Duitsland waarschuwt bedrijven voor grotere schade NotPetya vanwege backdoor

Het Duitse BSI heeft een waarschuwing voor bedrijven gepubliceerd nadat deze week gebleken was dat er via de Oekraïense boekhoudsoftware MeDoc toegang was tot de systemen van klanten. De organisatie stelt dat de 'dreiging groter is dan verwacht'.

Het Bundesamt für Sicherheit in der Informationstechnik meldt vrijdag dat gegevens en back-ups van bedrijven die de MeDoc-software gebruiken na 13 april als uitgelekt moeten worden beschouwd. Dat zou ook het geval zijn als de bedrijven geen schade ondervonden doordat de malware systemen ontoegankelijk maakte. Beveiligingsbedrijf ESET stelde eerder vast dat er sinds 14 april backdoors zaten in updates van de MeDoc-software, waardoor de aanvallers toegang hadden tot besmette systemen. Het BSI schat dit als 'plausibel' in en zegt dat de schade die daardoor ontstaat, potentieel net zo hoog is als die door verloren gegevens.

Zo hebben in Duitsland nog verschillende bedrijven last van de gebeurtenissen van afgelopen week, stelt BSI-voorzitter Arne Schönbohm, bijvoorbeeld doordat de productie of andere kritieke bedrijfsprocessen sinds meer dan een week stilliggen. "Hier ontstaat miljoenenschade door een ict-incident waarbij Duitsland in feite met een blauw oog is weggekomen", aldus Schönbohm. Het BSI roept op om getroffen systemen nieuw in te richten en maatregelen te nemen als netwerksegmentatie, het wijzigen van wachtwoorden en het in kaart brengen van toegekende beheerdersrechten. NotPetya kon zich door dit soort fouten snel via interne bedrijfsnetwerken verspreiden.

Het Rotterdamse bedrijf APM Terminals laat vrijdag weten dat de terminal op Maasvlakte 2 weer operationeel is. Het afhandelen van treinen moet echter nog langer op zich laten wachten. Een woordvoerder van het bedrijf zegt tegen RTL dat 'er behoorlijk wat nieuwe equipment naar binnen is gedragen'. Dat zou sneller gaan dan het onderzoeken en opschonen van de getroffen systemen. Het grootste deel van de computers van het bedrijf zou echter na onderzoek weer hersteld zijn. Het eveneens getroffen TNT meldt dat er voortgang wordt geboekt bij het online brengen van diensten en kritieke systemen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 07-07-2017 17:43 24

07-07-2017 • 17:43

24

Lees meer

EU legt sancties op aan personen en instanties achter OPCW-aanval en NotPetya
EU legt sancties op aan personen en instanties achter OPCW-aanval en NotPetya Nieuws van 30 juli 2020
Britse regering zegt dat Rusland achter de NotPetya-aanvallen zat
Britse regering zegt dat Rusland achter de NotPetya-aanvallen zat Nieuws van 15 februari 2018
'Ransomware die Rusland en Oekraïne trof mogelijk afkomstig van NotPetya-makers'
'Ransomware die Rusland en Oekraïne trof mogelijk afkomstig van NotPetya-makers' Nieuws van 25 oktober 2017
Aanval met NotPetya-malware kost Maersk tot 256 miljoen euro
Aanval met NotPetya-malware kost Maersk tot 256 miljoen euro Nieuws van 16 augustus 2017
Containerbedrijf APM had ict-beveiliging niet op orde bij NotPetya-aanval
Containerbedrijf APM had ict-beveiliging niet op orde bij NotPetya-aanval Nieuws van 8 juli 2017
'Maker oorspronkelijke Petya-ransomware geeft privésleutel vrij'
'Maker oorspronkelijke Petya-ransomware geeft privésleutel vrij' Nieuws van 6 juli 2017
Onbekenden legen NotPetya-bitcoinwallet - update
Onbekenden legen NotPetya-bitcoinwallet - update Nieuws van 5 juli 2017
Oekraïense politie neemt servers in beslag van bedrijf dat NotPetya verspreidde
Oekraïense politie neemt servers in beslag van bedrijf dat NotPetya verspreidde Nieuws van 5 juli 2017
Onderzoekers vinden backdoor in updates van bedrijf dat NotPetya verspreidde
Onderzoekers vinden backdoor in updates van bedrijf dat NotPetya verspreidde Nieuws van 4 juli 2017
'Oekraïens bedrijf dat NotPetya verspreidde, wist van onveilige servers'
'Oekraïens bedrijf dat NotPetya verspreidde, wist van onveilige servers' Nieuws van 3 juli 2017
Maersk: meeste hoofdsystemen werken weer na NotPetya-aanval
Maersk: meeste hoofdsystemen werken weer na NotPetya-aanval Nieuws van 3 juli 2017
Geheime dienst Oekraïne: Rusland waarschijnlijk verantwoordelijk voor NotPetya
Geheime dienst Oekraïne: Rusland waarschijnlijk verantwoordelijk voor NotPetya Nieuws van 1 juli 2017
Beveiligingsbedrijf ziet link tussen NotPetya en eerdere aanvallen in Oekraïne
Beveiligingsbedrijf ziet link tussen NotPetya en eerdere aanvallen in Oekraïne Nieuws van 30 juni 2017
Microsoft: Petya-variant trof minder dan 20.000 systemen
Microsoft: Petya-variant trof minder dan 20.000 systemen Nieuws van 30 juni 2017
'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'
'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware' Nieuws van 29 juni 2017
'Aanval met Petya-ransomware is niet bedoeld om geld te verdienen'
'Aanval met Petya-ransomware is niet bedoeld om geld te verdienen' Nieuws van 28 juni 2017
Grote ransomwareaanval treft organisaties meerdere landen - update
Grote ransomwareaanval treft organisaties meerdere landen - update Nieuws van 27 juni 2017
Meer producten en artikelen
Netwerk en systeembeheer Malware Security

