Hvad CDK Global Breach kan lære Windows ISV'er

Den 18. juni 2024 oplevede CDK Global, en SaaS-leverandør, der forsyner næsten 15.000 nordamerikanske bilforhandlere med software til salg, service, finansiering og forsikring, et massivt cyberangreb udført af ransomware-banden BlackSuit, der krypterede kritiske filer og systemer. BlackSuit krævede løsepenge af CDK Global til gengæld for de krypterede kundedata.

Den^19. juni lukkede CDK Global sine it-systemer ned og gik i gang med at komme sig over angrebet. Under disse bestræbelser ramte BlackSuit CDK Global med endnu et angreb.

CDK's nedlukning lammede bilforhandlernes kunder, som ikke kunne lave salgs- og serviceaftaler, tjekke servicekunder ind og ud og sælge og finansiere biler ved hjælp af CDK's systemer. Forhandlerne var tvunget til at gå over til papirbaserede systemer i næsten to uger for overhovedet at kunne drive forretning.

Den ²¹. juni betalte CDK Global ca. 25 mio. dollars i Bitcoin til BlackSuit for at genvinde kontrollen over de krypterede filer og systemer, men det tog indtil den^4. juli, før alle bilforhandlere kom op at køre igen.

Ud over løsepengebetalingen på 25 millioner dollars står CDK Global over for mindst otte retssager fra bilforhandlere, der kræver erstatning for angrebet.

Vi får måske aldrig at vide præcis, hvordan BlackSuit var i stand til at trænge ind i CDK Globals systemer, men mange cybersikkerhedsfirmaer har i blogindlæg skitseret det mest sandsynlige angrebsscenarie.

BlackSuits sandsynlige angrebsscenarie

Ifølge cybersikkerhedseksperter udnytter angribere oftest sårbarheder i virksomheders IT-systemer i en faseopdelt tilgang.

1. Snyd medarbejdere ved hjælp af phishing eller social engineering til at installere malware på deres computer eller til at afsløre brugeroplysninger, så angriberne kan få et første fodfæste i målvirksomhedens system.
2. Når de først er inde i systemet, udvider angriberne deres fodfæste til at bevæge sig sideværts gennem systemet ved hjælp af teknikker som credential dumping (stjæle brugeroplysninger fra et operativsystem eller software) og udnyttelse af svage tilladelser (f.eks. hvor en bruger med lave privilegier har tilladelse til at ændre servicekonfigurationer) for at få adgang til yderligere systemer/servere og komme til følsomme data eller kritiske systemer, der er værd at betale løsepenge for.
3. Yderligere teknikker til lateral bevægelse omfatter udnyttelse af systemsårbarheder, såsom upatchet software og sårbar infrastruktur, for at få adgang til værdifulde data.

BlackSuit koordinerede sin indsats for at udnytte CDK's sårbarheder, hjulpet af en sofistikeret teknisk forståelse af den type systemer, de ville støde på under angrebet, og de alt for almindelige angrebsmuligheder, der opstår, når en virksomhed ikke er laserfokuseret på cybersikkerhed. BlackSuit-angribernes erfaring og ekspertise gjorde dem i stand til øjeblikkeligt at genkende og udnytte de muligheder, der gemte sig i CDK's systemer og infrastruktur.

{{CTAEMBED_IDENTIFIER}}

Hvad kan Windows ISV'er lære af CDK Global Breach?

Ud over at være en økonomisk katastrofe for CDK Global forårsagede bruddet nationale forstyrrelser i bilsalgs- og servicebranchen og er en advarende fortælling for enhver softwarevirksomhed, der leverer applikationer til kunder ved hjælp af en SaaS-model. Selv om følgende cybersikkerhedsforanstaltninger er standard bedste praksis, tåler de at blive gentaget.

Uddannelse af medarbejdere: Det første skridt i de fleste ransomware-angreb er at sende phishing-mails til medarbejdere for at narre dem til at afsløre deres legitimationsoplysninger. Hold regelmæssig træning for at lære medarbejderne om phishing-risici for at reducere chancen for, at en angriber får fodfæste i dine systemer på grund af en medarbejderfejl.

Hav en plan: Udarbejd en beredskabsplan, og gennemgå den hvert år. Lav "brandøvelser" flere gange om året for at forberede personale og ledelse i tilfælde af en hændelse. Og glem ikke at inkludere en plan for kundekommunikation, så du kan styre kundernes forventninger under og efter et angreb.

Kontrollér medarbejdernes adgang: Oprethold en stærk kontrol over autoriserede brugeres adgang til interne systemer. Begræns hver medarbejders adgang til det absolutte minimum, de har brug for til at udføre deres job. For medarbejdere, der har brug for adgang til interne systemer, skal du sikre, at de bruger stærke passwords og multifaktorautentificering. Derudover skal du regelmæssigt revidere brugerkonti og lukke ældre konti, der ikke længere bruges - jo ældre kontoen er, jo større er chancen for, at den har en adgangskode, der er nem at gætte, og ikke er sikret med multifaktorautentificering.

Forbedrede sikkerhedsprotokoller: Opdater og patch softwaresystemer regelmæssigt for at lukke kendte sårbarheder og forhindre udnyttelse. 

Regelmæssig sikkerhedskopiering af data: Tag regelmæssigt sikkerhedskopier af kritiske data og systemer, og opbevar sikkerhedskopierne sikkert uden for virksomheden, så du kan komme dig i tilfælde af et angreb. Din beredskabsplan for hændelser bør omfatte en proces til hurtigt at hente sikkerhedskopier, så du undgår at efterlade dine kunder "døde i vandet" i lang tid.

Begræns brugen af Microsoft Remote Desktop Protocol (RDP): Ifølge Sophos, et britisk cybersikkerhedsfirma, blev Microsoft® Remote Desktop Protocol (RDP) i 77 % af de 2023 angreb, de sporede, brugt til at udnytte kompromitterede legitimationsoplysninger til intern adgang eller lateral bevægelse inden for systemet. Sophos mener, at RDP fortsat er "et af de mest misbrugte værktøjer", fordi det er forudinstalleret på de fleste Windows® OS, og før Windows 11 var det ikke konfigureret med brute force-beskyttelse.

For at reducere risikoen råder Sophos organisationer, der bruger RDP (hvilket inkluderer Windows ISV'er, der bruger Microsoft RDS til at levere applikationer til kunder), til at begrænse brugen kraftigt. Hvordan gør man det? For det første skal du sikre dig, at kunder, der bruger Windows 11, ikke har deaktiveret Account Lockout Policy; for det andet skal du sikre dig, at kunder, der bruger Windows 10 og 8.1, aktiverer Account Lockout Policy på deres maskiner. Eller du kan kræve, at dine kunder deaktiverer RDP mellem fjernskrivebordssessioner.

Eller ... Stop med at bruge RDP og RDS.

Hvis du bruger RDS og RDP til at levere din Windows-applikation til kunder og ønsker at eliminere de høje risici, der er forbundet med at bruge RDP, uden at det kræver, at du dikterer Windows-indstillingerne på dine kunders Windows-maskiner, skal du stoppe med at bruge RDS og RDP.

Stoppe med at bruge RDS og RDP? Og hvordan?

Der findes én løsning til at levere Windows-applikationer til kunder, der befinder sig hvor som helst, og som eliminerer behovet for at bruge RDS og RDP.

GO-Global® giver fuld erstatning for Microsofts multisession-funktionalitet, Remote Desktop Services og Remote Desktop Protocol. GO-Global erstatter RDP med RapidX Protocol (RXP), en proprietær protokol med lav båndbredde. Fordi RXP er closed source, giver den et ekstra forsvar mod angribere sammenlignet med RDP's open source-protokol.

For yderligere sikkerhed inkluderer GO-Global 2FA, som gør brute force- og ordbogsadgangskodesøgninger ubrugelige. Og GO-Global + SSO understøtter OpenID Connect, som gør det muligt for organisationer at bruge moderne identitetsudbydere til at aktivere single sign-on på GO-Global Windows-værter.

Klik her for at anmode om en GO-Global-demo; klik her for at få en gratis 30-dages GO-Global-prøveperiode.