Gestolen e-mails van ov-hacker San Francisco maken werkwijze inzichtelijk

Onderzoeksjournalist Brian Krebs meldt dat hij nadere informatie heeft over de crimineel die recentelijk de systemen van een vervoersbedrijf in San Francisco infecteerde met ransomware. De informatie is afkomstig van iemand die de e-mailaccounts van de crimineel binnendrong.

De anonieme persoon die Krebs met de informatie benaderde, claimt dat hij in staat was om de Yandex-e-mail van de crimineel binnen te dringen door het antwoord op zijn beveiligingsvragen te gokken. Deze methode gaf hem eveneens toegang tot een tweede account, dat gekoppeld was aan het eerste. Uit de informatie in de accounts blijkt dat de crimineel op vrijdagavond een bericht stuurde naar de Sfmta, een vervoersbedrijf in San Francisco. Daarin meldde hij dat de systemen van het bedrijf waren versleuteld en dat decryptie mogelijk was voor een prijs van 100 bitcoin, ongeveer 68.500 euro. Krebs meldt dat het bedrijf het losgeld niet heeft betaald en gebruik heeft gemaakt van back-ups.

De inhoud van de e-mails geeft inzicht in de werkwijze van de crimineel. Uit de correspondentie met andere slachtoffers is bijvoorbeeld op te maken dat de crimineel verschillende bitcoin-adressen gebruikte om betalingen te ontvangen. In totaal is in de laatste maanden ongeveer 140.000 dollar in bitcoins overgemaakt. Dat komt neer op ongeveer 132.000 euro. Volgens Krebs is dit nog een lage inschatting, omdat zijn bron nog een derde e-mailadres wist te kraken. Dit adres was gelinkt aan een grote hoeveelheid zoekresultaten die om hulp vroegen bij ransomware-infecties.

Zoals eerder al was aangenomen, bleek dat de aanval op het vervoersbedrijf niet gericht was. In de e-mailaccounts waren inloggegevens voor servers te vinden waarop software draaide voor het vinden van bepaalde lekken in apparaten die aan het internet hangen. De bestanden op de servers gaven bovendien informatie over de mogelijke locatie van de hacker. Zo vond een groot deel van de inlogpogingen plaats vanuit Iran. Het bleek ook dat de hacker zich normaal gesproken richt op bouwbedrijven en fabrikanten in de VS, die hij een bitcoin per geïnfecteerde server vraagt.

Maandag bleek dat de infectie met ransomware ervoor zorgde dat de Sfmta-computersystemen inclusief kaartautomaten niet meer functioneerden. Het vervoersbedrijf nam daarna de beslissing om reizigers gratis toegang te geven tot de metro.

Reacties (46)

Anonymoussaurus

Security

29 november 2016 09:48

Dat is best dom zeg. Dan ben je hacker, en dan heb je zo'n slappe tweetrapsauthenticatie, door een vraag te beantwoorden. Iemand die jou goed kent, kan daar zo achter komen. Zo niet, dan kan het altijd nog met social engineering. Stel dan gewoon fatsoenlijke tweetrapsauthenticatie in.

Of misschien was dat niet mogelijk.. ligt er natuurlijk aan welke e-mail dienst je gebruikt.

Hoe weten ze trouwens dat hij uit Iran komt? Je kunt met een VPS natuurlijk gewoon doen alsof je uit Iran komt. Beveiligingsonderzoekers etc weten natuurlijk wel wat manieren om te achterhalen wat zijn daadwerkelijke locatie is..

biglia @Anonymoussaurus • 29 november 2016 10:24

Hoe weten ze trouwens dat hij uit Iran komt?

Krebs schrijft ook niet dat hij dat weet. Hij schrijft enkel dat de meeste logins op de server die op vulnerabilities scant, afkomstig zijn van Iran. Want verder schrijft hij:

Another hosting account tied to this attacker says his contact number is +78234512271, which maps back to a mobile phone provider based in Russia.

Het lijkt me sowieso logischer dat hij uit Rusland of uit een ex-Sovjetland komt.

Maar om het verhaal kort te maken. Ze hebben niet zijn identiteit te weten achterhalen. Dat is toch iets wat Kreb meestal wel in slaagt. De autoriteiten kunnen waarschijnlijk wel iets meer, maar aangezien er verschillende landen (USA, Rusland, Iran) betrokken zijn, lijkt me dat een onmogelijke opdracht. Dus op zich heeft die hacker zich nog goed beschermd. Een veiligheidsmechanisme is wel gebroken (de e-mail) maar dan zijn er nog andere obstakels.

