Het Centrum voor Cybersecurity België (CCB) heeft uit betrouwbare bron informatie ontvangen die wijst op een niet-geïdentificeerde kwetsbaarheid in DrayTek-routers, waardoor ransomware-aanvallers toegang zouden krijgen tot duizenden bedrijfsnetwerken wereldwijd.

Een onderzoek van het Centrum voor Cybersecurity België (CCB) wijst uit dat DrayTek Vigor2960-routers zeker zijn getroffen door de niet-geïdentificeerde kwetsbaarheid. Het is niet uitgesloten dat de kwetsbaarheid ook nog andere DrayTek toestellen treft.

Het CCB heeft de belanghebbenden een specifieke beveiligingswaarschuwing gestuurd met de beschrijving, mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid en de dreiging.

Te ondernemen acties: 

• Maak altijd een back-up van je configuratie vooraleer je een upgrade doet.
• Upgrade je apparaten onmiddellijk en controleer ze op eventuele nieuwe patches voor de DrayTek-apparaten.
• Controleer na de upgrade of de web interface nu de nieuwe firmware-versie toont.
• Controleer of er geen bijkomende profielen voor toegang op afstand (VPN-login, telewerker of LAN to LAN) of admin users (voor router admin) zijn toegevoegd.
• Controleer of er ACL’s (Access Control Lists) gewijzigd zijn.
• Schakel de toegang op afstand op je router uit als je hem niet nodig hebt.
• Schakel de toegang op afstand (admin) en SSL VPN uit. De ACL is niet van toepassing op SSL VPN-verbindingen (Poort 443), dus je moet ook SSL VPN tijdelijk uitschakelen tot je de firmware hebt geüpdatet.
• Schakel syslog-logging in om te controleren op abnormale gebeurtenissen.

Het CCB heeft DrayTek gecontacteerd en geïnformeerd maar kreeg geen antwoord.

Ransomware is aan een opmars bezig

Ransomware is een virus dat wordt geïnstalleerd op een toestel zonder dat de eigenaar daarvoor toestemming gaf en vraagt losgeld in ruil voor het deblokkeren van apparaten en bestanden.

Iedereen kan het slachtoffer worden van ransomware: van particulieren tot zelfstandige beroepsbeoefenaars, ziekenhuizen en zelfs grote bedrijven en de overheid.

Je kan jezelf beschermen tegen ransomware

Voor alle internetgebruikers:

• Het is belangrijk om je apparaten te beveiligen met antivirussoftware, maar ook specifieke bescherming tegen ransomware is een must geworden.
• Ook is het nog altijd heel belangrijk om valse berichten tijdig te identificeren en regelmatig updates te maken van al je systemen.
• Maak tot slot ook regelmatig back-ups voor het geval je met een aanval te maken krijgt.

Voor ondernemingen en organisaties:

• De aanbevelingen voor alle internetgebruikers zijn uiteraard ook belangrijk voor ondernemingen en organisaties, maar we raden hun aan om een stap verder te gaan.
• Voor kmo's en zelfstandigen kan Endpoint-beschermingssoftware voldoende zijn. Maar voor grote bedrijven is een gespecialiseerde professionele anti-ransomwareoplossing aan te bevelen.
• Zorg voor een bedrijfscontinuïteits- en herstelplan met een getest back-upsysteem.
• Zorg dat je organisatie voorbereid is op een cyberaanval. Bekijk onze webinar.
• Laat je IT-beveiligingsarchitectuur & -beleid beoordelen door een specialist (inclusief beleid inzake patching, gebruikerstraining, netwerksegmentatie etc.).
• Maak werk van een cybersecuritystrategie. Lees hier hoe je dat kan doen.

Privégebruikers vinden alle nodige tips om zich te beschermen tegen ransomware op www.safeonweb.be.

Organisaties en ondernemingen kunnen terecht op www.CERT.be. In september 2019 hebben we de Whitepaper 'Ransomware: bescherming en preventie' gepubliceerd. Deze Whitepaper werd geüpdatet in 2020.