Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Systemen van containerconcern Maersk zijn getroffen door ransomware

Door , 249 reacties

Logistiek concern Maersk is getroffen door een omvangrijke ransomware-aanval. Hierdoor zijn de containerterminals van dochterbedrijf APM buiten werking, waaronder die in de haven van Rotterdam. De ransomware lijkt op grote schaal toe te slaan.

Maersk bevestigt dat de it-systemen bij meerdere vestigingen en bedrijfsonderdelen plat liggen, maar noemt geen oorzaak. Een medewerker van Maersk Bombay publiceerde een foto waarin te zien is dat het om ransomware gaat. Het bedrijf doet onderzoek en belooft meer informatie vrij te geven zodra meer bekend is.

Als gevolg van de it-problemen liggen de containerterminals van APM, een dochterbedrijf van Maersk, plat. Onder andere in Rotterdam ligt het werk bij de terminals daarom stil, melden medewerkers aan RTV Rijnmond. Ook de site van APM Terminals ligt op moment van het schrijven plat. APM heeft wereldwijd 20.000 medewerkers en 64 containerterminals.

Er zijn dinsdag ook berichten over internetaanvallen op bedrijven en organisaties in Oekraïne en Rusland, niet duidelijk is of die gerelateerd zijn aan de ransomware-uitbraak bij Maersk. Volgens beveiligingsonderzoeker Ricky Gevers lijkt het om een variant van de Petya-ransomware te gaan.

Reacties (249)

Wijzig sortering
Ik kan uit eerste hand bevestigen dat dit niet alleen bij Maersk is. Mijn werkgever wil vast niet nu al met toenaam online, maar ook 'wij' zijn getroffen. Wereldwijd bedrijf, 50k werknemers. Meldingen vooralsnog alleen uit Europa (maar wel heel Europa). Ook al via via bevestigd gekregen dat een aantal banken in Oekra´ne en Rusland plat liggen. Wanacry 2.0? Zelfde malware als in screenshot bij dit artikel.

Windows 7 machines, goed up to date met beveiligingspatches. McAfee beveiliging met endpoint encryption etc. Nagenoeg gelijktijdige start in meerdere locaties. Dormant malware centraal gestart? Zelfde tijd als Maersk zo te zien (rond 14h). Word, Excel en pdfs ineens corrupt bij openen, problemen met Outlook (ost file) en webmail omgeving ook onbereikbaar.

[Reactie gewijzigd door Redinox op 27 juni 2017 15:54]

Ondertussen al verschillende bedrijven (ik kan dit eerstehands bevestigen):
Mondelez (ex-Kraft deel), Nivea, GroupM

http://www.expansion.com/...56f7468aebd16f8b463e.html

Nota: dit artikel is in het Spaans

[Reactie gewijzigd door Rodrigo op 27 juni 2017 16:49]

Inmiddels even aan het vertalen gegaan, al is mijn Spaans niet super goed.
Maar heb mijn best gedaan in elk geval, dus voor de liefhebbers:

Een nieuwe global attack van 'ransomware' be´nvloedt Mondelez teams, Maersk, Nivea en GroupM en andere bedrijven.

-Oekra´ne zou een "massale aanval" die hun staatsmacht invloed hebben ontvangen en verschillende van haar grote banken.
-Cybercriminelen claimen $ 300 per ge´nfecteerde computer.

Een computervirus "malware" heeft computers getroffen over de hele wereld vandaag.

"Al mijn kantoor computers zijn getroffen door de algemene ransomware aanval.
Ik heb gehoord dat er ook andere bedrijven zijn getroffen.
Back-up daarom om jezelf veilig te houden, jongens."

Dit is de boodschap van een gebruiker op Twitter, @mihirmodi, werknemer Nivea in Mumbai (India).
En hij is niet alleen.

Mondelez werknemers, Maersk en GroupM (WPP), uit verschillende delen van de wereld (New York, Londen, Frankrijk, Rusland, Oekra´ne, Polen, ...) hebben meegedeeld via het netwerk van microblogging website's wat hun ervaring hiemee is.
Volgens El Confidencial, zou DLA Piper, een ander bedrijf zijn dat is gekaapt door cybercriminelen en hun teams.

Mondelēz heeft een persbericht gestuurd met een bevestiging van het nieuws.
"Het netwerk van Mondelēz International is het ervaren van een wereldwijde IT stroomstoring".
Van haar kant, heeft Maersk geopenbaard via Twitter dat het virus van invloed is op "meerdere locaties en business units."

"Massive Attack" in Oekra´ne.

De Oekra´ense centrale bank heeft ook bevestigd dat een aantal banken en bedrijven in het land, waaronder de elektriciteitsmaatschappij van de staat/land, hierdoor getroffen zijn.
Blijkbaar zou het een variant van ransomware Petya beterffen, en alleen van invloed zijn op computers met het Windows-besturingssysteem.

De ransomware aanvallen door gaan te werk door het blokkeren van toegang tot bestanden en systemen, en vereisen voor hun vrijlating betaling van losgeld, meestal slecht gepresteerd.

Deze keer zouden de cybercriminelen een betaling eisen van $ 300 per team.
Op dit moment zijn er 5 transacties van/met deze waarde geweest, voor 12 uur vandaag.

De infectie gebeurt meestal door middel van het verzenden van e-mails met een legitieme naamvoering, die een schadelijke koppeling bevatten.
Om deze reden is de eerste preventieve maatregel tegen een vermoedelijke aanval van ransomware al genomen, deze spoort alle werknemers aan hun computers uit te zetten, om te voorkomen dat het gebruik van hun zakelijke e-mail's (nog verdere) schade kan toedienen.

Volgens onderzoek van het Kaspersky Lab eerder dit jaar, hebben tenminste vijf bedrijven in Spanje last gehad van aangevallen door ransomware.
╔Ún van deze vijf getroffen bedrijven is er zelfs nooit meer in geslaagd om de informatie te herstellen.

Tussen april 2015 en maart 2016 werden in ons land in totaal 718.536 gebruikers getroffen door ransomware, wat overeenkomt met bijna 2.000 aanvallen per dag.
En dit is sindsdien sterk toegenomen.

Had er tijd voor vandaag, en het is een interessant stuk.
En zo kan ik mijn Spaans ook weer eens een beetje bijspijkeren.
Dat WPP (Het grootste reclame en marktonderzoeksbedrijf ter wereld met 205k werknemers wereldwijd) er last van heeft merken ze in Nederland ook wel. https://goo.gl/WPs6To <<< Hier een lijst van 54 kantoren die ze in Nederland hebben waarvan ik persoonlijk weet dat er in ieder geval een aantal in Amsterdam last van hebben, daarvan is het personeel gistermiddag naar huis gestuurd.
Windows 7 machines, goed up to date met beveiligingspatches.
Dit vraag ik me even sterk af. Veel sites vermelden dat ook dit type ransomware hetzelfde gat als Wannacry misbruikt. Patch is drie maand geleden al gereleased dus echt up to date zouden de machines dan niet zijn.

We kregen zojuist ook te horen dat onze TNT zendingen niet weg gaan. Ze zouden ook geinfecteerd zijn.

[Reactie gewijzigd door Association op 27 juni 2017 16:49]

Ik ben geen ITer dus kan hier niets met zekerheid over zeggen. Normaal gesproken heeft cybersecurity zeker prioriteit. Als dit niet gedaan is, gaan er koppen rollen (te laat). Aan de andere kant, het is nog speculeren hoe dit heeft kunnen gebeuren, kan ook nog een variant zijn die een nieuwe exploit gebruikt. Afwachten maar

Edit: Symantec geeft ook aan Eternalblue als gebruikte exploit. Dat is dan bijzonder slordig als er niets 'nieuws' aan is zodat gepachte systemen toch kwetsbaar zijn. If not, faal eerste klasse

[Reactie gewijzigd door Redinox op 27 juni 2017 17:21]

Ja en toch vind ik dit veel te makkelijk. Ook bij ziekenhuizen zie je vaak dat er geroepen wordt; HOE KAN DA NOU NOG XP ZIJN!!!!11!!!!elf!!1
Ja nou jah, als jij een miljoenenkostend systeem aanschaft (van belastinggeld) dat in een exacte combinatie van software en hardware gecertificeerd is dan heb je een probleem als er mensen beginnen te overlijden omdat je een unsupported configuratie gebruikt in de praktijk. Ik denk/hoop dat dit met de nieuwste apparatuur (denk hierbij ook aan MRI-scanners dus) anders ingeregeld wordt.

En grote bedrijven zijn misschien net iets anders dan ziekenhuizen maar ook hier geldt vaak dat er miljoenen- of zelfs miljardeninvesteringen zijn gedaan op moment X.

Voor wat betreft scholen; ik ken er nog redelijk wat die XP draaien omdat ze geen geld hebben voor nieuwe hardware.

Van een afstandje is het makkelijk roepen maar als je mijn datacenter met enkele duizenden servers binnenloopt dan piep je misschien wel anders. En dat zijn alleen nog maar de servers, we hebben niet eens meer schema's hoe alles in elkaar hangt want dat past niet meer op A0, zelfs niet met de beste wil van de wereld. De schaal waar we het over hebben is echt bizar. Of de situatie is bizar, als ik bijvoorbeeld kijk naar een bepaald subonderdeel van de Amerikaanse overheid, de USGS, die hebben meetstations over de halve wereld en alles is verbonden met ontzettend langzame satellietverbindingen. Hoe wil je daar betrouwbaar updates op uitrollen als het aanmaken van accounts op de lokale machines al een uitdaging is waar een team IAM-specialisten jaren mee bezig is...

Als klap op de vuurpijl; Toen de securityfixes uitkwamen voor dit probleem, hebben we zelfs bij ons intern nog een aantal systemen gevonden die niet meer functioneerden na de updates, waaronder een door KPN geleverde voicemail/wachtrijserver. We kregen het vriendelijke verzoek om deze server nooit meer te patchen van KPN. Ik heb ze vriendelijk verzocht om hun verzoek in hun hol te stoppen.
Je hebt gelijk, er zijn altijd zaken die een update kunnen vertragen waar IT support niet veel aan kan doen. Na her en der wat blogs en sites gelezen te hebben, lijkt het erop dat als de infectie eenmaal binnen het netwerk aanwezig is, ook een systeem gepatched tegen Eternalblue kwetsbaar is middels WMI en/of PSEXEC (al gaat dit boven mijn pet)? Dus al was mijn installatie gepatched, nog steeds kwetsbaar via een intranet? Zie https://securelist.com/schroedingers-petya/78870/ Iemand met meer verstand van zaken die kan zeggen of dit mogelijk is?
Ik kan inderdaad bevestigen dat het interne netwerk van TNT getroffen is.
Als je daar werkzaam bent in de IT, wens ik e een fijne avond :X Denk dat het een lange nacht gaat worden zo.

Ik denk at we dit vaker gaan zien en dat het misschien ook best gerichte aanvallen zijn. Blijkbaar is in Oekra´ne de overheid, banken, netbeheerder en vliegtuigbouwer Antonov getroffen. In Rusland Evraz en Rosneft.
In Engeland WPP grootste reclame bedrijf.

In Nederland natuurlijk APM, onderdeel van Maersk, die terminals over de hele wereld plat liggen.

Dit is dus weer behoorlijk serieus.
Als je daar werkzaam bent in de IT, wens ik e een fijne avond :X Denk dat het een lange nacht gaat worden zo.
Denk dat je eerder over dagen kan spreken om het op te lossen.
Ik heb gelezen dat dit het lek van wanacry gebruikt die is als het goed is bij meeate bedrijven reeds gepatcht. Werk zelf in de it en via ons management systeem hebben we alles geforceerd gepushed en gecontroleerd
De eerste infectie lijkt via dat lek te zijn gekomen, verdere verspreiding in een netwerk lijkt te gebeuren via psexec en andere mechanismes, dus 1 client in combinatie met local users als admin geeft je gewoon een 100% infectie van je powered onn machines....
Ja, dat besef ik me, maar we moeten toch iets positief blijven voor die dames en heren en niet gelijk zeggen dat ze best naar huis kunnen om hun lief te kussen en een sporttas met kleding te pakken omdat ze de aankomende dagen genoeg te doen hebben.
Serieus is het zeker. Ik zit zelf niet in de IT hoek, maar ook voor ons heeft dit grote gevolgen de komende dagen. Continue business en dit soort downtime is funest voor onze processen en gaat veel tijd kosten om in te halen. Het lijkt tegenwoordig een kwestie van tijd totdat je er mee te maken krijgt, gericht of niet...

Maar goed, eerst zijn onze IT heren en dames aan zet en ik wens ze veel succes. Wat daarna komt, zien we dan wel
Daar heb je inderdaad ook gelijk in. Voor de gewone medewerker is dit ook zeer vervelend omdat je je werk niet kunt doen. Ik moet er niet aan denken hoeveel miljoenen/miljard? die aan bijvoorbeeld Maersk gaat kosten. Als al je terminlas stil liggen.
En daarom zullen bedrijven al snel die 300 dollar aan bitcoins betalen, want het alternatief kost veel meer..

Alleen zul je daarna wel alle computers opnieuw van een OS moeten voorzien, want ondanks dat de malware je systeem weer heeft vrijgegeven, de malware zelf zit nog wel op je systeem en zou na drie maanden weer opnieuw actief kunnen worden..

Maar goed, ik kijk met angst uit welke malware we nog meer gaan zien dankzij de hacktools van de CIA. Want veel van die hacktools maken gebruik van zero-day exploits en veel van deze exploits heeft de CIA bewust achtergehouden.

Maar misschien als er genoeg van dit soort malware aanvallen plaats vinden, veranderd misschien de security mentaliteit van bedrijven. Want security is vrijwel altijd het ondergeschoven kindje. Dat geld ook voor netwerk verbindingen. Hoe vaak krijgen bezoekers niet het WiFi wachtwoord van het netwerk waar ook al het personeel op zit om contact te kunnen maken met Internet. Wij hebben een apart WiFi netwerk voor gasten en dit netwerk is middels een aparte netwerk kaart verbonden met het internet..
En daarom zullen bedrijven al snel die 300 dollar aan bitcoins betalen, want het alternatief kost veel meer..
Dat is sowieso geen optie meer omdat het communicatiekanaal met de ransommakers via email is afgesloten.
Of je nu betaald of niet dit kost heel veel geld. Want zoals je zegt, ook al betaal je en krijg je de keys, dan nog zou ik een nieuwe image pushen. Dat op zich is niet heel veel werk naar workstations. Tenzij je mensen lokaal laat opslaan natuurlijk en niet op een server map. Je servers daarentegen zal een stuk lastiger zijn.
Zoals @TWyk terecht opmerkt is betalen nu ook geen optie meer gezien het email adres dat op het scherm staat afgesloten is. Daar ga je dan.

Ik dacht dat de tool van de NSA afkomstig zijn. CIA en FBI zijn losstaande diensten, maar moet zeggen dat ik niet geheel op de hoogte ben hoe dat daar allemaal in elkaar zit.
Maar misschien als er genoeg van dit soort malware aanvallen plaats vinden, veranderd misschien de security mentaliteit van bedrijven. Want security is vrijwel altijd het ondergeschoven kindje. Dat geld ook voor netwerk verbindingen. Hoe vaak krijgen bezoekers niet het WiFi wachtwoord van het netwerk waar ook al het personeel op zit om contact te kunnen maken met Internet. Wij hebben een apart WiFi netwerk voor gasten en dit netwerk is middels een aparte netwerk kaart verbonden met het internet..
Dat zie ik inderdaad ook geregeld. Kon zo eens in een hotel heel makkelijk hun de printer van de receptie gebruiken (a) vanuit de publieke wifi. Maar goed, dat heb ik dan ook gemeld, via een print natuurlijk :)
Vaak zijn ze al dagen, zo niet weken binnen in een organisatie bezig met verder doordringen en voorbereidingen te treffen om 'live' te gaan. Via een kennis die bij een ziekenhuis werkt weet ik dat het oudste spoor dat ze gevonden hebben 3 weken voor de aanval was.

In elk geval sterkte!
Juist, en problem voor velen is dat de backups dus ook besmet zijn en dus een heel groot problem hebben. Sommige mensen denken dat dit bv vandaag op je computer komt en dan ook vandaag nog die melding toont, ja, die ransomware heb je ook, maar ook genoeg die vandaag op je computer/netwerk terecht komt en dan eerst enkele weken de boel besmet en dan pas van zich laten horen.
Veel breder inderdaad..!

The verge heeft er ook het een en ander over geschreven?

https://www.theverge.com/...re-attack-europe-wannacry
De zakelijke variant is een van de beter te beheren en effectievere virusscanners.
Ik kan dan wel een -1 krijgen maar wij zijn als security bedrijf actief op de groot zakelijke markt. Juist mcafee is een draak van een product. Als je de beveiliging serieus neemt dan werk je niet met mcafee.
Sorry maar Kaspersky??
Sorry maar Trend micro??
Sorry maar Symantec??
Sorry maar ...........??
Schijnt een Microsoft certificate te misbruiken:

https://twitter.com/craiu/status/879690795946827776
https://pbs.twimg.com/media/DDVKA52WsAAMaOy.jpg:large

Excuus; dit is de hash: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

https://virustotal.com/en...b30f6b0d7d3a745/analysis/

// update
Meer informatie van AlienVault:
Comments on VirusTotal indicate the usage of the EternalBlue exploit but this has not been confirmed. The sample: - Clears the windows event log using Wevtutil - Writes a message to the raw disk partition - Shuts down the machine. Leverages ARP scans and PsExec to spread. PsExec is dropped as dllhost.dat

https://otx.alienvault.com/pulse/59525e7a95270e240c055ead/

[Reactie gewijzigd door shoombak op 27 juni 2017 16:19]

Ik weet niet in hoeverre Mearsk haar dochters voorschrijft welke IT ze gebruiken, maar als Mearsk hetzelfde gebruikt (en al haar dochters), dan praat je over een heel groot bedrijf. Maersk heeft door de jaren heen heel wat overnames gedaan (Sealand, P&O). Dit Deense bedrijf telde (aldus de Engelse wiki) in 2013 89000 werknemers, en dik $47 miljard omzet. Dit is dus geen klein bedrijf, waarvan de IT niet op orde zou zijn.