Shaedys @biglia • 29 november 2016 10:58

Het zijn niet alleen de IP's. Het is ook de usernames van de hacker die vaak in de regio van iran wordt gebruikt en de korte notities die naast hack targets worden gemaakt zijn in getranslitereerd Farsi/Persisch.

Grote kans dus dat de hacker uit de regio van Iran komt.

Trommelrem 29 november 2016 10:37

Wat ik ook niet begrijp is waarom de criminelen de encryptie direct blootgeven. Waarom niet eerst een maand lang encrypten zodat ook alle backups om zeep worden geholpen en pas dan naar buiten treden? Een maand dataverlies is namelijk catastrofaal.

biglia @Trommelrem • 29 november 2016 10:44

Het slachtoffer merkt toch direct dat er iets mis is wanneer de bestanden niet meer geopend kunnen worden omdat ze geëncrypteerd zijn?

Trommelrem @biglia • 29 november 2016 10:48

Bitlocker decrypt ook on the fly. Zolang er on the fly decryptie plaats vindt, merkt de gebruiker niets. Behalve dat bij backuptests zal blijken dat alles encrypted is.

[Reactie gewijzigd door Trommelrem op 31 juli 2024 16:13]

ajhaverkamp @Trommelrem • 29 november 2016 11:18

De backupagent zal zijn data ook ge-decrypt aangeleverd krijgen. Dus de backup is niet ge-encrypt.

Verwijderd @Trommelrem • 29 november 2016 11:20

Je incremental backups worden natuurlijk ook wel wat groter dan normaal, aangezien heel veel files encrypted (en dus gewijzigd) zullen zijn sinds de voorgaande backup.

Als je incremental backups normaal ongeveer 10GB zijn en je heb ineens een job van 800GB, dan moet er toch echt ergens een belletje gaan rinkelen.

MrBigfield @Verwijderd • 29 november 2016 11:24

Tenzij je eens per week een full backup laat maken om te integrity hoog te houden. Moet dan net toeval zijn natuurlijk dat het op die dag ook gebeurd.

Verwijderd @MrBigfield • 29 november 2016 12:31

Dat is waar. Maar zeker voor grote datasets zie je steeds minder vaak traditionele full backups. De full backup wordt dan kunstmatig geassembleerd aan de hand van de vorige kunstmatige full en de opvolgende incrementals. Dat gebeurt dan op de back-end en vreet dus geen resources op de front-end.

Cerberus_tm

@Verwijderd • 29 november 2016 12:47

Ik versleutel elke dag 2 procent van je bestanden, vooral ook alle bestanden waar jij die dag mee aan het werk geweest bent. Na twee maanden krijg je de losgeldbrief.

Het enige wat helpt is een programma dat direct de gegevens vanuit het werkgeheugen gebruikt om je reservekopieën van te maken. Dan moet dat programma wel bestand zijn tegen manipulatie door het gijzelprogramma. Zou dat bestaan?

segil @biglia • 29 november 2016 11:16

Zoals Trommelrem ook zegt. Als een cryptovirus een systeem infecteert en alle data encrypt, blijft de encrypted data beschikbaar voor de gebruiker, totdat het encryptie proces alle bestanden heeft versleuteld. Dan pas worden de sleutels verwijderd en heb je geen toegang meer tot de data. Wat de crimineel dus kon doen is alle data encypten, vervolgens de encryptie/decryptie engine laten functioneren (zodat de gebruiker niets door heeft) en pas 30 dagen later het proces stoppen en de sleutels verwijderen.
Overigens hangt het wel vanaf wat voor soort backup gemaakt wordt. Een file-based backup zal niet encrypted zijn, omdat de bestanden toegankelijk zijn voor het backup proces. Een volume-based backup daarentegen is wel encrypted. In dat geval had het wel opgemerkt kunnen worden als men incremental backups maakt, want die set zou dan een stuk groter zijn.

[Reactie gewijzigd door segil op 31 juli 2024 16:13]

LuukLG @segil • 29 november 2016 13:19

Wat moet ik mij precies voorstellen bij een encryptie/decryptie engine?
Een proces dat bv. op een werkstation van een gebruiker draait?
Het lijkt mij sterk dat een proces voor 30 dagen onopgemerkt op een systeem blijft draaien.

segil @LuukLG • 29 november 2016 13:35

Ja, zoiets. Een Windows service bijvoorbeeld. Trommelrem vroeg zich af waarom een crimineel niet 30 dagen zou wachten. Dit is technisch best mogelijk. Inderdaad heb je de kans dat het opgemerkt wordt.
Een cryptovirus draait sowieso enige tijd onopgemerkt en encrypt/decrypt on-the-fly, totdat alle nuttige data (bestanden) zijn encrypted. Anders bestaat de kans dat de gebruiker al eerder opmerkt dat iets niet in orde is, en het proces onderbreekt. Dus je kunt prima 30 dagen wachten.

mad_max234 @biglia • 29 november 2016 13:42

Je kan alles versleutel maar nog wel toegang open houden voor het systeem en pas op later tijdstip alles dicht gooit. Als je bijvoorbeeld met Veracrypt je HDD versleutel kan je ook gewoon je systeem blijven gebruiken, zelfs uitzetten is geen probleem.

gjmi @Trommelrem • 29 november 2016 11:44

als de boel geencryped is kan de data meteen niet meer gebruikt worden. Dus het bedrijf ligt stil. Denk je echt dat iemand een maand lang de boel door laat draaien terwijl hij/zijner zelf niets mee kan? Je zet de apperatuur toch meteen uit en zet je backups veilig.

segil @gjmi • 29 november 2016 13:39

Nee, normaal gesproken blijft de data toegankelijk zolang niet alle data is encrypted. Een cryptovirus decrypt de reeds versleutelde data on-the-fly, juist om detectie te voorkomen. Pas wanneer alle interessante data is encrypted, worden de encryptie sleutels verwijderd en kan de gebruiker niet meer bij zijn/haar data. Dit proces van wachten kan je best oprekken tot 30 dagen en al die tijd zijn file access gewoon mogelijk blijven. Kans op detectie door a/v software of een oplettende sysadmin wordt wel groter natuurlijk.

Maar het is wel slim om te wachten.

LuukLG @segil • 29 november 2016 19:41

Heb zelf al een aantal ransomeware aanvallen meegemaakt, geen van allen waren 'silent'. Zodra het zich begon te verspreiden kon je direct merken dat de bestanden op slot zaten.
Vraag me dan ook af hoe zo'n 'silent' ransomeware dan omgaat met een besmet werkstation dat wordt afgezonderd van het netwerk of uitgezet zonder dat de 30 dagen verstreken zijn.

[Reactie gewijzigd door LuukLG op 22 juli 2024 18:28]

dimitrivisser @Trommelrem • 29 november 2016 10:49

Ik zou me zo kunnen voorstellen dat zo'n bedrijf het zelf wel merkt als data plotseling niet meer toegankelijk is... Dan kan je natuurlijk een maand later wel een mailtje sturen met je bitcoinadres maar dan hebben ze het probleem waarschijnlijk zelf al wel gefixed...

HaskoF 29 november 2016 09:48

Ik acht de kans niet zo groot in dat een hacker zwakke beveiligingsvragen heeft. Maar als dat wel het geval is, toont dit weer aan dat de mens de zwakste schakel is.

DYX @HaskoF • 29 november 2016 09:52

Ik zie niet helemaal in waarom niet. Het is nergens gezegd dat deze 'hacker' zelf de malware heeft geschreven. Het zou best een optie zijn dat deze de malware gewoon gekocht heeft en alleen maar gebruikt. Dit kan bijna iedereen die een toetsenbord kan gebruiken tegenwoordig. Dat maakt het ook zo gevaarlijk tegenwoordig.

jaspervdmeer @DYX • 29 november 2016 10:10

je kan voor een paar stuivers die malware kopen op het dark web.

tweaknico @jaspervdmeer • 29 november 2016 18:33

Soms is het ook gewoon beschikbaar.
mirai staat/stond ergens op github.

Triblade_8472 @HaskoF • 29 november 2016 09:57

Dat toont gewoon overmoed.

Wel interessant verder! Dat geeft maar weer aan dat een sleepnet methode toch werkt. Als je deze methode een paar keer volhoud hoef je niet meer te werken... Athans, afhankelijk of je je bitcoins nog redelijkerwijs kan laten uitbetalen.

Wackerstamfer 29 november 2016 09:49

door het antwoord op zijn beveiligingsvragen te gokken.

verbazingwekkend dat je als hacker zwakheden van anderen gebruikt voor je randsomware maar dan zelf zo slordig bent met je e-mail accounts...

SeenD @Wackerstamfer • 29 november 2016 10:55

Ja ik snap t ook niet. Waarschijnlijk was t gewoon een scriptkiddie.

