Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update

Door , 332 reacties, submitter: mr_verkerk

De Spaanse telecom- en internetprovider Telefónica en meerdere Engelse ziekenhuizen zijn tegelijkertijd schijnbaar door dezelfde ransomware getroffen. De ziekenhuizen hebben tijdelijk bijna hun gehele digitale infrastructuur stilgelegd en alleen spoedgevallen worden nog behandeld.

De ransomware-infectie begon op vrijdag rond de klok van half twee 's middags, zo melden Britse media waaronder The Register. Ook de aanval op Telefónica vond vermoedelijk rond die tijd plaats. Het zou gaan om de Wana Decrypt0r 2.0-ransomware. Het adres waar het Bitcoin-losgeld naar gestuurd moet worden, zou volgens The Register in ieder geval hetzelfde zijn, wat verder doet vermoeden dat dezelfde daders achter beide aanvallen zitten.

Andere Spaanse organisaties en bedrijven zouden ook doelwit zijn geworden van deze cyberaanval, maar op dit moment heeft alleen Telefónica dat nog bevestigd. Voor zover bekend is de dienstverlening van Telefónica wel ongehinderd en is de infectie beperkt tot het hoofdkwartier in Madrid.

De ransomware heeft de bestanden op de getroffen pc's versleuteld en de decryptiesleutel wordt alleen afgegeven wanneer er 300 dollar aan Bitcoin per getroffen pc overgemaakt wordt naar het vermelde adres. Dat is momenteel 0,17 Bitcoin of 275 euro. Als dat bedrag niet voldaan wordt binnen drie dagen, wordt het losgeld verdubbeld en na een week wordt de decryptiesleutel niet meer afgegeven. Foto's van de ransomware worden gedeeld op Twitter. Aan de beelden te zien, draait in ieder geval een deel van de pc's op Windows 7.

Hoeveel ziekenhuizen precies getroffen zijn, is niet duidelijk, maar The Guardian spreekt van 'veel'. Door het stilleggen van de systemen werken telefoons, e-mailadressen, netwerken, en uitschrijfsystemen voor medicijnrecepten niet meer. Het landelijke alarmnummer werkt nog wel zoals gewoonlijk en het ziet er op dit moment naar uit dat medische noodgevallen nog wel afgehandeld kunnen worden.

De Britse National Crime Agency werkt samen met de National Health Service om te achterhalen waar ze precies mee te maken hebben en wie er achter de aanval zit. Op het moment vermoeden ze dat het gaat om criminele activiteiten die niet gesponsord zijn door de regering van een ander land. Verder stellen ze dat er op dit moment geen bewijsmateriaal is verzameld dat erop zou duiden dat patiëntengegevens ingezien zijn door de aanvallers.

In januari van dit jaar werd een handvol ziekenhuizen ook al getroffen door malware. Vorig jaar betaalde een Amerikaanse ziekenhuis nog 15.000 euro aan losgeld om van een ransomware-infectie af te komen.

Update, 20:30: volgens een analyse van Kaspersky Lab maakt de ransomware gebruik van een 'EternalBlue'-kwetsbaarheid die blootgelegd is in de Shadowbrokers-datadump van vorige maand. Microsoft heeft de kwetsbaarheden al gerepareerd, maar het is aan gebruikers zelf om hun systemen ook up-to-date te houden. De bewuste update is MS17-010.
 
De aanval zou niet beperkt zijn tot Spanje en Engeland. Kaspersky krijgt meldingen van zijn securitysoftware die aantonen dat het zwaartepunt van de in totaal 45.000 gemeten aanvallen in Rusland zou liggen. In totaal zouden 74 landen betrokken zijn bij de aanval, waaronder de VS, China, Oekraïne, India en Taiwan.
 
Hoewel op het moment geen teken lijkt te zijn van een besmetting in Nederland, raadt het Nederlandse Nationaal Cyber Security Centrum wel aan om extra oplettend te zijn als het gaat om vreemde e-mailbijlages. De NOS schrijft dat deze waarschuwing ook specifiek naar gas-, water- en elektriciteitsbedrijven is gestuurd. De ransomware heeft zijn losgeldbrief in vele verschillende talen klaarstaan, waaronder Nederlands.
 
Her en der wordt ook melding gedaan van betalingen naar Bitcoin-wallets die geassocieerd zouden zijn met de ransomware.
 

Door Mark Hendrikman

Freelancer

12-05-2017 • 18:58

332 Linkedin Google+

Submitter: mr_verkerk

Lees meer

Reacties (332)

Wijzig sortering
Geïnteresseerden raad ik aan deze meneer te volgen:
https://www.twitter.com/GossiTheDog

Zit diep in het infosec vakgebied en zit bovenop deze zaak. Beetje informele bron maar zover bekend:

-niet alleen de reeds genoemde landen zijn getroffen maar ook Portugal, de VS en Pakistan wereldwijd vinden infecties plaats

-niet een mailvariant ransomware maar een worm die gebruikt maakt van een (reeds gepatchde) SMBv1 exploit; verspreidt zich via LAN (zie @ongekend41 hieronder voor interessante namen om eens op te zoeken)

-reeds 45000 PC's getroffen 78000 infecties and counting:
https://intel.malwaretech...net/wcrypt/?t=24h&bid=all

[update]-ransomware lijkt o.a. gebruik te maken van RDP exploit om binnen te komen op netwerken

Update:

Het aantal nieuwe infecties gaat hopelijk (tijdelijk) afnemen; het voortplantende deel van de ransomware bevat een kill-switch die is getriggered. Wat die doet is proberen bij een (voorheen) niet bestaand domain aan te kloppen, en zolang die geen response krijgt gaat die lekker door met verspreiden.

Echter, nu heeft https://www.twitter.com/MalwareTechBlog deze domain geregistreerd; de ransomware krijgt dus antwoord en stopt met zichzelf verspreiden. Grappig genoeg was dit niet met opzet gebeurd.

Voordat ik dit hele artikel samenvat: http://blog.talosintelligence.com/2017/05/wannacry.html

Goed overzicht van wat er nou is gebeurd vandaag, hoe 'WannaCry' (lijkt de nickname te worden) zijn ding doet en nog wat leuke technische details. :)

[Reactie gewijzigd door Xhondo op 13 mei 2017 02:58]

De ransomeware maakt gebruik van de ETERNALBLUE en DOUPLEPULSAR exploits. Dat zijn de door Shardowbrokers gelekte NSA tools en er is idd al een tijdje een patch beschikbaar (MS17-010)

Heatmap: https://twitter.com/malwr...status/863093386479378432

[Reactie gewijzigd door ongekend41 op 12 mei 2017 20:32]

De ransomeware maakt gebruik van de ETERNALBLUE en DOUPLEPULSAR exploits. Dat zijn de door Shardowbrokers gelekte NSA tools
Goed he dat die nu allemaal openbaar zijn..... Je kon er verdomme op wachten dat die alsnog in omloop zouden komen door wat low end boefjes en altijd wel wat slachtoffers zouden vinden. Afgeven op de systeembeheerders is makkelijk gedaan, maar die (en hun managers) werken met de middelen die ze hebben. Ik heb lang in de gezondheidszorg gewerkt en als de keuze is tussen een nieuw OS en een nieuwe couveuse is het niet altijd makkelijk om aan te tonen dat het OS belangrijk is. Terecht.

En als er geen BC's waren zou dit soort criminaliteit amper mogelijk zijn. Maar BC's zijn de toekomst volgens veel tweakers dus daar mag je nooit wat over zeggen.
De patch hiervoor heeft Microsoft in Maart uitgebracht. Het is nu Mei, we zijn ruim 2 maanden verder.

Daarnaast blijkt de ziekenhuisketen die in engeland als eerste plat ging nog vrij veel XP systemen te hebben. Dat is natuurlijk dan ook vragen om problemen.
Ze gebruiken alleen maar XP, dus patchen is niet mogelijk.
Patchen is mogelijk in vorm van een upgrade
(En voor de mensen die niet willen heeft MS nu ook een patch voor XP uitgebracht)
Patches voor unsupported versies van Windows.

Goed dat deze systemen alsnog beveiligd zijn, zolang het maar niet gezien wordt als een aanmoediging deze systemen gewoon te blijven gebruiken.
Hoe zit het met windows 7 , krijgt deze de update automatisch binnen of is er nog een handeling vereist ?
Windows 7 krijg deze automatisch binnen, mits automatisch updaten aan staat uiteraard ;)
Bitcoin is slechts 1 schakeltje in het geheel, die het idd wat makkelijker maakt. Zonder btc was ransomware ook groot geworden, sterker nog, ransomware bestaat al decennia.
Goed he dat de nsa en andere diensten die dingen verborgen houden zolang mogelijk dat ze die exploits kunnen misbruiken. /s

Het is goed dat die dingen naar buiten komen dat de mensen er zich bewust van worden.
Want voor bitcoins waren er nog geen malwareverspreiders? Ook als ze er geen geld voor zouden kunnen krijgen zijn er nog genoeg mensen zo ziek in hun hoofd dat ze alleen maar plezier kunnen hebben door anderen te laten lijden dus dan was dit soort malware ook echt wel verspreid. Nu gebeurt het echter iets meer omdat er ook genoeg schooiers een paar centen aan proberen te verdienen.
Maar het bestaan van BitCoin, heeft het wel mogelijk gemaakt en lucratief business model op te zetten.
Tja en het bestaan van vliegtuigen heeft internationale smokkel een stuk simpeler gemaakt, door het bestaan van messen is het een stuk simpeler om iemand neer te steken, maar dat betekent niet dat die dingen de aanleiding zijn geweest van de criminaliteit. Voor de bitcoin had je ook al dit soort dingen (politie kinderporno virus ding waar je een paysafecard moest opsturen bijvoorbeeld).
Messen en vliegtuigen hebben ook een groot nut. Pistolen hebben in het dagelijks gebruik geen nut buiten sportschieten en politie en zijn daarom ook niet normaal te kopen (behalve in VS).

Het nut van BTC is op moment nogal beperkt tot speculatie, ransomware en darknet-transacties. Als ze verboden werden zou ik het jammer vinden vanuit technisch oogpunt, maar maatschappelijk lijkt me dat op moment zelfs beter.
Dat is een kromme vergelijking die nergens op slaat. Het thema waar het hier om gaat is "anoniem". Voor bitcoin had je ook wel ransomware en die werkte met creditcard betalingen als ik het me goed herinner. Dat soort betalingsverkeer is echter te traceren (en paysafe kaarten die ergens naartoe gestuurd worden ook), bitcoin nauwelijks. Alleen wanneer je gedurende een lange periode bitcoin gebruikt, loop je meer risico (zie Silk Road e.d.).

Anonimiteit verlaagd de pakkans en dat is een factor die criminelen meenemen in hun afweging. Kun je nog zoveel drogredenen tegenaan gooien, maar dat is gewoon zo. Je zult ook best wel goede dingen met BitCoin kunnen doen, maar dat het criminaliteit stimuleert is niet te ontkennen. Net als bij anonieme Zwitserse bankrekeningen.
Mee eens. BTC maakt ransomware en afpersingen met ontvoeringen geweldig mogelijk, terwijl er maar weinig legitieme gebruiksmogelijkheden zijn voor een netwerk wat een paar transacties per seconde kan verwerken en daarvoor 4,124,637,820 GH/s gebruikt.
Ja, goed dat het openbaar is. Dan kan er een patch uitgerold worden en zijn de systemen tegen deze exploits beschermd. (gratis, mits een nog ondersteund OS)
Ik snap dat er keuzes gemaakt moeten worden bij organisaties met een beperkt budget maar een onveilig OS (a la Win XP) blijven gebruiken is vragen om problemen. Het is geen "onverwachte uitgave", hier kun je in je begroting prima rekening mee houden.

Zonder Bitcoin (en andere digitale valuta) zou dit soort criminaliteit zeker nog bestaan, ze vinden vast een andere manier om het geld binnen te harken. Voor zowel aanvaller als slachtoffer is BTC waarschijnlijk wel makkelijker om de transactie te doen. Niettemin is niet betalen en een back-up(!) terugzetten de beste oplossing. Als iedereen dat zou doen, dan maakt het bestaan van digitale valuta geen drol uit.
windows 7 is anders nog volop in gebruik, ondersteund en... ook kwetsbaar indien niet gepatched. En ik denk wel dat veel gewone pc's die update al wel binnen hebben gehad bij de meeste organisaties, maar voor servers ligt dat nog wel eens wat anders, daar gaat meestal iets meer tijd overheen.
Wanneer je een serieuze rol hebt in het beschermen van bijv. patiëntgegevens kan je het m.i. niet permitteren een gat zoals MS17-010 een maand open te laten. Uiteraard moet er getest worden voordat het uitgerold wordt binnen een organisatie, maar een maand?
Hopelijk schudt deze uitbraak een hoop admins (maar vooral de bovenliggende lagen) wakker. Gezien de gebruikte exploits hadden ze ook informatie kunnen stelen. De boete voor datalekken kan best wel eens hoger zijn dan het gevraagde bedrag voor het ontsleutelen.
En de services van derden die op die servers draaien en plat gaan door zo'n patch? Onderzoeken annuleren dan maar? Patiënten naar huis sturen? Je hebt volkomen gelijk, maar het is gwn niet altijd zo simpel als het lijkt vrees ik. En idd, hopelijk wake up call 😉

De meeste hebben wel hun patches gehad, maar er zullen altijd enkele zijn die het wat moeilijker hebben met bepaalde updates, en dan is het wachten op de fabrikant van de software.

[Reactie gewijzigd door white modder op 13 mei 2017 10:33]

Het is natuurlijk het afwegen van risico's, maar na een besmetting moet je (in het slechtste geval) net zo goed onderzoeken annuleren en patiënten naar huis sturen.
dat is waar; nu in dit geval gaat de besmetting voornamelijk via end clients; als het goed is doet niemand mails open een server: en de endclients enforcen bij ons hun updates binnen de week door de grote interactie met de eindgebruiker.
Tja.. zo lijkt het erop dat de praktijk van mijn tandarts ook getroffen is. Die hebben echt geen systeembeheerder of iets dergelijks en de mensen die er wel werken zijn nou niet bepaald "handig met computers". Echter is de PC waarop de patienten database staat (afspraken, alle gegevens van iemands gebit, zoals behandelingen die gedaan zijn, x-ray foto's etc) dus de pineut.

Hoe ga je dit aanpakken? Maar belangrijker nog, waar ligt nu de verantwoordelijkheid? Want dit heeft gevolgen voor een reeks aan uiteenlopende zaken. Neem bijvoorbeeld het geval dat iemand een beroep doet op een "Tand Ongeval" verzekering. De verzekeraar vraagt dan om foto's van voor het ongeval en van na het ongeval, een patientenkaart van de afgelopen 3 jaar etc... Dat is niet meer te overhandigen en dus zal de verzekeraar besluiten niets uit te keren. Wie is er dan uiteindelijk de pineut? Gaat om duizenden euro's voor een dergelijke behandeling en ik ben bang dat de patient zelf geen poot heeft om op te staan.
Ik vind dat de tandarts in dat geval verantwoordelijk is voor het verlies van data. Het had voorkomen kunnen worden (patchen) en/of hersteld kunnen worden (back-up).
Maar wat ik vind kan best een eind van de realiteit staan.
Ik heb dan geen medelijden met de tandarts. Het is niet slecht betaald, en je mag verwachten van iemand met een dergelijke opleiding dat iemand genoeg zelfkennis heeft dat hij of zij dat niet kan.
Niet de BC maar de chain technologie met zijn bijbehorende valuta.
Als beheerder heb je gewoon gruwelijk hard gefaald als het netwerk dat je beheerd getroffen is door wannacry! Daar is gewoon geen excuus voor.

Ondersteunde versies van Windows waren, mits up-to-date, al maanden lang gepatched. De meeste antivirus pakketten beveiligde ook al sinds maart tegen deze bedreiging.

Het is zorgwekkend dat er ziekenhuizen zijn die beveiliging zo onserieus genomen hebben en de reden waarom dat niet zou mogen kunnen is nu pijnlijk duidelijk lijkt mij!
Nope. Die SMB exploit kan je alleen op het intranet gebruiken. Ze moeten een andere manier gevonden hebben om binnen te dringen.
Nee, zie link in de update van het artikel.
Jawel, de initiele infectie gaat door een email, daarna verspreid hij zich via die exploit.
Het zal ongetwijfeld op meerdere manieren verspreid worden, maar o.a. een quote uit dit artikel doet anders vermoeden:
Attackers would need to find a vulnerable SMB Server on the internet and send it a malicious packet to trigger the vulnerability
https://medium.com/@UID_/ransomware-outbreak-cb8c6081d6fe

Uit veel meer bronnen lijkt de initiele infectie via een email te zijn gegaan.
Je hebt ws gelijk maar ik sluit een "echte" remote aanval niet uit. (Via vanaf internet benaderbare servers, ga het nog uitzoeken)
Meer info mbt BTC en C2 adressen: https://gist.github.com/r...a5504f378b993ee6efbc0b168

Nog meer info: http://blog.emsisoft.com/...wcry-ransomware-outbreak/

en meer info: https://twitter.com/gN3mes1s/status/863149075159543808

[Reactie gewijzigd door ongekend41 op 13 mei 2017 00:13]

https://twitter.com/GossiTheDog/status/863186293991362562
Since there's much confusion about this - it's an SMB worm. There's no email. The user doesn't have to do anything.
In principe kan het zo ook gaan, al moet je wel echt dom zijn om je SMB server zo maar even benaderbaar te maken via het internet. Daar is het protocol sowieso nooit voor ontworpen. Deze malware is dan ook zo gebouwd dat na de eerste infectie heel het netwerk geïnfecteerd kan worden van binnenuit, maar je moet nog altijd die eerste infectie zien te plaatsen.
SMB is wel degelijk voor het Internet ontwikkeld. Daarmee dat je NETBIOS over TCP/IP hebt, het was Microsofts visie om globaal toegang tot je domein en files te hebben (initieel via MSN).
Onjuist. Je kan dom genoeg zijn om SMB open te hebben staan richting internet.
Oooooh trust me dat dat soort zaken gebeuren. Pure ontwetendheid... Wat dacht je bijvoorbeeld van tandartspraktijken die meerdere lokaties hebben, maar wel op alle lokaties bij hun patientendatabase willen kunnen, wat overigens heel vaak een simpel Microsoft Access *.mdb bestand is wat door dergelijke programmatuur wordt gebruikt. Dan gebeurd het maar vaak genoeg dat gewoon de SMB poortjes worden opengezet op de routertjes hoor! En bij de tandartspraktijk is er dan een hosanna stemming "ja, het werkt!". Dit soort situaties gebeuren echt zo veel vaker dan je denkt.

