Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Onderzoeksjournalist Brian Krebs meldt dat hij nadere informatie heeft over de crimineel die recentelijk de systemen van een vervoersbedrijf in San Francisco infecteerde met ransomware. De informatie is afkomstig van iemand die de e-mailaccounts van de crimineel binnendrong.

De anonieme persoon die Krebs met de informatie benaderde, claimt dat hij in staat was om de Yandex-e-mail van de crimineel binnen te dringen door het antwoord op zijn beveiligingsvragen te gokken. Deze methode gaf hem eveneens toegang tot een tweede account, dat gekoppeld was aan het eerste. Uit de informatie in de accounts blijkt dat de crimineel op vrijdagavond een bericht stuurde naar de Sfmta, een vervoersbedrijf in San Francisco. Daarin meldde hij dat de systemen van het bedrijf waren versleuteld en dat decryptie mogelijk was voor een prijs van 100 bitcoin, ongeveer 68.500 euro. Krebs meldt dat het bedrijf het losgeld niet heeft betaald en gebruik heeft gemaakt van back-ups.

De inhoud van de e-mails geeft inzicht in de werkwijze van de crimineel. Uit de correspondentie met andere slachtoffers is bijvoorbeeld op te maken dat de crimineel verschillende bitcoin-adressen gebruikte om betalingen te ontvangen. In totaal is in de laatste maanden ongeveer 140.000 dollar in bitcoins overgemaakt. Dat komt neer op ongeveer 132.000 euro. Volgens Krebs is dit nog een lage inschatting, omdat zijn bron nog een derde e-mailadres wist te kraken. Dit adres was gelinkt aan een grote hoeveelheid zoekresultaten die om hulp vroegen bij ransomware-infecties.

Zoals eerder al was aangenomen, bleek dat de aanval op het vervoersbedrijf niet gericht was. In de e-mailaccounts waren inloggegevens voor servers te vinden waarop software draaide voor het vinden van bepaalde lekken in apparaten die aan het internet hangen. De bestanden op de servers gaven bovendien informatie over de mogelijke locatie van de hacker. Zo vond een groot deel van de inlogpogingen plaats vanuit Iran. Het bleek ook dat de hacker zich normaal gesproken richt op bouwbedrijven en fabrikanten in de VS, die hij een bitcoin per geïnfecteerde server vraagt.

Maandag bleek dat de infectie met ransomware ervoor zorgde dat de Sfmta-computersystemen inclusief kaartautomaten niet meer functioneerden. Het vervoersbedrijf nam daarna de beslissing om reizigers gratis toegang te geven tot de metro.

Moderatie-faq Wijzig weergave

Reacties (46)

Dat is best dom zeg. Dan ben je hacker, en dan heb je zo'n slappe tweetrapsauthenticatie, door een vraag te beantwoorden. Iemand die jou goed kent, kan daar zo achter komen. Zo niet, dan kan het altijd nog met social engineering. Stel dan gewoon fatsoenlijke tweetrapsauthenticatie in. :) Of misschien was dat niet mogelijk.. ligt er natuurlijk aan welke e-mail dienst je gebruikt.

Hoe weten ze trouwens dat hij uit Iran komt? Je kunt met een VPS natuurlijk gewoon doen alsof je uit Iran komt. Beveiligingsonderzoekers etc weten natuurlijk wel wat manieren om te achterhalen wat zijn daadwerkelijke locatie is..
Hoe weten ze trouwens dat hij uit Iran komt?
Krebs schrijft ook niet dat hij dat weet. Hij schrijft enkel dat de meeste logins op de server die op vulnerabilities scant, afkomstig zijn van Iran. Want verder schrijft hij:

Another hosting account tied to this attacker says his contact number is +78234512271, which maps back to a mobile phone provider based in Russia.

Het lijkt me sowieso logischer dat hij uit Rusland of uit een ex-Sovjetland komt.

