Hva CDK Global Break kan lære Windows ISV-er

18. juni 2024 opplevde CDK Global, en SaaS-leverandør som tilbyr programvare for salg, service, finansiering og forsikring til nesten 15 000 nordamerikanske bilforhandlere, et massivt cyberangrep utført av ransomware-gjengen BlackSuit som krypterte kritiske filer og systemer. BlackSuit krevde løsepenger fra CDK Global i bytte mot de krypterte kundedataene.

^19. juni stengte CDK Global ned IT-systemene sine og startet arbeidet med å gjenopprette seg etter angrepet. I løpet av dette arbeidet traff BlackSuit CDK Global med et nytt angrep.

CDKs nedstengning lammet bilforhandlerkundene deres, som ikke kunne avtale salgs- og serviceavtaler, sjekke inn og ut servicekunder, og selge og finansiere biler ved hjelp av CDKs systemer. Forhandlerne ble tvunget til å gå over til papirbaserte systemer i nesten to uker for å kunne drive virksomhet.

Den ^21. juni betalte CDK Global omtrent 25 millioner dollar i Bitcoin til BlackSuit for å få tilbake kontrollen over de krypterte filene og systemene, men det tok til ^4. juli før alle bilforhandlere var i gang igjen.

I tillegg til løsepengene på 25 millioner dollar står CDK Global overfor minst åtte søksmål fra bilforhandlerkunder som krever erstatning for angrepet.

Vi får kanskje aldri vite nøyaktig hvordan BlackSuit klarte å trenge inn i CDK Globals systemer, men mange cybersikkerhetsfirmaer har skissert det mest sannsynlige angrepsscenarioet i blogginnlegg.

BlackSuits sannsynlige angrepsscenario

Ifølge cybersikkerhetseksperter utnytter angripere oftest sårbarheter i bedrifters IT-systemer i en faset tilnærming.

1. Lure ansatte ved hjelp av phishing eller sosial manipulering til å installere skadelig programvare på datamaskinen sin eller avsløre brukerlegitimasjon, slik at angriperne kan få et første fotfeste i målbedriftens system.
2. Når angriperne først er inne i systemet, utvider de fotfestet sitt og beveger seg sidelengs gjennom systemet ved hjelp av teknikker som credential dumping (stjele brukerlegitimasjon fra et operativsystem eller programvare) og utnytte svake tillatelser (for eksempel der en bruker med lav privilegium har tillatelse til å endre tjenestekonfigurasjoner) for å få tilgang til flere systemer/servere og komme til sensitive data eller kritiske systemer som det er verdt å betale løsepenger for.
3. Ytterligere laterale bevegelsesteknikker inkluderer utnyttelse av systemsårbarheter, som uoppdatert programvare og sårbar infrastruktur, for å få tilgang til verdifulle data.

BlackSuit koordinerte arbeidet med å utnytte CDKs sårbarheter, hjulpet av en sofistikert teknisk forståelse av hvilke typer systemer de ville møte under angrepet, og de altfor vanlige angrepsmulighetene som oppstår når et selskap ikke er laserfokusert på cybersikkerhet. BlackSuit-angripernes erfaring og ekspertise gjorde det mulig for dem å umiddelbart gjenkjenne og utnytte mulighetene som gjemte seg i CDKs systemer og infrastruktur.

{{CTAEMBED_IDENTIFIER}}

Hva kan Windows-ISV-er lære av det globale CDK-bruddet?

I tillegg til å være en økonomisk katastrofe for CDK Global, forårsaket sikkerhetsbruddet nasjonale forstyrrelser i bilsalgs- og servicebransjen, og det er en advarsel for alle programvareselskaper som leverer applikasjoner til kunder ved hjelp av en SaaS-modell . Selv om følgende sikkerhetstiltak for nettsikkerhet er standard beste praksis, tåler de å gjentas.

Ansattopplæring : Det første trinnet i de fleste ransomware-angrep er å sende phishing-e-poster til ansatte for å lure dem til å avsløre legitimasjonen sin. Hold regelmessig opplæring for å lære ansatte om phishing-risikoer for å redusere sjansen for at en angriper får et første fotfeste i systemene dine på grunn av en ansattfeil.

Ha en plan : Utvikle en hendelsesplan og gjennomgå den årlig. Gjennomfør «brannøvelser» flere ganger i året for å forberede ansatte og ledelse i tilfelle en hendelse. Og ikke glem å inkludere en kommunikasjonsplan med kundene, slik at du kan håndtere kundenes forventninger under og etter et angrep.

Kontroller ansattes tilgang : Oppretthold streng kontroll over autoriserte brukeres tilgang til interne systemer. Begrens alle ansattes tilgang til det absolutt nødvendige for å gjøre jobben sin. For ansatte som trenger tilgang til interne systemer, sørg for at de bruker sterke passord og flerfaktorautentisering. I tillegg må du regelmessig revidere brukerkontoer og stenge eldre kontoer som ikke lenger brukes – jo eldre kontoen er, desto større er sjansen for at den har et lett gjettelig passord og ikke er sikret med flerfaktorautentisering.

Forbedrede sikkerhetsprotokoller : oppdater og oppdater programvaresystemer regelmessig for å lukke kjente sårbarheter og forhindre angrep. 

Regelmessig sikkerhetskopiering av data : Ta regelmessig sikkerhetskopier av kritiske data og systemer, og lagre sikkerhetskopier på en sikker måte utenfor kontoret, slik at du kan gjenopprette data i tilfelle et angrep. Beredskapsplanen din bør inkludere prosessen for raskt å hente sikkerhetskopier for å unngå at kundene dine blir liggende «døde i vannet» lenge.

Begrens bruken av Microsoft Remote Desktop Protocol (RDP) : Ifølge Sophos, et britisk nettsikkerhetsselskap, ble Microsoft® Remote Desktop Protocol (RDP) brukt til å utnytte kompromitterte legitimasjonsopplysninger for intern tilgang eller lateral bevegelse i systemet i 77 % av angrepene de sporet i 2023. Sophos mener at RDP fortsatt er «et av de mest misbrukte verktøyene» fordi det er forhåndsinstallert på de fleste Windows®-operativsystemer, og før Windows 11 var det ikke konfigurert med brute force-beskyttelse.

For å redusere risikoen anbefaler Sophos organisasjoner som bruker RDP (som inkluderer Windows ISV-er som bruker Microsoft RDS til å levere applikasjoner til kunder ) å begrense bruken sterkt. Hvordan? For det første, sørg for at kunder som bruker Windows 11 ikke har deaktivert Account Lockout Policy; for det andre, sørg for at kunder som bruker Windows 10 og 8.1 aktiverer Account Lockout Policy på maskinene sine. Eller du kan kreve at kundene dine deaktiverer RDP mellom eksterne skrivebordsøkter.

Eller ... Slutt å bruke RDP og RDS.

Hvis du bruker RDS og RDP til å levere Windows-applikasjonen din til kunder, og ønsker å eliminere den høye risikoen forbundet med bruk av RDP uten at du må diktere Windows-innstillingene på kundenes Windows-maskiner, bør du slutte å bruke RDS og RDP.

Hvordan slutte å bruke RDS og RDP?

Det finnes én løsning for å levere Windows-applikasjoner til kunder hvor som helst som eliminerer behovet for å bruke RDS og RDP.

GO-Global® tilbyr fullstendige erstatninger for Microsofts flerøktsfunksjonalitet, Remote Desktop Services og Remote Desktop Protocol. GO-Global erstatter RDP med RapidX Protocol (RXP), en proprietær protokoll med lav båndbredde. Fordi RXP er lukket kildekode, tilbyr den ekstra forsvar mot angripere, sammenlignet med RDPs protokoll med åpen kildekode.

For ekstra sikkerhet inkluderer GO-Global 2FA , som gjør brute force og ordbokssøk etter passord ubrukelige. Og GO-Global + SSO støtter OpenID Connect, som lar organisasjoner bruke moderne identitetsleverandører for å aktivere enkel pålogging til GO-Global Windows-verter.

For å be om en GO-Global-demo, klikk her ; for en gratis 30-dagers GO-Global-prøveperiode, klikk her .