Ach, wat er nu gebeurd is wederom een typisch geval waarom een EPD een zeer slecht idee is.
Euhm, gewoon even wat poortjes openzetten is toch echt niet genoeg. Als ze slim genoeg zijn om ook nog eens om o.a. de dynamische IP adressen en alles met rechten heen te dansen dan hoop ik ook dat ze slim genoeg zijn om in te zien dat smb zomaar benaderbaar te maken via het internet gewoon oerdom is. En als ze toch zo dom zijn, dan zouden ze net wel automatische updates moeten hebben aanstaan en waren ze hier ook weer niet kwetsbaar geweest.

Daarnaast heeft dit helemaal niets met een EPD project te maken. Niemand werkt vandaag nog met dossiers op papier. Maakt niet uit of de opslag gecentraliseerd is of niet. Je gaat voor je administratie gewoon met de tijd mee.
Als je met de tijd mee wilt gaan dan zou je juist dergelijke administratie op een airgapped pc moeten doen. Alles wat aan een extern netwerk als het internet hangt is simpelweg kwetsbaar. Ook fully updated computers. Zero days doe je simpelweg niets aan en (bijvoorbeeld) medische data is te waardevol om risico's mee te willen lopen.
Alleen werken we vandaag niet meer op 1 locatie maar moeten we ook op andere locaties aan onze data kunnen. Een air gapped netwerk is dan helemaal niet praktisch meer. Beveiliging staat haaks op functionaliteit. En dat is de grootste uitdaging: een goede balans vinden tussen die twee.
Ik denk dat de beslissing voornamelijk gebaseerd moet zijn op hoe waardevol de informatie is waar je mee werkt. Van mij mag medische informatie best een restrictie krijgen tot airgapped PC's. Zoals in mijn geval, een tandartspraktijk waarvan de server de klos is. Alle patientendossiers, foetsie. Geen backup.

En daar sta je dan. Met een gebroken tandwortel (kind klapt vol tegen m'n gezicht aan) en een verzekerings maatschappij die de patientenkaart tot 3 jaar terug en een rontgen foto van voor het ongeval en na het ongeval wil zien. Opnieuw een foto maken van een gebroken tandwortel is het probleem niet, maar de foto's van daarvoor en de historie van mij als patient is simpelweg in het land der lost bits en bytes. Ik vermoed dat de verzekeringsmaatschappij besluit dat ik de kosten niet kan declareren omdat ze zonder de gevraagde gegevens geen correcte beoordeling kunnen doen, en dat de tandarts het gooit op overmacht.

Had allemaal voorkomen kunnen worden, en ja wellicht ook wel met een gedegen backup-stragie en het up to date houden van computers, maar ook up to date computers blijven kwetsbaar in gevallen van zero-day exploits etc. Ik vind simpelweg dat sommige gegevens niet op computers thuishoren die aangesloten zijn op externe (lees onvertrouwde) netwerken.
Deze exploits, kunnen die niet geblokkeerd worden door de betere routers o.i.d.? Ik ben hier niet in thuis, maar ben wel nieuwsgierig naar een antwoord.
Poorten 445/139 en 3389 dichtzetten kan helpen. Of zie hier, 7 tips onderaan de pagina.

[Reactie gewijzigd door ongekend41 op 13 mei 2017 11:19]

Ik pik even mee in in je top reactie.
Aantal interessante analyses:
https://gist.github.com/r...a5504f378b993ee6efbc0b168
http://blog.talosintelligence.com/2017/05/wannacry.html

Er blijkt dus een verspreidings-killswitch te zijn, met sinkhole domeinen
https://pastebin.com/cRUii32E
Aangezien dit een vulnerability is in SMBv1. Betekend dit dat het virus ook alleen bestanden kan infecten welke draaien op een server met SMBv1?

Dus stel het virus krijgt toegang tot het netwerk, maar de fileserver draait op SMBv2 of SMBv3, zijn deze bestanden dan veilig?
Als het goed is, en ik alles correct interpreteer van de analyses - ja. Ten minste, zolang je ook gewoon patcht. SMBv1 lijkt als 'onveilig' verklaard te moeten worden tenzij je Win10 draait en gepatcht hebt.
Dan moet je wel smb1 op de fileserver uitschakelen. Default doet Windows een fallback, daarom staat op alle systemen ook smb1 aan... voor het geval er nog een verloren XP machine (of nog ouder) aan klopt...
Nee. Infectie van een pc vereist SMBv1, maar bestanden versleutelen kan het ding ongeacht van de versie wel (op dezelfde manier dat jij er met Windows verkenner ook wel bij kan).
Donkerbruin vermoeden dat ergens nog computers met windows XP worden gebruikt.

http://www.zdnet.com/arti...antique-operating-system/
Bleek nochtans door Microsoft reeds gepatched te zijn op 14 maart
MS17-010 https://technet.microsoft...ry/security/ms17-010.aspx

Duidelijk sysops die hun job niet gedaan hebben en windows niet geupdate hebben.

Grappige is hoe veel media spreekt van gerichte aanval op NHS, terwijl het een internationaal fenomeen is..
Dat ligt er toch heel erg aan hoe het patch management is. Bij ons gaan ze ook eerst twee weken het test circus in voordat ze uberhaupt gereleased wroden. Dan kan zo maar een maand later zijn. Hele kritische updates worden met noodwijzigingen in een kortere periode uitgerold. Dus voordat je gaat melden sysops die hun job niet doen etc moet je eerst eens indenken wat er gebeurd als je te snel een patch uitrolt en alle machines werken niet meer.
Typische nederlandse (en bijna wereldwijde) angstcultuur onder IT-ers. Altijd maar weer dit onbenullige argument:

"moet je eerst eens indenken wat er gebeurd als je te snel een patch uitrolt en alle machines werken niet meer"

Je moet je eerst eens bedenken wat het nu kost. En nu komen ze nog relatief goed weg met ransomware op hun toko, voor hetzelfde geld waren er bakken vol privé gegevens buitgemaakt (patientgegevens, ook nog).

Incompetente beheerders denken aan wat er allemaal mis kan gaan als ze iets doen, en besluiten het dan niet te doen, of veel te laat.

Competente beheerders denken aan wat er allemaal mis kan gaan als ze iets NIET doen.

Updates is echt het veld waarop het kaf van het koren wordt gescheiden. Prutsers hebben allemaal excuses om ze niet te doen of te laat, professionals houden het goed bij.
Ik vind jou reactie wel grappig en waarschijnlijk heb je absoluut geen benul hoe het in de zorg er aan toe gaat. Stel ik breng de patch uit en opeens werken 5 bestralingsunits niet meer omdat de pc's die ze aansturen niet meer werken. Nog leuker jij zit op je bloed onderzoek te wachten (hiv aanvraag voor je hypotheek etc) en de machines doen het niet meer omdat de update de werkstations die de machines aansturen niet meer werken. Zo maar aantal voorbeelden die je kan benoemen waarom er niet zomaar gepatched wordt maar er eerst over nagedacht wordt en getest wordt. Soms zelfs hele uitgebreide testen voordat het überhaupt vrij gegeven wordt op kritische systemen. Maar patch lekker los zodra ze uit zijn en ga niet zitten huilen in een hoekje als je kritisch systeem niet meer werkt.

Dit gezegd hebbende, de patch van april had natuurlijk allang op alle machines uitgerold moeten zijn.

[Reactie gewijzigd door mutsje op 12 mei 2017 22:37]

Geen enkele van de machines die jij noemt, hoort aan internet te hangen en/of e-mail te hebben. Hebben ze dat wel ben je.. een prutser.

En grappig dat je over de zorg begint, daar dat mijn werkgebied is :)

Ik zeg nergens dat er niet getest moet worden. Natuurlijk moet je testen en valideren. Het probleem bij prutsende IT-ers is; dan testen ze of valideren ze iets, is er een probleem, en dan gaat de handel de ijskast in.

De "if it works, don't fix it" mentaliteit. Niet voldoende kennis om problemen te kunnen oplossen, dus blijven hangen bij oude versies.

En zo kan het dat er - ook in de zorg - nog steeds machines op windows 95 (ja, echt!) staan te pruttelen her en der. Pure incompetentie.
Het virus gaat via een machine die aan Internet hangt en verspreid het vervolgens over het LAN. Dus hoe wil jij de machines beveiligen die op een zogenaamde no internet Vlan hangen? De bedreiging komt in dit geval van binnenuit en niet van buitenaf helaas zodra 1 machine die aan het internet hangt besmet is. Mijn mentaliteit is ook niet if it works don't fix it. Dat was in de jaren 90 toen je nog stoer was als je een uptime van 200 dagen had. Tegenwoordig ben je een looser daarin omdat je niet gepatched hebt.
Even voor de goede orde; deze machines behoren niet in of aan een netwerk met internet te hangen. Er komt dus niets van binnenaf of buitenaf.

