Wannacry - Erfaringer i etterkant av et av verdens største virusangrep noensinne

Litt fakta i etterkant.
 
  • Det var ikke Windows XP maskiner som fikk mest problemer med angrepet. Windows 7 maskiner stod for over 66% av de rammede maskinene
  • Det var ikke nødvendig å klikke på et virusvedlegg mottatt per e-post for å få viruset/ormen inn i en bedrifts nettverk, det var nok å bare ha maskiner koblet på nett og ikke ha et oppdatert nettverk/maskiner
  • Det antas å ha vært minst tre grupper som benyttet sårbarheten til å infisere bedriftsnettverk, og den antatte skaden for disse bedriftene antas å være mer omfattende enn tidligere antatt.

Hvorfor ble ikke flere rammet?

Kill-switch-domene ble opprettet av en sikkerhetsforsker veldig tidlig i utbruddet, som i praksis deaktiverte det.   Neste versjon, som nesten garantert vil komme, vil være uten en slik kill-switch.


Hvordan Dataplan og våre sky-/Citrixkunder ble påvirket?
 
  • Flere større konkurrerende skyløsninger måtte kjøre nødvedlikehold og nedetid for kundene sine for å få oppdatert systemene sine. For Dataplan sine skykunder så var ikke dette nødvendig da alle kunder allerede var 100% beskyttet mot angrepet
  • Alle servere var patchet pga jevnlige vedlikeholdsvindu som håndterer blant annet dette
  • Alle servere har forhåndsgodkjent hvilken programvare som får kjøre – en trenger ikke være redd for at en tilfeldig bruker skal kunne ødelegge dagen ved å trykke på feil vedlegg/link, da skadevaren ikke får sjansen til å kjøre
  • Solid backupløsning etter 3-2-1 prinsipp 

Dataplans anbefalinger:
  • Backup og rask gjenoppretting er viktigst: følg 3-2-1 regelen. Minst tre kopier av data, lagre data på to forskjellige media og hold en kopi ute-av-huset
  • IT-Policy: Etabler og følg en gjennomtenkt IT-Policy som adresserer hvordan datautstyr i din bedrift skal oppdateres
  • Antivirus: Abonner på programvare som faktisk klarer stoppe nye typer skadevare – her er det stor kvalitetsforskjell
  • Proff e-postfiltrering: Sikre bedriften med proff løsning for filtrering av e-post – som stopper skadevare fra å nå brukerne
  • Lås ned tilganger: Begrens hvem som får gjøre hva og forhåndsgodkjenn hvilke programmer som får lov til å kjøre i ditt nettverk – dette stopper mye skadevare
 
Ble din bedrift rammet? Kjenner du til bedrifter som kunne trenge en uforpliktende gjennomgang? Ta kontakt med oss for hurtig og profesjonell rådgivning om valg av beste løsning. 



Kilder:
https://arstechnica.com/security/2017/05/windows-7-not-xp-was-the-reason-last-weeks-wcry-worm-spread-so-widely/
https://blog.malwarebytes.com/cybercrime/2017/05/how-did-wannacry-ransomworm-spread/
https://www.veeam.com/blog/how-to-follow-the-3-2-1-backup-rule-with-veeam-backup-replication.html

 

 
what-wannacry
Dataplan IT partner AS
Stokkamyrveien 18A | 4313 Sandnes | Tlf: +47 51 96 31 00 | Faks: +47 51 96 30 01 | firmapost@dataplan.no
Dataplan IT partner AS
Stokkamyrveien 18A
4313 Sandnes
Tlf: +47 51 96 31 00
firmapost@dataplan.no
Dataplan IT partner AS
Stokkamyrveien 18A    |    4313 Sandnes    |    
Tlf: +47 51 96 31 00    |    Faks: +47 51 96 30 01    |    firmapost@dataplan.no
© Copyright 2016 DATAPLAN GRUPPEN AS