Maersk: meeste hoofdsystemen werken weer na NotPetya-aanval

Logistiekbedrijf Maersk heeft maandag bekendgemaakt dat de meeste van zijn belangrijkste ict-systemen weer werken na de internetaanval van afgelopen dinsdag. Bij het Rotterdamse dochterbedrijf APM Terminals gaat de administratie nog met de hand.

In een bericht op zijn website meldt het bedrijf dat 'het nog nooit zoiets heeft meegemaakt en daarom zeer verheugd is om een nieuwe mijlpaal te hebben bereikt in het volledig online brengen van zijn systemen'. De belangrijkste applicaties van het bedrijf zouden weer functioneel zijn. In totaal maakt het bedrijf gebruik van 1500 applicaties, die allemaal in de juiste volgorde online gebracht moeten worden. Maersk wil zich nu richten op het wegwerken van zes dagen achterstand.

Dochterbedrijf APM Terminals vertelt aan RTL dat een aantal computers inmiddels weer werkt. De containeradministratie en het verwerken van laadlijsten zouden nog met de hand gaan. De terminal op Maasvlakte 1 is aan de waterzijde helemaal operationeel en aan de landzijde voor de helft. De terminal op de Maasvlakte 2 daarentegen is aan de landzijde helemaal open, maar ligt aan de kant van het water nog volledig stil, meldt de site. Het oplossen van de problemen kan nog ongeveer een week duren.

TNT-moederbedrijf FedEx zei zaterdag dat er voortgang wordt geboekt in het online zetten van kritieke systemen. Net als Maersk kan het bedrijf nog geen schatting geven van de financiële schade die de internetaanval heeft aangericht. Advocatenkantoor DLA Piper, dat ook in Nederland is gevestigd, zei zondag dat zijn e-mailsysteem weer werkt en dat andere systemen zullen volgen.

De internetaanval van afgelopen dinsdag leek in eerste instantie te zijn uitgevoerd met Petya-ransomware. Later bleek dat het om malware gaat die Petya-code gebruikt, maar waarvan bepaalde delen zijn aangepast. Zo ontstond de naam NotPetya, samen met andere aanduidingen. Het is niet mogelijk om met de malware geïnfecteerde systemen te herstellen.

Dat leidde tot het vermoeden dat de aanval niet was gericht op financieel gewin, maar op het toebrengen van schade. Uit latere analyses kwam naar voren dat de aanval was gericht op Oekraïne. De malware werd verspreid via een update van de boekhoudsoftware van het Oekraïense bedrijf MeDoc. Volgens Microsoft zijn in totaal minder dan 20.000 systemen getroffen. De geheime dienst van Oekraïne zou ervan uitgaan dat Rusland achter de aanval zit.

Maersk Kokura, Kees Torn, CC BY-SA 2.0

IT-banen

Reacties (123)

anboni
3 juli 2017 13:20

Ik vind het toch heel bizar dat bedrijven die zo afhankelijke zijn van hun automatisering dan geen deugdelijk Disaster Recovery plan lijken te hebben liggen. Na 6 dagen nog steeds terminals gesloten en administratie met de hand...

Aikon
@anboni • 3 juli 2017 13:54

Afhankelijk van de impact kan 6 dagen best ok zijn. Een distaster plan hebben wil niet zeggen dat je alles binnen een uur of dag weer hebt draaien. Daarin kan ook juist zijn opgenomen dat bepaalde zaken met hand kunnen worden gedaan om eea te bespoedigen. Zeker als er 1500 apps bij betrokken zijn is 6 dagen niet perse langzaam.

[Reactie gewijzigd door Aikon op 3 juli 2017 13:54]

anboni
@Aikon • 3 juli 2017 14:03

Da's waar, maar in het geval van Maersk / APM lijkt het me toch dat terminals die 6 dagen dicht zijn niet "best ok" is

Aikon
@anboni • 3 juli 2017 14:22

Mwah, als van alle systemen alle data gewiped is, is 6 dagen knap. Zelfs al heb je up-to-date backups van alle systemen, je moet ze wel terugzetten, en heel veel met de hand want even een backup terugzetten is er wellicht niet eens bij met een kapotte bootsector. Maar wellicht via bijv PXE kan je er toch geautomatiseerd weer wat mee. Ik ben ook wel twee dagen bezig als ik alle systemen gepland wil voorzien van een nieuwe image met alle uitzonderingen en naconfiguratie, en dan hebben we het over flink wat minder pc's dan Maersk.

Tuurlijk kost 6 dagen je een hoop geld, maar goed, 6 weken kost nog meer

vali
@Aikon • 3 juli 2017 15:00

Als je als zo'n groot bedrijf dingen zoals installatie- en configuratie management niet hebt toegepast dan schat ik de kans in dat backup management helemaal niet op orde is. Zeker in situaties zoals deze wil je installaties en configuratie niet met de hand doen. Server installaties kan je met tientallen tegelijk uitvoeren en team dat zich bezig houdt met backups kan hierdoor ook data terug zetten.

Uiteraard kost dit tijd, maar het bespaard wel een hoop als je niet hoeft bezig houden met "kapotte bootsector". Laatste keer dat ik Linux bak met de hand installeerde was jaren geleden en configuratie doe ik alleen nog maar met Ansible.