Sealand was de eerste terminal (bij ECT) waar alles geautomatiseerd was (met AGVs, ASCs en noem maar op). Imposant, toen al, maar Sealand is tegenwoordig ook van Mearsk. Als een bedrijf met zoveel IT knowhow geraakt wordt, dan is dit toch een zorgelijke ontwikkeling. Een hele terminal plat door ransomware zal ook in de papieren lopen (havengeld, vertraagde vaarschema's etc).
Mearsk, is enorm groot en kan onmogelijk al haar dochter ondernemingen voorschrijven wat men moet gebruiken.
Veel al binnen dit soort ondernemingen die voornamelijk door markt consolidatie (overnames) zijn gegroeid in de afgelopen 10 tot 15 jaar zie dat er geen beginnen aan is on de ICT te standaardiseren. Alleen al omdat men de mogelijkheid wil behouden de gehele handel of delen er van weer te verkopen in de nabije toekomst. Ook is de complexiteit veel al zo groot omdat de bedrijfsmodellen niet geheel het zelfde zijn dat het vrijwel onmogelijk is om de zelfde service aan klanten te blijven leveren als men deed voor de overname wanneer men de hele ICT handel vervangt met die van de koper.
Ik heb binnen DHL een van de andere grote logistiek bedrijven bijvoorbeeld aan een systeem mogen werken dat letterlijk de 14 verschillende transport management systemen die binnen de vrachtvervoer tak werden gebruikt aan elkaar knoopte om het mogelijk maken uiteindelijk deze systemen te kunnen gaan vervangen. (dit waren systemen van overgenomen bedrijven als Danzas, van Gent en Loos etc...) Of dat uiteindelijk ook gelukt is dat vervangen weet ik niet ik werkte maar 7.5 jaar voor DHL en dat is veel te kort omdat soort projecten te kunnen voltooien natuurlijk.

De IT knowhow binnen het bedrijf wil helemaal niets zeggen over de operationele systemen, het kan hele goed zijn dat een bedrijf extreem goed is in nieuwe dingen bouwen maar de bestaande infrastructuur totaal verwaarloosd, want nieuw is cool etc.
Een goed voorbeeld is een mainframe die faalt en pas na 4 uur (zo als beschreven in de documentatie en de SLA dat dan weer wel) draait de backup. Kosten voor het bedrijf (directe niet alle indirecte kosten) 100.000.000 euro per uur. De volgende dag vraagt men zich af hmm waarom duurde dit zo lang dat is niet acceptabel. Het antwoord van de beheerders, "Nou, omdat wij al jaren vragen om een betere high availability setup maar de kosten waren te hoog."
De volgende dag was er op eens een project opgestart om de verzochte dark fiber tussen de twee data centers aan te schaffen en de fail over zo op te zetten dat de maximale outage bij een complete failure nooit meer dan 10 seconde zou bedragen.
Dit zelfde bedrijf bezorgt pakketten met drones, bezorgt emails via de post voor mensen die geen email address hebben, is in staat om je precies te vertellen waar jouw medicatie zich op dat moment op de wereld bevind inclusief de temperatuur, hoeveelheid licht, vochtigheid en noem maar op ze kunnen zelfs vertellen wanneer jouw pakket bezorgt gaat worden tot op de 5 minuten precies...
Maar hun bestaande ICT is in veel gevallen nog al belachelijk slecht onderhouden...
Je reactie is misschien te algemeen. Ik heb in de havens gewerkt (lang geleden). Dat bedrijf is ook overgenomen, en daar wordt wel degelijk door het moederbedrijf opgelegd wat voor ICT ze gebruiken. Daar gaat wel veel tijd overheen voordat zoiets actief is, maar juist door standaardiseren willen ze synergievoordelen behalen. Zelfs toen ik er nog werkte (vorige eeuw) was er al voor heel veel (met name PCs etc) een standaard. Alleen voor de eigen dingen (zoals terminal automatisering, planning, bediening kranen etc) was er vaak eigen software. Maar dat is door de jaren heen ook (deels) naar 'standaard' software overgestapt. In de jaren 90 was het louter terminals (VT500 etc met VAX of X-terminals met SGI) wat de klok sloeg. Maar toen hadden we ook nog geen internet en virussen :-). Pas veel later kwam internet, en zijn de terminals vervangen door Windows spul.

Met de beperkte informatie die nu bekend is, kan ik geen conclusie trekken dat de ICT daar belachelijk slecht onderhouden wordt (en ook niet uitsluiten). Wel zal in een 24/7 omgeving het lastiger zijn om maintenance tijd te krijgen. Downtime van de equipment is doorgaans gebonden aan maintenance windows. Ik weet niet of DHL te vergelijken is met Maersk.
Als ze nou nog gewoon op VT500 met VAX of X-terminals met SGI hadden gezeten hadden ze nooit last gehad van deze virus. ;) :+
Maersk is hard bezig steeds meer voorschriften op te leggen aan APM. Op dit moment is de migratie van de frontend zo goed als afgerond en wordt de frontend in zijn totaliteit beheerd door de Maersk groep en niet meer door de IT van APM.

Netwerktechnisch wordt er heel veel opgelegd en binnenkort (relatief) wordt ook dit netwerkgedeelte volledig beheerd door Maersk (FW beheerd etc. wordt nu reeds door Maersk gedaan, de rest uiteindelijk ook).