Reacties (24)

-Moderatie-faq
24
23
16
1
0
3
Wijzig sortering
m4ikel 7 juli 2017 19:40
Mogen we dus concluderen dat het NotPetya virus is gebruikt als 'drager' van de daadwerkelijke (onzichtbare) aanval, misschien wel zelfs zonder medeweten van de ontwikkelaars van het oorspronkelijke virus?
MAX3400 @m4ikel7 juli 2017 21:19
Het zou mij absoluut niets verbazen als we niet eens over een aanval hoeven praten (of verdediging).

Als er administratie gelekt is, is dat cruciale informatie over een bedrijf. Afhankelijk van hoeveel informatie in het systeem stond, kan je met een beetje accountant zien en/of voorspellen hoe een gelekte administratie dit jaar wordt afgesloten.

Je kan dan een short of long inzetten op verschillende grote beurzen op, bijvoorbeeld, Maersk en als je analyse van de cijfers blijkt te kloppen, is het niet ondenkbaar dat men miljoenen, zo niet miljarden, kan verdienen. En dan te bedenken dat de betaalde losgelden van anderhalve week geleden net aan een paar duizend Euro was (in Bitcoin).

En als financiele toezichthouders zoals de SEC tussen april en nu geen rare/opmerkelijke transacties hebben gedetecteerd, is er dus zeker een mogelijkheid dat een (criminele) organisatie met voorkennis handelt op de NYSE of NASDAQ.
Verwijderd 7 juli 2017 19:23
Dus nu hebben we een software gehad die door vrij veel bedrijven gebruikt wordt. Waardoor het een doelwit werd om backdoors voor en in te ontwikkelen. M.a.w. heel veel spelers die identiek dezelfde software gebruiken. Uiteraard maakte men bij MeDoc waanzinnig zware fouten zoals hun binaries niet cryptografisch verifieeren (iets wat iedere slechte en goede package manager standaard doet, maar wedden dat het weer een not-invented-here eigen formaat van dat bedrijf zal geweest zijn. Uitgevonden door pietjepluk de grote programmeerheld die geen snars van wat er voorhanden is begrijpt maar zijn eigen oplossingen ge-wel-dig vindt).

Het wordt allemaal nog veel veel leuker de komende jaren:

We gaan cloud diensten krijgen die de hele zaak veel gecentralizeerder hebben, die ook doelwit zijn en/of gaan worden van gelijkaardige aanvallen. Hierbij zal de schade, gezien de aard van een gecentralizeerd systeem, aanzienlijk groter zijn, de lekken onmiddellijker en grootser en de sociale impact veel enormer.

Ik zal niet verschieten van nieuwsberichten zoals "hacker legt helft van Amazon cloud plat waardoor aandelen van {insert 200 grote miltinationals hun namen} in elkaar storten".

Maarja, de "computerindustrie" heeft besloten dat gecentralizeerd beter is. Want goedkoper is gelijk aan beter. He?
Verwijderd @Verwijderd7 juli 2017 19:59
Maarja, de "computerindustrie" heeft besloten dat gecentralizeerd beter is. Want goedkoper is gelijk aan beter. He?
Feit is dat een document op Dropbox, Onedrive, Google Drive etc op dit moment vele malen beter beveiligd is dan op de computer waar je je bericht op getypt hebt. Ik heb geen idee wat je OS is maar ik weet wel dat Google, DropBox en Google een bijna perfecte reputatie hebben op dit terrein.

Als jij denkt dat je documenten veilig zijn op je eigen disk is dat prima. Miljoenen mensen denken dat.
Verwijderd @Verwijderd7 juli 2017 20:40
Totdat er iemand een virus weet binnen te krijgen in zo'n mega datacenter.

Nee zeg nou niet dat dat niet kan....
En zeg ook niet oh die zetten toch in no time hun backup terug want de huidige virussen zijn al gluiperig genoeg geschreven om sneaky je nasje te vinden op je thuisnetwerkje laat staan wat voor (PIEP)streken er nog aankomen.
Wie had er tig jaar geleden verwacht dat Maersk dagenlang out of business zou zijn door zo'n virus?

40 jaar geleden kon ik nog wel lachen om het Cookiemonster op mijn VT-100 terminal.
Dat lachen is nu wel vergaan.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 22:23]

RGAT @Verwijderd8 juli 2017 08:26
In het ergste geval krijgt men zo'n virus in een DC van Google/FB/MS/...
Dan valt dat DC er uit, nemen een van de talloze anderen het over alsof er niks aan de hand is.
En ga er maar vanuit dat dergelijke DC's een gigantische backup setup hebben, dat vergelijken met een NASje met verouderde firmware gaat natuurlijk niet ;)
Mocht dat virus dan op een of andere manier dat hele DC 'wipen', dan zou in het ergste geval een tape/offline backup terug gezet moeten worden wat enkele uren downtime betekent.
Tegelijk worden alle andere DC's nog strenger bekeken dan normaal al gebeurt zodat een verdere uitbraak niet gebeurt.
Daar worden hele goede teams op gezet, om daar maar even tegen te gaan als hacker...
Dat soort DC's gebruiken hun eigen hardware, eigen CPU ontwerpen zelfs en eigen OS...
Verwijderd @RGAT8 juli 2017 09:17
Ja ik mag toch hopen dat ze daar een telefoontje uit 0044 niet aannemen....

"your windows is not safe" :+
dj__jg @Verwijderd8 juli 2017 19:36
Da's gewoon een 06 tegenwoordig...
Verwijderd @RGAT8 juli 2017 09:29
Wat ik zie gebeuren is dat op termijn er meerdere van die DC aanbieders zullen komen, die meerdere soorten prijzen hebben. Lagere prijzen zal onmiskenbaar betekenen lagere kosten. Lagere kosten zal vaak betekenen lagere kwaliteit van dat personeel.

Tot dat er van die DCs zijn die het allemaal niet juist doen. Zelfs helemaal fout. Aangezien in eerste instantie het allemaal op het zelfde zal lijken, zullen er veel bedrijven zijn die klant worden bij de goedkoopste DC. Bij zo één zal het ooit eens helemaal fout lopen. En dan ... tja.

Dan zou je zeggen: alleen minder belangrijke bedrijven zullen dat doen? Welja, dat zeiden ze vroeger ook wanneer het over security allerhande ging. En kijk nu: massa's bedrijven die hun security niet op orde hebben. Vermoedelijk omdat het goedkoper was om de gok te wagen.

Waarom zal dat over enkele jaren niet met zulke DCs zijn? Ik weet het niet. Dus het zal vermoedelijk zo lopen. Alles moet altijd goedkoper, zodat er meer winst is. Zo werkt onze economie voor bedrijven. En dat tot het niet meer goed genoeg is. Een beetje Peters Principle maar dan voor alle kosten van een bedrijf: alle leveranciers zullen zo goedkoop worden tot ze niet meer bekwaam zijn te leveren wat er moet geleverd worden. Dan pas houden ze op leverancier te worden. M.a.w. is iedere leverancier niet meer bekwaam te leveren. Die data centers horen daar gewoon bij.
Verwijderd @Verwijderd7 juli 2017 21:08
De eerste keer dat ik er niet meer mee kon lachen was toen mijn BIOS overschreven was door CIH. Mijne computermaat van toen had dat op zijn disketjes staan, blijkbaar. Kaspersky heeft me toen gered van ne papa die heel erg boos zou geweest zijn :-)

Het was wel het begin van mijn carriere om iets verder te gaan in het begrijpen van hoe alles van "diene computer van ons-vader" werkt, dan enkel gewoon wat programmeren in Turbo Pascal. Dus ergens toch bedankt daarvoor, CIH. Met vallen en opstaan leer je het meeste.
Verwijderd @Verwijderd8 juli 2017 09:14
CIH.... grinnik

Ik had een epromprogrammer en mijn overbuurman was Vobis en,,,

affijn
stilzwijgend hadden we een leuke deal (alle spellen kopieren uit hun winkel)
hmmmm is verjaard nou.....ja...pff...
KoenvZuijlen @Verwijderd7 juli 2017 23:35
Tuurlijk het kan, maar het zal moeilijker zijn dan een virus binnenkrijgen bij een boekhoudsoftware bedrijfje. Daarnaast, een NAS kan een virus opzoeken inderdaad, een compleet afgezonderde backup echter niet, en ik heb zo'n vermoeden dat bedrijven als Amazon, Microsoft, Dropbox en Google deze ook zullen hebben, aangezien beveiliging eigenlijk een beetje gezien zou kunnen worden als hun core business. (klopt, niet in de letterlijkste zin van het woord, maar ze doen vele malen meer aan beveiliging dan een Maersk)
ViperXL @Verwijderd8 juli 2017 03:38
Memories! Wat een evolutie als ik daaraan terug denk.
Verwijderd @Verwijderd7 juli 2017 20:01
Ik twijfel er niet aan dat het nu veiliger is. Ik twijfel er aan dat de gecentralizeerde aard er van een goed idee is.
Airw0lf
@Verwijderd8 juli 2017 11:15
Die reputatie is ook maar een perceptie van de werkelijkheid... tis maar de vraag of dat soort partijen daadwerkelijk nergens "last" van hebben gehad. Al was het maar omdat ze niet alleen veel geld uitgeven aan ijzer en beveiliging, maar ook veel geld uit geven (misschien nog wel meer) aan perceptie management. :)
Mickroz 8 juli 2017 00:23
APM1 is volledig operationeel, staat ook op de link in het artikel, APM2 heeft inmiddels 6 kranen aan.
NLKornolio 7 juli 2017 23:17
APM 1 is nog steeds gesloten, en 2 draait op kwart kracht staan maar drie kranen aan.
p0st 8 juli 2017 09:22
Damn, dat levert dus naast alle geleden schade ook nogal wat administratieve rompslomp op. Nu "gelukkig" alleen nog maar de meldplicht datalekken waarbij er nog geen mega-drastische maatregelen genomen worden in praktijk, maar als straks GDPR van kracht is worden dit soort dingen echt een nachtmerrie....
tc-t @caspervc7 juli 2017 17:53
Lekker op tijd die melding...
Best wel ja, aangezien die backdoors pas 3 dagen geleden zijn ontdekt, na analyse van de updates van MeDoc.

Dat kon je hier lezen, de link staat overigens ook in het artikel.

[Reactie gewijzigd door tc-t op 25 juli 2024 22:23]

himlims_ @caspervc7 juli 2017 17:54
Tjah, had waarschijnlijk helemaal niet zo ver gekomen als de overheden en diensten dit soort zaken melden bij de producent - maar daarmee verliezen ze eventuele privileges en services.
Blokker_1999
@caspervc7 juli 2017 17:55
Had ik de lotto cijfers van vorige week op tijd geweten had ik ook een winnend formulier kunnen invullen.

De BSI reageerd nu omdat nu pas naar buiten komt dat deze backdoor bestaat en hoe lang deze vermoedelijk al bestaat. Ik ben blij dat je in D een dienst hebt die zich met dit soort informatieverspreiding bezighoudt. Is iets waar wat meer landen aandacht aan zouden mogen besteden.
5pë©ïàál_Tèkén @caspervc7 juli 2017 17:58
De backdoors zaten in de updates van MeDoc, de BSI controleert die updates niet. Wat zij wel doen is Petya (en aanverwanten) onderzoeken, waaronder de gevolgen ervan.

De gevolgen kwamen 3 maanden later aan het licht. Voor die tijd hadden alleen de makers van Petya door wat er speelde. MeDoc had dit ook kunnen (moeten?) weten maar ja...
livePulse @5pë©ïàál_Tèkén8 juli 2017 12:14
De backdoors zaten in verschillende backdoors, niet allemaal.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq