Vad CDK Global Breach kan lära Windows ISV:er

Den 18 juni 2024 utsattes CDK Global, en SaaS-leverantör som förser nästan 15 000 nordamerikanska bilhandlare med programvara för försäljning, service, finansiering och försäkring, för en massiv cyberattack utförd av ransomware-gänget BlackSuit som krypterade kritiska filer och system. BlackSuit krävde en lösensumma från CDK Global i utbyte mot de krypterade kunduppgifterna.

Den¹⁹ juni stängde CDK Global ner sina IT-system och påbörjade arbetet med att återhämta sig från attacken. Under detta arbete utsattes CDK Global för en andra attack av BlackSuit.

CDK:s nedstängning lamslog bilhandlarnas kunder, som inte kunde boka försäljnings- och servicetider, checka in och ut servicekunder samt sälja och finansiera bilar med hjälp av CDK:s system. Bilhandlarna tvingades gå över till pappersbaserade system i nästan två veckor för att kunna bedriva någon verksamhet.

Den ²¹ juni betalade CDK Global cirka 25 miljoner dollar i Bitcoin till BlackSuit för att återfå kontrollen över de krypterade filerna och systemen, men det dröjde till den⁴ juli innan alla bilhandlare var igång igen.

Utöver lösensumman på 25 miljoner dollar står CDK Global inför minst åtta stämningar från bilhandlare som kräver skadestånd på grund av attacken.

Vi kanske aldrig får veta exakt hur BlackSuit lyckades tränga in i CDK Globals system, men många cybersäkerhetsföretag har i blogginlägg beskrivit det mest sannolika attackscenariot.

BlackSuits sannolika angreppsscenario

Enligt experter på cybersäkerhet utnyttjar angripare oftast sårbarheter i företagens IT-system på ett stegvis sätt.

1. Lura anställda med hjälp av nätfiske eller social ingenjörskonst att installera skadlig kod på sin dator eller att avslöja användaruppgifter så att angriparna kan få ett första fotfäste i målföretagets system.
2. När angriparna väl har tagit sig in i systemet utökar de sitt fotfäste och rör sig i sidled genom systemet med hjälp av tekniker som credential dumping (stjäla användaruppgifter från ett operativsystem eller en programvara) och utnyttja svaga behörigheter (till exempel där en användare med låg behörighet tillåts ändra servicekonfigurationer) för att få åtkomst till ytterligare system/servrar och komma åt känsliga data eller kritiska system som är värda att betala en lösensumma för.
3. Andra tekniker för lateral rörelse är utnyttjande av sårbarheter i systemet, t.ex. programvara som inte patchats och sårbar infrastruktur, för att få tillgång till värdefulla data.

BlackSuit samordnade sina ansträngningar för att utnyttja CDK:s sårbarheter, med hjälp av en sofistikerad teknisk förståelse för den typ av system som de skulle stöta på under attacken och de alltför vanliga attackmöjligheter som skapas när ett företag inte har ett laserfokus på cybersäkerhet. BlackSuit-angriparnas erfarenhet och expertis gjorde det möjligt för dem att omedelbart känna igen och utnyttja de möjligheter som gömde sig i CDK:s system och infrastruktur.

{{CTAEMBED_IDENTIFIERARE}}

Vad kan Windows ISVs lära sig av CDK Global Breach?

Förutom att det var en ekonomisk katastrof för CDK Global orsakade intrånget nationella störningar i bilförsäljnings- och servicebranschen och är en varningssignal för alla mjukvaruföretag som levererar applikationer till kunder med hjälp av en SaaS-modell. Även om följande skyddsåtgärder för cybersäkerhet är bästa praxis, tål de att upprepas.

Utbildning av anställda: det första steget i de flesta ransomware-attacker är att skicka phishing-mejl till anställda för att lura dem att avslöja sina inloggningsuppgifter. Håll regelbundna utbildningar för att lära medarbetarna om riskerna med nätfiske för att minska risken för att en angripare får ett första fotfäste i dina system på grund av ett misstag från en medarbetare.

Ha en plan: ta fram en incidenthanteringsplan och se över den varje år. Genomför "brandövningar" flera gånger om året för att förbereda personal och ledning i händelse av en incident. Och glöm inte att inkludera en plan för kundkommunikation så att du kan hantera kundernas förväntningar under och efter en attack.

Kontrollera medarbetarnas åtkomst: upprätthåll en stark kontroll över behöriga användares åtkomst till interna system. Begränsa varje anställds åtkomst till det absoluta minimum som de behöver för att utföra sitt jobb. För anställda som behöver åtkomst till interna system ska du se till att de använder starka lösenord och multifaktorautentisering. Granska dessutom regelbundet användarkonton och stäng gamla konton som inte längre används - ju äldre kontot är, desto större är risken att det har ett lösenord som är lätt att gissa sig till och att det inte skyddas av multifaktorautentisering.

Förbättrade säkerhetsprotokoll: regelbunden uppdatering och patchning av mjukvarusystem för att täppa till kända sårbarheter och förhindra exploatering. 

Regelbunden säkerhetskopiering av data: säkerhetskopiera regelbundet kritiska data och system och förvara säkerhetskopiorna säkert på annan plats så att ni kan återhämta er vid en eventuell attack. Din incidenthanteringsplan bör innehålla en process för att snabbt hämta säkerhetskopior så att du inte lämnar dina kunder "döda i vattnet" under lång tid.

Begränsa användningen av Microsoft Remote Desktop Protocol (RDP): Enligt Sophos, ett brittiskt cybersäkerhetsföretag, användes Microsoft® Remote Desktop Protocol (RDP) i 77% av de 2023 attacker som de spårade för att utnyttja komprometterade inloggningsuppgifter för intern åtkomst eller lateral rörelse inom systemet. Sophos anser att RDP fortfarande är "ett av de mest missbrukade verktygen" eftersom det är förinstallerat på de flesta Windows®-operativsystem och före Windows 11 inte var konfigurerat med skydd mot brute force.

För att minska risken rekommenderar Sophos organisationer som använder RDP (vilket inkluderar Windows ISV:er som använder Microsoft RDS för att leverera applikationer till kunder) att kraftigt begränsa användningen. Hur gör man? För det första, se till att kunder som använder Windows 11 inte har inaktiverat Account Lockout Policy; för det andra, se till att kunder som använder Windows 10 och 8.1 aktiverar Account Lockout Policy på sina maskiner. Eller så kan du kräva att dina kunder inaktiverar RDP mellan fjärrskrivbordssessioner.

Eller ... Sluta använda RDP och RDS.

Om du använder RDS och RDP för att leverera din Windows-applikation till kunder och vill eliminera de höga risker som är förknippade med att använda RDP utan att behöva diktera Windows-inställningarna på dina kunders Windows-datorer, sluta använda RDS och RDP.

Sluta använda RDS och RDP? Hur ska jag göra?

Det finns en lösning för att leverera Windows-applikationer till kunder som befinner sig var som helst som eliminerar behovet av att använda RDS och RDP.

GO-Global® tillhandahåller fullständiga ersättningar för Microsofts multisessionfunktionalitet, Remote Desktop Services och Remote Desktop Protocol. GO-Global ersätter RDP med RapidX Protocol (RXP), ett proprietärt protokoll med låg bandbredd. Eftersom RXP är en sluten källkod erbjuder det ytterligare skydd mot angripare jämfört med RDP:s protokoll med öppen källkod.

För ytterligare säkerhet inkluderar GO-Global 2FA, vilket gör brute force och ordbokslösenordssökningar värdelösa. Och GO-Global + SSO ger stöd för OpenID Connect, vilket gör det möjligt för organisationer att använda moderna identitetsleverantörer för att möjliggöra enkel inloggning i GO-Global Windows-värdar.

För att begära en GO-Global-demo, klicka här; för en kostnadsfri 30-dagars GO-Global-testversion, klicka här.