De applicatie servers etc. zijn nog in beheer van APM zelf (beheerders via Centric) en er wordt veel door externe gedaan. Doordat elk land zijn eigen gedeeltes beheerd en het ene land dit beter doet dan de andere zijn er vast en zeker lekken in de omgeving. Beroerd voor hun nu ze bezig zijn met een verbetertraject dit voorvalt.
Dat zulk soort dingen verschilt van bedrijf tot bedrijf is logisch.
Of dat uiteindelijk ook gelukt is dat vervangen weet ik niet ik werkte maar 7.5 jaar voor DHL en dat is veel te kort omdat soort projecten te kunnen voltooien natuurlijk.
Dit soort processen zijn inderdaad heel complex en hebben we grote impact. Het is afhankelijk van hoe de bedrijfsonderdelen op elkaar aansluiten of integratie aantrekkelijk is. Alleen standaardisatie van systemen is naar mijn vermoeden onvoldoende reden om zo'n verandering te starten. Het moet dus echt voordelen opleveren in de wijze van samenwerken tussen de bedrijfsonderdelen. Om iets te noemen, transparantie, flexibiliteit en betere controle zijn voorbeelden van voordelen.

Hoe moeilijk het ook is, dergelijke integratie wordt door grote bedrijven wel opgepakt. Voor transportondernemingen kan ik niet spreken, maar productiebedrijven willen steeds flexibeler hun ontwerp en productiecapaciteit inzetten. Deze integraties zijn vaak geen big bang veranderingen. Bedrijfsonderdeel voor bedrijfsonderdeel wordt omgezet. De makkelijkste opties eerst. En dan is er nog het risico dat midden in de verandering het roer om moet, of dat in de doelstelling deels wordt terug gestapt. Makkelijk zijn die processen niet, nee. Dat je het niet hebt zien gebeuren kan heel goed. Mijn inschatting is dat om zo'n proces bij multinationals voor alle bedrijfsonderdelen uit te voeren we over 10 tot 15 jaar doorlooptijd praten. Die tijdsduur alleen al maakt die processen kwetsbaar.

Lange termijn beleid ligt in deze tijd wat moeilijk. Hierboven kijk ik trouwens alleen naar de technische kant van zo'n integratie. Over cultuurverschillen tussen al die over de wereld verdeelde bedrijfsonderdelen is het nog niet eens gegaan. Er zijn heel wat weerstanden te overwinnen en het veranderteam heeft een heel duidelijk en krachtig mandaat van de raad van bestuur nodig om zijn werk te kunnen doen.

[Reactie gewijzigd door teacup op 27 juni 2017 17:27]

De groote van het bedrijf zegt niets of ze wel of niet hun IT op orde hebben, ik kan uit eerste hand zeggen dat een klein bedrijf met volledige eigen IT beheer alles veel beter op orde heeft dan een grooy bedrijf met versplinterde it departmenten.
Ik heb stevige twijfels of wat jij zou baud beweert waar is. Ook bij kleine bedrijven kan het een rommeltje zijn. Juist zij hebben doorgaans minder ICT budget.
Dat is ook zo, ik had het wellicht iets moeten nuanceren, een klein budget kan alsnog roet in het eten gooien.

Ik wilde alleen maar stellen dat een groot bedrijf niet automatisch betekend dat alles op orde is.
Wat je zegt gaat hoogstens op voor een klein bedrijf dat in de ICT sector actief is. Een doorsnee klein bedrijf heeft helemaal geen eigen IT afdeling.
Als ik het goed heb, rollen ze hun eigen infrastructuur uit als ze een overname doen. Zit een stuk van de efficiŰntie in die ze meerekenen bij M&A's. Dusja, de kans is vrij groot dat nu het hele bedrijf is geraakt..
Sealand op ECT (DSL) draaide toendertijd niet op windows maar op eigen software op VMS. Tegenwoordig wel want ICT moet je uitbesteden en off the shelf is beter. Nu de gebakken peren.
Niet alleen Maersk. Bij mij op kantoor ook (fortune 50 bedrijf), maar mag de naam niet noemen volgens policy (bleh). Wat een chaos zeg, mijn eerste ervaring van ransomware van dichtbij...

Lijkt om 2 varianten te gaan, 1 met die rode tekst als startup scherm, de ander een bootloader.

Oke iets meer info: rond 1.15 werkten voor vele mensen het openen van Excel en Word bestanden niet meer (corrupt file melding). Bij reboot zie je bovenstaande afbeelding, of de andere variant. Het zit diep in het systeem, hoop dat backup servers niet getroffen zijn. We draaien allemaal Windows 7, en Mac. Naar mijn weten zijn er ook Mac systemen getroffen. Het hele encrypten leek nog geen 60min te hebben gekost, ging supersnel allemaal.

Edit 2: nog meer, in Oekra´ne liggen banken, vliegvelden en metro's plat, naast de overheid: https://www.forbes.com/si...lines-metro/#387804d57abd

[Reactie gewijzigd door LankHoar op 27 juni 2017 22:35]

Maar wel te bevestigen dat het dus om verouderde OS systemen gaat?
Windows 7 is niet verouderd nog in support tot 2020.
Dat is niet helemaal waar, Windows 7 is in extended support. dat houdt in dat het in principe alleen nog maar security updates krijgt, bug fixes en nieuwe (security) features horen daar niet bij.

Daarnaast heeft Microsoft zelf ook aangegeven dat windows 7 per definitie minder veilig is dan nieuwere versies: http://thehackernews.com/2016/01/microsoft-windows-7.html

Het ligt er dus aan hoe je verouderd definieert ;)
Nu niet selectief met feiten slingeren en daardoor angst zaaien!

Windows 7 SP1wordt gewoon tot januari 2020 ondersteund. Windows 7 RTM maar tot april 2013. Is keurig terug te vinden op de website van Microsoft. Geen idee waarom je naar een nieuws site moet linken.

Dus als je keurig je Windows 7 updatet, is er niets aan de hand. Als je dat niet doet, tja, dan vraag je erom :)

[Reactie gewijzigd door RoestVrijStaal op 28 juni 2017 18:39]

Het is niet mijn bedoeling geweest om angst te zaaien.
Ik link naar een nieuwssite omdat deze uitspraak in een interview is gedaan en ik het een duidelijk verhaal vond.

Ik ontken ook niet dat Windows 7 nog steeds supported is, maar MS maakt niet voor niets verschil tussen mainstream en extended support. Nieuwe features zoals Credential Guard zitten alleen in Windows 10 (vanaf build 1511) en Server 2016. https://docs.microsoft.co...al-guard/credential-guard

Dit houd in dat Windows 8.1 en eerder altijd kwetsbaar blijven tegen een aanval die gebruik maakt van 'Pass the Hash'

Daarnaast blijft het inderdaad belangrijk om je OS up to date te houden, ongeacht welke (supported) versie je gebruikt.
Hij geeft niet aan welke windows versie ;)
Het lijkt er op dat dit een soort WanaCry 2.0. De exploit die deze ransomware gebruikte is alleen publiek gemaakt met een versie voor Windows XP/Server 2003 maar was vanaf dag 1 al bekend dat deze voor alle Windows versies kan werken. Het lijkt nu alsof de schrijvers van deze malware iets meer moeite hebben gedaan dan het scriptkiddie niveau en de exploit zelf hebben uitgebreid om te werken op meer versies van Windows.

Dat deze bedrijven dan na de overduidelijke waarschuwing van WannaCry nog altijd niet de zÚÚr nodige security update voor dit SMB lek hebben ge´nstalleerd is dan ook zeer kwalijk.
windows vista, windows 7 en windows 8 ook.
Definieer verouderd. Kan niet spreken voor LankHoar's situatie uiteraard, maar bij ons betreft het windows 7 installaties die regelmatig van patches worden voorzien.
Ja, hoe up to date kun je je moderne OS hebben als ze je met onbekende of 0-day exploits om de oren slaan? Dan maakt het ook niet meer uit of je de allerlaatste patch had, dÚ patch voor die 0-day bestaat nog niet dus ben je gewoon de sjaak met je up to date OS.
Kan je even verduidelijken: Mac systemen die Windows draaien of OSX / MacOS?
Goede vraag, ik ben niet meer op kantoor (kan er weinig doen) en kan het niet bevestigen.
Zou er toch vanuit gaan dat een bedrijf geen Mac koopt om daar dan Windows op te zetten. Maar inderdaad zolang je het niet met zekerheid kan zeggen.
Er zijn er mensen die bootcamp gebruiken omdat ze beide OSen nodig zijn, vandaar dat ik het niet met zekerheid durf te zeggen.

Edit: inmiddels is duidelijk dat MacOS veilig is.

[Reactie gewijzigd door LankHoar op 28 juni 2017 09:03]

Nee, daar werk ik niet meer (en ik ben me nu wat meer privacy bewust dus schrijf mijn bedrijfsnaam niet in blogs :+). Echter kan ik je wel bevestigen dat het daar ook gaande is nu, en het daar idd om Petya gaat.

Wow dit is echt enorm! Volgens mij nog nooit zo'n omvangrijke aanval gezien, en in ieder geval van dichtbij meegemaakt..
Ik vind het opvallend dat updates op Tweakers nu van gebruikers lijken te komen. Dit bericht is van 15:17 uur. Sites als nu.nl hebben al verschillende updates gegeven en namen van bedrijven die dit raakt genoemd.
Alle tweakers zijn hard bezig hun systemen veilig te stellen..
Als je al een patch hebt mag je het zeggen.
Zorgen dat je Windows system up-to-date zijn lijkt me voldoende. Ik heb vanmiddag direct een bericht uitgestuurd om te kijken of alle system up-to-date zijn, tot nader order geen enkele attachment te openen & bij een spontane reboot het systeem uit te schakelen (wij hebben standaard BitLocker + een bios WW).
Ik heb hier en daar al een paar keer gelezen dat volledig gepatchte PC ook besmet zijn geworden, van win 7 tm win 10. Ik zou dus niet zo zeker zijn.

Voor wat die boot betreft, dat uitzetten moet gebeuren voordat hij weer start want het lijkt in de MBR te zitten, en dan vervolgens ook niet meer aanzetten tot de bestanden er af zijn gekopieerd.

[Reactie gewijzigd door Durandal op 27 juni 2017 23:07]

Is dit niet al langer het geval? Vanavond of morgen krijgen we (hopelijk) een kleine update waarin misschien de namen van bedrijven komen te staan.

De aanval is namelijk vele malen groter dan alleen Maersk, je zou kunnen spreken van een kleine crisis als je ziet wie en wat voor bedrijven er allemaal getroffen zijn.

In vrijwel alle artikelen vind je meer informatie in de comments dan in het artikel zelf. Soms vind je in het artikel eenzijdige informatie en laten ze een belangrijk deel weg om het 'interessanter' te maken voor het algemene publiek.
Het is natuurlijk een tikkende tijdbom. Wat als de toegang verschaft is tot databases ed. Dan kun je wellicht containers verbergen. Dat de inhoud verloren gaat is 1 ding. Echter kunnen er dan ook verkeerde dingen inzitten, zonder dat opvalt. Denk aan wapens en mensensmokkel
Interessante gedachte, dat de ransomware slechts een smokescreen is, een afleidingsmaneuvre om een veel grotere misdaad te begaan die onopgemerkt gaat in de chaos van de ransomware. Cool idee voor een film ook.
een afleidingsmaneuvre om een veel grotere misdaad te begaan die onopgemerkt gaat in de chaos
Of juist het computersysteem dat je in de weg zit om de grote klus te kunnen klaren blokkeren middels ransomware. Inderdaad nu al een film die ik wil zien.
Er zijn meerdere bedrijven in Nederland de dupe hier van niet alleen Rotterdam haven. Ik zal maar geen naam noemen maar bij ons ook 3000 Pc's plat gegaan om 13:20. Moederbedrijf meegeteld hoorde ik net van een directeur dat we tegen de 100.000 infecties zitten.

Wat me opvalt is dat er op een aantal systemen je de melding krijgt van $300 betalen, andere systemen starten niet eens meer op en kom je de hele tijd in een boot menu terecht...
Dat doet vermoeden dat het idd een bootsector besmetting is - wellicht werkt de malware wel op MBR schijven en niet op die met GUID partition tables, of vice-versa.
Hier het kassasysteem van een volledige supermarkt getroffen: https://pbs.twimg.com/media/DDVZuy-VwAAr5NT.jpg

bron: https://twitter.com/golub/status/879707965179088896


Dit wordt ongekende wereldwijde chaos!!
De back-up dude zit nu wel te zweten denk ik :P
Dat denk ik ook.

https://blockchain.info/a...uxXTuR2R1t78mGSdzaAtNbBWX

Mag hopen dat maersk niet de persoon is die er nu naar aan het overschrijven is

[Reactie gewijzigd door tha_crazy op 27 juni 2017 15:26]

Denk dat betalen een stuk goedkoper is!
Houd in een bedrijfsnetwerk wel rekening met het feit dat er meerdere exemplaren van de malware actief kunnen zijn die allen een eigen key gebruiken. Simpelweg betalen is dan niet altijd direct een makkelijke oplossing. Wil je alle bestanden terug dan zul je voor elk exemplaar moeten betalen. Daarbij is het maar de vraag of je daadwerkelijk je bestanden terug krijgt. Hiermee houdt je ook dit soort malware in stand. Ransomware bestaat alleen omdat er mensen zijn die betalen. Zolang de kans op gepakt te worden laag is en de inkomsten hoog blijft dit soort malware lucratief.
Als ze je bestanden niet teruggeven na betaling dan schieten ze zichzelf in de voet, nu weten mensen dat er 3 oplossingen zijn. 1; wachten en met specialisten etc 2; betalen 3; backup erop. Als je optie 2 niet 100% zeker maakt zullen ze niet meer gaan betalen en wordt het alleen nog als een virus gezien want betalen heeft toch geen zin.
En toch gebeurt het met regelmaat dat er geen key vrijgegeven wordt. Er zijn ook gevallen bekend waarbij de implementatie van de encryptie zo slecht was dat decryptie uberhaubt niet mogelijk bleek. Betalen is absoluut geen garantie op een mogelijkheid tot decryptie.
Geen garantie, maar wel een eerste snelle mogelijke oplossing om toch door te kunnen gaan. Stil lig je toch, en $300 is niets bij dit soort bedrijven, lang stilliggen kost een factor 10.000 (mogelijk zelfs 100.000) meer. Keuze dus snel gemaakt, snel $300 proberen om te kijken of we toch door kunnen gaan terwijl we de experts er bij gaan halen om daarna het systeem na te kijken en op te schonen waar mogelijk, dat wachten op de experts moet je toch.
Ik vraag me af hoe ze eigenlijk bijhouden wie betaald heeft. Als in: je maakt die bitcoins over, krijgt je key en kan alles decrypten, maar hoe weet je dat je niet binnen tien minuten weer met hetzelfde probleem zit?
Dat weet je niet. Een nieuwe infectie ligt altijd op de loer. Dit soort malware is vaak niet gemaakt om heel erg "netjes" te zijn. Nadat je betaalt hebt is er geen enkele garantie dat je niet weer besmet raakt en die kans is behoorlijk. De meeste mensen zullen de kwetsbaarheid waardoor men is binnengekomen niet direct weg (kunnen) halen namelijk.
"Houd in een bedrijfsnetwerk wel rekening met het feit dat er meerdere exemplaren van de malware actief kunnen zijn die allen een eigen key gebruiken"


Interessant, nooit bij nagedacht. Als die dan ook file shares, waar meerdere (geinfecteerde) mensen schrijf rechten op hebben, kunnen benaderen....


edit:typo

[Reactie gewijzigd door GuruMeditation op 27 juni 2017 15:55]

Je hebt in theorie gelijk, maar als je als bedrijf een keuze moet maken (of nog veel meer verlies draaien omdat je niet wilt betalen, of verder gaan met je day to day business door wat te dokken) dan is die theorie niet veel meer waard.

Mijn gevoel zou ook zeggen "fuck it, nooit betalen"...maar in het bedrijfsleven telt dat naar tot een bepaald punt mee.
Houd in een bedrijfsnetwerk wel rekening met het feit dat er meerdere exemplaren van de malware actief kunnen zijn die allen een eigen key gebruiken. Simpelweg betalen is dan niet altijd direct een makkelijke oplossing. Wil je alle bestanden terug dan zul je voor elk exemplaar moeten betalen.
En ook nog eens de decryptie in de juiste volgolde draaien? suck6
Betalen is in dit geval vast goedkoper dan een back-up terugzetten, mits ze ook daadwerkelijk een unlock-key sturen.

Maar als iedereen maar blijft betalen wordt het uiteindelijk onbetaalbaar. Juist door te betalen worden de verspreiders aangemoedigd om het nog vaker te doen.
Misschien wel, misschien niet ? ik zou persoonlijk een systeem wat op deze manier is gehackt niet vertrouwen als ik een recovery key heb gehad van ze.

Ik zou altijd voor een full restore / her installatie gaan.
Tijd is geld hier, eerste zorg van mij zal zijn om de terminals weer online en in productie te zetten. Daarna pas alles opnieuw langzaam uitrollen.

Zulke aanvallen kunnen echt een bedrijf vernietigen, als een hele supply chain stil ligt kan ik me niet voorstellen wat voor gevolgen dit heeft. Niet alleen voor Maersk, ook bedrijven die wachten op producten kunnen erg last hier van krijgen mocht een terminal te lang dicht zijn he.
Das leuk voor later, maar een expert inhuren kost wel even wat meer dan $300, en je moet toch verder. een uur stilliggen kan best miljoenen euro's kosten.
Als je zelf niet betaald is er altijd wel een andere partij die dat wŔl doet. Mooi ideologische praat dus, maar als uit de kosten/baten-rekensom komt dat de kapers geld geven goedkoper is zal men dat massaal blijven doen.
Begrijpelijk, maar in mijn ogen ben je dan medeplichtig. Tenminste, misschien niet als je als particulier getroffen wordt, dan weet je misschien niet beter, maar als grote organisatie met goede backups zou het niet mogen dat je dan de goedkopere maar ethisch onjuiste keuze kiest.
Maar er zijn zoveel computers en dingen aanwezig. Vergeet het maar dat alles met 1key te unlocken is. Beide is niet echt een optie eigenlijk? een backup uitrollen als die niet ge´nfecteerd is kost uren. Als je betaald moet je hopen dat je een key krijgt, in dit geval meerdere. En dat hij werkt. Daarnaast zou ik in dat geval ook een back-up uitrollen want ja, vertrouw je ze?
Dat denk ik niet, in de tijd dat je met je manager etc hebt overlegd dat je losgeld gaat betalen, had je ook al de backup en een system restore terug kunnen zetten.
Dat denk ik niet, in de tijd dat je met je manager etc hebt overlegd dat je losgeld gaat betalen, had je ook al de backup en een system restore terug kunnen zetten.
In een halfuurtje ?
Dan denk ik dat je nogal overschat hoe snel er in een grote organisatie een ok wordt gegeven om losgeld te betalen.
Maar ik onderschat niet hoeveel tijd het kan kosten talloze systemen te restoren.
Tevens heb je met ransomware maar een bepaalde tijd om te reageren voordat de prijs omhoog gaat of het helemaal geblokkeerd blijft.

U niet betalen ?, U hier even tekenen voor akkoord. Danke Chef.
Idd, en dat is de reden dat dit soort kl*tepraktijken blijven bestaan. Voor particulieren is het nog anders om 300 euro/dollar/pond neer te leggen voor wat vakantiefoto's en wat andere bestanden maar wat is dat bedragje nou voor een gigant als Maersk, vergeleken met het verlies in time, money and resources voor heel hun systeem te backuppen en het eventueel betalen van extra IT specialisten die eventueel 's nachts of in het weekend aan hoger loon doorwerken etc etc,... dan is 300 dollar denk ik wel heel snel betaald...

En zonde eigenlijk want het zorgt er allemaal voor dat het een aantrekkelijke en lucratieve vorm van criminaliteit blijft.
ja maar met 1 key kom je er niet vanaf, stel dat er voor 10 000 pc's een unieke key is dan spreek je al over ander getallen.
Van de andere kant eenmalig $3.000.000 vs 47.000.000.000/(365*24)=$3.787.268 per uur aan omzet die misgelopen wordt.
(heel grof, de omzet per dag zal niet gelijkmatig per uur zijn uiteraard)

Denk dat de keuze snel gemaakt is.
Al zou je betalen. Bedenk wel die gasten die dit gemaakt hebben willen zo min mogelijk sporen. Bitcoins zijn redelijk anoniem. Maar hebben ook een hash. Deze gasten krijgen de overheden met hun geheime diensten van zowel Rusland en de VS plus Interpol op hun dak. Die gaan echt niets met die bitcoins doen. Als je betaald wachten ze denk ik paar jaar en dan pas nemen ze het op. Decryption keys terug sturen laat alleen maar meer sporen achter.
Net zoals dat het makkelijk is om afpersers van de maffia te betalen dan ze op te pakken...
Het geld stroomt wel aardig binnen. Het is wel iets duurder dan WannaCry.
Integendeel, het is exact hetzelfde bedrag. Beide ransomware varianten vragen 300 US dollar.
Sommige transacties. xD
1FuckYouRJBmXYF29J7dp4mJdKyLyaWXW6

[Reactie gewijzigd door Canule op 27 juni 2017 17:56]

Vooral als werkstations niet in de back-up worden mee genomen. En laten we wel wezen, de eerste infecties zullen op werkstations komen.

Als medewerkers (en vooral directieleden met bedrijfskritische bestanden) nu eens netjes leerden om hun bestanden op de daarvoor bestemde machines (fileshares, sharepoint) te plaatsen in plaats van op het eigen systeem, kunnen de werkplekken simpelweg opnieuw geimaged worden.

De meeste ransomware probeert eerst een tijdje omopgemerkt te blijven, zodat het zich kan verspreiden. De vraag is of dat met deze variant ook zo is, want ik kan me niet voorstellen dat een mini-kernel van slechts 32 sectors (of iets meer) actief op het network kan gaan spitten naar systemen.
Zeker omdat medewerkers bij deze infectie echt niet kunnen werken, waardoor er sneller hulp ingeschakeld zal worden en de kans op verspreiding dus kleiner wordt.
Als medewerkers (en vooral directieleden met bedrijfskritische bestanden) nu eens netjes leerden om hun bestanden op de daarvoor bestemde machines (fileshares, sharepoint) te plaatsen in plaats van op het eigen systeem, kunnen de werkplekken simpelweg opnieuw geimaged worden.
Dat heeft maar gedeeltelijk zin. In de meeste recente gevallen gaat ransomware actief op zoek naar bestanden op fileshares etc. Die worden dan net zo goed gecodeerd.
Je moet natuurlijk wel back-ups maken van de data op de shares. Dat gaat een stuk makkelijk als het centraal staat. Alle wijzigingen kunnen bijgehouden worden, zo kan je makkelijk terug naar de vorige versie.

Dit totdat de ransomware je fileserver binnen komt.
Vooral als werkstations niet in de back-up worden mee genomen.
Werkstations worden nooit in de back-up meegenomen. Bovendien zou het voor normale gebruikers ook onmogelijk moeten zijn om lokaal bestanden op te slaan door het ontbreken van rechten dan wel door policybeleid. Slaat men toch bestanden lokaal op dan is het eigen risico.
Als het onmogelijk is (door de policy) en het lukt toch kan je het niet voor eigen risico van de medewerker zijn.... Dan is het toch echt de ICT afdeling die iets niet goed heeft gedaan.
Nee vind ik niet, want bedrijfsbeleid is dat je bestanden op het netwerk opslaat juist omdat het daar wel geback-upped wordt. Als gebruikers buiten dit beleid om bestanden toch lokaal weten op te slaan dan kan je daar als IT-afdeling nooit verantwoordelijk voor zijn, want het beleid is niet voor niets opgesteld en de medewerker heeft bewust hier omheen gewerkt. Krijg je als IT-er hier toch problemen over dan leg je de gebruiker goed uit waarom dit zo is en als de gebruiker hier toch problemen mee heeft dan geef je hem/haar het advies hiermee naar de IT-manager te gaan. Als de IT-manager jouw de opdracht geeft een werkstation in de back-up te hangen dan doe je dat, maar verder worden werkstations nooit geback-upped, niet in professionele omgevingen tenminste.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*