Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zuid-Koreaans hostingbedrijf betaalt bijna 1 miljoen euro door ransomware

Door , 81 reacties

Een Zuid-Koreaans hostingbedrijf, Nayana, heeft bekendgemaakt dat het bijna 1 miljoen euro aan losgeld heeft betaald nadat zijn systemen waren ge´nfecteerd met ransomware. Een beveiligingsbedrijf gaat ervan uit dat het om de Erebus-ransomware voor Linux-systemen gaat.

Vorige week maakte het bedrijf bekend dat het aan het onderhandelen was met de criminelen achter de ransomware. In het bericht is genoemd dat het uiteindelijk overeengekomen bedrag neerkomt op 397,6 bitcoin, wat omgerekend ongeveer 925.000 euro is. Inmiddels heeft het bedrijf laten weten dat decryptie van de geïnfecteerde systemen onderweg is.

Het incident is beschreven in een blogpost van het Japanse beveiligingsbedrijf Trend Micro, dat schrijft dat de aanvallers in eerste instantie een bedrag van 550 bitcoin vroegen, wat neerkomt op ongeveer 1,3 miljoen euro. In totaal zouden 153 Linux-servers en daarmee 3400 websites zijn getroffen door de ransomware-aanval. Het hostingsbedrijf liet vorige week weten dat het op 10 juni op de hoogte kwam van de aanval.

Volgens Trend Micro kwam de Erebus-ransomware voor het eerst aan het licht in september van vorig jaar; destijds werd de malware verspreid door kwaadaardige advertenties. Een tweede variant werd in februari van dit jaar ontdekt en maakte gebruik van een manier om Windows-uac te omzeilen. Het beveiligingsbedrijf schrijft dat er verschillende manieren zijn waarop infectie bij Nayana plaats heeft kunnen vinden, zo draait het bedrijf verouderde versies van Linux, Apache en php.

De Erebus-ransomware zou zich voornamelijk richten op Zuid-Korea en versleutelt in totaal 433 bestandstypes. De huidige variant van de malware zoekt bovendien naar bestanden in folders var/www/ en ibdata, die beiden vaak voorkomen in webhostingomgevingen.

Sander van Voorst

Nieuwsredacteur

Reacties (81)

Wijzig sortering
Volgens andere bronnen draaide het hostingbedrijf Linux kernel 2.6.24.2 ( o.a DIRTY COW mogelijk) en hun eigen website draait: Apache versie 1.3.36 ( 2.4.26 is uit) en PHP versie 5.1.4 ( PHP 7.1 )
Om nog wat meer perspectief te bieden:

Linux 2.6.24 kwam uit in januari 2008 en eindigde ondersteuning met 2.6.24.7 in mei 2008.
Apache 1.3 kwam uit in juni 1998 en eindigde ondersteuning met 1.3.42 in februari 2010.
PHP 5.1 kwam uit in november 2005 en eindigde ondersteuning met 5.1.6 in augustus 2006.

Natuurlijk kan het zijn dat zij een Linux distro gebruikte die nog langer ondersteuning bood of zelf nog aanpassingen hebben doorgevoerd.

[Reactie gewijzigd door Loller1 op 20 juni 2017 09:49]

Dat zou wat betreft kernel dan wel een wat rare keuze geweest zijn, als het doel dan was om op 2.6 te blijven hangen. Net wat versies later, namelijk 2.6.32, heeft nog tot eind vorig jaar updates mogen ontvangen, tenminste, ik heb op enkele machines (ja, die gaan zsm eol) 2.6.32 met de laatste update in december 2016.
Het kan zijn dat ze voor de kernel gebruik maken van KernelCare. Hiermee zou de kernel wel op 2.6.32 zitten (zie @dcm360), maar showt het systeem de oudere versie totdat het gereboot wordt.
PHP 5.1? Dat vraag ik me echt af wat voor een websites die 3.400 stuks zijn... Geen enkel modern CMS of framework draait daarop namelijk...
Inderdaad. 5.6 is de absolute ondergrens die de meeste systemen hanteren omdat dit simpelweg de laagste PHP-versie is die nog ondersteund wordt.

Het is ook de versie met behoorlijke breaking changes. Namelijk de introductie van oa namespaces.

[Reactie gewijzigd door hackerhater op 20 juni 2017 10:16]

Eerlijk gezegd, de afgelopen jaren verschillende frameworks en cms'en onder handen gehad. De minimale PHP versie die ik heb gezien is 5.5. Misschien heb ik het er 1 (misschien zelfs 2?) over het hoofd gezien, maar dit op basis van wat ik me herriner.

CMS'en:
  • WordPress
  • Joomla
  • Magento
Frameworks
  • Zend Framework 2
  • Zend Framework 3
  • CodeIgniter
  • CakePHP
  • Laravel
  • Symfony
Misschien dat ik het bij 1 of 2 fout gelezen/onthouden heb hoor. Dus houdt me er aub niet aan vast. Maar volgens mij waren dit wel ongeveer de grootsten.

Edit: Zie dat de reactie van @hackerhater is gewijzigd, ik reageerde op PHP 5.1 als ondergrens.

Edit2: Voordat men denkt dat ik met verouderde PHP versies werk :p Dat is niet zo ;)

[Reactie gewijzigd door rkeet op 20 juni 2017 16:20]

PHP 5.5 is zijn support pas vorig jaar kwijt geraakt.
Je ziet dan vaak ook een harde knip in de major-versies van frameworks en CMS'en waar de nieuwere major dan direct 5.6 als minimum vereist.

Uiteraard hoe groter de systemen hoe langer het duurt om de boel aan te passen (wet van de remmende voorsprong). Bij nieuwere systemen zag je dat 5.5 al Řberhaupt nooit gesupport werd en ze direct al namespaces, SPL e.d. gebruikten.

Dat het een tijdje duurde heeft hiermee te maken :
Het is ook de versie met behoorlijke breaking changes. Namelijk de introductie van oa namespaces.
Deze technieken gebruiken betekende per direct mensen met 5.5 uit sluiten.
Naar mijn mening had PHP 5.6 PHP 6 moeten zijn maar goed.

[Reactie gewijzigd door hackerhater op 20 juni 2017 16:23]

Of te wel eigen schuld.
Moeten ze maar bij blijven met de software en niet met EOL spul blijven draaien.
En zo blijft het verdienmodel dus in stand...

Erg slecht dat ze zijn over gegaan tot betaling maar mag hopen dat de data echt niet meer op andere wijze te redden was en dit geen keuze van gemakzucht is. 153 servers uit backup recoveren kan aardig wat tijd kosten en daarmee inkomsten mislopen.

[Reactie gewijzigd door Cowamundo op 20 juni 2017 07:45]

EUR 1M is gÚÚn gemakzucht meer, er is vrijwel geen situatie te bedenken waarin dat nog een te overwegen nuisance payment zou zijn. Ga er maar van uit dat dit bittere noodzaak is geweest.
Van aan de zijlijn een eenvoudige manier van denken. Maar als je eenmaal zelf getroffen bent zal je merken dat die principes zwaar vloeken met de realiteit.
Dat kan best wezen maar het systeem blijft zo wel in stand. Maar dat is met meer zaken zo, gezien de criminaliteit rondom drugs, wapens, etc.
Ja en? Denk je dat dat de klanten van dit bedrijf wat interesseert?
Mijn data en wel nu. Maakt niet uit hoe je het regelt anders zien we je morgen in de rechtszaal.
Moet je eens kijken hoe rap die bitcointjes van eigenaar wisselen.
Hosting bedrijven hebben vast wel enige vorm van gebruikersvoorwaarden waarmee ze zich tot op zekere hoogte indekken voor het verlies van data.

Edit:
Uit de voorwaarden van apple icloud:
APPLE VERKLAART OF GARANDEERT NIET DAT DE SERVICE VRIJ VAN VERLIES, CORRUPTIE, AANVALLEN, VIRUSSEN, INMENGING, HACKING OF ANDERE INBRAKEN OP DE VEILIGHEID ZAL ZIJN EN APPLE AANVAARDT IN DIT VERBAND GEEN ENKELE AANSPRAKELIJKHEID.

Succes in de rechtbank dus!

[Reactie gewijzigd door Cowamundo op 20 juni 2017 13:16]

Als je voor een dienst betaald, klinkt mij dat exact hetzelfde als de wetgeving omtremt de garderobe of die directie bordjes van "De directie is niet aansprakelijk voor bla".

Zou ook gek zijn dat als je voor een dienst betaald, en het bedrijf verneukt het, dat ze dan gewoon totaal geen verantwoordelijkheid hebben.

Onze goede vriend @Arnoud Engelfriet (dit beept/notified mensen gok ik?) weet hier vast meer van. Ik denk inderdaad dat je nog best wel success kunt hebben in die rechtbank.
Hoi, sorry voor late reactie. En inderdaad is het juridisch onzin om bij een betaalde dienst je aansprakelijkheid op nul te zetten. Dat is gewoon niet houdbaar. Bij een gratis kapstok naast de deur zou ik me er nog iets bij kunnen voorstellen dat men niet aansprakelijk is voor diefstal ,maar een betaalde garderobe gaat gewoon voor de bijl.

Punt is vooral de hoogte van je schade. Welk bedrag kun je daarop zetten, wat kostte die data die je nu kwijt bent?
Hah, maakt niet uit kerel, je zal wel notificaties genoeg krijgen elke dag :) Ik twijfelde ook een beetje om het te doen, maar niet geschoten is altijd mis.

Bedankt voor de reactie.
Tenzij je gewoon backups maakt natuurlijk. Ik kan mij best voorstellen dat je door custom-made software genoodzaakt bent om op oude software te draaien, maar daar kan je prima een backup systeem voor opzetten mocht zo'n ransom aanval gebeuren.

Het kost dan wel een aantal dagen testen (Vooral ivm bron van infectie vinden en het voorkomen). En dit is vaak het knelpunt voor grote bedrijven die echt afhankelijk zijn van die software. Elk uur dat het stil ligt kost geld, en dan is 1M euro soms simpelweg veel goedkoper. Maar daarnaast zie ik ook dus in dit bericht dat het decrypten veel tijd kost, dus dan begint het weer discutabel te worden of je daadwerkelijk tijd winst (En dus geld winst) hebt.
Erg bad publicity voor een hosting bedrijf.
Hoe werkt dat in de praktijk? Maken hosting bedrijven niet meerdere back-ups of ben je daar altijd zelf verantwoordelijk voor?
Ik vraag mij af hoeveel van die 3400 klanten ze overhouden. Als het meer dan een paar dagen duurt, lijkt mij dat toch wel een hoop vertrekken.
De meeste (fatsoenlijke) hosting bedrijven maken inderdaad backups voor je (of kan je bijkopen). Dit is echter niet 'verplicht' en puur als service van de hoster. In principe huur je de webruimte en ben je zelf verantwoordelijk voor je data en backups, iets wat door veel mensen vergeten wordt.

Gezien dit bedrijf 3400 websites op 153 servers had draaien, zou ik verwachten dat ze hier backups van hebben...
(Maar aangezien ze betaald hebben, waren die er dus niet)
Of het betalen is veel sneller om yo en tuning te zijn. De diensten uit de lucht hebben. En misschien wel enkele dagen bezig zijn met backups terug rollen is ook geen pretje voor een bedrijf.
Mwa, ben ik het niet helemaal mee eens. Ze wisten toen ze betaalden niet eens of de bestanden wel vrijgegeven werden, dat is namelijk altijd weer de vraag bij ransomeware. Een programmeerfoutje en je bestanden zijn simpel weg vernietigd en nooit meer terug te halen ( of na een jaar wanneer ineens de decryptiesleutel uitlekt of zoiets ). En als die afweging 1,3 miljoen kost, weet ik eigenlijk bijna wel zeker dat ze geen back-up hadden, of geen recente.
Misschien is het ook niet aan hen om die backups te hebben. Ik huur zelf enkele unmanaged servers en sta dus zelf in voor het beheer en de backups. Maar als door een fout van de hoster mijn bestanden weg zijn verwacht ik van hen toch echt een oplossing.
Misschien niet nee, maar zelfs dan moeten ze het gewoon oplossen. Kan me niet voorstellen dat je bij zo'n club blijft, na een akkefietje als deze. Zeker als ze gewoon zeggen: Pech, data weg! ( misschien een leuke slogan voor een nieuwe ransomeware variant :+ )
Je kan ook 1 server betalen en als dat werkt de rest.
9/10 keer werkt het. Anders is je verdien model weg. En af en toe betaalt krijgen een huis pc gaan ze niet rijk worden. Juist deze klappers worden ze rijk van.
De 'klantenservice' van die ransomware is waarschijnlijk stukken beter dan dat van het bedrijf zelf.
Of de backups waren ook encrypted ? Erebus kan 433 file types infecteren kans bestaat dat de extensie waarin hun backup files werden opgeslagen er ook tussen staat ?

Trend micro zegt hier over:
Back up your files. An effective countermeasure against ransomware’s fear-mongering tactic and impact is to keep backups of files stored in the system or server—with at least three copies in two different formats, with one stored offsite.
De kans dat er 1 backup aanwezig was, maar wel gelinkt was aan 1 of meerdere van deze linux systemen is ook aanwezig. Tjah dan is het wachten tot die ook encrypted worden......
Bedenk je wel dat dit soort software malware* tegenwoordig vaak een week wacht met aanvallen. Zodoende dat je backups ook besmet zijn

[Reactie gewijzigd door Sieb2 op 20 juni 2017 07:58]

Heb je daar een bron van?
Heb je daar een bron van?
Neen, maar van mn zwager weet ik dat pas bij een herstart de melding kwam van versleuteling. en de datums van de ellende van dagen eerder waren. Zet je de pc dus niet uit dan kan er kennelijk worden versleuteld totdat je (her)start. Ok dat bij alle ransomware is weet ik niet.
In mijn ogen is de enige schade op de backups dan dat je een full system kan doen, maar file resterende dan toch nog steeds?
Dat heb ik ook ergens gelezen, bij mij weten in een artikel van Malwarebytes. Echter kon ik het zo niet vinden.. Wellicht dat iemand het artikel linkje heeft ?
Erg bad publicity voor een hosting bedrijf.
Hoe werkt dat in de praktijk? Maken hosting bedrijven niet meerdere back-ups of ben je daar altijd zelf verantwoordelijk voor?
Ik vraag mij af hoeveel van die 3400 klanten ze overhouden. Als het meer dan een paar dagen duurt, lijkt mij dat toch wel een hoop vertrekken.
Je kan backups maken, maar er komt ook continue mail op de gehoste domeinen binnen (en er gaat continue mail uit ook) en bij een restore zul je dus een hoop mail missen. Ik vrees dat de klanten dat niet fijn vinden.
Maar backup je de ransomware niet gewoon mee vraag ik me dan af? Of moet je dan herstellen naar de dag voor de ransomware en dan zijn je klanten slechts een klein deel van hun data kwijt?
Hmm das 300 euro per site. Weet niet wat ze hosten maar als het zo'n hobby-Bob hoster is waar je paar euro per maand betaalt, wens ik ze veel succes met terugverdienen van dat geld.

Daarnaast zou ik gelijk mijn biezen pakken en ergens anders mijn site gaan hosten als mijn hoster dit overkwam.
tjah, en dan kom je bij de volgende hoster uit die zijn software niet up to date heeft gehouden. Je wil niet weten hoe veel hostingbedrijven dat simpelweg niet op orde hebben. Een kennis van mij werkt bij 1 van de grote hosters in de VS en als ik hoor hoe verouderd hun back-end infrastructuur is dan ben ik verbaasd dat zij nog altijd niet gehacked zijn.
Dat lees ik altijd met grote verbazing.
Ik heb zelf een hostingbedrijfje en het spul blijft gewoon up to date.
Met spul als kernel updates lopen we hooguit een paar dagen achter (weekend only)

We hebben wel eens een besmette site gehad (pc klant besmet), maar dan werd gewoon een backup van een dag eerder erop gegooid.
Klaar.

[Reactie gewijzigd door hackerhater op 20 juni 2017 09:40]

Dan doen ze of iets heel goed, of iets heel slecht. Ik denk dat laatste

Ze zijn a hacked alleen ze weten het zelf nog niet door de verouderde ICT.
Precies dat kwamen wij vandaag ook achter. Wij zijn een API aan het schrijven voor iemand en die host bij GoDaddy... Als ik zeg dat de boel daar een "beetje" out dated is dan is dat nog een behoorlijk understatement... Hopelijk hebben de partijen hun anti-ransomware beleid en backups beter op orde..
Ik zou juist blijven. Als een hoster een miljoen betaalt om data terug te halen, dan geeft mij dat juist vertrouwen.

Er is geen hoster die kan garanderen dat er nooit iets met de data gebeurt, maar in ieder geval doet deze er alles aan om het terug te halen.
Nee, ik niet. Als ik zie hoe oud software is die men gebruikt dan twijfel ik dermate aan hun competenties, om het nog maar niet te hebben over het gebrek aan backups, dat dit niet zomaar teruggewonnen is, ongeacht hoeveel geld men betaald om het recht te trekken.
Als ik zie op hun site is hun gemiddeld Linux pakket 5 euro per maand. Zal inderdaad nog even duren voor ze het er terug uit hebben...
Van mij mag een "hostingbedrijf" dat zo slecht omgaat met beveiligingen, voor altijd op slot blijven.
Ik hoop dan ook dat ze never ever de sleutels krijgen..
Goed verhaal, maar dan mag je misschien wel de helft (of meer) van alle hosters opdoeken. Niet echt constructief.
Lijkt mij juist extra constructief, daar wordt het net een stuk veiliger van. Vergeet niet dat veel virussen en malware juist verspreid worden door dit soort beunhosts die gehackt worden.
Ik ben bang dat het bedrijf die 1 miljoen voor niks betaald heeft en als nog failliet gaat door het aantal klanten dat zal verhuizen naar een andere provider of dat de decryptie nooit bezorgd wordt.
Wel gedurfd en waarschijnlijk het risico waard.
Mogelijk, maar anders hadden ze waarschijnlijk gelijk de deuren kunnen sluiten. Nu hebben de klanten hopelijk hun data terug.

Wel een slechte impuls voor deze criminaliteit helaas.
Als bedrijf zou je haast een 'randsomware'-post op moeten nemen in je financiele planning. Niet om losgeld te betalen, maar om preventieve maatregelen van te betalen.

Tis vooral ernstig dat zoveel bedrijven zich gedwongen voelen om te betalen. Houdt een markt in stand.
Een backup-post hoort al jaren op je begroting te staan en zou moeten voldoen tegen ransomware.

[Reactie gewijzigd door Aikon op 20 juni 2017 09:36]

Ja tuurlijk moeten backups beschikbaar zijn. Maar... toch is het maken van backups tegen ransomware een andere insteek dan beschermen tegen verwijderen door een gebruiker of het uitvallen van apparatuur.

Ik merk dat in de praktijk shadowvolume copy eigenlijk het beste werkt, omdat je dan vrij makkelijk encrypted data kan herkennen en vervangen door het origineel. Ik heb nu 3 infecties meegemaakt en twee keer kon ik verspreiding beperken door in te grijpen en de oorzaak uit te laten zetten en 1 keer was het al zover dat alle shares waar schrijfrechten op waren door een gebruiker met een infectie versleuteld waren (weekend). Terughalen van backup duurde toen 3 dagen.

Shadowvolume copy kostte 2 uur om te herstellen.

Dus ja, backups moesten altijd al - maar je moet je BIV(C) classificatie wel even herijken op hoe groot de kans is dat dit gebeurt en hoe snel je je data terug wilt kunnen hebben. Overigens moet je rechten model te allen tijde goed zijn - anders verlies je je shadow volume copy net zo hard als (online) backups.
Je beschrijft gewoon een onderdeel van een fatsoenlijke backupstrategie? Aan de ene kant een snelle online backup, aan de andere kan een offline offsite backup die idd langzaam kan zijn.

Ik heb al tientallen keren te maken gehad met ransomware, en ja, meestal voldoet een versioning-systeem zoals shadowvolume om de boel weer recht te trekken (en het uitschakelen van de veroorzaker (of simpelweg herstarten in ons geval ivm gebruik deepfreeze)), maar dat neemt de noodzaak van offsite offline backups nooit weg. Zonder dat heb je eigenlijk geen backup-strategie maar ben je aan het gokken.
Precies, een zogenaamde 3-2-1 backupstrategie is al lange tijd de norm. Het maakt niet uit wat de reden is dat je data weg is, of het nou door ransomware, harddisk-crash, diefstal of brand komt.
Nee, juist niet. Als de bedrijven en instanties blijven betalen, dan zien de criminelen ook dat het een groot succes is. Bedrijven moeten gewoon goede back-ups hebben.

Laat maar. * AnonymousWP moet nog even wakker worden

[Reactie gewijzigd door AnonymousWP op 20 juni 2017 09:06]

Heb je de post van @NiGeLaToR uberhaupt volledig gelezen?
"Niet om losgeld te betalen, maar om preventieve maatregelen van te betalen."
Het zou zwaar bestraft moeten worden ransomware te betalen, zoals ook heling illegaal is.
Nog een aanvulling uit het blog van Trend Micro:
While not comparable in terms of the ransom amount, this is reminiscent of what happened to Kansas Hospital, which didn’t get full access to the encrypted files after paying the ransom, but was instead extorted a second time.
Dat gevaar loopt natuurlijk elke betaler. En tegelijkertijd is er voor betalen ook weer wat te zeggen, aangezien deze hostingprovider duidelijk geen backups gaat of kan terugzetten. Duivels dilemma.
Wordt maar weer eens onderstreept waarom een adblocker handig is :)
Hoeft niet perse aan de hoster te liggen.

Voorbeeld (uit eigen ervaring): klant geinfecteerd door malware op zijn prive computer. had joomla site draaien (oude versie) met als gevolg dat door upload bestanden zijn geinfecteerd met als gevolg dat er op de webserver getracht is vanuit zijn website om andere folders/bestanden te infecteren. Dit hadden we goed afgeschermd dus dat ging hem niet worden. Het is maar om even aan te tonen.

Ik vind het zwak om gewoon aan dat tuig toe te geven en te betalen. Maar zo denk ik erover ...
Zeker dit kan gebeuren en dat is ons ook al een paar keer gebeurd.
Maar als je servers goed ingericht zijn blijft het beperkt tot 1 site en dan zet je als hoster, in overleg, gewoon de backup van de nacht ervoor terug.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*