Machines die internet hebben moeten gescheiden zijn van dit soort apparaten.

Liefst fysiek totaal gescheiden, dus eigen bekabeling/switches/etc, maar meer realistisch middels vlan op je managed switches.

Als er iets van internet komt, en het komt, linksom of rechtsom, op zo'n machine (je noemt echt heel specifieke hardware), dan is de beheerder een amateur. End of story.
Dus als ik morgen een CT scan krijg, hoe stel jij voor dat ze de resultaten ter beschikking stellen van de dokter? Even alles uitprinten zoals in de goede oude tijd? Dokter naar de scanner laten komen omdat enkel daar de resultaten staan opgeslagen (leuk voor disaster recovery, mag je dedicated lijnen naar god weet waar laten leggen om offsite backups te maken).

Neen, ergens moet je weer een link hebben waarmee je data kan uitwissellen met het patient informatie systeem. Daar kom je niet buiten bij dit soort apparatuur.
Die patch was zelfs in Maart al.
Deels heb je uiteraard gelijk, patches worden niet dag 1 uitgerold. Daar zit een duidelijke test cycle aan vast in de meeste gevallen. Echter 2 maand is gewoon te lang, voor welke test cycle dan ook, dat valt niet imho niet meer te verdedigen, in ieder geval niet voor machines die internet toegang hebben, of machines die via het netwerk kunnen communiceren met machines die internet toegang hebben.

Voor mission critical machines in een afgesloten vlan of afgesloten fysiek netwerk die op geen enkele wijze direct of indirect kunnen verbinden met internet of ander machines met internet kan de cycle wat langer zijn. No Internet VLAN zijn leuk, maar eigenlijk moeten de No Internet VLANs ook niet kunnen communiceren met machines op internet VLANs, tenzij zeer goed gefirewalled naar de specifieke machines waarmee ze moeten kunnen communiceren en dan ook nog eens alleen op de poorten waarmee deze communicatie gedaan wordt.

Maar je moet als beheerder imho ook proactief zijn en als MS dan komt met een bulletin waarin duidelijk wordt dat die "shadow broker" exploits gereleased zijn met links naar alle patches moet ik imho als IT afdeling op een moment als dat direct actie ondernemen, gericht gaat testen en de patches z.s.m. implementeren. Daar deze patches vanaf het moment dat de exploits "in the open" waren toch wel erg kritiek zijn geworden.
Begrijp ik ook, maar dit is geen 0-day of een week oude patch.
Is reeds 2 maand geleden patched geweest door Microsoft.
Ja ik begrijp ook dat IT afdelingen onderbemand zijn, maar dergelijke zaken.. komaan..

Anyway, nu hopen dat dit nieuws zich rap genoeg verspreid en mensen rap deze patch rap overal uitrollen.
Had ff datums door elkaar, je hebt inderdaad gelijk deze had al gepatched moeten zijn. ook als men twee weken test en na 3 weken in productie brengt. I stand corrected.
2 weken.. we zijn 2 maanden verder...

Daarnaast had Microsoft ook andere oplossingen aangedragen zoals het blokkeren van SMB 1.0 (dat theoretisch niet meer gebruikt wordt omdat deze uit het XP/2003 tijdperk komen)
Mag toch hopen dat je het niet als een wenselijke situatie beschouwt dat er handmatig system operators gaan patchen.
Nee, want die servers staan niet op het internet aangesloten. Ze moeten via een andere manier binnen zijn gedrongen. Ik vermoed een zero-day die alle Windows computers kan binnendringen die op het internet aangesloten zijn.

Als je geen firewall aan hebt staan op je router of computer dan ben je f*cked.

[Reactie gewijzigd door ArtGod op 12 mei 2017 20:36]

dat, of via sneaker-network
Tjah, als de ziekenhuizen in de UK nog altijd op windows XP draaien. Dan moet je niet verwonderd zijn, dat zoiets gebeurd.

https://www.theregister.c.../08/windows_xp_nhs_still/
Elke PC is ook gekoppeld aan een andere bitcoin wallet, en blijkbaar zijn er verschillende wallets al aan het vollopen met geld, lijkt dus alsof ze gewoon betalen.

screenshot: https://pbs.twimg.com/media/C_n7v4BWsAAi8Sb.jpg:large
Betaling: https://blockchain.info/a...goj1pMvkpHijcRdfJNXj6LrLn

[Reactie gewijzigd door starfight op 12 mei 2017 19:03]

Echt? Ik mag bij dit soort bedrijven toch hopen dat ze een valide backup-configuratie hebben? Backups terugzetten en klaar. En natuurlijk uitzoeken hoe en wanneer de ransomware binnengekomen is en de verantwoordelijke gebruikers een stoomcursus PC-veiligheid laten volgen.
Maar hoe oud zijn die backup's? Als er honderden man werkt is die 275 euro al snel goedkoper dan het werk van een halve dag over moeten doen, als dat überhaupt al kan.
Kwestie van goed configureren. De standaard consumenten-grade Time Machine van Apple bijvoorbeeld maakt al élk uur een backup. Het is natuurlijk de vraag hoe lang het heeft geduurd voordat de ransomware gedetecteerd werd - mogelijk is de backup van een halve dag geleden inderdaad al encrypted, en dan wordt het lastiger.

Alsnog zou een backup terugzetten en de schade herstellen sterk de voorkeur moeten hebben over toegeven aan afpersing, zelfs als het mogelijk wat meer kost. Zolang mensen en organisaties blijven betalen voor dit soort dingen zal het niet gauw verdwijnen.
"Kwestie van goed configureren".

Altijd waar, maar omgevingen worden complexer and the ransom-ware ook. Er zijn al gevallen bekend waar hele backups die nog aangesloten waren op het netwerk mee ge-encrypt werden.

Ook daar kan je jezelf weer tegen beveiligen door o.a. offline backups bij te houden etc,etc, maar jezelf beschermen tegen dit soort praktijken wordt wel steeds ingewikkelder.
Voor thuis is dat een denkbare situatie. Voor organisaties van enige omvang niet. Je moet backups niet niet schrijfbaar aan je clients aanbieden, die moeten alleen nieuwe backups kunnen pushen.

Ransomware zou als grondig hardwarefalen gezien moeten worden, en dus niet als iets waar je met een zal geld je eigen falen kunt afkopen. Er moet niet toegegeven worden aan dit soort afpersing.
Zelfs offline backups kunnen getroffen zijn. Aangezien je tienduizenden computers hebt die op heel korte tijd meldingen zijn beginnen vertonen kan het goed zijn dat deze malware al enkele weken of maanden actief is op deze systemen en al die tijd rustig heeft afgewacht tot de juiste tijd er is. Dan kunnen je backups evengoed besmet zijn.
Het schijnt dus dat dit virus al meer dan een week geleden op de computers terecht is gekomen, dus de meeste backups zijn al besmet. Maargoed, deze ziekenhuizen draaide schijnbaar nog xp.
wel grappig dat het "ziekenhuis" screenshotje met de nhs nummers eronder een windows 7 machine is.
een back-up bij bedrijven en ziekenhuizen is niet zomaar even gepiept.
database mag dan niet in gebruik zijn en ga er maar van uit dat de database zo maar een terabyte of twee kan zijn als blijkt dat ook de database is getroffen.

Ik heb dit bij meerdere fabrieken en praktijken mee gemaakt dat ze letterlijk een dag stil lagen van wegen zon cryptolocker.
Een in use database die waar je geen backup van kan draaien? Misschien een jaar of 5 geleden, maar tegegwoordig maken we gewoon een backup van volledige machines zonder dat de gebruiker hier uberhaupt iets van merkt. Het kan echter minder werk/kostbaar zijn om 275 euro te betalen dan tig systemen te gaan recoveren en mogelijk ook nog wat werk te verliezen.
Betalen is terrorisme als dit in stand houden, dont feed,the beast. Uit principe zou je 10x zoveel moeten willen investeren in een andere oplossing als boeven spekken.
Principes zijn eenvoudig totdat je zelf het slachtoffer bent en geen uitweg meer ziet. Er wordt niet onderhandeld met terroristen, er wordt niet onderhandeld met kidnappers. Totdat bijv. ineens je eigen dochter ontvoerd wordt en er 1 miljoen euro losgeld geeist wordt. Ga je dan gewoon zwijgen en onmiddelijk realiseren dat je uit principe je dochter niet meer gaat terugzien. Of ga je er alles aan doen om het bedrag naar beneden teonderhandellen tot op een niveau dat je het kan betalen?
Het is het beste om niet toe te geven, niemand zegt dat dat de makkelijke oplossing is. Wel de enige juiste.
Met snel betalen houd je twee culturen in stand: Die van te weinig investeren in IT (prioritering) en de criminele cultuur (criminalisering).
Op de lange termijn doen die beiden alleen maar meer pijn
Niet makkelijk inderdaad.
Maar zachte heelmeesters maken stinkende wonden!
Een bekende stelling uit de economie is "principes kosten geld". Bedrijven zijn er op gericht om geld te verdienen. Ze zullen, als ze het goed doen, kiezen voor de economisch beste oplossing. Niet voor wat principieel goed is.
Ja het bestaat nog steeds! nieuwe software pakketten die SQL database versies gebruiken waarvan geen In use backup gedraaid kan worden.

volgens de makers van het pakket kan dat nog een jaar of 2 duren voordat dat er komt.
Database Replication? File system snapshots? Zijn zat oplossingen voor, mits je een capabele IT-afdeling hebt en voldoende budget voor de hardware uittrekt. Hebben ze dat niet? Jammer, leermoment. Meer budget hier naartoe en nu niet je falen afkopen, want dat geld gaat ongetwijfeld vervolgens afgetrokken worden van het IT-budget waardoor de situatie er nog slechter op wordt.
Het bedrijf draait op systemen/machines uit 1987 ;)
Dan past de backup ook nog wel op één floppy :D
Helaas betekent dat ook dat de lazers opnieuw geconfigureerd moeten worden en daarvoor ook een specifieke persoon op locatie moet komen.

al met al niet zo simpel
Replicatie heeft weinig zin in dit soort gevallen gezien je de corrupte data repliceert. Snapshots kunnen handig zijn maar mag je niet vergelijken met een daadwerkelijke backup. Zonder bron is een snapshot immers waardeloos.
Natuurlijk is dat geen backup. Je kunt de replicated server wel loskoppelen, een snapshot maken van de hdd en de boel weer online gooien. Vervolgens maak je rustig een backup van de snapshot. Zo is de downtime minimaal en de belasting van de master ook, en kun je ongestoord regelmatig backups maken.
Ja, maar mensen zijn aan het werk. 10Gbit krijg je wel vol hoor als er én data van/naar alle clients/servers gaat. Dat wil je niet hebben overdag.

Ja, er is jarenlang bespaart op IT maar dit had met de laatste patches verholpen kunnen zijn. Hoe lang bleven ze wel niet op een windows versie omdat hun bedrijfs software enkel in Explorer werkte :/ Dat was in veel sectoren zo.
Ziekenhuizen oogsten nu simpelweg wat zij gezaaid hebben :)
Ziekenhuizen oogsten nu simpelweg wat WIJ (Britons, in dit geval) gezaaid hebben. Bezuinigingsronde na bezuinigingsronde. Of dacht je dat een ziekenhuis hetzelfde budget heeft voor IT als een multinational?
"NHS net expenditure (resource plus capital, minus depreciation) has increased from £75.822 billion in 2005/06 to £117.229 billion in 2015/16. Planned expenditure for 2016/17 is £120.611bn."

Er is dus geld genoeg.
Ben je wel eens in een UK trust geweest? Je hebt geen flauw idee he. Ik heb een jaar gewerkt in Cambridge University Hospital en bijna een jaar in SHSCT (NI) en ik verzeker je, geld is het laatste waar ze genoeg van hebben. Veel (te dikke) patienten daarentegen zijn er genoeg. Gratis gezondheidszordg....
Los van de graaicultuur, heeft de UK één van de laagst gefundeerde zoekenzorg instellingen in de Westerse wereld, gemeten naar uitgaven als % van het GDP.

Wat zoveel wil zeggen als: "ze geven bar weinig uit aan gezondheidszorg". Dat zegt nog niets over de kwaliteit natuurlijk, maar we weten [hier] allemaal dat een fatsoenlijke IT infrastructuur bakken met geld kost.

Als er al langs alle kanten gesnoeid wordt in de zorg, én je hebt ook nog eens een groepje graaiers rondrennen, hoeveel blijft er dan effectief over voor een gezonde IT infrastructuur???

*waarmee ik wil aangeven dat het helemaal niet zo evident is dat de NHS een top-notch IT infrastructuur heeft liggen...

[Reactie gewijzigd door Timoo.vanEsch op 12 mei 2017 21:06]

Er is blijkbaar genoeg geld om chirurgen honderdduizenden ponden te betalen. Management krijgt ook genoeg geld anders zouden ze er niet gaan werken. Like I said, het geld is er wel, nu moeten ze het nog bij de juiste mensen zien te krijgen (o.a. getalenteerde beveiliging onderzoekers die nu bij google et. al gaan werken). Ook de goede IT-ers die een ziekenhuis uitmuntend kunnen beveiligen gaan liever ergens anders werken als er geen geld op tafel gelegd wordt. Kwestie van vraag en aanbod en marktwerking. ;)

[Reactie gewijzigd door nederlander123 op 12 mei 2017 21:11]

feit. En deze aanval zal er [indirect] wel voor zorgen dat ook IT consultants hetzelfde bedrag betaald gaan krijgen. En wie mag daarvoor opdraaien?

Juist, de verpleegsters en ander, meer alledaags (minder hoog opgeleid) personeel...

Tenzij er meer budget wordt vrijgemaakt. Maar de UK kennende, wordt dat een gigantisch politiek spel, wat weer garant staat voor flaters, blunders, media-aandacht en overbetaalde consultants van Deloitte, McKinsey etc.

[Reactie gewijzigd door Timoo.vanEsch op 12 mei 2017 21:19]

upgraden van computers heeft hier geen invloed op.
de aansturing van de apparaten en database werkt alleen op specifieke hard en software dit is niet eventjes cobian backup draaien en terug zetten. dat is wishful thinking.

10Gbit lan voor een gemiddelde fabriek zit er ook niet in daar hebben ze geen geld voor.

[Reactie gewijzigd door firest0rm op 12 mei 2017 20:14]

haha ok sure leef jij lekker in je fantasie wereld waar alles perfect werkt zoals jij dat wilt. nogmaals wishful thinking.
Ben het hier toch wel met @nederlander123 eens.. We kunnen niet gaan accepteren dat organisaties maar gehackt worden en dat we daar niks aan kunnen doen... Dit moet gewoon beter, en snel ook.
Tuurlijk ben ik het met hem eens maar dat is niet de werkelijkheid waarmee ik te maken heb en daar moet ik het mee doen.

En ja dat zullen we wel moeten gaan accepteren zelfs grote organisaties zoals Sony kunnen NIET beloven dat ze niet gehackt worden.

[Reactie gewijzigd door firest0rm op 12 mei 2017 20:44]

Het zal me niet verbazen als er nog infecties in Nederland bijkomen. Dat is een kwestie van tijd namelijk. Want ook de door jouw genoemde banken kunnen prima gehakkeld worden maak je geen illusies.

Als ik het goed gelezen heb zijn er daadwerkelijk ook al gevallen bekend in Frankrijk maar ligt het zwaartepunt van alle infecties in Rusland.
HAH serieus ga je nu banken vergelijken met fabrieken?
Appels en peren dit.

Volgens mij heb je geen besef hoeveel resources banken hebben voor veiligheid in tegen stelling tot een gemiddelde fabriek in Nederland.

En laat het duidelijk zijn Banken worden dagelijks gehacked.
je ziet het alleen niet in het nieuws.

[Reactie gewijzigd door firest0rm op 12 mei 2017 20:48]

Je vergeet blijkbaar dat er ook medische software op die windows versie moet kunnen draaien?
En dat er grote vitale bugs kunnen ontstaan, als ze bijvoorbeeld een windows XP programma op een windows 10 licentie willen draaien.

Denk je dat die medische bedrijven 'goedkoop' nieuwere licentie's verkopen?
Herschrijven nog tot daar aan toe, al is dat in veel gevallen al een zware opgave. Wat je in o.a. de medische wereld vergeet zijn de validatie- en testtrajecten om zaken gecertificeerd te krijgen. En veel systemen zitten aan elkaar vast, waarbij je niet zomaar 1 element uit de keten kunt veranderen.

Ik snap je onderbuikgevoelens, maar de wereld zit ingewikkelder in elkaar dan een paar webscriptjes op een mysql database.
Certificering is geen sprake van. Je bent in de war met de VS? Als een ziekenhuis snapchat wil gebruiken voor de patientenadministratie, dan mag dat.
Eigen software-ontwikkeling is mogelijk, wordt toegepast. Je kan natuurlijk ook gewoon een IT-bedrijf opdracht geven.
Wie uit het ziekenhuis zie je gespecialiseerde software herschrijven?! Daar hebben normaal gesproken vele mensen aan gewerkt en dat schrijf je niet even om naar windows 10. Daarnaast ben je aan het vergeten hoe het zit met licenties. Als je hun software herschrijft kun je nog een behoorlijke geldboete tegemoet zien ook. Dan heb je nog het feit dat in een ziekenhuis andere regels gelden, zeker op dat gebied. Natuurlijk moet het beter en is dit ergens te wijten aan een te langzaam update beleid. Maar ook al is alles up-to-date dan nog kan dit gebeuren.
Sorry, maar het verleden heeft al vaak genoeg aangewezen dat het zelf maken en ontwikkelen van programma's ten allen tijde te duur te omslachtig, en te star is gebleken voor welk departement of bedrijf maar ook.
Het kan... als je de schaal hebt. Als bv de NHS ziekenhuizen samen de krachten bundelen voor een programma, vermoedt ik dat ze prima een custom-made programma kunnen laten maken en updaten door IT'ers die in dienst zijn.

Enige is natuurlijk de initiele kosten die niet prettig zullen zijn tijdens de ontwikkeling, maar het is te halen zolang er wat meer geld naar de NHS gaat en het niet naar de managers en salaris van de specialisten gaat maar naar fatsoenlijke applicatieontwikkeling.
Je moet je ook afvragen of je al dat backup verkeer ook over je netwerk wilt hebben terwijl iedereen aan het werk is. Dat zal nog wat verkeer genereren :/

Ze moeten inderdaad snel uitzoeken waar en wanneer het begon en kijken of ze die schade kunnen herstellen. Fijn weekend IT'ers aldaar :Y)

Maar dit is wél spelen met levens, zeker als het een gerichte aanval is. Maar als ik naar de BBC kijk is het wereldwijd gaande in verschillende landen waaronder "UK, US, China, Russia, Spain, Italy, Vietnam, Taiwan and others."
Dat is niet mis en is het wachten tot de eerste berichten uit België en Nederland/Duitsland/Frankrijk.

Hopelijk hébben ze ook hun backups in orde of kunnen ze moeten dit kunnen decrypten. Maar zeker niet betalen. :X
Wie zegt dat je na het betalen wel de sleutel krijgt?
Hoe betrouwbaar zijn criminelen?
Redelijk betrouwbaar. Meestal leveren ze de sleutel wel. Het is ook in hun eigen voordeel want als ze het niet doen dan betaalt niemand meer.
Nooit betalen dus.
Door wel te betalen zou je de criminaliteit in stand en dat kan nooit de bedoeling zijn.
Er is wel meer niet de bedoeling, soms moet je toch toegeven aan dingen die niet de bedoeling zijn. Ik zou blind betalen als er mensenlevens (zoals in het ziekenhuis) af kunnen hangen van 235 euro :)

[Reactie gewijzigd door watercoolertje op 12 mei 2017 21:04]

Gelukkig hangen er geen mensenlevens af van het wel of niet functioneren van een PC in een ziekeenheid.
Het kan heel vervelend zijn als de PC niet werken maar dat is het dan ook.
Helaas wel. Als je niet bij het patiëntendossier kunt (veelal electronisch), kun je ook niet kijken welke medicijnen een patiënt niet mag. Als je op de IC wordt binnengebracht nu, kan dat kritisch uitpakken.
Inderdaad, het zou wel heel slecht geregeld zijn als er mensen zouden kunnen overlijden doordat een harde schijf kapot gaat.
Bij spoedhulp werd je naar een ander ziekenhuis verwezen, als iets spoed heeft kan daar wel degelijk een leven van af hangen ;)
De mensen die dit soort ransomware verspreid hebben mogen wat mij betreft dan ook best vervolgd worden voor meervoudige (poging tot) doodslag, schooiers dat het zijn. Als ze ooit gepakt worden...
Dat wel. Het ontwricht de anders zo goed lopende organisatie.
Planning en administratie zit vaak in de PCs of loopt via de PC's die aan de ziekenhuis systemen gekoppeld zijn.
Per pc als je gelukt hebt. Dus reken maar uit hoeveel pc's er in ene ziekenhuis staan en ze dus moeten betalen.. :/
Nooit betalen, zeggen dat je dat wel gedaan hebt en dan luid uitschreeuwen op het internet dat ze de key niet geven. Ik weet het, liegen mag eigenlijk niet, maar als er nu regelmatig berichten opduiken dat betalen geen zin heeft, omdat je je bestanden toch niet terugkrijgt, zal het percentage slachtoffers dat betaalt wel een heel stuk lager liggen.
De beste oplossing: betalen en lessen trekken zodat het nooit meer kan gebeuren.
Een backup terug zetten kost vaak een smak geld en dan is het probleem nog niet eens opgelost want morgen kan je opnieuw de sigaar zijn.
Je kan dus beter de vrij kleine som (300¤ is niets voor een bedrijf) betalen en je geld spenderen aan het op orde zetten van de beveiliging.
Het is ¤ 300 per geïnfecteerde pc hè, waarbij het zich via LAN verspreid. Je zou een 100 pc's hebben. Dure les :)
of het is ¤300,= per werkstation die geinfecteerd is... tel uit je criminele winst
Het lijkt mij wat belangrijker dat er mensenlevens in stand gehouden worden in de betreffende ziekenhuizen. Dat is heel wat meer waard dan $300.
Volgens diverse bronnen die ik tegenkom zou er mogelijk wel een decryptie tool beschikbaar zijn. De tool zelf kan ik echter niet vinden.

Betalen heeft een heel groot nadeel: je houdt ransomware direct in stand. De enige reden dat deze troep bestaat is dat mensen betalen en er dus vrij makkelijk in een korte tijd veel geld verdient kan worden.
Tot zover ik weet zijn voor andere types decryptietools ontwikkeld... Maar voor deze nog niet. Ondanks dat het wat amateuristisch lijkt te zijn geprogrammeerd voor dit soort type malware (basis build van iemand anders en dan de payload er los in schrijven... volgens mij is een script kiddie bezig geweest) is het nog niet zo makkelijk om vlug een 2048-bits encryptie te ontvouwen, zelfs als je de code ervan hebt.
Weet ik. Maar die data is heel veel waard nog los van het verlies in productiviteit.

En over verdwijnen van ransomware hoef je je geen zorgen te maken. Het blijft altijd doorgaan, totdat we computers uitvinden die niet gekraakt kunnen worden.
Dat zou heel zorgelijk zijn. Ik snap dat de bestanden heel gevoelig zijn en waardevol maar als iedereen en zeker die grote bedrijven/ziekenhuizen dan blijft dit spel levend. Bitcoins kun je ook niet echt traceren dus daar achteraan gaan is ook niet te doen.
Nee, de truuk is betalen, en daarna wél zorgen dat je shit up-to-date is. Mocht incompetent management het probleem zijn, heb je dan een stok om mee te slaan.
Klopt, maar als je rekent wat het kost om alleen al bestanden terug te zetten van een backup-up kost plus verloren productiviteit dan ben je wel veel meer kwijt dan 230 euro kan ik je vertellen.

Ransomware gaat ook nooit meer weg. Het is effectief en levert veel geld op. Ook geeft de politie het geen prioriteit.

Zolang we computer veiligheid niet serieus nemen blijft dit doorgaan. Er zal misschien wel iemand voor gepakt worden maar die heeft zijn geld dan allang verstopt.

[Reactie gewijzigd door ArtGod op 12 mei 2017 20:38]

Daar heb je helemaal gelijk in. Heb er zelf eens een weekend over gedaan om van een klein bedrijf de gegevens terug te krijgen. Voor 90% dan. Dat was goed genoeg voort management.

Maar inderdaad met dit soort, om een zware term te gebruiken, 'epidemies'. Zullen deze bedrijven hopelijk meer geld steken in beveiliging dan ze nu doen.
Dat is lekker makkelijk praten. Voor veel bedrijven zijn hun gegevens goud geld waard. Als zij niet kunnen werken dan kan het zelfs het einde van hun bedrijf betekenen. Kan jij het hun kwalijk nemen dat ze betalen?
Toen het pas nieuw was niet inderdaad, dat was ik vergeten toe te lichten. Maar inmiddels moet je er als bedrijf met belangrijke data toch zeer zeker van op de hoogte zijn en al de nodige maatregelen getroffen hebben desnoods tegen welke kosten dan ook. Nu zal dat zeker veel tijd, geld en energie kosten in veel gevallen. Maar je data kwijt zijn in de eerste plaats wil je al niet en wanneer getroffen dan moet je daar maar relatief weinig voor te betalen. Daarentegen is dit dan het belonen van de criminelen en je kunt er bom op zeggen dat het steeds erger wordt omdat het loont. Ook lees ik regelmatig dat je niet eens altijd een decryption key krijgt ook nog eens.
Maar goed, de mens is gewoon in de regel naïef en men zal eerst getroffen moeten worden voordat men echt goede maatregelen treft.

PS. mijn vorige post is gewoon ontopic en zeker geen troll of flame. Iedereen die zo mod valt bij mij onder de categorie "luie facebook tweaker" en weet niet eens waar de -1 voor staat. Als je het er niet mee eens bent reageer dan gewoon en ga in op de discussie.
Als er honderden mensen werken en besmet zijn dan is het ook honderden keren 275 betalen. Het te betalen bedrag is immers per besmet systeem.
Ik mag bij dit soort bedrijven toch hopen dat ze een valide backup-configuratie hebben? Backups terugzetten en klaar.

Inderdaad, wat een bedrijf als deze - als in elk bedrijf van deze omvang - is het volgende:

- compartimentering van clients in het netwerk waardoor één client die malware krijgt niet de rest kan besemetten, maar hoogstens een kleine groep
- data in de cloud met backups en bescherming tegen 'rogue' clients (niet enkel betreft malware, maar ook betreft zaken als bugs, gebruikers fouten, etc)

Dan is het een kwetite van besmette workstation loskoppelen en verwijderen, besmette client-omgeving wissen een en nieuwe client neerzetten die vers inlogt van de niet aangetaste centrale servers.

Het hangt dus vooral af van hoe het bedrijf besmet geraakt is. Als een groot aantal workstations besmet is, kan het nog steeds even duren alvorens je weer volledig hersteld bent, zelfs al zou je een goed systeem hebben.
Maak je geen illusies. De meeste bedrijven en ziekenhuizen in NL hebben hun ICT qua beveiliging ook niet op orde. Het zou hier eenvoudig ook kunnen gebeuren. En ik vermoed dat het ook gaat gebeuren want ik vind het vreemd dat zoveel bedrijven en instellingen tegelijkertijd getroffen worden. Dat kan niet door een email berichtje zijn gekomen, volgens mij.
Gericht op zoveel bedrijven? Het kan zijn dat ze al een tijdje email adressen hebben gesprokkeld en dat vandaag losgelaten hebben. Zo veel mogelijk erin duwen. Vergeet ook niet dat Bitcoins deze week nog een nieuw record hebben gehaald volgens Kevin beaumont heeft hij ene account in de gaten welk inmidels de 100bitcoin bereikt heeft. https://twitter.com/GossiTheDog/status/863122077997551618

Dat is niet mis als je omrekent naar Euro's.
Ik denk ook wel dat hier in Nederland en België nog bedrijven slachtoffer gaan worden.
Mijn bron is een bericht op twitter https://twitter.com/fendi...pit-bulls-after-attack%2F

Maar gezien het papiertje aan het scherm links beneden met codes van NHL ben ik vrij zeker dat dit legitiem is
Helaas zo werkt het soms niet :) Bij een klant deden ze iets doms met de software (wijzigingen direct in productie-omgeving doorvoeren ipv eerst in test) en toen bleek dat hun meest recente backup ruim 2 dagen oud was. Bij sommige ziekenhuizen is het een puinhoop.
Test is niet de eerste stap in een OTAP-omgeving!
Sterker nog: "systemen voor het uitschrijven van recepten en email" zijn toch gewoon serverside applicaties die geen cruciale files lokaal opslaan mag ik hopen? Alle röntgenfoto's, verwijsbrieven, emails en andere files die belangrijk zijn voor zorgtaken staan hopelijk in een fatsoenlijk beveiligde database die niet kwetsbaar is voor deze rommel?
Dan heb je toch binnen een paar uur wat schone (en gepatchte) PC's opgezet binnen een geïsoleerd netwerk en dan draait je core business weer? Dan kan je daarna op je gemak alle andere documenten gaan renoveren uit je backups (van losse brieven en notulen tot de flyer voor het klaverjastournooi).
Backups terugzetten en klaar.
Ik mag hopen dat jij geen systeembeheerder bent in een omgeving waarin elke seconde dingen veranderen en het gebruiken van verouderde data mensenlevens kan kosten.

De beslissing om terug te gaan in de tijd (als je al zeker weet wanneer het probleem binnenkwam, verre van eenvoudig) is er een die bijzonder ingrijpend is en in dit geval slechts door de hoogste verantwoordelijke van het ziekenhuis gemaakt mag worden. Al was het alleen maar omdat er juridische gevolgen zijn .

'terugzetten en klaar' is het in elk geval niet. Ik ga verder en beweer dat jij er niets van weet. Het is onzin.
Als je serversoftware is geinfecteerd kan je sowieso wel inpakken natuurlijk. Een client hoeft geen patientendossiers te herbergen, alleen uit te lezen en updates te sturen (die zonder enige twijfel versioned worden opgeslagen door de server).

Het duidt op zo ontzettend veel falen als er geen recente unencrypted backups zijn en essentiele gegevens encrypted worden in een productiedatabase dat.... ik ga die zin niet eens afmaken :'( :'( :'(

Ik beheer enkele servers in een kleine organisatie. Er hangen geen levens van de data op die servers af. De data verandert elke seconde, 24/7, maar een paar uur teruggaan is inderdaad geen ramp. En dus? Dat ik niet dezelfde taak heb betekent niet dat ik niet in kan zien wat er hier fout gaat...

[Reactie gewijzigd door MadEgg op 12 mei 2017 22:49]

Ik kan bevestigen dat merendeel van pcs in NHS op XP draait, ik dat dat genoeg zegt.
Opzichzelf zegt dat niet zoveel:
Zijn ze op afstand benaderbaar?
Zitten ze op hetzelfde netwerk als de rest van de getroffen systemen?
Iemand zal wel weer op een attachment geklikt hebben. Het kan ook een inside-job zijn waarbij ze iemand betaald hebben om op een attachment te klikken. Je kan toch altijd zeggen dat je het niet wist, dus het is makkelijk verdiend.
Waarom zou je iemand betalen om dom te doen wanneer er maar zat medewerkers zijn om plaatsvervangend dom te doen?
1 usb stick en daar gaat je 'zijn ze op afstand benaderbaar'.
De malware doet ook zijn encryptie werk wel zonder internet toegang.

En als ze nog XP draaien op meerdere systemen is de kans dat de patch uit maart is geinstalleerd op overige systemen ook niet zo groot.
Ik denk zomaar dat dit virus (en zo'n beetje alle moderne virussen) niet werkt op windows 98 dus het zou zomaar kunnen dat je veiliger bent met 98 dan met XP momenteel :P
Tenzij je daardoor een dusdanig belangrijk doelwit vormt waardoor men je juist wil aanvallen.

In dat geval zijn ze met simpel googlebare exploits natuurlijk al binnen in een minuut of 5.

[Reactie gewijzigd door field33P op 12 mei 2017 21:33]

Met virussen probeer je altijd zo veel mogelijk mensen te treffen dus dan ga je geen win98 virus schrijven natuurlijk.

Een specifiek bedrijf aanvallen die nog win98 draait is een ander verhaal idd.
Zou je wel denken/hopen he? Gebeurd echter met grote regelmaat dat er helemaal geen backup-strategie is. Neem kleinere organisaties zoals bijvoorbeeld een tandartspraktijk. De praktijk van mijn tandarts (meerdere tandartsen in 1 praktijk) is getroffen en nee hoor.. die hebben geen backups. Dag patientengegevens van jaaaaaren. 8)7
Afaik zijn de wallets niet uniek per getroffen pc (en dat staat ook in het artikel), maar worden er een beperkt aantal wallets gebruikt.
De betaling hoeft dus niet gerelateerd te zijn aan de besmetting bij de ziekenhuizen.
The three bitcoin wallets tied to #WannaCry ransomware have received 171 payments totaling 27.96968763 BTC ($47,510.71 USD).

https://twitter.com/actual_ransom
Nu wil ik alle mensen die zo fel tegen de automatische updates van Windows zijn wel eens horen.
Het lijkt er nu op dat deze variant van de ransomware onschadelijk gemaakt is. Er zou een domain op Internet zijn die als een kill-switch functioneert. Als dit domain bestaat en gecontact kan worden, schakelt de ransomware zichzelf uit.

Het domain was door de makers van de ransomware nog niet geregistreerd, maar iemand van een blog heeft dit ontdekt door analyse van de executable, en heeft snel dat domain geregistreerd. Hierdoor is de kill-switch dus geactiveerd.

Zie https://www.security.nl/p...r+grote+ransomware-aanval voor meer info.

Uiteraard kunnen er wel weer nieuwe varianten komen die deze killswitch niet hebben, of die naar een andere site kijken. Het blijft dus wel zaak om z.s.m. de MS17-010 patch uit te rollen.
Ondanks het feit dat de OS-en al tijden uit support zijn, heeft Microsoft toch nog patches tegen dit lek gemaakt voor Windows XP, Windows 8i.0 en Windows Server 2003. Zie https://blogs.technet.mic...e-for-wannacrypt-attacks/

Moet toch zeggen dat ik dat heel erg netjes vind van MS, zeker voor XP dat al 3 jaar out of support is en inmiddels behoorlijk verouderd.
Kudos voor MS omdat ze die alsnog ter beschikking stellen voor het grote publiek.
Hoe kan ik nou vinden of patch MS17-010. op mijn laptop staat? Ik vind alleen welke KB-patches erop staan.
Je kunt op https://technet.microsoft...ry/security/ms17-010.aspx zien welke KB-nummers het gaat.

Voor Windows 7 (en Server 2008R2) is dat KB4012215, patches kan je downloaden op http://www.catalog.update...m/Search.aspx?q=KB4012215

Voor Windows 8.1 (en Server 2012R2) is dat KB4012216, met download link: http://www.catalog.update...m/Search.aspx?q=KB4012216

En voor Windows 10 is het KB4012606 met als link http://www.catalog.update...m/Search.aspx?q=KB4012606

Je kunt uieraard ook gewoon Windows Update gebruiken. Als die deze patches niet meer vind, zijn ze dus reeds geinstalleerd.

[Reactie gewijzigd door wildhagen op 12 mei 2017 21:52]

Dank! _O_ _O_ _O_

Windows update staat hier gewoon aan, maar ik vroeg me af hoe ik nou zeker kan weten dat ik deze patch heb.
Ik neem aan dat het installeren van de meest recente aangeboden monthly rollup ook goed is?
Dat klopt, die Monthly Rollups zijn cumulatief, dus het installeren van de laatste versie (van deze maand dus), patched ook meteen dit lek.
Als ik de upate KB4012215 probeer te installeren op mijn Windows 7 professional 64 bit pc, dan geeft hij aan± ´´update niet geldig voor deze computer´´. 8)7
Het lijkt erop dat ransomware heel snel z'n werk doet, maar als ik BitLocker aanzet is die wel een tijdje bezig. Waar zit het verschil?
9/10 cryptolockers draaien al op de achtergrond en pas wanneer ze klaar zijn komen ze met deze melding
Dit plus dat een cryptolocker geen hele harddisk of heel volume hoeft te encrypten zoals bij Bitlocker het geval is.
Het wordt na de infectie niet meteen zichtbaar.
De informatie wordt op de achtergrond versleuteld terwijl er nog niks aan de hand lijkt.
Als dat eenmaal is gelukt komt er een melding.
ze zouden cursussen moeten geven aan elke persoon die start te werken in een bedrijf met computers. Die ransomware dingen komen meestal binnen per email of een link waar je op moet klikken. Het is (in outlook) toch niet zo moeilijk om met je muis over de link te hooveren en dan naar de status balk te kijken wat de effectieve url is. Je ziet onmiddelijk dat dit niet verwijst naar de site waar de phissing mail zich in vermomd. Ik krijg ze elke dag en elke keer verifieer ik ze via status balk.

Ik zie het bijna maandelijks op het werk, ze hebben ransomware, na onderzoek blijkt dat de mail die de oorzaak was bvb factuur van dhl is, als je hen dan vraagt of ze een levering verwachten van dhl of iets geleverd hebben via dhl zeggen ze nee. Als je hen dan vraagt waarom ze die bijlage dan geopend hebben (of op de link geklikt hebben) blijft het stil.

Bij office 365 hebben ze ook systeem waarbij elke link in een email vervangen wordt door een link die verwijst naar een server van micrsoft waarbij als je op de link klikt eerst passeert via die server en er gekeken wordt of er niks verdachts gebeurd.

het blijft in mijn ogen telkens een gebruikers fout en ze zullen blijven gebeuren omdat de men de mensen er niet attent op maakt

Het lijkt hier alsof ze ganse ziekenhuizen gehacked hebben terwijl men waarschijnlijk gewoon een phissing email campagne had opgezet (mogelijk naar hen getarget) waarbij gebruikers de link / bijlagen hebben geopend.

edit iemand hierboven vermelde dat het mogelijk toch niet via phissing campagne gedaan werd. maar ja punt blijft zelfde veel mensen openen maar eender wat ze binnen krijgen zonder effe te kijken naar waar de link verwijst

[Reactie gewijzigd door joyrider3774 op 12 mei 2017 19:38]

Cursussen geven aan personeel is een verloren zaak, dit wordt heus wel gedaan bij ziekenhuizen echter de core van hun specialiteit is zorg verlenen en niet het kunnen werken met computers. Die worden meer als een last gezien.
Je kunt het de mensen niet kwalijk nemen. De aanvallen zijn tegenwoordig zeer gericht, gebruiken prima nederlands. Er is dan niets verdachts te zien.

Zo had ik laatst bij een bedrijf een vrachtbrief met Word bijlage (de bekende word exploit van enkele weken terug). De update hiervoor was nog geen 2 dagen oud en de meeste computers zouden de update installeren bij de volgende reboot (iets wat veel werknemers ook niet meer gewend zijn). De URL waar de malware op gehost was was een valide domein naam: blablalogistiek.com. Speciaal geregistreerd voor deze aanval (WHOIS stond op een TOR email adres). Ja, er was geen daadwerkelijke website (under construction) maar hoe moet je mensen dit gaan uitleggen? Administratie, je mag geen rekeningen meer openen? Logistiek, kijk uit met vrachtbrieven? Ziekenhuis, open geen patient gerelateerde emails?

Het is niet alleen de mensen die falen maar ook de techniek. Deze is gewoon veel te kwetsbaar voor hoe enorm we ervan afhankelijk zijn....

/edit: lol, gedownmod? Zijn we dan als tweakers zo blind als ik het opneem voor de normale gebruiker?

[Reactie gewijzigd door dycell op 13 mei 2017 00:40]

Als je via AD macro's uitschakelt hou je sowieso al wel heel wat Office troep buiten. Veel meer valt er helaas niet te verzinnen. Tegenwoordig worden deze mailtjes steeds beter. Helaas.
spam-filter is niet zaligmakend en houdt zeker geen gerichte aanvallen tegen.
Klopt, maar het kan wel deel van een oplossing zijn. Het was als reactie op "Veel meer valt er helaas niet te verzinnen. "

Kan trouwens gerichte aanvallen tegenhouden, bijvoorbeeld doordat de aanvaller (domein/ip/land/provider) al vaker actie heeft ondernomen en verdacht is.
Bijna iedereen gebruikt een spam filter, als je die niet hebt, loopt je mailbox direct vol, vergeet niet dat 70 % van alle mails spam gerelateerd is. Maar een spamfilter houd helaas niet alles tegen.
Het is gewoon een kwestie van nadenken voordat je een attachment opent. Want ook al lijkten somige maltjes soms heel falide. bij de meeste mailtjes is het gewoon duidelijk dat er iets niet klopt. je gebruikers informeren met voorbeeldn van mailtjes helpt ook. zo worden ze er van bewust dat ze niet alles klakeloos moeten aannemen wat met de mail binnen komt.
"ook al lijkten somige maltjes soms heel falide."
Ja, ik trap er gewoon met mijn grote voeten in, als de teamleider klantenservice van Telfort met zo'n spelfouten aan mij vraagt om de PIN-code van mijn telefoon te geven. :)
Is het niet gewoon mogelijk om bepaalde bestandsextensies in bijlagen/websites te whitelisten zodat .exe/.msi/whatever bestanden niet over het netwerk gaan
Verbaast me dat medewerkers in meerdere ziekenhuizen blijkbaar rechten hebben om executables uit te kunnen voeren. Hoe laks kun je zijn?

[Reactie gewijzigd door Nopheros op 12 mei 2017 19:28]

Mijn ervaring is dat ransomware lang niet altijd .exe's zijn. Ook in een .gif kan ransomware bevatten.
Dan nog zou het probleem zich alleen moeten verspreiden naar de netwerk locaties waar deze persoon rechten op heeft. Dat zou geen extreme storingen mogen veroorzaken.
Als je een bedrijf met 2000 werknemers zo'n mail stuurt en 10 mensen klikken er op, waarvan 1 met een hoge functie heb je al een hele berg dat die geencrypt is hoor. Op zon moment besluiten veel sysadmins het systeem down te halen om erger te voorkomen, en dat is hier waarschijnlijk het grote probleem nu. Systemen zijn uit voorzorg offline gehaald waardoor mensen ze niet kunnen gebruiken.

[Reactie gewijzigd door Johan9711 op 12 mei 2017 19:42]

Ik werk bij een bedrijf met 1000 medewerkers en nadat we een infectie met crytoware hadden werd de mogelijkheid voor die laatste paar met meer rechten ook uitgeschakeld. Enkele geinfecteerde mappen op de file server opruimen (waar die persoon rechten op had) en via de backup terug zetten.

Cryptoware moet schrijf rechten hebben op netwerk locaties om zich te kunnen verspreiden. Tenminste, dat is dan mijn ervaring.
In dit geval niet.
Ik heb uit verschillende bronnen gehoord dat een reeds gepatched lek in SMBv1 is gebruikt om deze ransomware te verspreiden.
Cryptoware (maar ook andere virussen) zijn en worden steeds complexer. Ik ben 5 jaar geleden al een worm tegengekomen die alle credentials onderving op een werkstation en dat gebruikte om scheduled tasks aan te maken op andere werkstations. Waarschijnlijk heeft er 1 low level admin op een geïnfecteerd werkstation ingelogd. Toen hij een service account met admin rechten tegenkwam was het hek van de dam. Servers gingen plat, alle virusscanners werden uitgeschakeld.

Door de chaos was troubleshooting bijna niet te doen (servers gingen steeds onderuit) en opgeschoonde servers waren binnen een minuut weer geïnfecteerd. Toen ik binnenkwam heb ik eerst alle netwerk segmenten (VLAN routing) uit laten schakelen en pas wanneer een segment "schoon" was bevonden werd het weer aangesloten. Dit koste me eerst nog zeker een uur onderhandelen met de directie gezien niemand zijn productie stil wil leggen.

Laat me je dit vragen: gebruik je een admin account? Dan ben je een zeer gewilde target voor de toekomstige batches cryptoware.En misschien is het bezoeken van een website al voldoende om je te infecteren...
Tenzij er dus exploits gebruikt worden die het wel mogelijk maken. Er duiken altijd wel lekken op in software die privilige escalation mogelijk maken of de malware in staat stellen uit een sandbox uit te breken. Ook hier is weer zulke bug gebruikt. Tijdig patchen en goede backups blijft de enige echte oplossing, maar dan zit je weer met het probleem dat IT in vele bedrijven een ondergeschoven kindje is. Niet belangrijk. Personeelstekorten worden niet aangepakt, budgetten moeten zo klein mogelijk en het liefst van al plaatst men ze nog in de kelder om ze uit het zicht te hebben.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*