Maar om het verhaal kort te maken. Ze hebben niet zijn identiteit te weten achterhalen. Dat is toch iets wat Kreb meestal wel in slaagt. De autoriteiten kunnen waarschijnlijk wel iets meer, maar aangezien er verschillende landen (USA, Rusland, Iran) betrokken zijn, lijkt me dat een onmogelijke opdracht. Dus op zich heeft die hacker zich nog goed beschermd. Een veiligheidsmechanisme is wel gebroken (de e-mail) maar dan zijn er nog andere obstakels.
Het zijn niet alleen de IP's. Het is ook de usernames van de hacker die vaak in de regio van iran wordt gebruikt en de korte notities die naast hack targets worden gemaakt zijn in getranslitereerd Farsi/Persisch.

Grote kans dus dat de hacker uit de regio van Iran komt.
Wat ik ook niet begrijp is waarom de criminelen de encryptie direct blootgeven. Waarom niet eerst een maand lang encrypten zodat ook alle backups om zeep worden geholpen en pas dan naar buiten treden? Een maand dataverlies is namelijk catastrofaal.
Het slachtoffer merkt toch direct dat er iets mis is wanneer de bestanden niet meer geopend kunnen worden omdat ze geŽncrypteerd zijn?
Bitlocker decrypt ook on the fly. Zolang er on the fly decryptie plaats vindt, merkt de gebruiker niets. Behalve dat bij backuptests zal blijken dat alles encrypted is.

[Reactie gewijzigd door Trommelrem op 29 november 2016 10:49]

De backupagent zal zijn data ook ge-decrypt aangeleverd krijgen. Dus de backup is niet ge-encrypt.
Je incremental backups worden natuurlijk ook wel wat groter dan normaal, aangezien heel veel files encrypted (en dus gewijzigd) zullen zijn sinds de voorgaande backup.

Als je incremental backups normaal ongeveer 10GB zijn en je heb ineens een job van 800GB, dan moet er toch echt ergens een belletje gaan rinkelen.
Tenzij je eens per week een full backup laat maken om te integrity hoog te houden. Moet dan net toeval zijn natuurlijk dat het op die dag ook gebeurd.
Dat is waar. Maar zeker voor grote datasets zie je steeds minder vaak traditionele full backups. De full backup wordt dan kunstmatig geassembleerd aan de hand van de vorige kunstmatige full en de opvolgende incrementals. Dat gebeurt dan op de back-end en vreet dus geen resources op de front-end.
Ik versleutel elke dag 2 procent van je bestanden, vooral ook alle bestanden waar jij die dag mee aan het werk geweest bent. Na twee maanden krijg je de losgeldbrief.

Het enige wat helpt is een programma dat direct de gegevens vanuit het werkgeheugen gebruikt om je reservekopieŽn van te maken. Dan moet dat programma wel bestand zijn tegen manipulatie door het gijzelprogramma. Zou dat bestaan?
Zoals Trommelrem ook zegt. Als een cryptovirus een systeem infecteert en alle data encrypt, blijft de encrypted data beschikbaar voor de gebruiker, totdat het encryptie proces alle bestanden heeft versleuteld. Dan pas worden de sleutels verwijderd en heb je geen toegang meer tot de data. Wat de crimineel dus kon doen is alle data encypten, vervolgens de encryptie/decryptie engine laten functioneren (zodat de gebruiker niets door heeft) en pas 30 dagen later het proces stoppen en de sleutels verwijderen.
Overigens hangt het wel vanaf wat voor soort backup gemaakt wordt. Een file-based backup zal niet encrypted zijn, omdat de bestanden toegankelijk zijn voor het backup proces. Een volume-based backup daarentegen is wel encrypted. In dat geval had het wel opgemerkt kunnen worden als men incremental backups maakt, want die set zou dan een stuk groter zijn.