Beveiligingsvragen zijn sowieso al dom.
Ik genereer meestal de antwoorden ook met een password generator. En die sla ik er dan bij op met een notitie.

[Yellow] @Wackerstamfer • 29 november 2016 11:36

Precies. Die zogenaamde 'beveiligingsvragen' leveren alleen maar nóg een manier op om je wachtwoord te hacken. Vond het altijd al nutteloos. Dit artikel levert het bewijs dat beveiligingsvragen de boel alleen maar onveiliger maken.

Bor Coördinator Frontpage Admins / FP Powermod

Ransomware
Security

@[Yellow] • 29 november 2016 12:23

Het probleem met beveiligingsvragen is vooral dat de antwoorden vaak voor de hand liggen of makkelijk na te zoeken zijn via bijvoorbeeld social media. Zaken als basisschool van vroeger -> facebook / schoolbank etc. Namen van ouders of kinderliefdes / de hond -> facebook etc. Werkt dat niet dan is soms zelfs een whatsapp bericht of telefoontje naar de betreffende persoon voldoende om het antwoord te krijgen als je een beetje creatief bent. Een vraag naar vader of moeten of een vroegere woonplaats valt immers veel minder op dan een vraag om een wachtwoord.

Hiermee introduceer je met beveiligingsvragen eigenlijk een grotere kwetsbaarheid in sommige gevallen dan zonder beveiligingsvragen!

Alex3 @Wackerstamfer • 29 november 2016 14:02

Die beveiligingsvragen creëren vaak onveiligheid, vooral als ze in de plaats komen van andere beveiligingen. Daarom gebruik ik ze niet.

Auredium 29 november 2016 10:28

Wat dit eigenlijk aangeeft is dat de hacker per ongeluk de verkeerde systemen heeft plat gelegd. Als er een willekeurig aantal servers van een gewoon bedrijf plat wordt gelegd dan doen dit of betalen of de servers indien mogelijk opnieuw inrichten. Er volgt een standaard onderzoekje met 'sorry wij kunnen niets voor jullie betekenen' en het is over.

Omdat deze hacker niet genoeg onderzoek heeft gedaan naar de servers en het doel van deze servers (en dus wss op automatische piloot aan het werken was) is er een systeem kritiek onderdeel plat gegaan welke de samenleving direct hindert. Het gevolg hiervan is dat alle spotlights zijn gericht op de hack en er sneller duidelijk is wie er achter zit en hoe deze kan worden aangepakt.

Ik denk dat het hele WD2 en hack locatie puur toeval was en niet opzet of zo maar dat terzijde.

MsG 29 november 2016 11:09

Een scriptkiddy is technisch gezien ook gewoon aan het hacken en op dat moment dus ook een hacker. Dat bepaalde mensen een scriptkiddy dat predikaat niet toe willen dichten doet daar niets aan af. Als ik een deur open maak met een gestolen sleutel in plaats van zelf de deur te kraken met een lockpick blijf ik alsnog een inbreker.

tweaknico @MsG • 29 november 2016 18:36

Technisch gezien een insluiper.

SinergyX 29 november 2016 09:49

Waarom wordt dit zo vaak een hacker genoemd? Inloggen op een server, software laten draaien en paar mailtjes sturen, old school scriptkiddy op z'n best.

Anonymoussaurus

Security

@SinergyX • 29 november 2016 09:51

Omdat een hacker, van andermans systemen/eigendommen gebruik maakt/binnendringt, zonder dat hij daar bevoegdheden voor heeft, of dat mag doen.

Bron: https://nl.wikipedia.org/wiki/Hacker

Een hacker, ook wel kraker of cracker genoemd, is een persoon die zonder toestemming een computernetwerk binnendringt door de beveiliging te kraken.

Als dat volgens jou al niet eens een hacker is, wat is jouw synoniem dan voor "hacker"?

[Reactie gewijzigd door Anonymoussaurus op 31 juli 2024 16:13]

Mijzelf @Anonymoussaurus • 29 november 2016 09:58

Tja, dezelfde pagina, iets lager:

In bepaalde technisch georiënteerde subculturen is een hacker een persoon die geniet van de intellectuele uitdaging om op een creatieve en onorthodoxe manier aan technische beperkingen te ontsnappen; bijvoorbeeld een goede programmeur. Een hacker hoeft niet per se iets met computers te doen. In deze subculturen wordt het gebruik van de woorden hacker en hacken door en voor computerinbrekers als misbruik van de term gezien; zij worden crackers, krakers of script kiddies genoemd. Script kiddies worden veelal gezien als nephackers, omdat zij de code van internet af kopiëren.

Anonymoussaurus

Security

@Mijzelf • 29 november 2016 10:49

Dat ligt er maar net aan wat je zelf vindt. Dat stukje kan ook weer door iemand anders aangepast zijn, die hetzelfde denkt als SinergyX.

nokie @Anonymoussaurus • 29 november 2016 10:13

Omdat er verschillende definities/interpretaties zijn. Kijk je op de Engelse wikipedia, dan lees ik dat al behooorlijk anders: https://en.wikipedia.org/wiki/Hacker

In computing, a hacker is any highly skilled computer expert capable of breaking into computer systems and networks using bugs and exploits. Depending on the field of computing it has slightly different meanings, and in some contexts has controversial moral and ethical connotations. In its original sense, the term refers to a person in any one of the communities and hacker subcultures

Persoonlijk ben ik de Engelse wikipedia meer genegen (waarmee ik niet wil zeggen dat dat nu dé waarheid is), en geef ik SinergyX gelijk dat dit eerder een scriptkiddie lijkt.

[Reactie gewijzigd door nokie op 31 juli 2024 16:13]

Anonymoussaurus

Security

@nokie • 29 november 2016 10:49

Dat ligt er maar net aan wat je zelf vindt. Dat stukje waar jij naar refereert kan ook weer door iemand anders aangepast zijn, die hetzelfde denkt als SinergyX. Het is dus maar net wat je vindt..

mashell @Anonymoussaurus • 29 november 2016 10:38

Definities neem je NOOIT over van wikipedia. Wiki kan door eindgebruikers aangepast worden en kunnen dus politiek gekleurd zijn. Bij een term als hacken dat officieel (het inbreken in computers betekent, bron: VanDale) maar wat door sommige groeperingen ook als een soort geuzennaam gebruikt wordt is dus wikipedia tekst niet als accurate definitie te gebruiken..

locke960 @mashell • 29 november 2016 10:57

ELKE bron kan politiek gekleurd zijn. De meeste zijn dat ook en zelfs als men bewust probeert inkleuring te vermijden lukt dat niet altijd. Niet eens kwade wil, het is gewoon verrekte moeilijk om dat te doen.

En de VanDale definitie van 'hacken' is een prachtig voorbeeld hiervan. Het negeert de herkomst van het woord hacken volledig en geeft alleen een simplistische definitie met een negatieve ondertoon. En ik ben blijkbaar niet de eerste die dat opgevallen is.

TheRealProcyon @locke960 • 29 november 2016 11:43

Mij was dat ook opgevallen en ik vind dat dit soort dingen juist de echte definitie van bijvoorbeeld hacken zwart maakt, overigens is (de Engelse) Wikipedia ongeveer net zo betrouwbaar als de Encyclopedia Brittanica (onderzoek uit 2005!). Van Dale is inderdaad minder betrouwbaar hiermee, omdat de woordenboeken wel vaker eigenwijs zijn, kijk maar naar de uitspraak van .gif, wat volgens de uitvinder jiff is, maar volgens de Oxford Dictionary gif (gu-iff).

[Reactie gewijzigd door TheRealProcyon op 31 juli 2024 16:13]

mashell @locke960 • 29 november 2016 12:12

Sinds de jaren 70 van vorige eeuw toen hacken bekend raakte door het hacken van telefooncentrales heeft in de het gewone taal gebruik de betekenis van inbreken in electronische technische apparaten (tegenwoordig zijn dat computers). Waarom men in de laatste jaren daar toch zo graag een andere betekenis aan wil hangen is me een raadsel.

jpsch @mashell • 29 november 2016 11:04

Van Dale loopt altijd achter met nieuwe woorden, bovendien falen algemene woordenboeken met specifieke definities van specialismen.

mashell @jpsch • 29 november 2016 12:05

Maar hacken is een woord dat al sinds de jaren 70 van de vorige eeuw een betekenis heeft. En het staat gewoon in de van Dale.

jpsch @mashell • 29 november 2016 12:41

Zou best kunnen, maar een bv DDOS aanval als hacken beschouwen lijkt me niet juist, je dringt namelijk niet een computer binnen. En toch wordt op het journaal dit vaak als hacken gebracht.

bigbadbull @SinergyX • 29 november 2016 10:30

omdat de niet tweaker niet weet wat een scriptkiddie is.
Maar een hacker is al een meer bekende term.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (46)

Sorteer op:

Weergave: