Gooise gemeenten hebben systemen offline gehaald na virusaanval - update

De gemeente Eemnes is maandagavond samen met de gemeenten Blaricum en Laren doelwit geworden van een aanval door een virus. De gemeenten hebben in reactie alle computers offline gehaald. Het is nog onduidelijk wanneer de systemen weer met het internet verbonden worden.

Dat heeft de gemeente Eemnes maandag bekendgemaakt. Een woordvoerder heeft tegen Tweakers gezegd dat de computers van de gemeente maandag aan het einde van de middag van het internet zijn losgekoppeld. Vooralsnog blijven de systemen offline. De effecten van de aanval worden op dit moment nog onderzocht. Op dit moment is het niet mogelijk om online zaken te regelen bij de gemeentes. De woordvoerder verwacht in de loop van dinsdagmiddag meer duidelijkheid te kunnen verschaffen over de situatie en om wat voor soort aanval het precies gaat.

Wethouder Niels Rood heeft aan RTV Utrecht laten weten dat door de aanval, die door de gemeente een virusaanval wordt genoemd, "de ambtenaren nauwelijks nog kunnen werken en dat inwoners alleen nog maar voor aangifte van geboorte of overlijden naar het gemeentehuis kunnen komen". Hij zei niet te weten wie er achter de aanval zit. De wethouder sprak de verwachting uit dat de werkzaamheden aan de systemen nog wel enige dagen kunnen duren en dat de computers dus ook enkele dagen offline blijven.

De gemeente Eemnes is een zelfstandige gemeente met een eigen gemeentebestuur. Ook Laren en Blaricum zijn zelfstandige gemeentes. Alleen op het ambtelijke vlak hebben de gemeentes hun organisaties gebundeld in de zogeheten BEL-combinatie. De gemeenten delen onder meer de ict-systemen.

Update, 16:44: Een woordvoerder van de gemeente zegt tegen Tweakers dat de systemen zijn getroffen door ransomware. Volgens de woordvoerder gaat het om een Cryptolocker. De verwachting is dat het nog tot het einde van de week kan duren voordat de systemen weer online komen. Op dit moment loopt het onderzoek nog. De gemeente gaat aangifte doen. User Tk55 zei in een reactie dat hij van een medewerker van de gemeente had vernomen dat de financiële administratie een nepfactuur zou hebben ontvangen. De woordvoerder kon dit niet bevestigen. De gemeente probeert nu vooral de systemen die nodig zijn voor zorgtaken en burgerzaken zo snel mogelijk online te krijgen.

IT-banen

Reacties (100)

Tk55 28 maart 2017 15:39

Volgens een bekende die er werkt ging het om een mail bij de financiële administratie waar een nepfactuur bij zat.

Edit: Gaat om ransomware. Een kwart van de virtuele servers zijn getroffen.

[Reactie gewijzigd door Tk55 op 24 juli 2024 13:57]

SwooX @Tk55 • 28 maart 2017 15:49

Een beetje scholing over security zal dan ook geen overbodige luxe zijn, vraag me af of zulke mensen ook gevoelig zijn voor social engineering.

Ik studeer ICT en over dit soort praktijken krijg je wel eens te horen tijdens de les security, waarbij er dus vrolijk wordt gezegd dat je personeel moet 'opvoeden'.

Verwijderd @SwooX • 28 maart 2017 16:37

Mwha, is het echt awareness? Is het raar dat de Financiële afdeling een factuur opent? Is het raar dat Personeelszaken/HR een CV opent?

Probleem in de eerste plaats is wel degelijk IT/Technology. Zorg ervoor dat alle patches en updates zijn geïnstalleerd, niet alleen voor het OS en de browser, ook van je PDF-reader. Zorg voor een goede endpoint solution die een encryptie-aanval kan herkennen op basis van gedrag (niet op basis van definities) met de capability om de aanval te onderbreken door te isoleren. Ook hier ontbreekt het vaak aan.

En pas dan komt awareness hoor. Maar dan nog steeds... een factuur wordt geopend en een CV ook.

TWyk @Verwijderd • 29 maart 2017 09:45

een factuur wordt geopend en een CV ook. .

In vrijwel alle gevallen gebruiken deze cryptolockers lekken die al weken of zelfs maanden eerder gedicht zijn maar staat er op de servers nog oude software van adobe of microsft of mozilla.

anargeek @TWyk • 29 maart 2017 10:13

Al je updates heb je weinig aan als je .js bestanden (wat uitvoerende rechten heeft via wscripthost) of .docx bestanden met macros opent/uitvoert. De meeste van de tegenwoordig circulerende ransomware gebruikt obfuscated powershellcode die gewoon de functionaliteiten van Powershell gebruikt. Er wordt vrij weinig gebruik gemaakt van exploits zodat je een veel grotere range hebt van machines die kwetsbaar zijn. En waarom exploits zoeken als Powershell je volledige macht over de pc geeft?

De beste oplossing voor dit soort problemen is Notepad.exe de default applicatie voor .js bestanden maken (dus niet meer WScriptHost), en via group-policy geforceerd macros uitzetten in Office. En uiteraard daarbij een goede spamfilter & antivirus installeren, en up-to-date blijven.

[Reactie gewijzigd door anargeek op 24 juli 2024 13:57]

TWyk @anargeek • 29 maart 2017 10:30

Kunnen gebruikers op jullie netwerk powershell commando's uitvoeren ?

anargeek @TWyk • 29 maart 2017 10:48

Macros in Office kunnen powershell uitvoeren. Veelal werkt het op de manier: Office bestand voert macro met VBA-script uit, wat in wscript wordt uitgevoerd, wat vervolgens powershell uitvoert. Zie bijvoorbeeld deze blogpost over hoe zo'n aanval gaat en tegengehouden kan worden.

Overigens is PS niet per se het doel. Met WScript kan je ook al enorm veel schade oplopen (volledige rechten om op de achtergrond te downloaden/uitvoeren/registry wijzigingen etc). De meeste malware-mails die ik heb geanalyseerd op kantoor waren JS-bestanden die via WScript een binary downloaden en uitvoeren.

TWyk @anargeek • 29 maart 2017 10:51

Office bestanden met macro's worden bij ons weggefilterd dus dat zou ik niet weten

anargeek @TWyk • 29 maart 2017 11:09

Dat is in de meeste gevallen ook wel voldoende, tenzij de bestanden op een andere manier binnenkomen (downloaden, via usb-stick etc). Daarom is macros volledig uitschakelen via group policy ook een goed idee, als het gevaar niet via email komt. Onderschat nooit de doortastbaarheid van onwetende gebruikers om zichzelf te infecteren.
Mocht een gebruiker een goede reden hebben waarom ze een mail willen ontvangen die een .zip, .rar, .js, .docx, .xlsx attachment heeft, dan mogen ze dat uiteraard aan de systeembeheerder uitleggen.

Raventhorn @SwooX • 28 maart 2017 16:15

Ook dan is er niet altijd aan te ontkomen, zeker niet als de daders hun huiswerk goed hebben gedaan.
Heb wel eens een situatie vernomen waarin vrijwel alles overgenomen was van een daadwerkelijke factuur van een daadwerkelijke leverancier. Alleen kwam deze factuur (gewoon in PDF formaat overigens) niet van bijvoorbeeld <leverancier>.nl maar <leverancier>.com...

Dan kan je je personeel zo goed mogelijk opvoeden, maar dat mist iedereen wel eens.

/edit: Gelukkig was hierbij de security beter geregeld, en alleen een specifieke share (waar backups van waren) encrypted. Dan nog was het geluk dat het aan het begin van de dag aan het begin van de week gebeurde, dus was ook zo weer verholpen...

[Reactie gewijzigd door Raventhorn op 24 juli 2024 13:57]

memphis @SwooX • 28 maart 2017 15:53

Hier bij de Shell wordt het ICT personeel ook wel eens getest met nep mailtjes, als je toch op de link klikt heb je wat uit te leggen....

Readdy @memphis • 28 maart 2017 16:00

Het zelfde gebeurd bij ons op bedrijf ook.

Indifstublatia @Readdy • 28 maart 2017 16:21

Dit werd bij ons in 2007 ook gedaan. Iedereen van de multimedia afdeling in de winkel klikte niet (2 man, waaronder ik), de rest van het personeel wel (24 mannen, 1 vrouw). Het kassapersoneel (3 vrouwen) klikten ook niet.

Gevolg:
- Wij van de multimedia afdeling hebben een workshop moeten geven aan het voltallige personeel over wat de gevaren waren van zulke mails. Twee werknemers besloten de workshop niet te volgen. Zij werden ontslagen.

Verwijderd @Indifstublatia • 29 maart 2017 14:51

Behoorlijk rigoureus, ontslag voor het niet volgen van een workshop die wordt verzorgd door een paar collega's die kennelijk snugger genoeg zijn om niet op een linkje te klikken.

Indifstublatia @Verwijderd • 29 maart 2017 15:50

De reden voor ontslag was dat er bij het contract vooraf aan de werkzaamheden al vermeld was dat elke essentiële workshop verplicht was. Daar zijn ze mee akkoord gegaan.

Verwijderd @Indifstublatia • 29 maart 2017 16:03

Dan is het inderdaad een ander verhaal.

CAPSLOCK2000

Hack
Politiek en recht
Netwerk en systeembeheer

@koelpasta • 28 maart 2017 18:36

Dus in plaats van de linkjes (het echte probleem) uit de mails te filteren (want je mag er sowiso niet op klikken zeg je), ga je de gebruikers stalken met testjes?
Gezellige boel bij jullie...

Met alleen techniek krijg je het probleem niet opgelost. In de meeste organisaties kun je niet alle links en attachments verwijderen, dat accepteren de gebruikers gewoon niet. Zelfs je dat wel lukt dan vinden de aanvallers wel iets anders. Bij het browsen moet je ook voortdurend alert zijn waar je op klikt. Alle links uit webpagina's verwijderen is natuurlijk echt waanzin.

Als compromis vervang ik alle (verdachte) links door een waarschuwingspagina. Ze kunnen vanaf daar nog steeds doorgaan naar de verdachte site maar dan moeten ze wel actief aangeven dat ze de waarschuwing gelezen hebben. Die waarschuwing is zo lelijk opgemaakt dat mensen de gang op lopen om hun collega's te laten zien hoe lelijk het is. Iedere keer als iemand er over klaagt weet ik dat het werkt

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 13:57]

koelpasta @CAPSLOCK2000 • 28 maart 2017 18:46

Bij het browsen moet je ook voortdurend alert zijn waar je op klikt. Alle links uit webpagina's verwijderen is natuurlijk echt waanzin.

Klopt maar daar zijn dan weer andere vormen van beveiliging voor.

Als compromis vervang ik alle (verdachte) links door een waarschuwingspagina.

Juist, daar zat ik ook aan te denken.

Wil je een stapje verder gaan dan blokkeer je ze helemaal en laat je de gebruiker een aanvraag doen die door een mens gechecked wordt voor goedkeuring. Dat is dan als de link werkelijk belangrijk is.

Het hangt natuurlijk ook allemaal af van hoeveel security je nodig hebt.

memphis @koelpasta • 28 maart 2017 19:20

Als je virussen voor kunt zijn hadden we helemaal geen last meer van virussen dus hoe wil jij foute linkjes herkennen?
Uiteraard hebben we allemaal een korte training mogen doen over het herkennen van fake mails en met regelmaat komt er weer zo'n testmail in de mailbox waarbij het herkennen van de echtheid op zich niet zo moeilijk is

-PassY- @SwooX • 28 maart 2017 16:18

Kleed je als een beetje een IT-Nerd, en je lult je bijna overal naar binnen is mijn praktijk ervaring.

1x gehad dat ik gewoon weer naar buiten liep met een complete pc onder mijn arm, en de beveiligers gedag zeggen en gaan (pc 5m later wel terug gebracht)

Nu zal dit bij een bank wat minder makkelijk gaan, maar bij een gemiddeld bedrijf is het te makkelijk om binnen te komen. Administratie opzoeken, net doen of je onderhoud komt doen. Mensen gaan koffie halen en laten je alleen hoor! Niemand die klaagt.

Alleen, als je hier dan over begint. Dan staat men je vaak aan te gapen als of ik chinees praat

Maar ja, mensen doen ook gemiddeld 20 jaar over het opvoeden van hun eigen kinderen, en dat mislukt ook vaak genoeg

Cerberus_tm

@-PassY- • 28 maart 2017 16:53

Dat is wel heel mooi. Maar het is toch anders dan een aanval op afstand: jouw aanval kost jou veel tijd, je moet er fysiek heen, en je kunt maar 1 partij tegelijk aanvallen. En het kan niet automatisch. Een aanval op afstand heeft misschien per partij een lagere kans van slagen, maar je kunt hem op 100.000 partijen tegelijk uitvoeren, en je kosten/risico als aanvaller zijn veel lager.