[Reactie gewijzigd door vali op 3 juli 2017 15:19]

NLKornolio
@vali • 3 juli 2017 16:37

De installatiemanagement systemen zullen inderdaad niet getroffen zijn door de malware ...
Daarnaast bestaat de TOS architectuur merendeels uit applicatie specifieke inrichting van meer dan 70 servers. Je mist sequel data, wat er voor zorgt dat je niet meer weet waar de container zich bevinden dat is fus met het handje checken en invoeren. Dat allemaal dubbel en HA uitgevoerd. 100-den operationele computers met applicaties waar alleen de leverancier kaas van hebben gegeten.
Om het kort te houden installatie en configmanagement gaan je niet helpen al zouden die servers heel toevallig niet getroffen zijn.

vali
@NLKornolio • 3 juli 2017 16:47

Dat allemaal dubbel en HA uitgevoerd.

Dat zou niet uit moeten maken.

Om het kort te houden installatie en configmanagement gaan je niet helpen al zouden die servers heel toevallig niet getroffen zijn.

Gaat alsnog zeker helpen. Al neemt het maar 10% uit handen en bespaard een dag tijd. Bedrijven die zo groot zijn kan het miljoenen hierdoor besparen.

[Reactie gewijzigd door vali op 3 juli 2017 16:47]

NLKornolio
@vali • 3 juli 2017 16:55

Doet het toch wel.

Vmware Template 250x runnen en gaan geen installatie management voor nodig. Toch ga je de applicatie specifieke instellingen niet in zo,n systeem zetten.

vali
@NLKornolio • 3 juli 2017 17:39

Zijn inderdaad nog IT-ers die zo te werk gaan en dat is ook de reden waarom ik als consultant genoeg werk kan vinden.

NLKornolio
@vali • 3 juli 2017 19:57

Sommige bedrijven verspillen dat geld inderdaad aan consultants ipv van hun eigen personeel daarvoor te trainen.

Aikon
@vali • 3 juli 2017 15:28

Ik zeg niet dat ze normaliter zaken met de hand doen, maar dat ze daartoe nu wellicht in bepaalde mate genoodzaakt zijn.

Superkanjo
@anboni • 3 juli 2017 16:15

De terminals waren toch niet 6 dagen dicht? Er was een noodplan, administratie met de hand. Tuurlijk heeft dit veel geld gekost en vertraging veroorzaakt maar te stellen dat de terminals 6 dagen dicht waren is onjuist.

NLKornolio
@Superkanjo • 3 juli 2017 20:00

Ze zijn nog steeds niet volledig operationeel.
Alleen sommige containers mogen opgehaald worden op afspraak ipv de 100-den containers die automatisch met een voormelding kunnen gehaald worden.
Tevens is dat alleen truck verkeer.

the_stickie
@Aikon • 3 juli 2017 14:15

Klopt, maar Maersk was toch niet echt (goed) voorbereid. Hadden ze dat wel geweest:
- was de impact waarschijnlijk kleiner
- had men niet in de media moeten zeggen dat men de procedures van jaren geleden weer heeft opgediept
- had men op dag 1 een visie/idee gehad, en hadden klanten dus geïnformeerd kunnen worden over de verwachtte duur.

wica
@Aikon • 3 juli 2017 14:21

Klopt, wij hebben zelfs een optie in een D&R waar geen recovery meer mogelijk is en wat dan.

Ondanks dat je je data, config en weet ik wat nog meer backupt zijn er scenario te bedenken, waardoor je toch echt wat anders moet doen of in ons geval. Tegen de klant zeggen, sorry wij kunnen niets meer doen, omdat ....

Nickname55
@Aikon • 4 juli 2017 13:35

Ik snap niet waarom je überhaupt 1500 apps hebt. Ik kan me dr geen voorstellig van maken. Lijkt me dat daar dan ook een hele boel ouwe meuk bij moet zitten wat misschien maar gedeeltelijk en heel sporadisch gebruikt word nog.

MAX3400

@anboni • 3 juli 2017 14:39

Volgens mij bedoel je dat er in de business continuity een paar gaten in de processen zijn gevallen; disaster recovery is onderdeel van business continuity.

De business is doorgegaan voor een groot deel; handelingen met containers werden vertraagd en de wachttijden voor vervoerders liepen op. Desondanks was de business "het overslaan van containers" voor een groot gedeelte nog gaande op APM1 door de inzet van manuele handelingen zoals het schrijven van documenten ipv het invullen van digitale formulieren. Voor zover ik de nieuwsberichten hieromtrent heb gevolgd, waren de papieren formulieren op de dag van de infectie al naar boven getoverd en draaide de containter-terminal direct door met maximaal 50% capaciteit aangezien APM2 niet ingezet kon worden.

Blijkbaar is de disaster recovery helemaal correct uitgevoerd; ik lees nergens dat er paniek is geweest die het volledige bedrijfsproces hinderde. Er is bewust voor gekozen om alles "down" te laten om eerst inzichtelijk te krijgen wat de oorzaak was geweest (zonder oorzaak geen oplossing en dus kans op herhaling). Pas daarna is men begonnen met het, bot gezegd, herinstalleren van de omgeving en het terugzetten van 1500 applicaties met bijbehorende processen.

Het terugzetten/restoren van de applicaties en het laten aansluiten van de laatstbekende data, lijkt vooralsnog ervoor te hebben gezorgd dat ze een vertraging hebben van 6 dagen in het overslaan van containers; nergens lees ik dat er bakken met data zijn weggevallen waardoor de business continuity en later controlling/compliancy in gevaar is gekomen.

Ergo: het disaster recovery plan is heel deugdelijk gedefinieerd en uitgevoerd.

ajolla
@MAX3400 • 3 juli 2017 14:54

Ik begrijp het probleem van die '1500 applicaties' niet helemaal. Als ik (ik noem maar wat) Fedora installeer kan ik ook alle applicaties die ik wil hebben aanvinken en tegelijk met het OS laten installeren. Als een bedrijf aan D&R wil doen ligt het vantevoren maken van zo'n spin en een script om de /etc enz. in te stellen, waarna je alleen nog de /home en /var van backup hoeft terug te zetten, toch voor de hand?

Z80
@ajolla • 3 juli 2017 16:14

Er zijn software pakketten die afhankelijk zijn van de data van een ander pakket of database.
De standaard kantoor software is het "probleem" niet. Maar de logistiek software die bij houd waar welke container is, waar deze naartoe moet en waar in welk schip/vrachtwagen is weer afhankelijk van het beschikbaar zijn van een database. Waarbij de database ook weer koppelingen naar andere systemen heeft. Waarbij het kan zijn dat er eerst een bepaalde koppeling moet zijn voordat de database online mag/kan komen.

ajolla
@Z80 • 3 juli 2017 17:09

Ja, dat begrijp ik, maar ook dat kan toch georganiseerd worden middels opstartscripts? Vergelijkbaar met bijv. het init opstart systeem van unix.
Ik bedoel, dit zou toch deel moeten uitmaken van de voorbereidingen op een calamiteit zoals deze. Ik maak me sterk dat het op een dergelijke manier (door een paar knappe programmers late) structureren en inrichten van het hele systeem al bij de eerste calamiteit, en er zullen er vast meerdere volgen, zichzelf tergverdient.

Dykam
@ajolla • 3 juli 2017 17:23

Het gaat niet om 1500 applicaties op 1 apparaat. Het gaat om 1500 "systemen" verspreid over vele apparaten, allemaal met elkaar verbonden.

ajolla
@Dykam • 4 juli 2017 08:55

En blijkbaar is die samenwerking gestructureerd en kan (moet) dus scriptbaar zijn.

Dykam
@ajolla • 4 juli 2017 12:18

Volgens mij onderschat je de complexiteit. En de stabiliteit. Zo'n gebeurtenis gebeurt blijkbaar zo weinig, dat het het niet waard is om een 1501ste applicatie te schrijven (want een "script" is het dan ook niet meer) om alles te coördineren, inclusief problemen die tijdens het process ontstaan, ook nog eens rekening houdende met de operationele status van het deel van het bedrijf dat nog wel draait.

ajolla
@Dykam • 4 juli 2017 13:29

Het zal zeker uiterst complex zijn, maar juist dan moet je toch heel het proces duidelijk gedocumenteerd hebben? Ikzelf zou 's nachts niet rustig kunnen slapen, wetende dat als er iets zou uitvallen heel je bedrijfsproces kan uitvallen, en je weet niet precies hoe het zit en moet dan van alles gaan uitproberen.
Nou, als je eenmaal duidelijk op een rijtje hebt, kun je een 'overkoepelende applicatie', of hoe je het ook maar mag noemen, schrijven die alles gecontroleerd kan opstarten.

Dykam
@ajolla • 4 juli 2017 15:45

Maar het process is toch duidelijk gedocumenteerd? Als je 1500 systemen met maar 6 dagen uitval opnieuw opgestart krijgt, is dat niet via een kladblaadje gebeurt.

ajolla
@Dykam • 4 juli 2017 16:44

Ja, je hebt gelijk. Maar houdt dat niet in dat een paar (mag best >2 zijn) mensen dan vantevoren in 6 dagen een 'applicatie' hadden kunnen schrijven waarmee ze nu in een dag weer online hadden kunnen zijn?
Maar ik hou er beter over op; dit heeft lang genoeg geduurd.

NLKornolio
@ajolla • 3 juli 2017 20:03

Die knappe koppen werken hard aan de productie te verhogen.

ajolla
@NLKornolio • 4 juli 2017 08:57

Ik snap je cynisme, en ik denk dat 'ie op z'n plaats is.

kdekker
@anboni • 3 juli 2017 14:08

Het hebben van disaster recovery zegt niet hoe lang het duurt. Moet je veel systemen recoveren, en zijn de tapes bijv. al offsite, dan ben je meer tijd kwijt.

Ik heb zelf systemen waar een zgn bare metal recovery + update met de laatste wijzigingen die van na de backup zijn meer tijd kosten dan fresh install en data recovery op een andere manier.

In beide gevallen geldt dat de IT-afdeling doorgaans minder werknemers telt dan apparaten in het bedrijf. Je hebt gewoon een forse doorlooptijd voordat alles weer draait (na recovery heb je ook een weer een test periode). Je zet niet zomaar een terminal met 1 klik aan :-).

Nees
@anboni • 3 juli 2017 13:24

Ik vraag me eerder af hoeveel systemen plat zijn gegaan dat fysieke toestellen waren en geen servers met offline backup.

Brousant
@Nees • 3 juli 2017 13:34

Waarom zou dat aantal belangrijk zijn?

Nees
@Brousant • 3 juli 2017 14:07

Servers kan je vanop afstand redeployen met de juist backups.

Fysieke toestellen moeten 1 voor 1 gaan deployen, fysiek op het toestel werken (keyboardhandelingen). Dat neemt veel meer tijd in beslag. Als het nu thin clients waren, zou er al veel minder werk zijn, maarja... Daarom vraag ik me dit af, wat ze die 6 dagen hebben moeten doen.

twicejr
@Nees • 3 juli 2017 14:11

Zou ook met netwerk-boot moeten kunnen.
Bootloader laadt locale windows, als het niet lukt, valt terug op automatische restore van backup (b.v. met clonezilla).

[Reactie gewijzigd door twicejr op 3 juli 2017 14:11]

NLKornolio
@twicejr • 3 juli 2017 20:06

Dat betekent wel een verdubbeling van je data. Dan moet je helaas nog honderden pc,s zo recoveren die wel allemaal specifieke instellingen hebben. Bv laser software die gecalibreerd dient te worden.

the_stickie
@Nees • 3 juli 2017 14:16

Afhankelijk van gebruikte software en configuratie kan je wel degelijk remote een bare metal restore doen...

