Strategieën voor het Beschermen van OneDrive tegen Ransomware

Veel gebruikers zien OneDrive als cloud back-upopslag. Ze denken vaak dat bestanden die in OneDrive zijn opgeslagen, onkwetsbaar zijn voor verlies en corruptie. Met andere woorden, sommigen geloven dat bestanden die zijn opgeslagen in een openbare cloud niet kunnen worden beschadigd door ransomware, in tegenstelling tot bestanden die zijn opgeslagen op schijfstations van lokale computers en servers on-premises. Dat is niet helemaal waar! Bestanden die zijn opgeslagen in OneDrive kunnen worden aangevallen door ransomware, versleuteld en verloren gaan als gevolg.

De populariteit van ransomware-aanvallen groeit elk jaar. Als je echter de aanbevelingen opvolgt en beveiligingsbeleid naleeft, kun je je gegevens veilig houden, zelfs wanneer je ze opslaat in OneDrive. In deze blogpost worden strategieën behandeld om gegevens in OneDrive te beschermen en wordt uitgelegd hoe je je kunt beschermen tegen ransomware-aanvallen.

Over OneDrive en Ransomware

Kan ransomware OneDrive infecteren? Ja, bestanden die zijn opgeslagen op OneDrive kunnen worden geïnfecteerd en versleuteld met ransomware in de volgende gevallen:

• OneDrive is gekoppeld aan een lokale map op een lokale computer en bestanden die zijn opgeslagen in OneDrive worden gesynchroniseerd met de bijbehorende lokale map. Als een lokale computer besmet is met ransomware, versleutelt ransomware alle toegankelijke bestanden, inclusief bestanden die zijn opgeslagen in de map gesynchroniseerd met OneDrive. Als gevolg hiervan zie je, als je OneDrive opent in een webinterface, versleutelde (met andere woorden, beschadigde) bestanden. Ransomware kan beginnen met het versleutelen van OneDrive, waarna de ransomware andere stations en alle toegankelijke opslaglocaties versleutelt.
• Als een aanvaller je referenties krijgt, kunnen bestanden die toegankelijk zijn vanuit je gebruikersaccount worden versleuteld met ransomware.
• Het klikken op phishing links veroorzaakt het downloaden en uitvoeren van virussen, malware en ransomware op de computer van het slachtoffer. Ransomware beschadigt bestanden waartoe het toegang krijgt.
• Kwaadaardige add-ons en extensies die u vragen om toestemming te geven om OneDrive te openen, zijn gevaarlijk en kunnen toegangspunten zijn voor een ransomware-infectie. Lees de beschrijving van add-ons en extensies aandachtig door en controleer de leverancier voordat u ze installeert.

Hoe veilig is OneDrive? Is OneDrive beveiligd? Hoe veilig is OneDrive? Deze vragen zijn populair bij nieuwe Microsoft 365-gebruikers. OneDrive is veilig en voldoende beveiligd. U moet echter weten hoe u uzelf kunt beschermen tegen ransomware-aanvallen, beveiligingsaanbevelingen opvolgen en weten wat u moet doen als u ziet dat OneDrive is gehackt. Microsoft heeft een nieuwe ingebouwde functie voor ransomwaredetectie gepresenteerd, die verdachte activiteiten zoals massale verwijderingen of versleuteling van bestanden die zijn opgeslagen in OneDrive detecteert. De gebruiker wordt op de hoogte gebracht met een waarschuwingsbericht op het apparaat van de gebruiker en via e-mail. Er wordt ook een lijst met aanbevelingen weergegeven. Maar wat u wilt vermijden, is dat OneDrive-ransomware uw bestanden beschadigt. Lees hoe u mappen kunt beschermen tegen ransomware in het volgende gedeelte van dit blogbericht.

Hoe OneDrive te beschermen tegen een ransomware-aanval

In dit gedeelte leg ik uit hoe u zich kunt beschermen tegen ransomware en definieer ik strategieën voor ransomware-bescherming voor OneDrive. Door deze aanbevelingen op te volgen, vermindert u het risico om geïnfecteerd te raken met ransomware en gegevens te verliezen.

Bescherm referenties

Bescherm de referenties van het beheerdersaccount van Microsoft 365. Door de referenties van een beheerder te stelen, kan een aanvaller alle gegevens van een organisatie die zijn opgeslagen in de OneDrive-opslag stelen en beschadigen (inclusief alle gegevens van alle gebruikers in de organisatie).

Bescherm de referenties van de gebruikers. Het stelen van de accounts van gebruikers stelt aanvallers in staat toegang te krijgen tot hun persoonlijke gegevens en gedeelde gegevens, ransomware te verspreiden en bestanden te infecteren. Wanneer bestanden die zijn opgeslagen in gedeelde OneDrive-opslag zijn geïnfecteerd, kunnen andere gebruikers die toegang hebben tot de gedeelde opslag ook geïnfecteerd raken.

Activeer tweefactorauthenticatie. Microsoft 365 ondersteunt multi-factor authenticatie. Deze extra beveiligingsstap kan gebruikers helpen hun accounts te beschermen tegen compromittering en het stelen van hun referenties. Het wordt aanbevolen om multi-factor authenticatie of tweestapsverificatie te gebruiken om Microsoft 365-accounts met beheerdersrechten te beschermen. Hier is een blogpost over tweefactorauthenticatie voor Microsoft 365.

Bescherm elke computer

Bescherm de computers in uw organisatie. Installeer en configureer antivirus- en antimalwaresoftware. Door deze aanbeveling te volgen, wordt het risico verminderd dat ransomware de computers van gebruikers infecteert en de bestanden die zijn opgeslagen in gesynchroniseerde OneDrive-mappen op deze computers (OneDrive-opslag toegewezen aan lokale mappen). Vergeet niet de servers en virtuele machines.

Blokkeer de uitvoering van bestanden die zijn opgeslagen in %appdata%, %localappdata%. Deze mappen worden standaard door toepassingen in Windows gebruikt om gegevens op te slaan. Tijdelijke bestanden en gedownloade gegevens kunnen daar worden gevonden. Wanneer ransomware-bestanden worden gedownload, kunnen ze worden gemaskeerd en verborgen in deze mappen, en vervolgens kunnen ze worden uitgevoerd.

Blokkeer macro’s in Microsoft Office-documenten. Macro’s worden zelden gebruikt voor zakelijke taken, maar ze vormen een bron van ernstige problemen. Een veelgebruikte infectiemethode is het verspreiden van documenten met kwaadaardige macro’s, die een ransomware-aanval lanceren om een computer te infecteren en zich vervolgens over een netwerk te verspreiden om andere computers te infecteren.

Werk software bij en installeer beveiligingspatches om bekende softwarekwetsbaarheden te verhelpen die door ransomware kunnen worden gebruikt om een systeem binnen te dringen en te infecteren. U kunt automatische software-updates inschakelen voor Windows en toepassingen. Als uw beveiligingsconfiguratie niet perfect is, kunnen aanvallers ongepatchte softwarekwetsbaarheden gebruiken om een ransomware-aanval te starten. Daarom is het installeren van patches belangrijk.

Gebruikers opleiden

Opleid gebruikers om phishingaanvallen te herkennen. Aanvallers gaan er vaak van uit dat gebruikers niet ervaren zijn en dat ze alle bestanden die aan e-mails zijn gekoppeld downloaden, bestanden openen en op alle links klikken. Onze taak is om gebruikers te informeren over bedreigingen en hen te leren hoe ze verdachte inhoud kunnen identificeren.

De meest populaire ransomware-aanvalvector is het verzenden van phishing-e-mails naar gebruikers. Een kwaadaardige link is ontworpen om eruit te zien als een legitieme link, maar leidt de gebruiker om ransomware te downloaden en te installeren. Beweeg de muis over de link en controleer de spelling in het URL-adres. Als zelfs één karakter verkeerd is, klik dan niet op de link. Het e-mailadres van een afzender kan, net als links, worden vervalst. Als u de afzender niet kent en geen berichten van deze afzender wilt ontvangen, is het beter om de e-mail van deze afzender over te slaan of te weigeren. Download geen bestanden die aan e-mailberichten zijn gekoppeld. Denk aan de dreiging van het openen van Word/Excel-documenten met macro’s.

Schadelijke links in e-mailberichten en nepwebpagina’s zijn gevaarlijk. Aanvallers kunnen nep-pagina’s maken en links in e-mailberichten naar deze nep-pagina’s sturen. Een nep-pagina lijkt op de originele pagina, maar het klikken op elementen op de pagina of het invoeren van referenties kan leiden tot het verliezen van een account of infectie met ransomware.

Zelfs als het websiteadres echt en legitiem is, moet u zich ervan bewust zijn dat aanvallers websites kunnen hacken en kwaadaardige injecties naar die site kunnen maken. Na het bezoeken van zo’n website kan een gebruiker geïnfecteerd raken met ransomware. Goede antivirussoftware die up-to-date is, kan infectie in dit geval voorkomen.

Een aanvaller kan sociale technieken voor engineering en labels zoals “urgent”, “belangrijk”, enz. gebruiken in e-mailberichten om een slachtoffer te haasten en hun aandacht af te leiden van het controleren van de inhoud. Wees voorzichtig wanneer u berichten ontvangt van Skype en andere services. Houd er rekening mee dat een aanvaller een gebruikersaccount kan hacken en berichten vanuit dat account kan verzenden. Een gebruikersaccount is in dit geval echt, maar een link of bestand dat vanuit het gehackte account is verzonden, kan een bedreiging vormen.

Wanneer gebruikers getraind zijn om verdachte inhoud te herkennen, zijn de risico’s van een ransomware-aanval via phishing-e-mails aanzienlijk lager. Het is altijd beter om ransomware-aanvallen op OneDrive te voorkomen dan beschadigde bestanden te herstellen.

Gebruik e-mailbeveiligingssystemen

Gebruik Exchange Online Protection. Deze native Microsoft 365-tool stelt u in staat om aanvullende beschermingsfilters te configureren, zoals een veilige koppelingenfilter en een veilige bijlagenfilter.

Configureer anti-phishingbeleid. Exchange Online Protection kan vertrouwde afzenders, verdachte afzenders, bijgevoegde bestanden die een bedreiging vormen, en vervalste en kwaadaardige koppelingen naar geïnfecteerde sites bepalen. Vervalste afzenders en ongewenste e-mails kunnen worden geblokkeerd in de instellingen.

Blokkeer actieve inhoud in bijgevoegde bestanden zoals macro’s in Word/Excel-documenten, VBScript en JavaScript. Lees de blogpost over Exchange Online Protection voor meer informatie over deze functie.

Gebruik cloudbeveiligingssystemen

Activeer Microsoft 365 Defender in uw Microsoft 365-omgeving. Microsoft 365 Defender is een nieuwe naam voor Office 365 Advanced Threat Protection (Microsoft Defender voor Office 365). Deze functie helpt u het risico op ransomware-infectie voor Microsoft 365-gebruikers in uw organisatie te verminderen. De belangrijkste kenmerken van Microsoft 365 Defender zijn intelligente detectie van bedreigingen, geautomatiseerd onderzoek en geïntegreerde bescherming tegen geavanceerde ransomware-aanvallen. Microsoft 365 Defender kan worden geconfigureerd in het Microsoft 365-beveiligingscentrum. Wanneer gebruikers zijn geïnformeerd en intelligente software is ingeschakeld, is het beschermingsniveau veel hoger.

Gebruik versiebeheer

Activeer versiebeheer (versiegeschiedenis) in de OneDrive-instellingen. Als ransomware objecten versleutelt die zijn opgeslagen in OneDrive, wordt alleen de laatste versie van bestanden versleuteld. U kunt een vorige versie van het bestand selecteren en de benodigde bestanden herstellen. Vergeet niet dat voordat u bestanden gaat herstellen, u ransomware van geïnfecteerde computers moet verwijderen om te voorkomen dat de bestanden opnieuw worden versleuteld. Merk op dat het herstellen van duizenden bestanden door eerdere bestandsversies te herstellen tijdrovend is, en dat het hebben van een goede back-up van OneDrive u tijd en middelen zal besparen in dit geval. De OneDrive-versiegeschiedenis stelt u in staat bestanden die zijn opgeslagen in OneDrive naar elke versie te herstellen die binnen de laatste 30 dagen is gewijzigd. Controleer de retentie-instellingen voor verwijderde (bestanden die zijn opgeslagen in de prullenbak) voor OneDrive.

Configureer retentiebeleid. Microsoft 365 retentiebeleid definieert hoelang gegevens worden bewaard nadat ze zijn verwijderd voordat deze gegevens permanent worden verwijderd. Let op dat het opslaan van bewaarde gegevens in de cloud opslagruimte gebruikt, wat kan leiden tot extra kosten.

Back-up van gegevens opgeslagen in OneDrive

Back-up van gegevens opgeslagen in OneDrive. Sommige van de bovenstaande opties zijn mogelijk niet beschikbaar voor alle Microsoft 365-abonnementsplannen en zijn waarschijnlijk alleen beschikbaar voor de beste abonnementsplannen. Microsoft staat u toe ondersteuning aan te vragen en alle gegevens in de Office 365 cloudopslag binnen twee weken na een gegevensverliesincident te herstellen, maar er is geen optie voor granulaire herstel en u kunt de benodigde objecten niet selecteren om te herstellen.

Back-ups opslaan in de cloud of on-premises op een veilige plaats. Een back-uprepository moet goed beschermd zijn en niet gedeeld worden met andere gebruikers (het moet alleen toegankelijk zijn voor back-upsoftware en beheerders).

Back-up van gegevens met NAKIVO Backup & Replicatie

Gebruik NAKIVO Backup & Replication om OneDrive te beschermen. NAKIVO Backup & Replication ondersteunt back-up van Microsoft 365-gegevens, inclusief gegevens die zich bevinden in OneDrive, Exchange Online en SharePoint Online. U kunt OneDrive-gegevens back-uppen en tot 4.000 herstelpunten maken, en later de benodigde versies van bestanden herstellen door deze herstelpunten te gebruiken. Gedetailleerd herstel stelt u in staat aangepaste bestanden en mappen van gebruikers naar de oorspronkelijke locatie of een aangepaste locatie te herstellen. Eén exemplaar van NAKIVO Backup & Replication kan duizenden Office 365-gebruikersaccounts beschermen. OneDrive-gegevens worden geback-upt naar on-premises back-uprepositories die zijn opgeslagen op lokale servers. Configuratie wordt uitgevoerd in de intuïtieve webinterface.

Lees meer blogberichten over ransomware-herstel, ransomware aanvallen op NAS-apparaten om meer te weten te komen over het werkingsprincipe en bescherming tegen ransomware.

Hoe OneDrive-bestanden herstellen

Als uw bestanden zijn versleuteld door ransomware, betaal dan nooit losgeld. Het betalen van losgeld moedigt aanvallers aan om meer aanvallen uit te voeren om meer geld te krijgen. Als u het losgeld betaalt, heeft u geen garanties dat u uw bestanden volledig of gedeeltelijk zult herstellen. Als u zich realiseert dat uw OneDrive-bestanden zijn versleuteld na een ransomware-aanval, moet u gegevens herstellen met behulp van native Microsoft-tools of vanuit een back-up met behulp van software voor gegevensbescherming van derden.

Ten eerste, verwijder ransomware die is geïnstalleerd op alle computers in uw organisatie. Als native Microsoft 365 functies zijn ingeschakeld voor gebruikersaccounts in uw organisatie, herstel OneDrive-bestanden van eerdere versies of uit de prullenbak (inclusief de tweede fase van de prullenbak). Als u een back-up heeft, herstel dan gegevens vanuit een back-up.

Lees meer over back-up en herstel van OneDrive met NAKIVO Backup & Replication in deze blogpost.

Conclusie

Deze blogpost behandelde strategieën voor het beschermen van OneDrive tegen ransomware-aanvallen en gaf enkele aanbevelingen op hoog niveau die u kunnen helpen bij het voorkomen van ransomware-aanvallen op OneDrive. U moet uw gegevens technisch beschermen – configureer beveiligingsinstellingen voor alle gebruikte software op alle machines, en configureer uw gegevensback-up. Daarnaast moet u gebruikers voorlichten over hoe ze mogelijke pogingen tot het starten van ransomware-aanvallen kunnen herkennen, omdat aanvallers vaak een van de weinige methoden gebruiken om OneDrive-ransomware-aanvallen via gewone gebruikers te starten.

Back-up is de meest betrouwbare methode om gegevens te herstellen als ransomware uw bestanden beschadigt. Gebruik NAKIVO Backup & Replication om uw gegevens opgeslagen in OneDrive te beschermen.