Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update

De Spaanse telecom- en internetprovider Telefůnica en meerdere Engelse ziekenhuizen zijn tegelijkertijd schijnbaar door dezelfde ransomware getroffen. De ziekenhuizen hebben tijdelijk bijna hun gehele digitale infrastructuur stilgelegd en alleen spoedgevallen worden nog behandeld.

De ransomware-infectie begon op vrijdag rond de klok van half twee 's middags, zo melden Britse media waaronder The Register. Ook de aanval op Telefónica vond vermoedelijk rond die tijd plaats. Het zou gaan om de Wana Decrypt0r 2.0-ransomware. Het adres waar het Bitcoin-losgeld naar gestuurd moet worden, zou volgens The Register in ieder geval hetzelfde zijn, wat verder doet vermoeden dat dezelfde daders achter beide aanvallen zitten.

Andere Spaanse organisaties en bedrijven zouden ook doelwit zijn geworden van deze cyberaanval, maar op dit moment heeft alleen Telefónica dat nog bevestigd. Voor zover bekend is de dienstverlening van Telefónica wel ongehinderd en is de infectie beperkt tot het hoofdkwartier in Madrid.

De ransomware heeft de bestanden op de getroffen pc's versleuteld en de decryptiesleutel wordt alleen afgegeven wanneer er 300 dollar aan Bitcoin per getroffen pc overgemaakt wordt naar het vermelde adres. Dat is momenteel 0,17 Bitcoin of 275 euro. Als dat bedrag niet voldaan wordt binnen drie dagen, wordt het losgeld verdubbeld en na een week wordt de decryptiesleutel niet meer afgegeven. Foto's van de ransomware worden gedeeld op Twitter. Aan de beelden te zien, draait in ieder geval een deel van de pc's op Windows 7.

Hoeveel ziekenhuizen precies getroffen zijn, is niet duidelijk, maar The Guardian spreekt van 'veel'. Door het stilleggen van de systemen werken telefoons, e-mailadressen, netwerken, en uitschrijfsystemen voor medicijnrecepten niet meer. Het landelijke alarmnummer werkt nog wel zoals gewoonlijk en het ziet er op dit moment naar uit dat medische noodgevallen nog wel afgehandeld kunnen worden.

De Britse National Crime Agency werkt samen met de National Health Service om te achterhalen waar ze precies mee te maken hebben en wie er achter de aanval zit. Op het moment vermoeden ze dat het gaat om criminele activiteiten die niet gesponsord zijn door de regering van een ander land. Verder stellen ze dat er op dit moment geen bewijsmateriaal is verzameld dat erop zou duiden dat patiëntengegevens ingezien zijn door de aanvallers.

In januari van dit jaar werd een handvol ziekenhuizen ook al getroffen door malware. Vorig jaar betaalde een Amerikaanse ziekenhuis nog 15.000 euro aan losgeld om van een ransomware-infectie af te komen.

Update, 20:30: volgens een analyse van Kaspersky Lab maakt de ransomware gebruik van een 'EternalBlue'-kwetsbaarheid die blootgelegd is in de Shadowbrokers-datadump van vorige maand. Microsoft heeft de kwetsbaarheden al gerepareerd, maar het is aan gebruikers zelf om hun systemen ook up-to-date te houden. De bewuste update is MS17-010.
 
De aanval zou niet beperkt zijn tot Spanje en Engeland. Kaspersky krijgt meldingen van zijn securitysoftware die aantonen dat het zwaartepunt van de in totaal 45.000 gemeten aanvallen in Rusland zou liggen. In totaal zouden 74 landen betrokken zijn bij de aanval, waaronder de VS, China, Oekraïne, India en Taiwan.
 
Hoewel op het moment geen teken lijkt te zijn van een besmetting in Nederland, raadt het Nederlandse Nationaal Cyber Security Centrum wel aan om extra oplettend te zijn als het gaat om vreemde e-mailbijlages. De NOS schrijft dat deze waarschuwing ook specifiek naar gas-, water- en elektriciteitsbedrijven is gestuurd. De ransomware heeft zijn losgeldbrief in vele verschillende talen klaarstaan, waaronder Nederlands.
 
Her en der wordt ook melding gedaan van betalingen naar Bitcoin-wallets die geassocieerd zouden zijn met de ransomware.
 

Door Mark Hendrikman

Nieuwsposter

12-05-2017 • 18:58

332 Linkedin Google+

Submitter: mr_verkerk

Lees meer

Reacties (332)

Wijzig sortering
GeÔnteresseerden raad ik aan deze meneer te volgen:
https://www.twitter.com/GossiTheDog

Zit diep in het infosec vakgebied en zit bovenop deze zaak. Beetje informele bron maar zover bekend:

-niet alleen de reeds genoemde landen zijn getroffen maar ook Portugal, de VS en Pakistan wereldwijd vinden infecties plaats

-niet een mailvariant ransomware maar een worm die gebruikt maakt van een (reeds gepatchde) SMBv1 exploit; verspreidt zich via LAN (zie @ongekend41 hieronder voor interessante namen om eens op te zoeken)

-reeds 45000 PC's getroffen 78000 infecties and counting:
https://intel.malwaretech...net/wcrypt/?t=24h&bid=all

[update]-ransomware lijkt o.a. gebruik te maken van RDP exploit om binnen te komen op netwerken

Update:

Het aantal nieuwe infecties gaat hopelijk (tijdelijk) afnemen; het voortplantende deel van de ransomware bevat een kill-switch die is getriggered. Wat die doet is proberen bij een (voorheen) niet bestaand domain aan te kloppen, en zolang die geen response krijgt gaat die lekker door met verspreiden.

Echter, nu heeft https://www.twitter.com/MalwareTechBlog deze domain geregistreerd; de ransomware krijgt dus antwoord en stopt met zichzelf verspreiden. Grappig genoeg was dit niet met opzet gebeurd.

Voordat ik dit hele artikel samenvat: http://blog.talosintelligence.com/2017/05/wannacry.html

Goed overzicht van wat er nou is gebeurd vandaag, hoe 'WannaCry' (lijkt de nickname te worden) zijn ding doet en nog wat leuke technische details. :)

[Reactie gewijzigd door Xhondo op 13 mei 2017 02:58]

De ransomeware maakt gebruik van de ETERNALBLUE en DOUPLEPULSAR exploits. Dat zijn de door Shardowbrokers gelekte NSA tools en er is idd al een tijdje een patch beschikbaar (MS17-010)

Heatmap: https://twitter.com/malwr...status/863093386479378432

[Reactie gewijzigd door ongekend41 op 12 mei 2017 20:32]

De ransomeware maakt gebruik van de ETERNALBLUE en DOUPLEPULSAR exploits. Dat zijn de door Shardowbrokers gelekte NSA tools
Goed he dat die nu allemaal openbaar zijn..... Je kon er verdomme op wachten dat die alsnog in omloop zouden komen door wat low end boefjes en altijd wel wat slachtoffers zouden vinden. Afgeven op de systeembeheerders is makkelijk gedaan, maar die (en hun managers) werken met de middelen die ze hebben. Ik heb lang in de gezondheidszorg gewerkt en als de keuze is tussen een nieuw OS en een nieuwe couveuse is het niet altijd makkelijk om aan te tonen dat het OS belangrijk is. Terecht.

En als er geen BC's waren zou dit soort criminaliteit amper mogelijk zijn. Maar BC's zijn de toekomst volgens veel tweakers dus daar mag je nooit wat over zeggen.
De patch hiervoor heeft Microsoft in Maart uitgebracht. Het is nu Mei, we zijn ruim 2 maanden verder.

Daarnaast blijkt de ziekenhuisketen die in engeland als eerste plat ging nog vrij veel XP systemen te hebben. Dat is natuurlijk dan ook vragen om problemen.
Ze gebruiken alleen maar XP, dus patchen is niet mogelijk.
Patchen is mogelijk in vorm van een upgrade
(En voor de mensen die niet willen heeft MS nu ook een patch voor XP uitgebracht)
Patches voor unsupported versies van Windows.

Goed dat deze systemen alsnog beveiligd zijn, zolang het maar niet gezien wordt als een aanmoediging deze systemen gewoon te blijven gebruiken.
Hoe zit het met windows 7 , krijgt deze de update automatisch binnen of is er nog een handeling vereist ?
Windows 7 krijg deze automatisch binnen, mits automatisch updaten aan staat uiteraard ;)
Bitcoin is slechts 1 schakeltje in het geheel, die het idd wat makkelijker maakt. Zonder btc was ransomware ook groot geworden, sterker nog, ransomware bestaat al decennia.
Goed he dat de nsa en andere diensten die dingen verborgen houden zolang mogelijk dat ze die exploits kunnen misbruiken. /s

Het is goed dat die dingen naar buiten komen dat de mensen er zich bewust van worden.
Maar het bestaan van BitCoin, heeft het wel mogelijk gemaakt en lucratief business model op te zetten.
Tja en het bestaan van vliegtuigen heeft internationale smokkel een stuk simpeler gemaakt, door het bestaan van messen is het een stuk simpeler om iemand neer te steken, maar dat betekent niet dat die dingen de aanleiding zijn geweest van de criminaliteit. Voor de bitcoin had je ook al dit soort dingen (politie kinderporno virus ding waar je een paysafecard moest opsturen bijvoorbeeld).
Wanneer je een serieuze rol hebt in het beschermen van bijv. patiŽntgegevens kan je het m.i. niet permitteren een gat zoals MS17-010 een maand open te laten. Uiteraard moet er getest worden voordat het uitgerold wordt binnen een organisatie, maar een maand?
Hopelijk schudt deze uitbraak een hoop admins (maar vooral de bovenliggende lagen) wakker. Gezien de gebruikte exploits hadden ze ook informatie kunnen stelen. De boete voor datalekken kan best wel eens hoger zijn dan het gevraagde bedrag voor het ontsleutelen.
En de services van derden die op die servers draaien en plat gaan door zo'n patch? Onderzoeken annuleren dan maar? PatiŽnten naar huis sturen? Je hebt volkomen gelijk, maar het is gwn niet altijd zo simpel als het lijkt vrees ik. En idd, hopelijk wake up call 😉

De meeste hebben wel hun patches gehad, maar er zullen altijd enkele zijn die het wat moeilijker hebben met bepaalde updates, en dan is het wachten op de fabrikant van de software.

[Reactie gewijzigd door white modder op 13 mei 2017 10:33]

Het is natuurlijk het afwegen van risico's, maar na een besmetting moet je (in het slechtste geval) net zo goed onderzoeken annuleren en patiŽnten naar huis sturen.
dat is waar; nu in dit geval gaat de besmetting voornamelijk via end clients; als het goed is doet niemand mails open een server: en de endclients enforcen bij ons hun updates binnen de week door de grote interactie met de eindgebruiker.
Tja.. zo lijkt het erop dat de praktijk van mijn tandarts ook getroffen is. Die hebben echt geen systeembeheerder of iets dergelijks en de mensen die er wel werken zijn nou niet bepaald "handig met computers". Echter is de PC waarop de patienten database staat (afspraken, alle gegevens van iemands gebit, zoals behandelingen die gedaan zijn, x-ray foto's etc) dus de pineut.

Hoe ga je dit aanpakken? Maar belangrijker nog, waar ligt nu de verantwoordelijkheid? Want dit heeft gevolgen voor een reeks aan uiteenlopende zaken. Neem bijvoorbeeld het geval dat iemand een beroep doet op een "Tand Ongeval" verzekering. De verzekeraar vraagt dan om foto's van voor het ongeval en van na het ongeval, een patientenkaart van de afgelopen 3 jaar etc... Dat is niet meer te overhandigen en dus zal de verzekeraar besluiten niets uit te keren. Wie is er dan uiteindelijk de pineut? Gaat om duizenden euro's voor een dergelijke behandeling en ik ben bang dat de patient zelf geen poot heeft om op te staan.
Ik vind dat de tandarts in dat geval verantwoordelijk is voor het verlies van data. Het had voorkomen kunnen worden (patchen) en/of hersteld kunnen worden (back-up).
Maar wat ik vind kan best een eind van de realiteit staan.
Nee, zie link in de update van het artikel.
Jawel, de initiele infectie gaat door een email, daarna verspreid hij zich via die exploit.
Het zal ongetwijfeld op meerdere manieren verspreid worden, maar o.a. een quote uit dit artikel doet anders vermoeden:
Attackers would need to find a vulnerable SMB Server on the internet and send it a malicious packet to trigger the vulnerability
https://medium.com/@UID_/ransomware-outbreak-cb8c6081d6fe

Uit veel meer bronnen lijkt de initiele infectie via een email te zijn gegaan.
Je hebt ws gelijk maar ik sluit een "echte" remote aanval niet uit. (Via vanaf internet benaderbare servers, ga het nog uitzoeken)
Meer info mbt BTC en C2 adressen: https://gist.github.com/r...a5504f378b993ee6efbc0b168

Nog meer info: http://blog.emsisoft.com/...wcry-ransomware-outbreak/

en meer info: https://twitter.com/gN3mes1s/status/863149075159543808

[Reactie gewijzigd door ongekend41 op 13 mei 2017 00:13]

https://twitter.com/GossiTheDog/status/863186293991362562
Since there's much confusion about this - it's an SMB worm. There's no email. The user doesn't have to do anything.
In principe kan het zo ook gaan, al moet je wel echt dom zijn om je SMB server zo maar even benaderbaar te maken via het internet. Daar is het protocol sowieso nooit voor ontworpen. Deze malware is dan ook zo gebouwd dat na de eerste infectie heel het netwerk geÔnfecteerd kan worden van binnenuit, maar je moet nog altijd die eerste infectie zien te plaatsen.
SMB is wel degelijk voor het Internet ontwikkeld. Daarmee dat je NETBIOS over TCP/IP hebt, het was Microsofts visie om globaal toegang tot je domein en files te hebben (initieel via MSN).
Ik pik even mee in in je top reactie.
Aantal interessante analyses:
https://gist.github.com/r...a5504f378b993ee6efbc0b168
http://blog.talosintelligence.com/2017/05/wannacry.html

Er blijkt dus een verspreidings-killswitch te zijn, met sinkhole domeinen
https://pastebin.com/cRUii32E
Aangezien dit een vulnerability is in SMBv1. Betekend dit dat het virus ook alleen bestanden kan infecten welke draaien op een server met SMBv1?

Dus stel het virus krijgt toegang tot het netwerk, maar de fileserver draait op SMBv2 of SMBv3, zijn deze bestanden dan veilig?
Bleek nochtans door Microsoft reeds gepatched te zijn op 14 maart
MS17-010 https://technet.microsoft...ry/security/ms17-010.aspx

Duidelijk sysops die hun job niet gedaan hebben en windows niet geupdate hebben.

Grappige is hoe veel media spreekt van gerichte aanval op NHS, terwijl het een internationaal fenomeen is..
Dat ligt er toch heel erg aan hoe het patch management is. Bij ons gaan ze ook eerst twee weken het test circus in voordat ze uberhaupt gereleased wroden. Dan kan zo maar een maand later zijn. Hele kritische updates worden met noodwijzigingen in een kortere periode uitgerold. Dus voordat je gaat melden sysops die hun job niet doen etc moet je eerst eens indenken wat er gebeurd als je te snel een patch uitrolt en alle machines werken niet meer.
Typische nederlandse (en bijna wereldwijde) angstcultuur onder IT-ers. Altijd maar weer dit onbenullige argument:

"moet je eerst eens indenken wat er gebeurd als je te snel een patch uitrolt en alle machines werken niet meer"

Je moet je eerst eens bedenken wat het nu kost. En nu komen ze nog relatief goed weg met ransomware op hun toko, voor hetzelfde geld waren er bakken vol privť gegevens buitgemaakt (patientgegevens, ook nog).

Incompetente beheerders denken aan wat er allemaal mis kan gaan als ze iets doen, en besluiten het dan niet te doen, of veel te laat.

Competente beheerders denken aan wat er allemaal mis kan gaan als ze iets NIET doen.

Updates is echt het veld waarop het kaf van het koren wordt gescheiden. Prutsers hebben allemaal excuses om ze niet te doen of te laat, professionals houden het goed bij.
Ik vind jou reactie wel grappig en waarschijnlijk heb je absoluut geen benul hoe het in de zorg er aan toe gaat. Stel ik breng de patch uit en opeens werken 5 bestralingsunits niet meer omdat de pc's die ze aansturen niet meer werken. Nog leuker jij zit op je bloed onderzoek te wachten (hiv aanvraag voor je hypotheek etc) en de machines doen het niet meer omdat de update de werkstations die de machines aansturen niet meer werken. Zo maar aantal voorbeelden die je kan benoemen waarom er niet zomaar gepatched wordt maar er eerst over nagedacht wordt en getest wordt. Soms zelfs hele uitgebreide testen voordat het Łberhaupt vrij gegeven wordt op kritische systemen. Maar patch lekker los zodra ze uit zijn en ga niet zitten huilen in een hoekje als je kritisch systeem niet meer werkt.

Dit gezegd hebbende, de patch van april had natuurlijk allang op alle machines uitgerold moeten zijn.

[Reactie gewijzigd door mutsje op 12 mei 2017 22:37]

Geen enkele van de machines die jij noemt, hoort aan internet te hangen en/of e-mail te hebben. Hebben ze dat wel ben je.. een prutser.

En grappig dat je over de zorg begint, daar dat mijn werkgebied is :)

Ik zeg nergens dat er niet getest moet worden. Natuurlijk moet je testen en valideren. Het probleem bij prutsende IT-ers is; dan testen ze of valideren ze iets, is er een probleem, en dan gaat de handel de ijskast in.

De "if it works, don't fix it" mentaliteit. Niet voldoende kennis om problemen te kunnen oplossen, dus blijven hangen bij oude versies.

En zo kan het dat er - ook in de zorg - nog steeds machines op windows 95 (ja, echt!) staan te pruttelen her en der. Pure incompetentie.
Het virus gaat via een machine die aan Internet hangt en verspreid het vervolgens over het LAN. Dus hoe wil jij de machines beveiligen die op een zogenaamde no internet Vlan hangen? De bedreiging komt in dit geval van binnenuit en niet van buitenaf helaas zodra 1 machine die aan het internet hangt besmet is. Mijn mentaliteit is ook niet if it works don't fix it. Dat was in de jaren 90 toen je nog stoer was als je een uptime van 200 dagen had. Tegenwoordig ben je een looser daarin omdat je niet gepatched hebt.
Even voor de goede orde; deze machines behoren niet in of aan een netwerk met internet te hangen. Er komt dus niets van binnenaf of buitenaf.

Machines die internet hebben moeten gescheiden zijn van dit soort apparaten.

Liefst fysiek totaal gescheiden, dus eigen bekabeling/switches/etc, maar meer realistisch middels vlan op je managed switches.

Als er iets van internet komt, en het komt, linksom of rechtsom, op zo'n machine (je noemt echt heel specifieke hardware), dan is de beheerder een amateur. End of story.
Dus als ik morgen een CT scan krijg, hoe stel jij voor dat ze de resultaten ter beschikking stellen van de dokter? Even alles uitprinten zoals in de goede oude tijd? Dokter naar de scanner laten komen omdat enkel daar de resultaten staan opgeslagen (leuk voor disaster recovery, mag je dedicated lijnen naar god weet waar laten leggen om offsite backups te maken).

Neen, ergens moet je weer een link hebben waarmee je data kan uitwissellen met het patient informatie systeem. Daar kom je niet buiten bij dit soort apparatuur.
Die patch was zelfs in Maart al.
Begrijp ik ook, maar dit is geen 0-day of een week oude patch.
Is reeds 2 maand geleden patched geweest door Microsoft.
Ja ik begrijp ook dat IT afdelingen onderbemand zijn, maar dergelijke zaken.. komaan..

Anyway, nu hopen dat dit nieuws zich rap genoeg verspreid en mensen rap deze patch rap overal uitrollen.
Had ff datums door elkaar, je hebt inderdaad gelijk deze had al gepatched moeten zijn. ook als men twee weken test en na 3 weken in productie brengt. I stand corrected.
2 weken.. we zijn 2 maanden verder...

Daarnaast had Microsoft ook andere oplossingen aangedragen zoals het blokkeren van SMB 1.0 (dat theoretisch niet meer gebruikt wordt omdat deze uit het XP/2003 tijdperk komen)
Mag toch hopen dat je het niet als een wenselijke situatie beschouwt dat er handmatig system operators gaan patchen.
Nee, want die servers staan niet op het internet aangesloten. Ze moeten via een andere manier binnen zijn gedrongen. Ik vermoed een zero-day die alle Windows computers kan binnendringen die op het internet aangesloten zijn.

Als je geen firewall aan hebt staan op je router of computer dan ben je f*cked.

[Reactie gewijzigd door ArtGod op 12 mei 2017 20:36]

dat, of via sneaker-network
Elke PC is ook gekoppeld aan een andere bitcoin wallet, en blijkbaar zijn er verschillende wallets al aan het vollopen met geld, lijkt dus alsof ze gewoon betalen.

screenshot: https://pbs.twimg.com/media/C_n7v4BWsAAi8Sb.jpg:large
Betaling: https://blockchain.info/a...goj1pMvkpHijcRdfJNXj6LrLn

[Reactie gewijzigd door starfight op 12 mei 2017 19:03]

Echt? Ik mag bij dit soort bedrijven toch hopen dat ze een valide backup-configuratie hebben? Backups terugzetten en klaar. En natuurlijk uitzoeken hoe en wanneer de ransomware binnengekomen is en de verantwoordelijke gebruikers een stoomcursus PC-veiligheid laten volgen.
Maar hoe oud zijn die backup's? Als er honderden man werkt is die 275 euro al snel goedkoper dan het werk van een halve dag over moeten doen, als dat Łberhaupt al kan.
Kwestie van goed configureren. De standaard consumenten-grade Time Machine van Apple bijvoorbeeld maakt al ťlk uur een backup. Het is natuurlijk de vraag hoe lang het heeft geduurd voordat de ransomware gedetecteerd werd - mogelijk is de backup van een halve dag geleden inderdaad al encrypted, en dan wordt het lastiger.

Alsnog zou een backup terugzetten en de schade herstellen sterk de voorkeur moeten hebben over toegeven aan afpersing, zelfs als het mogelijk wat meer kost. Zolang mensen en organisaties blijven betalen voor dit soort dingen zal het niet gauw verdwijnen.
"Kwestie van goed configureren".

Altijd waar, maar omgevingen worden complexer and the ransom-ware ook. Er zijn al gevallen bekend waar hele backups die nog aangesloten waren op het netwerk mee ge-encrypt werden.

Ook daar kan je jezelf weer tegen beveiligen door o.a. offline backups bij te houden etc,etc, maar jezelf beschermen tegen dit soort praktijken wordt wel steeds ingewikkelder.
Voor thuis is dat een denkbare situatie. Voor organisaties van enige omvang niet. Je moet backups niet niet schrijfbaar aan je clients aanbieden, die moeten alleen nieuwe backups kunnen pushen.

Ransomware zou als grondig hardwarefalen gezien moeten worden, en dus niet als iets waar je met een zal geld je eigen falen kunt afkopen. Er moet niet toegegeven worden aan dit soort afpersing.
Het schijnt dus dat dit virus al meer dan een week geleden op de computers terecht is gekomen, dus de meeste backups zijn al besmet. Maargoed, deze ziekenhuizen draaide schijnbaar nog xp.
een back-up bij bedrijven en ziekenhuizen is niet zomaar even gepiept.
database mag dan niet in gebruik zijn en ga er maar van uit dat de database zo maar een terabyte of twee kan zijn als blijkt dat ook de database is getroffen.

Ik heb dit bij meerdere fabrieken en praktijken mee gemaakt dat ze letterlijk een dag stil lagen van wegen zon cryptolocker.
Een in use database die waar je geen backup van kan draaien? Misschien een jaar of 5 geleden, maar tegegwoordig maken we gewoon een backup van volledige machines zonder dat de gebruiker hier uberhaupt iets van merkt. Het kan echter minder werk/kostbaar zijn om 275 euro te betalen dan tig systemen te gaan recoveren en mogelijk ook nog wat werk te verliezen.
Betalen is terrorisme als dit in stand houden, dont feed,the beast. Uit principe zou je 10x zoveel moeten willen investeren in een andere oplossing als boeven spekken.
Principes zijn eenvoudig totdat je zelf het slachtoffer bent en geen uitweg meer ziet. Er wordt niet onderhandeld met terroristen, er wordt niet onderhandeld met kidnappers. Totdat bijv. ineens je eigen dochter ontvoerd wordt en er 1 miljoen euro losgeld geeist wordt. Ga je dan gewoon zwijgen en onmiddelijk realiseren dat je uit principe je dochter niet meer gaat terugzien. Of ga je er alles aan doen om het bedrag naar beneden teonderhandellen tot op een niveau dat je het kan betalen?
Ja het bestaat nog steeds! nieuwe software pakketten die SQL database versies gebruiken waarvan geen In use backup gedraaid kan worden.

volgens de makers van het pakket kan dat nog een jaar of 2 duren voordat dat er komt.
Database Replication? File system snapshots? Zijn zat oplossingen voor, mits je een capabele IT-afdeling hebt en voldoende budget voor de hardware uittrekt. Hebben ze dat niet? Jammer, leermoment. Meer budget hier naartoe en nu niet je falen afkopen, want dat geld gaat ongetwijfeld vervolgens afgetrokken worden van het IT-budget waardoor de situatie er nog slechter op wordt.
Replicatie heeft weinig zin in dit soort gevallen gezien je de corrupte data repliceert. Snapshots kunnen handig zijn maar mag je niet vergelijken met een daadwerkelijke backup. Zonder bron is een snapshot immers waardeloos.
Ja, maar mensen zijn aan het werk. 10Gbit krijg je wel vol hoor als er ťn data van/naar alle clients/servers gaat. Dat wil je niet hebben overdag.

Ja, er is jarenlang bespaart op IT maar dit had met de laatste patches verholpen kunnen zijn. Hoe lang bleven ze wel niet op een windows versie omdat hun bedrijfs software enkel in Explorer werkte :/ Dat was in veel sectoren zo.
Ziekenhuizen oogsten nu simpelweg wat zij gezaaid hebben :)
Ziekenhuizen oogsten nu simpelweg wat WIJ (Britons, in dit geval) gezaaid hebben. Bezuinigingsronde na bezuinigingsronde. Of dacht je dat een ziekenhuis hetzelfde budget heeft voor IT als een multinational?
"NHS net expenditure (resource plus capital, minus depreciation) has increased from £75.822 billion in 2005/06 to £117.229 billion in 2015/16. Planned expenditure for 2016/17 is £120.611bn."

Er is dus geld genoeg.
upgraden van computers heeft hier geen invloed op.
de aansturing van de apparaten en database werkt alleen op specifieke hard en software dit is niet eventjes cobian backup draaien en terug zetten. dat is wishful thinking.

10Gbit lan voor een gemiddelde fabriek zit er ook niet in daar hebben ze geen geld voor.

[Reactie gewijzigd door firest0rm op 12 mei 2017 20:14]

Het zal me niet verbazen als er nog infecties in Nederland bijkomen. Dat is een kwestie van tijd namelijk. Want ook de door jouw genoemde banken kunnen prima gehakkeld worden maak je geen illusies.

Als ik het goed gelezen heb zijn er daadwerkelijk ook al gevallen bekend in Frankrijk maar ligt het zwaartepunt van alle infecties in Rusland.
Herschrijven nog tot daar aan toe, al is dat in veel gevallen al een zware opgave. Wat je in o.a. de medische wereld vergeet zijn de validatie- en testtrajecten om zaken gecertificeerd te krijgen. En veel systemen zitten aan elkaar vast, waarbij je niet zomaar 1 element uit de keten kunt veranderen.

Ik snap je onderbuikgevoelens, maar de wereld zit ingewikkelder in elkaar dan een paar webscriptjes op een mysql database.
Wie uit het ziekenhuis zie je gespecialiseerde software herschrijven?! Daar hebben normaal gesproken vele mensen aan gewerkt en dat schrijf je niet even om naar windows 10. Daarnaast ben je aan het vergeten hoe het zit met licenties. Als je hun software herschrijft kun je nog een behoorlijke geldboete tegemoet zien ook. Dan heb je nog het feit dat in een ziekenhuis andere regels gelden, zeker op dat gebied. Natuurlijk moet het beter en is dit ergens te wijten aan een te langzaam update beleid. Maar ook al is alles up-to-date dan nog kan dit gebeuren.
Sorry, maar het verleden heeft al vaak genoeg aangewezen dat het zelf maken en ontwikkelen van programma's ten allen tijde te duur te omslachtig, en te star is gebleken voor welk departement of bedrijf maar ook.
Wie zegt dat je na het betalen wel de sleutel krijgt?
Hoe betrouwbaar zijn criminelen?
Redelijk betrouwbaar. Meestal leveren ze de sleutel wel. Het is ook in hun eigen voordeel want als ze het niet doen dan betaalt niemand meer.
Nooit betalen dus.
Door wel te betalen zou je de criminaliteit in stand en dat kan nooit de bedoeling zijn.
Er is wel meer niet de bedoeling, soms moet je toch toegeven aan dingen die niet de bedoeling zijn. Ik zou blind betalen als er mensenlevens (zoals in het ziekenhuis) af kunnen hangen van 235 euro :)

[Reactie gewijzigd door watercoolertje op 12 mei 2017 21:04]

Helaas wel. Als je niet bij het patiŽntendossier kunt (veelal electronisch), kun je ook niet kijken welke medicijnen een patiŽnt niet mag. Als je op de IC wordt binnengebracht nu, kan dat kritisch uitpakken.
Inderdaad, het zou wel heel slecht geregeld zijn als er mensen zouden kunnen overlijden doordat een harde schijf kapot gaat.
De mensen die dit soort ransomware verspreid hebben mogen wat mij betreft dan ook best vervolgd worden voor meervoudige (poging tot) doodslag, schooiers dat het zijn. Als ze ooit gepakt worden...
Nooit betalen, zeggen dat je dat wel gedaan hebt en dan luid uitschreeuwen op het internet dat ze de key niet geven. Ik weet het, liegen mag eigenlijk niet, maar als er nu regelmatig berichten opduiken dat betalen geen zin heeft, omdat je je bestanden toch niet terugkrijgt, zal het percentage slachtoffers dat betaalt wel een heel stuk lager liggen.
Het is § 300 per geÔnfecteerde pc hŤ, waarbij het zich via LAN verspreid. Je zou een 100 pc's hebben. Dure les :)
of het is §300,= per werkstation die geinfecteerd is... tel uit je criminele winst
Volgens diverse bronnen die ik tegenkom zou er mogelijk wel een decryptie tool beschikbaar zijn. De tool zelf kan ik echter niet vinden.

Betalen heeft een heel groot nadeel: je houdt ransomware direct in stand. De enige reden dat deze troep bestaat is dat mensen betalen en er dus vrij makkelijk in een korte tijd veel geld verdient kan worden.
Tot zover ik weet zijn voor andere types decryptietools ontwikkeld... Maar voor deze nog niet. Ondanks dat het wat amateuristisch lijkt te zijn geprogrammeerd voor dit soort type malware (basis build van iemand anders en dan de payload er los in schrijven... volgens mij is een script kiddie bezig geweest) is het nog niet zo makkelijk om vlug een 2048-bits encryptie te ontvouwen, zelfs als je de code ervan hebt.
Dat zou heel zorgelijk zijn. Ik snap dat de bestanden heel gevoelig zijn en waardevol maar als iedereen en zeker die grote bedrijven/ziekenhuizen dan blijft dit spel levend. Bitcoins kun je ook niet echt traceren dus daar achteraan gaan is ook niet te doen.
Nee, de truuk is betalen, en daarna wťl zorgen dat je shit up-to-date is. Mocht incompetent management het probleem zijn, heb je dan een stok om mee te slaan.
Toen het pas nieuw was niet inderdaad, dat was ik vergeten toe te lichten. Maar inmiddels moet je er als bedrijf met belangrijke data toch zeer zeker van op de hoogte zijn en al de nodige maatregelen getroffen hebben desnoods tegen welke kosten dan ook. Nu zal dat zeker veel tijd, geld en energie kosten in veel gevallen. Maar je data kwijt zijn in de eerste plaats wil je al niet en wanneer getroffen dan moet je daar maar relatief weinig voor te betalen. Daarentegen is dit dan het belonen van de criminelen en je kunt er bom op zeggen dat het steeds erger wordt omdat het loont. Ook lees ik regelmatig dat je niet eens altijd een decryption key krijgt ook nog eens.
Maar goed, de mens is gewoon in de regel naÔef en men zal eerst getroffen moeten worden voordat men echt goede maatregelen treft.

PS. mijn vorige post is gewoon ontopic en zeker geen troll of flame. Iedereen die zo mod valt bij mij onder de categorie "luie facebook tweaker" en weet niet eens waar de -1 voor staat. Als je het er niet mee eens bent reageer dan gewoon en ga in op de discussie.
Als er honderden mensen werken en besmet zijn dan is het ook honderden keren 275 betalen. Het te betalen bedrag is immers per besmet systeem.
Ik mag bij dit soort bedrijven toch hopen dat ze een valide backup-configuratie hebben? Backups terugzetten en klaar.

Inderdaad, wat een bedrijf als deze - als in elk bedrijf van deze omvang - is het volgende:

- compartimentering van clients in het netwerk waardoor ťťn client die malware krijgt niet de rest kan besemetten, maar hoogstens een kleine groep
- data in de cloud met backups en bescherming tegen 'rogue' clients (niet enkel betreft malware, maar ook betreft zaken als bugs, gebruikers fouten, etc)

Dan is het een kwetite van besmette workstation loskoppelen en verwijderen, besmette client-omgeving wissen een en nieuwe client neerzetten die vers inlogt van de niet aangetaste centrale servers.

Het hangt dus vooral af van hoe het bedrijf besmet geraakt is. Als een groot aantal workstations besmet is, kan het nog steeds even duren alvorens je weer volledig hersteld bent, zelfs al zou je een goed systeem hebben.
Gericht op zoveel bedrijven? Het kan zijn dat ze al een tijdje email adressen hebben gesprokkeld en dat vandaag losgelaten hebben. Zo veel mogelijk erin duwen. Vergeet ook niet dat Bitcoins deze week nog een nieuw record hebben gehaald volgens Kevin beaumont heeft hij ene account in de gaten welk inmidels de 100bitcoin bereikt heeft. https://twitter.com/GossiTheDog/status/863122077997551618

Dat is niet mis als je omrekent naar Euro's.
Ik denk ook wel dat hier in Nederland en BelgiŽ nog bedrijven slachtoffer gaan worden.
Mijn bron is een bericht op twitter https://twitter.com/fendi...pit-bulls-after-attack%2F

Maar gezien het papiertje aan het scherm links beneden met codes van NHL ben ik vrij zeker dat dit legitiem is
Helaas zo werkt het soms niet :) Bij een klant deden ze iets doms met de software (wijzigingen direct in productie-omgeving doorvoeren ipv eerst in test) en toen bleek dat hun meest recente backup ruim 2 dagen oud was. Bij sommige ziekenhuizen is het een puinhoop.
Sterker nog: "systemen voor het uitschrijven van recepten en email" zijn toch gewoon serverside applicaties die geen cruciale files lokaal opslaan mag ik hopen? Alle rŲntgenfoto's, verwijsbrieven, emails en andere files die belangrijk zijn voor zorgtaken staan hopelijk in een fatsoenlijk beveiligde database die niet kwetsbaar is voor deze rommel?
Dan heb je toch binnen een paar uur wat schone (en gepatchte) PC's opgezet binnen een geÔsoleerd netwerk en dan draait je core business weer? Dan kan je daarna op je gemak alle andere documenten gaan renoveren uit je backups (van losse brieven en notulen tot de flyer voor het klaverjastournooi).
Als je serversoftware is geinfecteerd kan je sowieso wel inpakken natuurlijk. Een client hoeft geen patientendossiers te herbergen, alleen uit te lezen en updates te sturen (die zonder enige twijfel versioned worden opgeslagen door de server).

Het duidt op zo ontzettend veel falen als er geen recente unencrypted backups zijn en essentiele gegevens encrypted worden in een productiedatabase dat.... ik ga die zin niet eens afmaken :'( :'( :'(

Ik beheer enkele servers in een kleine organisatie. Er hangen geen levens van de data op die servers af. De data verandert elke seconde, 24/7, maar een paar uur teruggaan is inderdaad geen ramp. En dus? Dat ik niet dezelfde taak heb betekent niet dat ik niet in kan zien wat er hier fout gaat...

[Reactie gewijzigd door MadEgg op 12 mei 2017 22:49]

Ik kan bevestigen dat merendeel van pcs in NHS op XP draait, ik dat dat genoeg zegt.
Iemand zal wel weer op een attachment geklikt hebben. Het kan ook een inside-job zijn waarbij ze iemand betaald hebben om op een attachment te klikken. Je kan toch altijd zeggen dat je het niet wist, dus het is makkelijk verdiend.
1 usb stick en daar gaat je 'zijn ze op afstand benaderbaar'.
De malware doet ook zijn encryptie werk wel zonder internet toegang.

En als ze nog XP draaien op meerdere systemen is de kans dat de patch uit maart is geinstalleerd op overige systemen ook niet zo groot.
Ik denk zomaar dat dit virus (en zo'n beetje alle moderne virussen) niet werkt op windows 98 dus het zou zomaar kunnen dat je veiliger bent met 98 dan met XP momenteel :P
Afaik zijn de wallets niet uniek per getroffen pc (en dat staat ook in het artikel), maar worden er een beperkt aantal wallets gebruikt.
De betaling hoeft dus niet gerelateerd te zijn aan de besmetting bij de ziekenhuizen.
Nu wil ik alle mensen die zo fel tegen de automatische updates van Windows zijn wel eens horen.
Het lijkt er nu op dat deze variant van de ransomware onschadelijk gemaakt is. Er zou een domain op Internet zijn die als een kill-switch functioneert. Als dit domain bestaat en gecontact kan worden, schakelt de ransomware zichzelf uit.

Het domain was door de makers van de ransomware nog niet geregistreerd, maar iemand van een blog heeft dit ontdekt door analyse van de executable, en heeft snel dat domain geregistreerd. Hierdoor is de kill-switch dus geactiveerd.

Zie https://www.security.nl/p...r+grote+ransomware-aanval voor meer info.

Uiteraard kunnen er wel weer nieuwe varianten komen die deze killswitch niet hebben, of die naar een andere site kijken. Het blijft dus wel zaak om z.s.m. de MS17-010 patch uit te rollen.
Ondanks het feit dat de OS-en al tijden uit support zijn, heeft Microsoft toch nog patches tegen dit lek gemaakt voor Windows XP, Windows 8i.0 en Windows Server 2003. Zie https://blogs.technet.mic...e-for-wannacrypt-attacks/

Moet toch zeggen dat ik dat heel erg netjes vind van MS, zeker voor XP dat al 3 jaar out of support is en inmiddels behoorlijk verouderd.
Hoe kan ik nou vinden of patch MS17-010. op mijn laptop staat? Ik vind alleen welke KB-patches erop staan.
Je kunt op https://technet.microsoft...ry/security/ms17-010.aspx zien welke KB-nummers het gaat.

Voor Windows 7 (en Server 2008R2) is dat KB4012215, patches kan je downloaden op http://www.catalog.update...m/Search.aspx?q=KB4012215

Voor Windows 8.1 (en Server 2012R2) is dat KB4012216, met download link: http://www.catalog.update...m/Search.aspx?q=KB4012216

En voor Windows 10 is het KB4012606 met als link http://www.catalog.update...m/Search.aspx?q=KB4012606

Je kunt uieraard ook gewoon Windows Update gebruiken. Als die deze patches niet meer vind, zijn ze dus reeds geinstalleerd.

[Reactie gewijzigd door wildhagen op 12 mei 2017 21:52]

Het lijkt erop dat ransomware heel snel z'n werk doet, maar als ik BitLocker aanzet is die wel een tijdje bezig. Waar zit het verschil?
9/10 cryptolockers draaien al op de achtergrond en pas wanneer ze klaar zijn komen ze met deze melding
Dit plus dat een cryptolocker geen hele harddisk of heel volume hoeft te encrypten zoals bij Bitlocker het geval is.
Het wordt na de infectie niet meteen zichtbaar.
De informatie wordt op de achtergrond versleuteld terwijl er nog niks aan de hand lijkt.
Als dat eenmaal is gelukt komt er een melding.
ze zouden cursussen moeten geven aan elke persoon die start te werken in een bedrijf met computers. Die ransomware dingen komen meestal binnen per email of een link waar je op moet klikken. Het is (in outlook) toch niet zo moeilijk om met je muis over de link te hooveren en dan naar de status balk te kijken wat de effectieve url is. Je ziet onmiddelijk dat dit niet verwijst naar de site waar de phissing mail zich in vermomd. Ik krijg ze elke dag en elke keer verifieer ik ze via status balk.

Ik zie het bijna maandelijks op het werk, ze hebben ransomware, na onderzoek blijkt dat de mail die de oorzaak was bvb factuur van dhl is, als je hen dan vraagt of ze een levering verwachten van dhl of iets geleverd hebben via dhl zeggen ze nee. Als je hen dan vraagt waarom ze die bijlage dan geopend hebben (of op de link geklikt hebben) blijft het stil.

Bij office 365 hebben ze ook systeem waarbij elke link in een email vervangen wordt door een link die verwijst naar een server van micrsoft waarbij als je op de link klikt eerst passeert via die server en er gekeken wordt of er niks verdachts gebeurd.

het blijft in mijn ogen telkens een gebruikers fout en ze zullen blijven gebeuren omdat de men de mensen er niet attent op maakt

Het lijkt hier alsof ze ganse ziekenhuizen gehacked hebben terwijl men waarschijnlijk gewoon een phissing email campagne had opgezet (mogelijk naar hen getarget) waarbij gebruikers de link / bijlagen hebben geopend.

edit iemand hierboven vermelde dat het mogelijk toch niet via phissing campagne gedaan werd. maar ja punt blijft zelfde veel mensen openen maar eender wat ze binnen krijgen zonder effe te kijken naar waar de link verwijst

[Reactie gewijzigd door joyrider3774 op 12 mei 2017 19:38]

Cursussen geven aan personeel is een verloren zaak, dit wordt heus wel gedaan bij ziekenhuizen echter de core van hun specialiteit is zorg verlenen en niet het kunnen werken met computers. Die worden meer als een last gezien.
Je kunt het de mensen niet kwalijk nemen. De aanvallen zijn tegenwoordig zeer gericht, gebruiken prima nederlands. Er is dan niets verdachts te zien.

Zo had ik laatst bij een bedrijf een vrachtbrief met Word bijlage (de bekende word exploit van enkele weken terug). De update hiervoor was nog geen 2 dagen oud en de meeste computers zouden de update installeren bij de volgende reboot (iets wat veel werknemers ook niet meer gewend zijn). De URL waar de malware op gehost was was een valide domein naam: blablalogistiek.com. Speciaal geregistreerd voor deze aanval (WHOIS stond op een TOR email adres). Ja, er was geen daadwerkelijke website (under construction) maar hoe moet je mensen dit gaan uitleggen? Administratie, je mag geen rekeningen meer openen? Logistiek, kijk uit met vrachtbrieven? Ziekenhuis, open geen patient gerelateerde emails?

Het is niet alleen de mensen die falen maar ook de techniek. Deze is gewoon veel te kwetsbaar voor hoe enorm we ervan afhankelijk zijn....

/edit: lol, gedownmod? Zijn we dan als tweakers zo blind als ik het opneem voor de normale gebruiker?

[Reactie gewijzigd door dycell op 13 mei 2017 00:40]

Als je via AD macro's uitschakelt hou je sowieso al wel heel wat Office troep buiten. Veel meer valt er helaas niet te verzinnen. Tegenwoordig worden deze mailtjes steeds beter. Helaas.
Is het niet gewoon mogelijk om bepaalde bestandsextensies in bijlagen/websites te whitelisten zodat .exe/.msi/whatever bestanden niet over het netwerk gaan
Verbaast me dat medewerkers in meerdere ziekenhuizen blijkbaar rechten hebben om executables uit te kunnen voeren. Hoe laks kun je zijn?

[Reactie gewijzigd door Nopheros op 12 mei 2017 19:28]

Mijn ervaring is dat ransomware lang niet altijd .exe's zijn. Ook in een .gif kan ransomware bevatten.
Dan nog zou het probleem zich alleen moeten verspreiden naar de netwerk locaties waar deze persoon rechten op heeft. Dat zou geen extreme storingen mogen veroorzaken.
Als je een bedrijf met 2000 werknemers zo'n mail stuurt en 10 mensen klikken er op, waarvan 1 met een hoge functie heb je al een hele berg dat die geencrypt is hoor. Op zon moment besluiten veel sysadmins het systeem down te halen om erger te voorkomen, en dat is hier waarschijnlijk het grote probleem nu. Systemen zijn uit voorzorg offline gehaald waardoor mensen ze niet kunnen gebruiken.

[Reactie gewijzigd door Johan9711 op 12 mei 2017 19:42]

Ik werk bij een bedrijf met 1000 medewerkers en nadat we een infectie met crytoware hadden werd de mogelijkheid voor die laatste paar met meer rechten ook uitgeschakeld. Enkele geinfecteerde mappen op de file server opruimen (waar die persoon rechten op had) en via de backup terug zetten.

Cryptoware moet schrijf rechten hebben op netwerk locaties om zich te kunnen verspreiden. Tenminste, dat is dan mijn ervaring.
In dit geval niet.
Ik heb uit verschillende bronnen gehoord dat een reeds gepatched lek in SMBv1 is gebruikt om deze ransomware te verspreiden.
Cryptoware (maar ook andere virussen) zijn en worden steeds complexer. Ik ben 5 jaar geleden al een worm tegengekomen die alle credentials onderving op een werkstation en dat gebruikte om scheduled tasks aan te maken op andere werkstations. Waarschijnlijk heeft er 1 low level admin op een geÔnfecteerd werkstation ingelogd. Toen hij een service account met admin rechten tegenkwam was het hek van de dam. Servers gingen plat, alle virusscanners werden uitgeschakeld.

Door de chaos was troubleshooting bijna niet te doen (servers gingen steeds onderuit) en opgeschoonde servers waren binnen een minuut weer geÔnfecteerd. Toen ik binnenkwam heb ik eerst alle netwerk segmenten (VLAN routing) uit laten schakelen en pas wanneer een segment "schoon" was bevonden werd het weer aangesloten. Dit koste me eerst nog zeker een uur onderhandelen met de directie gezien niemand zijn productie stil wil leggen.

Laat me je dit vragen: gebruik je een admin account? Dan ben je een zeer gewilde target voor de toekomstige batches cryptoware.En misschien is het bezoeken van een website al voldoende om je te infecteren...
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True