Nees
@CyBeR • 3 juli 2017 21:07

laptops, desktops... Nu wil ik wel weten hoe je die kan redeployen (ja over netwerk) op afstand...

Janssuh!
@Nees • 4 juli 2017 11:29

Simpel, PXE boot als default hebben staan, vanuit SCCM een job klaar zetten, PXE instellen dat deze automatisch door gaat naar SCCM, WOL package de deur uit sturen waardoor de machine start en image wordt geladen zonder dat er ook maar 1 toets aangeraakt is. (geldt voor laptops als desktops)

kaasboer09
@anboni • 3 juli 2017 13:50

Ik hoop dat de regering eindelijk eens besluit om dergelijk belangrijke organisaties te verplichten zo'n recovery plan te hebben.

Gisteren was het Europa's belangrijkste haven. Maar morgen is het ons complete financiële systeem. Tijd om wakker te worden.

[Reactie gewijzigd door kaasboer09 op 3 juli 2017 13:50]

thijssie83
@kaasboer09 • 3 juli 2017 14:23

Ja doei, overheden moeten vooral ver weg blijven bij het vertellen hoe bedrijven hun werk moeten doen. NUTS voorzieningen Okee maar als je dit soort bedrijven gaat vertellen hoe ze moeten omgaan met IT wordt het ondernemersklimaat wel heel ongunstig in Nederland. Daarnaast heeft de overheid toch al vaak zat bewezen geen verstand te hebben van IT

Brummetje

@thijssie83 • 3 juli 2017 14:36

De overheid moet er alleen regels voor maken... Verder hoeft het niet te helpen met de implementatie ervan

SPee
@Brummetje • 3 juli 2017 14:47

Maar hoe zit het dan als de regels achterlopen?
Dan krijg je: "Ja, wij mogen niet een betere oplossingen uitvoeren, omdat de regels dat niet toelaten".

Dus laten ze het houden bij instructies, suggesties en richtlijnen.

Superkanjo
@Brummetje • 3 juli 2017 16:19

Ze kunnen opleggen dat er wellicht in bepaalde kritieke sectoren een noodplan moet zijn (terug naar papier kan ook een noodplan zijn) maar de recovery is iets heel anders en zolang de veiligheid niet in het gedrang komt zou ik niet weten waarom de overheid zich hiermee zou moeten bemoeien.

the_stickie
@thijssie83 • 3 juli 2017 14:44

Van boekhouden hebben ze ook geen verstand en dat lukt allemaal wel op een goeie manier?
Bedrijven moeten inzien dat hun it net zo belangrijk is als hun boekhouding.
Een verplichte audit af en toe kan wmb alleen maar de blikken op scherp zetten.

Overigens is dat bijvoorbeeld in de financiële sector best gebruikelijk... Waarom zou dat dan niet kunnen voor grote bedrijven? Uiteindelijk kost falen niet alleen de bedrijven, maar de hele maatschappij!

Amasik
@the_stickie • 3 juli 2017 14:56

Accountants doen ook vaak een IT audit.
Althans, het heeft de naam IT audit

kaasboer09
@thijssie83 • 3 juli 2017 15:10

ik zou de Haven van Rotterdam zeker rekenen als nutsbedrijf. Net zoals Schiphol. Jij niet dan?

thijssie83
@kaasboer09 • 3 juli 2017 15:15

Maar de haven lag niet plat, 1 terminal operator had de boel niet op orde. Het gemeentelijk havenbedrijf had nog volledige controle over wie waar voer, welke routes en welke slots. Dit zie ik als NUTS, een operator niet. Zie het als Schiphol vs KLM. Van KLM eisen we hopelijk ook niet vanuit de overheid hoe ze de IT regelen. Vliegen ze niet, dan is dat hun probleem.

kaasboer09
@thijssie83 • 3 juli 2017 15:18

KLM is een foute vergelijking. Er zijn twee belangrijke terminals op Rotterdam. Net zoals er ook terminals zijn op Schiphol.

Menzies is een bedrijf dat een terminal op Schiphol bedient, dus dat is een betere vergelijking. En ja, er wordt weldegelijk vanuit Schiphol eisen gesteld aan Menzies. Zolang de overheid eisen kan stellen aan een "nuts"bedrijf als Schiphol, heeft dat directe gevolgen voor degene aan wie het wordt uitbesteed.

[Reactie gewijzigd door kaasboer09 op 3 juli 2017 15:19]

thijssie83
@kaasboer09 • 3 juli 2017 16:22

Helder. Ik snap wat je bedoelt, dank voor de verduidelijking. Blijf (mening) dit grijs vinden daar ik overheidsbemoeienis een middel vindt waar men zich snel aan vergrijpt.

kaasboer09
@thijssie83 • 3 juli 2017 18:31

Daar ben ik het zeker mee eens.

629110
@kaasboer09 • 3 juli 2017 14:16

Inderdaad, morgen is het Schiphol en andere belangrijke vliegvelden uit Europa. Vallen dan ineens tientallen vliegtuigen uit de lucht omdat ze maar nergens kunnen landen ?

the_stickie
@629110 • 3 juli 2017 14:40

Neen.
Belgocontrol is een tijdje geleden volledig it loos geweest. Het gevolg was dat geen toestellen meer konden opstijgen. Landen was beperkt mogelijk. Er is per vliegtuig dat zich in het luchtruim bevond een plan/afweging gemaakt om alsnog te landen danwel instructies te geven om op een veilige manier om te leiden.
Ik denk dat je zelf ook wel inziet dat het voorkomen van ongevallen altijd prioritair blijft.

ajolla
@kaasboer09 • 3 juli 2017 14:45

Ikzelf denk dat 'de markt' na dit geval wel aardig begint te beseffen hoe belangrijk dit is, gezien wat ze hier aan kwijt zijn. Reken maar dat in menig directiekamertje hierover wordt gepraat.

