevingen met meerdere beheerders en soms wel honderden service accounts kan het lastig zijn om zonder uitgebreid forensisch onderzoek uit te zoeken welke accounts er zijn gebruikt in een aanval.

Het is daarom zeer belangrijk dat alle geprivilegieerde accounts in een omgeving niet worden gebruikt om in te loggen op standaard werkstations en laptops. Om te zorgen dat dit in de praktijk ook wordt nageleefd is het verstandig om geprivilegieerde accounts de toegang tot laptops, werkstations en remote desktop servers te ontzeggen.

Dit is mogelijk met de volgende GPO:

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
  • Deny access to this computer from the network (also include S-1-5-114: NT AUTHORITY\Local account and member of Administrators group)
  • Deny log on as a batch job
  • Deny log on as a service
  • Deny log on locally
  • Deny log on through Terminal Services

Figuur 13. Hardenen van toegang privileged accounts op een remote desktop server.

3.4 Inlog restricties

Het is ook verstandig om te overwegen om de beveiliging van service accounts te verbeteren door de mogelijkheden te beperken dat de accounts worden gebruikt voor interactief, extern bureaublad en waar mogelijk netwerk aanmeldingen.

Op servers waar interactieve of externe aanmeldingen niet vereist zijn door een service account kan de GPO worden gebruikt om aanmeldingsbeperkingen af te dwingen.

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
  • Deny log on locally (SeDenyInteractiveLogonRight)
  • Deny log on through Terminal Services (SeDenyRemoteInteractiveLogonRight)

Aanvullende maatregelen als het service account bijvoorbeeld niet gebruikt wordt voor netwerk logon zou kunnen zijn:

• Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
  • Deny access to this computer from the network (SeDenyNetworkLogonRight)

Als een service account alleen gebruikt wordt voor één enkel doel op een server dan kan deze nog verder beperkt worden in ze rechten door deze bijvoorbeeld alleen toe te staan op die server.

• Active Directory Users and Computers > Select the Account Tab
  • “Log On To” button > Select the proper scope of computers for access

3.5 "Protected Users" Groep

Vanaf Windows 8.1 en Microsoft Windows Server 2012 R2 (en hoger) heeft microsoft de “Protected Users” groep geïntroduceerd. Door gebruik te maken van deze groep voor geprivilegieerde accounts kan een organisatie verschillende risicofactoren en veelgebruikte exploitatiemethoden minimaliseren. Leden van deze groep krijgen namelijk automatisch specifieke beveiligingen toegepast op hun accounts, waaronder:

• De Kerberos ticket granting ticket (TGT) verloopt na 4 uur, in plaats van na 10 uur.
• Er wordt geen NTLM hash opgeslagen in de LSASS omdat er alleen maar Kerberos authenticatie wordt toegepast (NTLM authenticatie is uitgeschakeld).
• Wachtwoorden worden niet gecached, er moet dus altijd een domain controller beschikbaar zijn om in te loggen.
• WDigest authenticatie is uitgeschakeld, ongeacht de policy settings op een machine.
• DES en RC4 kunnen niet gebruikt worden voor Kerberos pre-authenticatie (Server 2012 R2 of hoger); Kerberos AES encryptie wordt geforceerd.
• Accounts kunnen niet gebruikt worden voor constrained en unconstrained delegation. (Zelfde als “Account is sensitive and cannot be delegated” setting in Active Directory Users and Computers).

Belangrijk om te weten is dat het domein functional level Windows Server 2012 R2 of hoger moet zijn en dat service accounts niet toegevoegd mogen worden aan deze groep omdat ze anders niet meer kunnen authenticeren.

3.6 Cleartext wachtwoorden

Een veel gebruikte tactiek van aanvallers is het verkrijgen van tokens en wachtwoorden uit het geheugen. Naast het beperken van geprivilegieerde accounts op onveilige machines, moeten er ook maatregelen worden afgedwongen die deze blootstellingen beperken.

Op oudere Windows-besturingssystemen worden leesbare wachtwoorden opgeslagen in het geheugen (LSASS) om voornamelijk WDigest te ondersteunen. Het is dus aan te raden om dit uit te schakelen. WDigest-verificatie is standaard uitgeschakeld op Windows 8.1 en op Windows Server 2012 R2 en hoger.

Om WDigest-verificatie uit te schakelen kan de volgende register aanpassing worden gedaan:

• HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\
• UseLogonCredential
• REG_DWORD = “0”

Een andere belangrijke maatregel is om te zorgen dat als gebruikers uitloggen automatisch hun gegevens uit het geheugen verdwijnen na 30 seconden, op Windows 8.1 en hoger is dit al het geval maar op oudere systemen (tenzij MS16-014 is geïnstalleerd) niet.

• HKLM\SYSTEM\CurrentControlSet\Control\Lsa\TokenLeakDetectDelaySecs
• REG_DWORD = “30”

4. Incident Response Plan

In het geval van een ransomware uitbraak is het belangrijk om een incident response plan te hebben en deze een keer getest te hebben. Het doel van een incident response plan is om te zorgen dat er snel belangrijke stappen genomen kunnen worden zoals het isoleren van systemen om verdere downtime te voorkomen. Een paar tips;

1. Zorg ervoor dat er minimaal één domein controller per domein of forest is geïsoleerd (bij voorkeur de FSMO houder) en dat hier een offline back-up van is zodat als de AD database (%SYSTEMROOT%\ntds\ntds.dit) en SYSVOL (%SYSTEMROOT%\SYSVOL) onverhoopt op andere domain controllers versleuteld raken de organisatie niet in het ergste geval het hele domein moet herbouwen.
2. Zorg ook dat het Directory Services Restore Mode (DSRM) password bekend is voor het geval er een authoritative of non-authoritative restore nodig is van een domain controller.

Figuur 14. Reset van het DSRM wachtwoord op een domain controller.

Belangrijk is dat dit alleen proactief kan gebeuren en uitgevoerd moet worden op elke domain controller waarvan het wachtwoord niet bekend is.

5. Conclusie

Ransomware blijft een bedreiging vormen en het aantal organisaties dat slachtoffer wordt blijft toenemen en zal ook in de toekomst ook blijven toenemen als de aanvallers op deze manier inkomsten kunnen blijven genereren. In deze blog bieden we praktische richtlijnen om te beschermen tegen ransomware aanvallen en de impact bij een mogelijke aanval te verkleinen op de organisatie. Deze richtlijnen zijn bedoeld als hulpmiddel en voor organisaties die met deze uitdaging worden geconfronteerd en is gebaseerd op onze ervaringen uit de praktijk.