Bardman01 @-PassY- • 28 maart 2017 17:34

Niet alleen als IT nerd mijn laaste 20 jaar. Ook als chauffeur de eerste 20 jr, je loopt zo door naar de directie, niemand die ook maar iets vraagt. Grote bedrijven oa Philips, Bayer, Ford Berlijn.
De enige grote bedrijven die ik het in mijn ogen goed deden was IBM Nederland en een buitenlandse in Amsterdam Borg Warner, maar dat is nu General Electric.

Zijn maar erg weinig bedrijven die het goed doen, er moet eerst iets gebeuren voor er maatregelen worden genomen. Net zoiets als met backups.

BTW bij diverse banken lukt dat ook. Naar mijn weten is er maar 1 die het op orde had en dat was abnamro, en ik heb alle grote banken gehad. IK heb zelf s nog korte tijd de geld automaten gerepareerd (NRC). Dat is na een half jaar ook geestdodend pfft Voor een techie is ICT niet leuk meer.

Verwijderd @-PassY- • 29 maart 2017 14:54

Ben jij de volgende Alberto Stegeman? Als er zo'n grapjas bij mijn bedrijf zoiets zou flikken zou ik aangifte doen.

Dreamvoid @SwooX • 28 maart 2017 16:00

Probleem is dat zulke vage cliches makkelijk gezegd zijn, maar concrete oplossingen hoe je dit in de praktijk voor mekaar krijgt zijn een stuk zeldzamer.

Donstil @SwooX • 28 maart 2017 18:11

Ja dat wordt altijd lekker makkelijk gezegd door de docenten in de praktijk gaat dat anders. Je kan er tientallen persoonlijke sessies aan wijden. Nieuwsbrieven versturen en noem het maar op.

Jeanette van accounting drukt er toch echt op als ze het druk heeft.

[Reactie gewijzigd door Donstil op 24 juli 2024 13:57]

goarilla @SwooX • 28 maart 2017 19:39

Een beetje scholing over security zal dan ook geen overbodige luxe zijn, vraag me af of zulke mensen ook gevoelig zijn voor social engineering.

Natuurlijk, genoeg mensen worden opgelicht via de "Microsoft support scams" of gewone scams zoals oudje wordt van erfenis ontfutseld door vertrouweling, notaris gaat lopen met geld erfenis, ...

Ik studeer ICT en over dit soort praktijken krijg je wel eens te horen tijdens de les security, waarbij er dus vrolijk wordt gezegd dat je personeel moet 'opvoeden'.

Hoe, waar, wanneer en door wie ? En welke opvoeding garandeert dat mensen nooit op de verkeerde onbekende attachment klikken ?

Zorg dus in de eerste plaats dat je fileservers goede backups hebben (online.en offline).

Pixeltje

@SwooX • 28 maart 2017 20:58

Dat is wel kort door de bocht hoor; er worden veel facturen per mail verzonden en een beetje knappe scriptkiddo heeft zonder problemen een mailadres gespoofed, bijvoorbeeld. Voeg daar een nette mail aan toe en zo'n factuur lijkt ineens heel legitiem.

Kun je opvoeden wat je wilt, maar als je een bedrijf hebt waarbij digitale facturen normaal zijn én de betreffende mail/mailadres legit lijkt kun je hier (helaas) weinig aan doen. Dat is ook waarom dit zo goed werkt..

Verwijderd @SwooX • 28 maart 2017 22:35

Forget it. Personeel kan je niet leren om tegen dit soort ongein op te kunnen. Dat is een verloren slag. Je moet er gewoon voor zorgen dat zodra er iets op je systemen komt dat de schade beperkt is(permissies goed regelen, gebruikers mogen niet meer dan nodig is) en je degelijke backups hebt. Anders ben je gewoon de sigaar. Een firewall naar buiten toe is niet genoeg, maar is wat er toch dikwijls gedaan wordt.

Slavy @Tk55 • 28 maart 2017 15:44

De welbekende factuur van KPN met een link naar een .zip file?

Get!em @Slavy • 28 maart 2017 16:11

Degene die afgelopen tijd vaak van het domein AON.at kwam (ondanks dat de from:headers anders waren.)

Heb er afgelopen 1,5 maand ongeveer 20 in de spambox afgevangen. Ze leken van veelal Nederlandse domeinen te komen. In de onderwerpregel iets met een factuur, met steevast als bijlage een doc of zip. Bevatte ransomware Cerber.

Tk55 @Slavy • 28 maart 2017 15:49

Waarschijnlijk is het zoiets. Omdat de drie gemeentes samenwerken, maar wel zelfstandig zijn, is het zeer waarschijnlijk dat het door meerdere werknemers (van verschillende gemeentes) is geopend.

Edit: De drie gemeentes werken samen, maar er is één financiële administratie.

[Reactie gewijzigd door Tk55 op 24 juli 2024 13:57]

aurrorax @Tk55 • 28 maart 2017 16:02

#restore uit de back-up en gaan

eborn @aurrorax • 28 maart 2017 16:08

Behalve als blijkt dat je al een maand encrypted files aan het backuppen bent zonder het te merken.

HKLM_ @eborn • 28 maart 2017 16:22

Realy ? Als je een maand niet merkt dat er encrypted files gemaakt worden dan is er iets goed mis met je IT afdeling.

Djamon Staal @HKLM_ • 28 maart 2017 16:51

Tenzij de ransomware een maand of 2 geleden al geïnjecteerd is op het netwerk en op afstand geactiveerd is.

TWyk @Djamon Staal • 29 maart 2017 09:49

Het is toch ook al niet best al je medewerkers software laat installeren op het netwerk.

Verwijderd @eborn • 28 maart 2017 22:37

De backups zullen opeens veel groter worden omdat een incrementeel systeem geen effect heeft op compleet nieuwe bestanden.

Djamon Staal @Verwijderd • 29 maart 2017 10:11

Dat maakt echt niks uit, dan zet je de backup van zondag terug aangezien maandag dan alle nieuwe bestanden gemaakt werden.

Dennism @Tk55 • 28 maart 2017 15:59

Als een medewerker van de financiele administratie met een druk op een ransomware bijlage 25% van de virtuele servers kan besmetten zit er qua security (zowel qua rechten als qua virus/malware scanning) ook iets niet goed.

Jeoh @Dennism • 28 maart 2017 16:53

Of er zijn niet zo veel virtuele servers

jpsch @Jeoh • 28 maart 2017 17:30

Minimaal 4 dus.

Samdolyn @jpsch • 28 maart 2017 17:43

Tenzij het een halve server is

batjes @Dennism • 28 maart 2017 17:51

Dit kan al enige tijd bezig zijn, de infectie kan maanden geleden plaatsgevonden hebben en zich op zijn dooie gemakje via de verscheidene users met hun eigen rechten rustig verspreid hebben, voordat het begon met zijn aanval.

Als het een doelgerichte aanval is, kan het ernstig lastig zijn om dat te herkennen voordat het zijn ding gaat doen.

Magriet van de receptie slaat een factuur op in \\server01\receptie, Truus van sales opent die, slaat hem op in haar \\sever02\sales en stuurt hem door naar Henkie van het magazijn die het bij default opslaat op \\server03\magazijn. Huppa, 3 servers te pakken. Als je een beetje pech hebt en 1 van die users/shares komt de admin Klaas langs die even wat fixed en een runas admin uitvoert waar de infectie zich al aan vast gehangen hebt. En je bent de sjaak. (Bij grotere bedrijven heb je niet zo'n Klaas gelukkig, maar kleinere omgevingen wel)

HKLM_ @Tk55 • 28 maart 2017 16:27

Als er echt een kwart van de virtuele servers zijn getroffen dan is er echt iets mis met de security binnen je infrastructuur. Zeker als het ook nog eens een dame van de administratie is. Of een beheerder heeft er op geklikt..... (dan nog)

Blijkbaar hebben ze ook geen disaster recovery plan om binnen een dag weer online te komen. Iets wat in mijn ogen zeker bij een gemeentelijke / overheids organisatie gewoon dik in orde zou moeten zijn.

Op dit soort momenten vraag ik mij echt af wat voor back-ups ze hebben en waarom het zo veel tijd kost om het te fixen.

Djamon Staal @HKLM_ • 28 maart 2017 16:52

Of de backup servers zijn deel van het getroffen deel xD

HKLM_ @Djamon Staal • 28 maart 2017 17:08

mag toch aannemen dat er een offsite backup is

Djamon Staal @HKLM_ • 28 maart 2017 17:15

Waarschijnlijk wel, echter is het zo dat het mij niks zou verbazen als dat niet het geval is als een administratief medewerker er voor kan zorgen dat een ransomware bij een kwart de virtuele servers kan komen.

Als ze wel die offside backups hebben (wat hoogst waarschijnlijk is) dan duurt het ietsjes langer omdat die backups ook weer gebracht moeten worden vanuit een extern bedrijf natuurlijk

In de Tweede Kamer hebben ze het in ieder geval beter opgepakt voor hoever wij nu weten.

koelpasta @HKLM_ • 28 maart 2017 17:59

Als er echt een kwart van de virtuele servers zijn getroffen dan is er echt iets mis met de security binnen je infrastructuur.

Moah., Als blijkt dat dat 1 van de vier servers is die ze bezitten dan valt het wel mee. Het zijn niet echt grote gemeenten.

Pixeltje

@HKLM_ • 28 maart 2017 21:02

Ja of een relatief kleine gemeente (want dat is BEL) heeft gewoon iets meer tijd nodig om na te denken voor ze rucksichtlos op knoppen laten rammen en binnen een halve dag weer offline zijn. Wat speelt er bij een gemeente wat geen drie dagen kan blijven liggen én niet in noodgevallen handmatig geregeld kan worden?

HKLM_ @Pixeltje • 28 maart 2017 21:18

Er spelen genoeg dingen bij de gemeente. denk bijvoorbeeld aan speciale zorg aanvragen die nu niet behandeld, geboekt kunnen worden omdat het systeem het niet toelaat drie dagen down vind ik persoonlijk gewoon niet kunnen voor een gemeente hoe klein ze ook zijn.

Verwijderd @Tk55 • 28 maart 2017 16:37

Stel dat een ander bedrijf die bekend staat bij de gemeente, nu wordt gehacked, en zelf ransom emails stuurt. De gemeente ziet het en opent de email, omdat ze weten, hier doen we zaken mee. Vervolgens PC's geinfecteerd en noem maar op.

Het is niet feilloos een cursus te geven al lijkt het zaakje nog zo legitiem. Men moet beschikken over een antivirus ook die de inkomende URL's of in dit geval de te klikken links of bijlages napluisd.

Een trend micro pakket is helemaal niet zo slecht nog niet voor gemeentes.

coolkil @Verwijderd • 28 maart 2017 16:50

trend micro pakket en het probleem is opgelost??

Meeste gemeentes/bedrijven hebben wel een antivirus echter worden die ook steeds minder effectief. Ze lopen namelijk altijd achter de feiten aan.

Het belangrijkste blijft toch logisch nadenken en een goed dichtgetimmerd netwerk. Iedere afdeling in een apart netwerk segment en voor ieder segment de toegang tot de rest van het netwerk zover mogelijk beperken.

Vervolgens vanaf het netwerk omhoog werken alle OSI lagen bij langs, op iedere laag dient beveiliging te worden toegepast.

Daarnaast is een Intrusion detection/prevention systeem tegenwoordig bijna een must net als een vulnerability scanner

edit: moeten we trouwens ook een linkje leggen met het feit dat de IT systemen van de 2e kamer vandaag ook al slachtoffer was van eenzelfde soort aanval? https://tweakers.net/nieu...ffen-door-ransomware.html

[Reactie gewijzigd door coolkil op 24 juli 2024 13:57]

FlaaMindO

28 maart 2017 15:44

Beteken dat ook dat je geen Paspoort/ID meer kan aanvragen?

ralphilosophy @FlaaMindO • 28 maart 2017 15:55

Inderdaad, alleen de burgerlijke stand werkt nog enigszins

hermanbrood 28 maart 2017 16:32

Drie oplossingen:

- Kweek wekelijks awareness bij je gebruikers tot ze er vervelend van worden
- Gebruik applocker, waarbij je gebruikers ook vervelend worden van alle rompslomp rondom het openen van een nieuwe applicatie.
- Schakel execute van executables uit in de programdata map van de gebruiker met een gpo

Urk

@hermanbrood • 28 maart 2017 23:21

AppLocker vind ik een hele goede, ik denk dat dat iets is wat bij veel klanten problemen kan voorkomen ook. Nadeel alleen van AppLocker is dat je er Windows Enterprise licentie voor nodig hebt

Tevens verklaarden veel IT concullega's mij jaren geleden voor gek dat ik bij MKB klanten voornamelijk backup naar LTO Tapes deed, nu ben ik daar heel blij mee omdat ransomware de (offsite) tapes niet kan meepakken. Backup naar disk kan maar moet je wel genoeg wisselen, persoonlijk niet zo'n fan van en het is in mijn optiek trager dan tape backup (bij LTO6/7).

mistige @Urk • 29 maart 2017 07:35

Bij een file-level backup zou je ook een hash over de backup files kunnen gooien.
Als van de ene op de andere dag 100% v.d. hashes zijn veranderd,
is de kans dat dit door ransomware is gebeurd een stuk groter.
Dan ben je nog op tijd om te voorkomen dat de encrypted files je goeie backups
gaan overschrijven.

kr4t0s @hermanbrood • 28 maart 2017 16:49

Of dit

https://www.paloaltonetwo...secure-the-endpoint/traps

justme256 @kr4t0s • 28 maart 2017 21:46

Ben laatst bij een live demo van Traps geweest. Was geweldig om te zien. Demo werd door Palo Alto gedaan. Letterlijk een serie virussamples oppikken bij virustotal.com en die loslaten in een VM met traps erop. Daarnaast ook exploit detectie gezien. Met Kali linux (bevat onder andere Metasploit) een site met een exploit maken en het effect laten zien. We zijn nu zelf aan het kijken of we het aan gaan schaffen.

Zaten ook mensen van andere bedrijven / instellingen bij die het hadden over meerdere ransomware infecties per week. Zat met mijn oren te klapperen. We vangen er zelf al heel veel af in onze spamfilters (greylisting is geweldig

) en daarnaast via de virusscanners op dezelfde appliance. Uiteraard ook virusscanner draaien op je endpoints.

Het begint al op je buitendeur en gebruikerseducatie is een must.

kr4t0s @justme256 • 29 maart 2017 08:47

Cool

Ik heb Traps server in mijn VMware draaien voor demo.

justme256 @kr4t0s • 29 maart 2017 08:52

Gaan wij waarschijnlijk ook aanvragen. Ik wil echt een POC draaien ermee.

Bl@ckbird @hermanbrood • 28 maart 2017 17:33

Users opvoeden
Zorg voor goede backups
OpenDNS Umbrella om malware download en crypto key exchange te voorkomen:
https://www.youtube.com/watch?v=kM12kpGRrdc
AMP for Endpoints (ook servers) om malware en cryptolockers te blokkeren en op te schonen:
https://www.youtube.com/watch?v=mzw_x35o03w&t=32s

goarilla @hermanbrood • 28 maart 2017 21:24

- Kweek wekelijks awareness bij je gebruikers tot ze er vervelend van worden

Met tweewekelijkse - of andere planning - testen iedere maandag morgen

Verwijderd @hermanbrood • 29 maart 2017 00:21

Je was vergeten VBA scripts uit te zetten in word documenten, sorry, het virus is nu toch binnengekomen.

Ikzelf heb alle executabels geblokkeerd op de standaard locaties na en een whitelist. Je wil ook niet dat er iets wordt uitgevoerd vanaf een temp map of andere rare locatie. VBA scripts staan uit voor word/excel/access behalve voor bestanden in een bepaalde map waar bijna niemand in mag schijven.

Rechten staan nu redelijk minimaal, alleen beheerders zijn local admin, alles wordt automatisch gepached, overal virus scanners op. Werkplekken veilig maken is gewoon een bitch. Je moet ALLES goed hebben en de aanvaller hoeft maar 1x geluk te hebben.

XRayXI 28 maart 2017 16:00

Is het Email spoofing?
Ik heb eens een email gehad, dat mijn emailadres had. Gewoonlijk klik ik merendeels zaken in mijn op "blokkeren" toen zag ik mijn eigen emailadres staan. Komt dit vaker voor en misschien dat hun daarin zijn getrapt?

coolkil 28 maart 2017 16:14

als je vanaf een enkele nepfactuur 25% van de (virtuele)infrastructuur kan besmetten moet je als IT beheerder toch nog eens even na gaan denken over de beveiliging van je systemen.

Rinzwind 28 maart 2017 16:34

Zo makkelijk om executables op bepaalde locaties te blokken of juist alleen toe te staan. Effectief tegen die zip ellende is in het tijdelijk standaard extractie pad executables te blokken. Sowieso... blijft vaag wat in dit geval nu precies aan de hand is. Crypto zou alleen gedeelde documenten in de afdeling moeten aangaan. Niet de applicaties. ach ze hebben t over een virus. Zal wel een Windows xp/2003 aanval zijn

patches lopen half jaar achter want die moeten "o zo goed getest" worden etc

[Reactie gewijzigd door Rinzwind op 24 juli 2024 13:57]

jpsch 28 maart 2017 15:48

Gelukkig is 't Gooi nog niet gefuseerd en blijft het beperkt tot BEL-gemeente.

JackDashwood @jpsch • 28 maart 2017 15:52

Dat maakt in dit geval toch niets uit?

Alleen op het ambtelijke vlak hebben de gemeentes hun organisaties gebundeld in de zogeheten BEL-combinatie. De gemeenten delen onder meer de ict-systemen.

Hun ICT-systemen zijn dus al gefuseerd.

jpsch @JackDashwood • 28 maart 2017 16:02

Gooise Meren, Hilversum en Wijdemeren zitten er nog niet bij.

ralphilosophy @jpsch • 28 maart 2017 15:54

Een niet onaanzienlijk deel van het Gooi is wel gefuseerd, zoals in de "nieuwe gemeenten" Gooise Meren en Wijdemeren.

Blaricum, Eemnes en Laren zouden mogelijk in de nabije toekomst met Huizen fuseren (nu nog alle vier zelfstandige gemeenten).

Tk55 @ralphilosophy • 28 maart 2017 16:12

Hier wat meer informatie over de procedure:
http://laren.nl/Bestuur/P...ncie_start_Arhi_procedure

Een probleem is echter dat Eemnes in de provincie Utrecht ligt. De BEL Combinatie is mogelijk omdat de gemeenten zelfstandig zijn.

ralphilosophy @Tk55 • 28 maart 2017 20:01

Tot aan de fusie waar Wijdemeren uit ontstond, hoorde Loosdrecht ook bij de provincie Utrecht.

Nu nog als inwoner van Eemnes weet ik dat er een hoop getouwtrek is: Baarn en Soest zien een fusie met Eemnes ook wel zitten, maar de BEL-combinatie maakt dat veel al samen gebeurd met Blaricum en Laren. Tijd zal het leren

Alcmaria 28 maart 2017 15:41

Hij zei niet te weten wie er achter de aanval zit. De wethouder sprak de verwachting uit dat de werkzaamheden aan de systemen nog wel enige dagen kunnen duren en dat de computers dus ook enkele dagen offline blijven.

haha.. een aanval.. gewoon een ambtenaar die op een wazige link in een mailtje heeft geklikt en de virusscanner verleden jaar een update heeft gekregen.

Astrix 28 maart 2017 15:42

Het virus kan ook (onbewust) door een medewerker op het netwerk terecht zijn gekomen, via een gegevensdrager bijvoorbeeld usb stick.

Verwijderd 28 maart 2017 20:52

Ik vind dit een hele gevaarlijke ontwikkelingen. Bij bedrijven is het gevaarlijk maar wat te denken van ziekenhuizen waar vaak levensbedreigende situaties aan de orde zijn? Dan kan zo iets als dit fatale gevolgen hebben. Je kan allerlei policies instellen en heuristische analyses laten uitvoeren maar vroeg of laat zal er een medewerker een keer doc extensie bestand openen en is het raak. De enigste manier om zaken waren in statische content staat te beschermen en te waarborgen is het op orde hebben van een goed backup systeem. En dan nog heb je geen %100 garantie.

Ik vind dan ook dat het begrip ransomware veel meer onder de aandacht zou moeten komen. Reclame's op tv etc. Gewoon omdat de gevolgen in sommige gevallen niet zijn te overzien. En omdat veel mensen nog totaal geen benul hebben wat de gevolgen kunnen zijn.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 13:57]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (100)

Sorteer op:

Weergave: