Wat de CDK Global Breach Windows ISV's kan leren

Op 18 juni 2024 kreeg CDK Global, een SaaS-leverancier die bijna 15.000 Noord-Amerikaanse autodealers voorziet van software voor verkoop, service, financiering en verzekeringen, te maken met een grootschalige cyberaanval uitgevoerd door de BlackSuit ransomware-bende die kritieke bestanden en systemen versleutelde. BlackSuit eiste losgeld van CDK Global in ruil voor de versleutelde klantgegevens.

Op¹⁹ juni sloot CDK Global zijn IT-systemen af en begon met het herstel van de aanval. Tijdens deze inspanningen trof BlackSuit CDK Global met een tweede aanval.

De uitschakeling van CDK verlamde de klanten van zijn autodealers, die niet in staat waren om verkoop- en serviceafspraken te maken, klanten in en uit te checken en auto's te verkopen en te financieren met behulp van CDK-systemen. Dealers moesten bijna twee weken lang overschakelen op papieren systemen om nog zaken te kunnen doen.

Op²¹ juni betaalde CDK Global ongeveer 25 miljoen dollar in Bitcoin aan BlackSuit om de controle over de versleutelde bestanden en systemen terug te krijgen, maar het duurde tot⁴ juli voordat alle autodealers weer operationeel waren.

Naast de betaling van 25 miljoen dollar losgeld heeft CDK Global te maken met ten minste acht rechtszaken van autodealers die schade claimen door de aanval.

We zullen misschien nooit precies weten hoe BlackSuit de systemen van CDK Global kon binnendringen, maar veel cyberbeveiligingsbedrijven hebben in blogposts het meest waarschijnlijke aanvalsscenario geschetst.

Waarschijnlijk aanvalsscenario van BlackSuit

Volgens deskundigen op het gebied van cyberbeveiliging maken aanvallers meestal gefaseerd misbruik van kwetsbaarheden in IT-systemen van bedrijven.

1. Werknemers via phishing of social engineering verleiden om malware op hun computer te installeren of gebruikersgegevens te verstrekken zodat de aanvallers een eerste voet aan de grond kunnen krijgen in het systeem van het doelbedrijf.
2. Eenmaal in het systeem, breiden aanvallers hun positie uit om lateraal door het systeem te bewegen met behulp van technieken zoals credential dumping (het stelen van gebruikersgegevens van een besturingssysteem of software) en het misbruiken van zwakke machtigingen (bijvoorbeeld wanneer een laaggeprivilegieerde gebruiker wordt toegestaan om serviceconfiguraties te wijzigen) om toegang te krijgen tot extra systemen/servers en om bij gevoelige gegevens of kritieke systemen te komen die het waard zijn om losgeld voor te betalen.
3. Aanvullende laterale bewegingstechnieken zijn onder andere het uitbuiten van kwetsbare plekken in het systeem, zoals ongepatchte software en kwetsbare infrastructuur, om toegang te krijgen tot waardevolle gegevens.

BlackSuit coördineerde zijn inspanningen om de kwetsbaarheden van CDK te misbruiken, geholpen door een geavanceerd technisch begrip van het soort systemen dat ze tijdens de aanval zouden tegenkomen en de maar al te vaak voorkomende aanvalsmogelijkheden die ontstaan als een bedrijf niet lasergefocust is op cyberbeveiliging. Dankzij de ervaring en expertise van de BlackSuit-aanvallers konden ze de in het zicht verborgen mogelijkheden in de systemen en infrastructuur van CDK direct herkennen en benutten.

{{CTAEMBED_IDENTIFIER}}

Wat kunnen Windows ISV's leren van de CDK Global Breach?

De inbreuk was niet alleen een financiële ramp voor CDK Global, maar veroorzaakte ook nationale verstoringen in de autoverkoop- en servicebranche en is een waarschuwing voor elk softwarebedrijf dat applicaties levert aan klanten via een SaaS-model. Hoewel de volgende cyberbeveiligingsmaatregelen standaard de beste praktijk zijn, moeten ze worden herhaald.

Training van werknemers: de eerste stap in de meeste ransomware-aanvallen is het versturen van phishing-e-mails naar werknemers om hen te verleiden hun gegevens vrij te geven. Houd periodieke trainingen om werknemers te leren over de risico's van phishing om de kans te verkleinen dat een aanvaller een eerste voet aan de grond krijgt in uw systemen door een fout van een werknemer.

Heb een plan: ontwikkel een plan om op incidenten te reageren en herzie het jaarlijks. Voer meerdere keren per jaar "brandoefeningen" uit om personeel en management voor te bereiden op een incident. En vergeet niet om een communicatieplan voor klanten op te nemen, zodat je de verwachtingen van klanten tijdens en na een aanval kunt managen.

Toegang werknemers controleren: zorg voor een sterke controle op de toegang van geautoriseerde gebruikers tot interne systemen. Beperk de toegang van elke werknemer tot het absolute minimum dat ze nodig hebben om hun werk te doen. Voor werknemers die toegang nodig hebben tot interne systemen, zorg ervoor dat ze sterke wachtwoorden en multi-factor authenticatie gebruiken. Controleer daarnaast regelmatig gebruikersaccounts en sluit oude accounts die niet meer worden gebruikt af - hoe ouder de account, hoe groter de kans dat deze een eenvoudig te raden wachtwoord heeft en niet is beveiligd met multifactorauthenticatie.

Verbeterde beveiligingsprotocollen: regelmatig software bijwerken en patchen om bekende kwetsbaarheden te dichten en misbruik te voorkomen. 

Regelmatige back-up van gegevens: maak regelmatig back-ups van kritieke gegevens en systemen en sla back-ups veilig op een externe locatie op, zodat u in geval van een aanval kunt herstellen. Uw plan voor het reageren op incidenten moet het proces bevatten voor het snel terughalen van back-ups om te voorkomen dat uw klanten lang "dood in het water" liggen.

Beperk het gebruik van Microsoft Remote Desktop Protocol (RDP): Volgens Sophos, een Brits cyberbeveiligingsbedrijf, werd in 77% van de 2023 aanvallen die ze volgden Microsoft® Remote Desktop Protocol (RDP) gebruikt om gecompromitteerde referenties te gebruiken voor interne toegang of zijwaartse beweging binnen het systeem. Sophos is van mening dat RDP "een van de meest misbruikte tools" blijft omdat het vooraf geïnstalleerd is op de meeste Windows® besturingssystemen en vóór Windows 11 niet was geconfigureerd met bescherming tegen brute kracht.

Om het risico te verkleinen adviseert Sophos organisaties die RDP gebruiken (waaronder Windows ISV's die Microsoft RDS gebruiken om applicaties aan klanten te leveren) om het gebruik ervan sterk te beperken. Hoe? Ten eerste, zorg ervoor dat klanten die Windows 11 gebruiken Account Lockout Policy niet hebben uitgeschakeld; ten tweede, zorg ervoor dat klanten die Windows 10 en 8.1 gebruiken Account Lockout Policy inschakelen op hun machines. U kunt ook eisen dat uw klanten RDP uitschakelen tussen externe desktopsessies.

Of...Stop met het gebruik van RDP en RDS.

Als je RDS en RDP gebruikt om je Windows-applicatie aan klanten te leveren en je wilt de hoge risico's van het gebruik van RDP elimineren zonder dat je de Windows-instellingen op de Windows-machines van je klanten moet dicteren, stop dan met het gebruik van RDS en RDP.

Stoppen met het gebruik van RDS en RDP? Hoe?

Er is één oplossing voor het leveren van Windows-applicaties aan klanten die zich overal bevinden, die het gebruik van RDS en RDP overbodig maakt.

GO-Global® biedt volledige vervangingen voor Microsofts functionaliteit voor meerdere sessies, Remote Desktop Services en Remote Desktop Protocol. GO-Global vervangt RDP door RapidX Protocol (RXP), een eigen protocol met lage bandbreedte. Omdat RXP closed source is, biedt het extra verdediging tegen aanvallers, vergeleken met het open-source protocol van RDP.

Voor extra beveiliging bevat GO-Global 2FA, dat het zoeken naar brute kracht en woordenboeken voor wachtwoorden nutteloos maakt. En GO-Global + SSO biedt ondersteuning voor OpenID Connect, waardoor organisaties moderne identiteitsproviders kunnen gebruiken om eenmalige aanmelding bij GO-Global Windows hosts mogelijk te maken.

Klik hier om een GO-Global demo aan te vragen; klik hier voor een gratis proefversie van GO-Global van 30 dagen.