Sinds begin maart konden hackers via een zwakke plek in Microsoft Exchange Server inbreken bij tienduizenden bedrijven, ook in België. Zelfs organisaties die intussen de nodige updates hebben doorgevoerd, zitten nog niet safe. Mogelijk stond er op dat moment al malware op hun systemen waardoor hackers nog kunnen binnendringen. Wat moet u nu doen?
Grote paniek begin maart: een zwakke plek in Microsoft Exchange Server is ontdekt door een groep hackers. De eerste aanvallen zouden komen van Hafnium, een hackersgroepering die gelinkt is aan de Chinese overheid. Daarna vinden ook andere hackers de weg naar het Exchange-lek. Al snel sprak men van 30.000 of zelfs 60.000 getroffen organisaties wereldwijd. De Europese Bankautoriteit (EBA) haalde haar Exchange Server snel offline toen ze ontdekte dat de hackers misschien persoonlijke gegevens hadden bemachtigd.
Uw IT-beveiliging op alles voorbereid
Na een Security Audit installeert Cheops de juiste beveiliging voor uw IT-omgeving.
Lees meerOok middelgrote bedrijven
Microsoft stelde dat de hackers het vooral gemunt hadden op organisaties zoals farmabedrijven, grote advocatenkantoren, onderwijsinstellingen en ngo’s. Dat blijkt toch niet helemaal te kloppen, want heel wat middelgrote bedrijven vielen ook ten prooi aan de indringers. Het risico blijft in ieder geval niet beperkt tot de mail server – de hackers kunnen via Exchange doordringen in het hele bedrijfsnetwerk.
Cloudversie buiten schot
Ook drie Belgische bedrijven hebben zich al als slachtoffer gemeld bij het Centrum voor Cybersecurity België (CCB). In werkelijkheid zouden er nog veel meer organisaties in ons land gehackt kunnen zijn. Zeker is dat nog lang niet op elke Exchange Server de broodnodige patches zijn geïnstalleerd. Exchange Online, de cloudversie van Microsofts e-mailsoftware, bleef trouwens buiten schot. Het gaat om lokale installaties van Microsoft Exchange Server 2010, 2013, 2016 en 2019.
Een blijvend achterpoortje
Microsoft zette de updates twee dagen na het ontdekken van de kwetsbaarheid online. Dat gaf de hackers nog meer tijd om volop aanvallen te lanceren. De vrees is dat ze overal een script of ‘backdoor’ achterlaten waardoor ze altijd toegang blijven krijgen, ook na de installatie van de updates. Zo blijft het probleem dus bestaan.
Wat moet u doen?
U gaat als volgt te werk:
- Installeer zowel de laatste Exchange update als de security patch. Op de support-pagina van Microsoft is heel wat up-to-date informatie te vinden, met uitleg over de juiste werkwijze
- Ga op zoek naar de bekende Indicators of Compromise - elementen die wijzen op hackingactiviteit in uw netwerk.
- Gebruik de Microsoft Safety Scanner om eventuele malware op de Exchange Server te detecteren en te verwijderen. Zo kunt u ook de ‘backdoors’ elimineren die op dit moment al gekend zijn.
- Bent u effectief het slachtoffer van hacking, meld dit dan aan het Centrum voor Cybersecurity België (CCB).
- Contacteer uw IT-partner voor technische ondersteuning, een analyse van de impact en het definitief neutraliseren van de bedreiging.
Toekomstige problemen vermijden
Zoals altijd geldt dat voorkomen beter is dan genezen. Om securityproblemen te vermijden, is het belangrijk dat u altijd werkt met de nieuwste softwareversies. Ook in dit geval steeg het aantal aanvallen van hackers pijlsnel zodra het lek in Exchange algemeen bekend was. Werk ook altijd met de nieuwste versie van uw beveiligingssoftware zelf, zoals antivirussoftware, firewalls en spamfilters.
Voor nog meer zekerheid neemt u ook systematisch back-ups van uw hele IT-omgeving. Zo kunt u in het slechtste geval snel uw gegevens herstellen of bijvoorbeeld bij een aanval met ransomware toch blijven werken via uw back-up. Door uw back-ups bijvoorbeeld in de cloud onder te brengen en niet permanent te koppelen met uw primaire omgeving, kunnen hackers niet tot in uw back-upomgeving doordringen.
Ondanks alle voorzorgen kunt u securityproblemen nooit volledig uitsluiten. U hebt dus ook een Business Continuity Plan nodig waar Disaster Recovery een belangrijk onderdeel van uitmaakt voor het geval het toch fout gaat.
Voor dergelijke voorzieningen kunt u niet zonder een betrouwbare IT-partner. Security is een verantwoordelijkheid die u beter uitbesteedt aan een specialist die garanties biedt op het vlak van continuïteit. Met Managed Security bent u zeker van een permanente en efficiënte opvolging van uw IT-beveiliging op alle niveaus, van uw netwerk en servers tot de toestellen van uw eindgebruikers.
Tot slot mag u zeker niet vergeten om ook die eindgebruikers bewust te maken van de dreigingen op het vlak van security. Meestal zijn de eindgebruikers namelijk de zwakke plek in uw IT-beveiliging. Zorg er dus voor dat ze veilig werken en dat ze in staat zijn om verdachte mails te herkennen. Managed Security Awareness is een efficiënte manier om uw eindgebruikers alert te houden.
De aanval via Exchange is een van de eerste grote securityproblemen van 2021, maar de algemene verwachting is dat dit slechts een begin is. U bent dus beter op alles voorbereid.
Heb je nog vragen, aarzel dan niet om contact met ons op te nemen.
Meer weten over IT-Security?
Herbekijk ons webinar en kom alles te weten over IT-security, inclusief het praktijkverhaal van de gehackte Universiteit van Maastricht.