[Reactie gewijzigd door segil op 29 november 2016 11:19]

Wat moet ik mij precies voorstellen bij een encryptie/decryptie engine?
Een proces dat bv. op een werkstation van een gebruiker draait?
Het lijkt mij sterk dat een proces voor 30 dagen onopgemerkt op een systeem blijft draaien.
Ja, zoiets. Een Windows service bijvoorbeeld. Trommelrem vroeg zich af waarom een crimineel niet 30 dagen zou wachten. Dit is technisch best mogelijk. Inderdaad heb je de kans dat het opgemerkt wordt.
Een cryptovirus draait sowieso enige tijd onopgemerkt en encrypt/decrypt on-the-fly, totdat alle nuttige data (bestanden) zijn encrypted. Anders bestaat de kans dat de gebruiker al eerder opmerkt dat iets niet in orde is, en het proces onderbreekt. Dus je kunt prima 30 dagen wachten.
Je kan alles versleutel maar nog wel toegang open houden voor het systeem en pas op later tijdstip alles dicht gooit. Als je bijvoorbeeld met Veracrypt je HDD versleutel kan je ook gewoon je systeem blijven gebruiken, zelfs uitzetten is geen probleem.
als de boel geencryped is kan de data meteen niet meer gebruikt worden. Dus het bedrijf ligt stil. Denk je echt dat iemand een maand lang de boel door laat draaien terwijl hij/zijner zelf niets mee kan? Je zet de apperatuur toch meteen uit en zet je backups veilig.
Nee, normaal gesproken blijft de data toegankelijk zolang niet alle data is encrypted. Een cryptovirus decrypt de reeds versleutelde data on-the-fly, juist om detectie te voorkomen. Pas wanneer alle interessante data is encrypted, worden de encryptie sleutels verwijderd en kan de gebruiker niet meer bij zijn/haar data. Dit proces van wachten kan je best oprekken tot 30 dagen en al die tijd zijn file access gewoon mogelijk blijven. Kans op detectie door a/v software of een oplettende sysadmin wordt wel groter natuurlijk.

Maar het is wel slim om te wachten.
Heb zelf al een aantal ransomeware aanvallen meegemaakt, geen van allen waren 'silent'. Zodra het zich begon te verspreiden kon je direct merken dat de bestanden op slot zaten.
Vraag me dan ook af hoe zo'n 'silent' ransomeware dan omgaat met een besmet werkstation dat wordt afgezonderd van het netwerk of uitgezet zonder dat de 30 dagen verstreken zijn.

[Reactie gewijzigd door LuukLG op 29 november 2016 19:43]

Ik zou me zo kunnen voorstellen dat zo'n bedrijf het zelf wel merkt als data plotseling niet meer toegankelijk is... Dan kan je natuurlijk een maand later wel een mailtje sturen met je bitcoinadres maar dan hebben ze het probleem waarschijnlijk zelf al wel gefixed...
Ik acht de kans niet zo groot in dat een hacker zwakke beveiligingsvragen heeft. Maar als dat wel het geval is, toont dit weer aan dat de mens de zwakste schakel is.
Ik zie niet helemaal in waarom niet. Het is nergens gezegd dat deze 'hacker' zelf de malware heeft geschreven. Het zou best een optie zijn dat deze de malware gewoon gekocht heeft en alleen maar gebruikt. Dit kan bijna iedereen die een toetsenbord kan gebruiken tegenwoordig. Dat maakt het ook zo gevaarlijk tegenwoordig.
je kan voor een paar stuivers die malware kopen op het dark web.
Soms is het ook gewoon beschikbaar.
mirai staat/stond ergens op github.
Dat toont gewoon overmoed.

Wel interessant verder! Dat geeft maar weer aan dat een sleepnet methode toch werkt. Als je deze methode een paar keer volhoud hoef je niet meer te werken... Athans, afhankelijk of je je bitcoins nog redelijkerwijs kan laten uitbetalen.
door het antwoord op zijn beveiligingsvragen te gokken.

verbazingwekkend dat je als hacker zwakheden van anderen gebruikt voor je randsomware maar dan zelf zo slordig bent met je e-mail accounts...
Ja ik snap t ook niet. Waarschijnlijk was t gewoon een scriptkiddie.

Beveiligingsvragen zijn sowieso al dom.
Ik genereer meestal de antwoorden ook met een password generator. En die sla ik er dan bij op met een notitie.
Precies. Die zogenaamde 'beveiligingsvragen' leveren alleen maar nůg een manier op om je wachtwoord te hacken. Vond het altijd al nutteloos. Dit artikel levert het bewijs dat beveiligingsvragen de boel alleen maar onveiliger maken.
Het probleem met beveiligingsvragen is vooral dat de antwoorden vaak voor de hand liggen of makkelijk na te zoeken zijn via bijvoorbeeld social media. Zaken als basisschool van vroeger -> facebook / schoolbank etc. Namen van ouders of kinderliefdes / de hond -> facebook etc. Werkt dat niet dan is soms zelfs een whatsapp bericht of telefoontje naar de betreffende persoon voldoende om het antwoord te krijgen als je een beetje creatief bent. Een vraag naar vader of moeten of een vroegere woonplaats valt immers veel minder op dan een vraag om een wachtwoord.

Hiermee introduceer je met beveiligingsvragen eigenlijk een grotere kwetsbaarheid in sommige gevallen dan zonder beveiligingsvragen!
Die beveiligingsvragen creŽren vaak onveiligheid, vooral als ze in de plaats komen van andere beveiligingen. Daarom gebruik ik ze niet.
Wat dit eigenlijk aangeeft is dat de hacker per ongeluk de verkeerde systemen heeft plat gelegd. Als er een willekeurig aantal servers van een gewoon bedrijf plat wordt gelegd dan doen dit of betalen of de servers indien mogelijk opnieuw inrichten. Er volgt een standaard onderzoekje met 'sorry wij kunnen niets voor jullie betekenen' en het is over.

Omdat deze hacker niet genoeg onderzoek heeft gedaan naar de servers en het doel van deze servers (en dus wss op automatische piloot aan het werken was) is er een systeem kritiek onderdeel plat gegaan welke de samenleving direct hindert. Het gevolg hiervan is dat alle spotlights zijn gericht op de hack en er sneller duidelijk is wie er achter zit en hoe deze kan worden aangepakt.

Ik denk dat het hele WD2 en hack locatie puur toeval was en niet opzet of zo maar dat terzijde.
Een scriptkiddy is technisch gezien ook gewoon aan het hacken en op dat moment dus ook een hacker. Dat bepaalde mensen een scriptkiddy dat predikaat niet toe willen dichten doet daar niets aan af. Als ik een deur open maak met een gestolen sleutel in plaats van zelf de deur te kraken met een lockpick blijf ik alsnog een inbreker.
Technisch gezien een insluiper.
Waarom wordt dit zo vaak een hacker genoemd? Inloggen op een server, software laten draaien en paar mailtjes sturen, old school scriptkiddy op z'n best.
Omdat een hacker, van andermans systemen/eigendommen gebruik maakt/binnendringt, zonder dat hij daar bevoegdheden voor heeft, of dat mag doen.

Bron: https://nl.wikipedia.org/wiki/Hacker
Een hacker, ook wel kraker of cracker genoemd, is een persoon die zonder toestemming een computernetwerk binnendringt door de beveiliging te kraken.
Als dat volgens jou al niet eens een hacker is, wat is jouw synoniem dan voor "hacker"?

[Reactie gewijzigd door AnonymousWP op 29 november 2016 09:52]

Tja, dezelfde pagina, iets lager:
In bepaalde technisch georiŽnteerde subculturen is een hacker een persoon die geniet van de intellectuele uitdaging om op een creatieve en onorthodoxe manier aan technische beperkingen te ontsnappen; bijvoorbeeld een goede programmeur. Een hacker hoeft niet per se iets met computers te doen. In deze subculturen wordt het gebruik van de woorden hacker en hacken door en voor computerinbrekers als misbruik van de term gezien; zij worden crackers, krakers of script kiddies genoemd. Script kiddies worden veelal gezien als nephackers, omdat zij de code van internet af kopiŽren.
Dat ligt er maar net aan wat je zelf vindt. Dat stukje kan ook weer door iemand anders aangepast zijn, die hetzelfde denkt als SinergyX.
Omdat er verschillende definities/interpretaties zijn. Kijk je op de Engelse wikipedia, dan lees ik dat al behooorlijk anders: https://en.wikipedia.org/wiki/Hacker
In computing, a hacker is any highly skilled computer expert capable of breaking into computer systems and networks using bugs and exploits. Depending on the field of computing it has slightly different meanings, and in some contexts has controversial moral and ethical connotations. In its original sense, the term refers to a person in any one of the communities and hacker subcultures
Persoonlijk ben ik de Engelse wikipedia meer genegen (waarmee ik niet wil zeggen dat dat nu dť waarheid is), en geef ik SinergyX gelijk dat dit eerder een scriptkiddie lijkt.

[Reactie gewijzigd door nokie op 29 november 2016 10:14]

Dat ligt er maar net aan wat je zelf vindt. Dat stukje waar jij naar refereert kan ook weer door iemand anders aangepast zijn, die hetzelfde denkt als SinergyX. Het is dus maar net wat je vindt..
Definities neem je NOOIT over van wikipedia. Wiki kan door eindgebruikers aangepast worden en kunnen dus politiek gekleurd zijn. Bij een term als hacken dat officieel (het inbreken in computers betekent, bron: VanDale) maar wat door sommige groeperingen ook als een soort geuzennaam gebruikt wordt is dus wikipedia tekst niet als accurate definitie te gebruiken..
ELKE bron kan politiek gekleurd zijn. De meeste zijn dat ook en zelfs als men bewust probeert inkleuring te vermijden lukt dat niet altijd. Niet eens kwade wil, het is gewoon verrekte moeilijk om dat te doen.

En de VanDale definitie van 'hacken' is een prachtig voorbeeld hiervan. Het negeert de herkomst van het woord hacken volledig en geeft alleen een simplistische definitie met een negatieve ondertoon. En ik ben blijkbaar niet de eerste die dat opgevallen is.
Mij was dat ook opgevallen en ik vind dat dit soort dingen juist de echte definitie van bijvoorbeeld hacken zwart maakt, overigens is (de Engelse) Wikipedia ongeveer net zo betrouwbaar als de Encyclopedia Brittanica (onderzoek uit 2005!). Van Dale is inderdaad minder betrouwbaar hiermee, omdat de woordenboeken wel vaker eigenwijs zijn, kijk maar naar de uitspraak van .gif, wat volgens de uitvinder jiff is, maar volgens de Oxford Dictionary gif (gu-iff).

[Reactie gewijzigd door ce_dev op 29 november 2016 11:44]

Sinds de jaren 70 van vorige eeuw toen hacken bekend raakte door het hacken van telefooncentrales heeft in de het gewone taal gebruik de betekenis van inbreken in electronische technische apparaten (tegenwoordig zijn dat computers). Waarom men in de laatste jaren daar toch zo graag een andere betekenis aan wil hangen is me een raadsel.
Van Dale loopt altijd achter met nieuwe woorden, bovendien falen algemene woordenboeken met specifieke definities van specialismen.
Maar hacken is een woord dat al sinds de jaren 70 van de vorige eeuw een betekenis heeft. En het staat gewoon in de van Dale.
Zou best kunnen, maar een bv DDOS aanval als hacken beschouwen lijkt me niet juist, je dringt namelijk niet een computer binnen. En toch wordt op het journaal dit vaak als hacken gebracht.
omdat de niet tweaker niet weet wat een scriptkiddie is.
Maar een hacker is al een meer bekende term.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True