Anoniem: 855731
@kaasboer09 • 3 juli 2017 19:35

Waar komt jouw vertrouwen in de overheid vandaan als het om ICT gaat? Of werk je bij een grote consultancyboer die geld ruikt als de overheid extra regels maakt?

kaasboer09
@Anoniem: 855731 • 4 juli 2017 01:17

Nee, ik ben onderzoeker bij een niet-commerciele instelling (niet ICT gerelateerd). Horizontaal toezicht werkt anders prima. Bedrijf A checkt bedrijf B, Bedrijf B checkt bedrijf C, en bedrijf C checkt bedrijf A.

NLKornolio
@kaasboer09 • 3 juli 2017 20:07

Draaien meer dan drie container terminals verder die gewoon de capaciteit kunnen overnemen. Dat is alleen de concurrent.

kaasboer09
@NLKornolio • 4 juli 2017 01:20

Het gaat er om dat 2/5 deel van een belangrijke economische ader kan worden platgelegd zonder dat men direct een back-up heeft klaar liggen. Wat als land X een gerichte aanval had uitgevoerd op alle terminals? De schade zou dan ongekend zijn geweest. En dat mag gewoon niet gebeuren.

Falcone
@anboni • 3 juli 2017 14:19

De meeste bedrijven hebben wel iets van een Disaster Recovery plan. Maar een recovery doen en een plan hebben is wel een werkelijk verschil. Het testen van backups wordt bij de meeste bedrijven al te weinig gedaan, laat staan een pilot/test van een disaster recovery plan. Ik vermoed dat er veel oude lijken te voorschijn zijn gekomen.

desmond
@anboni • 3 juli 2017 16:25

Eens! Overigens heeft Maersk wereldwijd zijn eigen datacentra in eigen beheer. Dat heeft in dit geval in ieder geval niet geholpen, lijkt het.

Wim-Bart
@anboni • 4 juli 2017 06:26

Vermoedelijk hebben ze een plan want het gaat redelijk snel. Gemiddelde uitvoer van een plan met een bedrijf van deze omvang wat totaal plat gaat zonder dat systemen vervangen moeten worden is 6-14 dagen. Je moet even in de gaten houden dat het dubbel werk is.

Bij een nomale disaster ben je alles kwijt en begin je met tapes en nieuwe hardware opnieuw, of je hebt een tweede omgeving draaien met bijvoorbeeld SRM.

In dit geval heb je een omgeving, misschien 2 omgevingen, waar je niks mee kan. Stap 1 is een hele pijnlijke. Je moet eerst al je systemen leeg maken en UIT zetten. Daar ben je al een paar dagen mee bezig. Niks ergers als een systeempje nog ergens aan met virus er op.

Daarna moet je alle firewall's min of meer dicht zetten en begon je aan de core te restoren dus DC's et cetera. Je houdt strak in de gaten of er biet stiekum nog een virus actief is. Daarna ga je patchen en onnodige zaken uit zetten. Je pleegt eigenlijk onderhoud zonder change, en dat is link maar je ontkomt er niet aan. Daarna breng je als den olievlek systeem voor systeem weer terug en hoop je maar dat alles op tape staat.
Dit proces is langzaam en er zullen voldoende hobbels zijn. Daarnaast is het een kwestie van monitoren en controleren. Want niks ergers dan halverwege een client aanzetten die niet leeg is en weer overnieuw moeten beginnen.

Een recoveryplan voor een virus uitbraak is vele malen complexer dan een standaard plan en kan nooit getest worden.

Voor een bedrijf van deze omvang is een virus zoals dit een grotere nachtmerrie dan een hardware storing. Hardware storing is bellen nieuwe hardware restoren klaar. Een virus heeft 10x zo veel stappen.

KiDoNL
3 juli 2017 13:18

Hoe kwetsbaar zijn Nederlandse systemen voor deze hack? Ik kreeg gisteren een foto door van een vriend van me die tegen mijn advies in al jaren op xp blijft hangen. Op de foto was een rood scherm te zien ala BSOD, maar dan met de melding dat het systeem geëncrypt is en vraagt om een decryptie sleutel. De naam Petya kwam er expliciet in naar voren, maar ik vraag me dan af hoe zijn laptop geinfecteerd is geraakt als de malware verspreid werd via boekhoudsoftware. Ik ben er vrij zeker van dat hij deze niet gebruikt.

Straks daarheen om te proberen de boel te herstellen, hij heeft wel een backup dus ik denk dat de enige mogelijkheid is om de schijf te formatteren en een schone installatie van Windows erop te zetten en daarna de data terug?

[Reactie gewijzigd door KiDoNL op 3 juli 2017 13:19]

Aikon
@KiDoNL • 3 juli 2017 13:23

Even kwetsbaar als andere systemen/landen. Wel lijkt bepaalde ransomware zich soms op een bepaald land te richten, in dit geval Ukraïne. Maar dat is vaak een beetje hit and miss en zo worden er ook andere landen in mindere mate getroffen.

Maersk is van oorsprong Deens dus ik vermoed dat ze per ongeluk getroffen zijn, of wellicht zijn er banden met Ukraïne danwel redenen voor de maker van NotPety (Rusland?) om ze aan te vallen.

litebyte
@Aikon • 3 juli 2017 13:44

Maersk zit over de hele wereld, ook in Ukraine....Одеса, Maersk Ukraine Ltd

Aikon
@litebyte • 3 juli 2017 13:50

Ja uiteraard, het is een wereldwijd vervoersbedrijf ten slotte. Het richt zich echter niet specifiek op Ukraïne vziw.

stresstak
@Aikon • 3 juli 2017 14:22

Het richt zich echter niet specifiek op Ukraïne vziw.

Neen, maar daar schijnen ze wel de besmetting hebben opgelopen via een daar populair boekhoudprogramma dat Maersk ook gebruikt.

Aikon
@stresstak • 3 juli 2017 14:26

Oh is dat zo? En vervolgens heeft Maersk het zelf naar Rotterdam gebracht als het ware. Dan heeft NotPetya toch het goede land te pakken gehad in eerste instantie.

stresstak
@Aikon • 3 juli 2017 14:29

Oh is dat zo? En vervolgens heeft Maersk het zelf naar Rotterdam gebracht als het ware.

Dat gaat zo met (inter)netwerken. 'Elk voordeel heb zijn nadeel'

Mickroz

@stresstak • 3 juli 2017 15:21

Maersk zat inderdaad bij MeDoc, en is daardoor ook geinfecteerd, en heeft over het (inter) netwerk daardoor ook o.a. APM Terminals en Damco geinfecteerd die ook op het Maersk netwerk zitten aangesloten.

Wim-Bart
@Aikon • 4 juli 2017 06:05

Dit is het mooie van ongelaagde netwerken met VPN's en gestretchte VLAN's. Dan kan zo een Virus lekker makkelijk van A naar Beter zonder moeilijke obstakels. Besmetting komt binnen op een PC in Ukraine, daar worden alle PC's besmet. Een SMB1 server wordt ook besmet, Server heeft toegang op SMB1 of veel erger Anonymous Pipes naar een server in NL. Die besmet hier weer alles en ondertussen heeft een systeem toegang tot andere servers in andere landen en gaat het maar door en door.

NLKornolio
@Aikon • 3 juli 2017 20:10

Als je zaken doet met Oekraïne dien je gebruik te maken van die boekhoud software. Afhandeling belasting etc

Raventhorn
@KiDoNL • 3 juli 2017 13:26

Mogelijk kan het makkelijker; weet niet of dit werkt maar kwam het na een snelle Google search tegen op de Kaspersky blogs.

Het vereist wel een aparte machine waar de harde schijf van de laptop aan gekoppeld moet worden, en een paar tooltjes welke in de post vermeld staan.
Zoals met alles wat van het internet af komt, goed blijven opletten.

Als het niet werkt, kan je altijd nog de schijf formatteren en een bij voorkeur recente Windows versie er op zetten.
Wel goed dat hij in ieder geval backups heeft... Dat is een geluk bij een ongeluk.

Oerdond3r

@KiDoNL • 3 juli 2017 13:36

Als het expliciet om de NotPeyta variant gaat, is terugzetten van data de enige optie, ze claimen decryptiesleutels aan te bieden, maar de headers van je bestanden worden op zo'n manier gescrambled dat decryptie geen soelaas biedt, ook het e-mailadres waar je de sleutel naartoe moet sturen is neergehaald door de mail provider.

BIj andere cryptoware is het nog altijd maar net de vraag of je een decryptiesleutel terugkrijgt, dit is dan ook niet aan te raden geld over te gaan maken. Bij nog eens andere cryptoware ( volgens mij vallen de Peyta varianten hier niet onder ) is de encryptie minder moeilijk gemaakt en zijn er door beveiligingsbedrijven decryptietools beschikbaar gesteld.

Een manier waarop de laptop met xp getroffen kan zijn is doordat deze waarschijnlijk met een netwerk in aanraking is gekomen met een andere besmette machine. De rest van het netwerk hoeft hier geen last van te hebben als deze wel allemaal up to date zijn met een recente Windows versie. Deze malware verspreidt zich via SMB, het File- en Printersharing protocol van Windows dat standaard aanstaat. Dit zou je kunnen uitzetten, maar wie weet hoeveel gaten er nog in de rest van Windows XP zitten. Het kan ook mogelijk zijn ( weet ik niet 100% zeker) dat deze laptop door simpelweg aan het internet te hangen zonder router ervoor, er al voor hebben gezorgd dat deze besmet raakte.

Oplossing: Draai geen xp meer, gewoon niet doen. Draai een recente versie van Windows ( of een ander besturingssysteem ) en houdt deze up-to-date.

[Reactie gewijzigd door Oerdond3r op 3 juli 2017 13:36]

Nox
@KiDoNL • 3 juli 2017 13:55

Die vriend van je lekker zelf de problemen laten oplossen. Het klinkt misschien hard maar zo is hij het minst kwetsbaar. WinXP repareren (is een tooltje voor schijnt, fixmbr e.d.) gaat hem straks nog een keer treffen. Als zijn laptop XP draait komt 'ie uit <2004 waarschijnlijk dus is een nieuwe laptop waarschijnlijk een verademing.

Heeft hij moedwillig naar XP gedowngrade dan blokkeer je hem uit je leven ofzo

FlipFluitketel
@Nox • 3 juli 2017 16:43

XP is in (oktober) 2001 uitgekomen, Vista in (januari) 2007 en toen zijn nog genoeg computers/laptops met XP geleverd doordat mensen Vista niet bepaald zagen zitten. Windows 7 is in (oktober) 2009 uitgekomen en vanaf toen werd het moeilijker (maar niet onmogelijk) om XP-systemen te kopen. De laptop kan dus best van 2009 ergens zijn maar ook dan kan een nieuwe laptop een verademing zijn.

Nox
@FlipFluitketel • 3 juli 2017 19:00

Thanks voor de aanvulling. Maar ook dán is een vervanging wel redelijk welkom. Op zijn minst een ssd.

Wim-Bart
@KiDoNL • 4 juli 2017 06:11

Ala Tweaker vrienden met XP. Dam ben je geen Tweaker

Maat van mij wilde ook geen 7/8/10 dus toen alles kapot was en hij om hulp vroeg zei ik mooizo, keuze 10 og 10. Hij zei XP. Ik zei zonde dat je alle foto's van je kinderen kwijt bent. Paniek paniek. Dus 10 geworden en nu vraagt hij zich af waarom hij niet naar 10 wilde.

Technomania

3 juli 2017 13:41

Ben benieuwd hoe ze die 6 dagen achterstand weg gaan werken. Het is allemaal vrij strak ingepland. Schepen die nu nog gelost moeten worden hadden allang weer volgeladen onderweg moeten zijn.

Aikon
@Technomania • 3 juli 2017 13:56

Niet. Als er bekant 24/7 werk is valt er weinig in te halen nou eenmaal. Met vliegtuigen ook, je kan maar zoveel vliegbewegingen aan per dag, dus vluchten worden simpelweg permanent geannuleerd indien nodig.

Technomania

@Aikon • 3 juli 2017 13:58

Misschien door de schepen wat sneller te laten varen op zee.

Aikon
@Technomania • 3 juli 2017 14:17

Meestal zit de beperking aan de kant van de overslag. Sowieso zullen er wel een aantal schepen liggen te wachten, dus ik gok dat ze eerder de schepen die al onderweg zijn iets langzamer laten varen.

Mickroz

@Aikon • 3 juli 2017 15:12

Schepen kunnen inderdaad harder varen, meestal varen ze op een zuinige modus tegenwoordig, alleen worden schepen nu omgeleid naar havens die al wel operationeel zijn, waardoor er dus altijd nog een vertraging optreed.

ajolla
@Technomania • 3 juli 2017 14:58

Met vereende ingehuurde krachten en veel overwerk?

Nico Klus

@Technomania • 3 juli 2017 23:52

Zal nog even duren denk ik.
Vandaag waren er maar 2 kranen 'operationeel' op de maasvlakte 1. Bij de Seago Felixstowe.
De rest stond stil er er lagen geen schepen. Ik had ook het idee dat ze aan het testen waren met de container 'trollies' omdat er nogal wat lege rond reden.

Sharkoon
3 juli 2017 13:45

Ik vind het op zich jammer dat tweakers niet meer aandacht hier aan besteed.. Is er een vliegtuigramp dan kun je op nos.nl of andere grote nieuwssites een liveblog volgen..

Nu is dit voor tweakers hot news, dus waarom ook niet zo'n liveblog?

Shunt
@Sharkoon • 3 juli 2017 14:15

Er zouden wereld wijd 22.000 systemen zijn die hier last van zouden hebben.
Dat is amper nieuws waardig. Verder zijn vreemd genoeg bedrijven niet heel geïnteresseerd om de werkingen en tekortkomingen van hun IT organisatie zo maar even direct bloot te leggen door pers, bloggers of zelf alle veranderingen binnen een crisis als dit te communiceren met de buitenwereld.

Nox
@Sharkoon • 3 juli 2017 13:57

Er vallen geen doden.

biglia
@Sharkoon • 3 juli 2017 16:17

Bedoel je misschien zo'n live reportage van Arnoud aan de poorten van Maersk? Ik denk dat hij binnen de minuut uitgepraat is.

De mainstream media nam die twee gevallen van ransomware wel massaal op. Het was wereldnieuws terwijl je dat minder zou verwachten.

Auteur

duqu
@Sharkoon • 4 juli 2017 10:41

Persoonlijk vind ik het idee van een liveblog voor dit soort gebeurtenissen niet gek. We deden er een poging toe in het artikel (grote aanval..) van een week geleden door het steeds van updates te voorzien. Na een tijdje volgen de updates elkaar minder snel op, zoals nu. Dan is een liveblog minder handig en kan het nieuws beter aan de hand van losse berichten gebracht worden. Dank voor jouw opmerking iig!

jeroen3
3 juli 2017 13:22

@KiDoNL Een van de andere vulnerabilities in Windows XP die niet meer gepatched worden voor consumenten.
https://www.cvedetails.co...Microsoft-Windows-Xp.html

[Reactie gewijzigd door jeroen3 op 3 juli 2017 13:23]

Jism
@jeroen3 • 3 juli 2017 15:16

In een bedrijfsomgeving kan je niet zomaar even wisselen van OS. Dat kost 10 jaar in tijd vooruit en een enorme smak geld.

jeroen3
@Jism • 3 juli 2017 16:05

Op het moment van aanschaffen van Windows XP was de einddatum van de support al bekend. Dat traject had toen al moeten starten.

Wim-Bart
@Jism • 4 juli 2017 06:30

Waarschijnlijk is de schade van deze uitbraak een factor 10-20 dan de kosten voor een 10 upgrade.

Daarnaast is dit het grootste onzin argument wat management IT'ers voorhoud.

Een paar facts:

Een dergelijk bedrijf heeft een overeenkomst met Microsoft, ze betalen dus niks extra voor 2016 en Windows 10. Zit allemaal in contract. Kosten dus 0.
Iedere applicatie upgrade wordt van te voren getest. Dus waarom niet gelijk op Windows 10 testen.
Niet alle software kan hoger dan XP. Al lang niet meer. En moet het XP dan isoleren rn geen netwerk aansluiting.
Een Windows 10 image ontwerpen is duur. Onzin, in een week heb je een image, daarna testen of je applicatie deployment werkt per applicatie, en dat is hooguit een maandje boor 1000 client apps, meerendeel zal namelijk ook gewoon werken

[Reactie gewijzigd door Wim-Bart op 4 juli 2017 06:39]

jip_86
3 juli 2017 13:26

Tjonge, 1500 applicaties is toch wel wat veel of ben ik nu gek? Dan ben je inderdaad wel even bezig alles weer up en running te krijgen.

anboni
@jip_86 • 3 juli 2017 13:48

Ik hoor dat soort aantallen al vele jaren bij allerlei bedrijven waar ik binnenkom. Over het algemeen betreft dat een handjevol echt grote, complexe applicaties. Daarnaast enkele tientallen behoorlijk standaard office applicaties (MS Office zijn er zowieso al meteen 7 ofzo), nog eens enkele tientallen hele specifieke applicaties en tenslotte hele ritsen aan word of excel macro's (die stuk voor stuk hun eigen entry in een inventarisatie hebben gekregen).

De DR voor die complexe applicaties kan nog wel eens een uitdaging vormen omdat daar allerlei afhankelijkheden inzitten, maar daarvoor moet je dus ook een fatsoenlijk DR plan hebben liggen (en periodiek, tenminste jaarlijks, testen!). Voor al die andere applicaties komt het over het algemeen neer op restoren van de fileservers waar ze op staan.

litebyte
@jip_86 • 3 juli 2017 13:51

Ik denk dat je dat al heel snel hebt, bij een gigantisch transport en logistiek bedrijf als Maersk. Zeker als (veel van) de applicaties niet multilingual zijn.

Keypunchie
@jip_86 • 3 juli 2017 18:01

Veel "applicaties" zijn vaak doorgeefluiken.

Dus een formulier waar een klant feedback invult is een applicatie.

Dat formulier wordt vervolgens gekoppeld aan een bestelling in het ordersysteen, dat is vaak ook een 'applicatie'

Als laatste is er dan nog een rapportage die er over wordt gedraaid, en ook dat wordt weer gezien als een losse applicatie.

Niet elke applicatie is een complex programma met eigen database-servers.

Ieder stukje losse software die business-waarde toevoegt, al is het maar een klein beetje, wordt al snel applicatie genoemd.

supersterk
3 juli 2017 13:20

containerbedrijf dat applicaties niet kan containeren

Audione0
@supersterk • 3 juli 2017 13:42

En jij denkt dat Maersk alleen in containers doet?

Treenaks
@Audione0 • 3 juli 2017 13:47

Ze zullen vast ook wat virtual machines hebben.

Audione0
@Treenaks • 4 juli 2017 12:36

Nee zo bedoel ik het niet,, Maersk zit ook in de olie en gas industrie.. En daar is heel wat schade aan te brengen..

Cilph
@supersterk • 3 juli 2017 14:07

Wordt aan gewerkt.

tweaker2010
3 juli 2017 13:21

Our overriding goal is to get back to an absolutely safe operation.

Ik neem aan dat dat een streven is voor in de toekomst en nu (nog) niet gerealiseerd kon worden.
Volgende stap zal ongetwijfeld zijn Windows 7 uitfaseren.

DefaultError

3 juli 2017 14:20

De vraag is: hoe leg je de lat om systemen te beveiligen een trede hoger?

Waarschijnlijk is de update van het boehoudprogramman geïnfecteerd via mail. In email een link verstoppen naar een kwaadaardige website is veel voorkomend en een struikelblok. Hoe zou het voorkomen kunnen worden van ten eerste ongewenste email en ten tweede het openen van allerlei mooi verpakte e-mails die de bedoeling hebben om de boel te saboteren. Of zorg dat dit gescheiden gedaan wordt zodat cruciale omgevingen overeind blijven. Domein aan domein koppelen met switch/firewall die malware tackelen. Kortom, ICT, werk aan de winkel.

Anoniem: 855731
@DefaultError • 3 juli 2017 19:37

Inderdaad. Laat iedereen hier stoppen met z'n tijd te verdoen op tweakers en ga oplossingen bouwen! :-)

Ins0mniA
3 juli 2017 14:41

De Nederlandse tak gaat wel in ene over van Windows 7 naar Windows 10. Dit zonder een pilot fase.

ajolla
@Ins0mniA • 3 juli 2017 15:02

Je bedoelt... Microsoft heeft hier belang bij?

Ins0mniA
@ajolla • 3 juli 2017 15:06

Denk zelf meer paniekvoetbal, maar ik snap je

Z80
@Ins0mniA • 3 juli 2017 16:19

Als de rest van de organisatie reeds gemigreerd is naar W10 en de NL tak in de planning zat om over te gaan waarom dan niet meteen?
Er zijn dus al uitrol schema's/policies beschikbaar. Als NL de eerste vestiging is die over gaat zonder planning vooraf heb je een punt.

Mickroz

@Ins0mniA • 3 juli 2017 18:34

bron?

Ins0mniA
@Mickroz • 4 juli 2017 08:29

[Reactie gewijzigd door Ins0mniA op 4 juli 2017 08:30]

Anoniem: 855731
@Ins0mniA • 3 juli 2017 19:38

De meeste grote bedrijven zijn al een tijdje bezig met de voorbereidingen voor een migratie, dus het zou zomaar kunnen zijn dat ze intern al klaar waren.

Wim-Bart
@Anoniem: 855731 • 4 juli 2017 06:48

Wij zitten al sinds nov 2015 op 10 dus nu nog is een beetje laat, rond de 1000 applicaties. Dus snap het probleem niet van sommige bedrijven.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Maersk: meeste hoofdsystemen werken weer na NotPetya-aanval

Lees meer

Internetaanval treft grote bedrijven

IT-banen

Reacties (123)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden