Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Containerbedrijf Cosco zegt na zes dagen hersteld te zijn van 'netwerkproblemen'

Het Chinese scheepvaartbedrijf Cosco heeft te kennen gegeven dat het inmiddels is hersteld van een incident dat zes dagen duurde en dat het omschreef als een network breakdown. Verschillende bronnen meldden dat het in feite om een infectie met ransomware ging.

In een update op zijn site schrijft het bedrijf dat het netwerk is hersteld en dat alle communicatie zoals telefoon, e-mail en 'elektronische gegevensuitwisseling' weer werkt. De problemen deden zich voor bij de Noord- en Zuid-Amerikaanse tak van het bedrijf. Cosco publiceerde op 25 juli een eerste waarschuwing over problemen, waarin het stelde dat de bedrijfsvoering niet was geraakt. Verschillende media, waaronder het lokale Long Beach Press-Telegram en een site over scheepvaartnieuws, zeiden destijds dat er sprake was van een ransomware-infectie.

Het is onbekend om welke variant het ging en op welke manier infectie plaatsvond. In een faq over het incident schrijft Cosco dat de problemen zich voordeden in de VS, Canada, Panama, ArgentiniŽ, BraziliŽ, Peru, Chili en Uruguay.

Als het inderdaad om een ransomwareaanval ging, zou Cosco niet het eerste scheepvaartbedrijf zijn dat grote problemen ondervond door malware. Zo werd Maersk vorig jaar bijvoorbeeld getroffen door de NotPetya-aanval. Een week later zei het dat de meeste hoofdsystemen weer operationeel waren. Na verloop van tijd bleek dat Maersk 45.000 pc's opnieuw installeerde in de 10 dagen na de aanval. Het bedrijf schatte dat het incident maximaal 256 miljoen dollar kostte. Het lijkt erop dat het incident bij Cosco minder ernstig is.

Door Sander van Voorst

Nieuwsredacteur

30-07-2018 • 14:27

37 Linkedin Google+

Reacties (37)

Wijzig sortering
Grappig, dus als het over is wordt het nieuws wel overgenomen, maar mijn melding dat ze plat lagen niet :)
Gezien de problemen was er wel iets meer aan de hand dan alleen een netwerk probleem. Mailservers zijn dagen offline geweest (onpremise hosting volgens MX records), op een gegeven moment vroegen ze zelfs om via een yahoo adres contact op te nemen of te faxen.
Daarnaast lag de US website er totaal uit en deed ook telefonie het niet meer. Dit werd deels geredirect naar de andere supportdesks.

Kevin Beaumont heeft een aardige twitterfeed erover.. zie oa https://twitter.com/GossiTheDog/status/1022884011843248128

[Reactie gewijzigd door SunnieNL op 30 juli 2018 14:42]

Aangezien ik geen onderdeel ben van de redactie is het koffiedik kijken, maar een reden om zo'n groot bedrijf te targeten als hacker, heeft volgens mij maar 3 redenen:

1. het is per ongeluk, je gooit een virus de wereld in, en dan zie je wel waar de ribbels komen. Mogelijk, maar lijkt me meer iets voor een beginner.
2. het is doelbewust, om het nieuws te halen zodat mensen kunnen lezen hoe effectief je virus is;
3. het is doelbewust, je bent "ingehuurd" met direct doel om concurrentie o.i.d. het leven zuur te maken.

In alleen het eerste geval kan het relevant zijn om welk virus het gaat, en dan is er een nieuwswaarde om mensen te waarschuwen. Aangezien dit echter van de 3 scenario's het minst aannemelijke is, lijkt het me niet wenselijk om zo'n ratje meer aandacht te geven dan noodzakelijk is. Uiteindelijk is in dit geval het meest essentiŽle nieuws voor aandeelhouders wereldwijd, dat alles weer in orde is.
4. strategic warfare.
een goed voorbeeld is oekraine werd getroffen door randsomware of zuid korea met verdenkingen van noord korea .

Heel veel bedrijven hebben gewoon de beveiligingen niet op orde . wij hebben vorig jaar branch genoot Maersk/APM gezien worstelen met dit drama.. maar ja IT bijna volledig uit besteed aan india...

nu hebben wij vorig jaar en dit jaar alles aan gepakt. bijna alle windows XP uit gefaseerd , dikke fire walls , USB poorten dicht , dubble internet providers , overal virus scanners op .. Er is bijna niet mee te werken .. check ... time outs met servers omdat het gewoon niet meer vlot draait.. maar het is wel veilig ... windows updates ? 0.0 :P dus nog steeds zo lek als een mandje .. maar al mijn productie machines staan gescheiden van het bedrijfs netwerk achter de firewall en hebben geen internet.
rest alleen nu nog een it afdeling die dingen begrijpt, dat wij dit van uit de technische dienst dit allemaal pushen is gewoon absurd 8)7
Sorry hoor maar bedrijven zoals Maersk die gewoon doorgaan met het gebruik van software van de vorige eeuw zoals Outlook '95 hebben dat doel bewust instand gehouden. Indiase uitbestedingen enzo waren pas in de picture na de millennium bug zo rond 2005
Software van de vorige eeuw doe ik nog steeds gebruiken daar is totaal niets mis mee. Ook Windows 95 98 xp is totaal niets mis mee ,Zo lang je het maar niet met internet gaat verbinden, en de netwerk verbindingen goed beperkt . Tevens wij hebben div alpha servers virtueel draaien onder Linux daar is totaal niets mis mee. Zo lang je alles maar goed dicht timmert .
Wel mee eens, maar het wordt wel sloom zoals ze het draaien in een virtual box, ik denk dat de meeste mensen nu pampers gebruiken ipv katoenen luiers.
Ik zou eerder verwachten dat het afpersing is maar dat er niet betaald werd.
Zal de vierde optie zijn: voor de 'lulz' oftewel voor de aandacht...
Je was niet de enige die het melde :+ helaas was het niet belangrijk genoeg maar een recovery bericht wel.
Logistieke berichten over containers deden het binnen 24h al weer.
Kan mij voorstellen dat uit veiligheid overweging alles is stilgelegd tot ze zeker wisten dat alles opgelost was.
zouden ze hebben geleerd van Maersk omdat ze het relatief vlot weer op de baan hebben en hun IT daadwerkelijk op orde hebben of is het gewoon een gevalletje manschappen ertegenaan gooien om alles opnieuw te installeren?

ik gok op het laatste. anders hadden ze de infectie nooit gehad of had door het internationale netwerk kunnen dringen.
Ik denk dat voor alle organizaties geldt: als het kalf verdronken is, dempt men de put. Het is gewoon heel moeilijk om voor die tijd de bewustwording op hetzelfde niveau te krijgen en er voldoende middelen voor vrij te krijgen. Bij Maersk hebben ze de complete infrastuctuur opnieuw moeten installeren, 4000 servers, 45000 PC's en 2500 applicaties.

Totale schade was 250 - 300 mln, wat toch nog beperkt is voor een bedrijf van die omvang. Maar het meest verrassende is dat Maersk het overleefd heeft omdat ze in staat waren 80% van het werk handmatig af te handelen! Het overige hebben ze later weer kunnen inlopen. Tien dagen lang was er geen IT, en bij dat bedrijf komt er elke 15 minuten een schip binnen met 20.000 containers.

Wat als Maersk niet meer in staat was geweest om dingen handmatig af te handelen? Dan zou de schade pas echt niet meer te overzien zijn geweest. En lukt dit ook nog als straks de oudere werknemers verdwenen zijn die de bedrijfsprocessen nog begrijpen, omdat ze die ooit zelf hebben geadministreerd?

Deze bedragen geven ook aan wat voor finaciele ruimte er ontstaat voor criminelen om grote bedrijven te chanteren.

[Reactie gewijzigd door Elefant op 30 juli 2018 15:44]

anders hadden ze de infectie nooit gehad of had door het internationale netwerk kunnen dringen.
Je netwerk is zo sterk als de zwakste schakel. Je kunt het overal op orde hebben maar als er ergens binnen je bedrijf een gaatje zit dan kun je alsnog de sjaak zijn.
oorzaak bij maersk was dat de usb poorten gewoon aanstonden op terminals. lijkt me vrijs simpel te voorkomen. en intern verkeer ziet er heel specifiek uit dus kan je erg makkelijk op filteren zodra 1 terminal andere data stuurt. en datastromen moeten zoizo gescheiden zijn in VPN's en overige basiszaken voor een IT club van dat formaat.
Hmm, dus Maersk is geÔnfecteerd door een USB stick verstuurd vanuit de Ukraine en iemand heeft hem bij Maersk in een onbeveiligde terminaal met USB ?

Ik zie graag de url, naar de bron hiervan.

Want zoals @bkor het al terecht zegt, heeft Maersk last gehad van een aanval gericht op een boekhoudsoftware. En zover wij nu weten, is Maersk een toevallige slachtoffer. Waarvan de beveiliging te vergelijken was met een vergiet, van 20 jaar geleden.
Als ik me goed herinner was de OekraÔense leverancier van het boekhoudprogramma gehackt en was de upgrade van de software gecompromitteerd. Als die upgrade overal wordt geÔnstalleerd ben je inderdaad internationaal het haasje.
Deze boekhoudsoftware was alleen aanwezig bij sommige gebruikers. De upgradesoftware hiervan had bij deze mensen lokale "Admin" rechten. Deze rechten werd door NotPetya gebruikt om meer rechten te verkrijgen (als een admin was ingelogd op die machine werd dat hergebruikt). Met de nieuwe rechten installeerde de software zichzelf op andere machines, vond weer extra rechten en gebruikte dat weer, etc. Voor zover ik begrijp liet Maersk toe dat een oudere versie van SMB gebruikt kon worden. Een nieuwere versie zou het hergebruik van rechten veel moeilijker maken. Naast dat heel de wereld schijnbaar te benaderen was via 1 netwerk.
Het uitzetten van SMBv1 was niet zo makkelijk als het leek. Het was niet een kwestie van vinkje uit en klaar. Ook koppelingen tussen Windows en Linux met CIFS leverden uitdagingen op. Er zijn een hoop bedrijven die deze legpuzzel niet hebben kunnen oplossen, dus ik ben er van overtuigd dat je nog steeds struikelt over de SMB1 servers.
Waarvan de beveiliging te vergelijken was met een vergiet, van 20 jaar geleden.
Een nieuw vergiet is net zo lek, dat is juist planned purpose, anders had het een saladeschaal geheten
/geheel off-topic
Tsss, heb de de laatste innovatie rondom het vergiet niet gevolgd? ;)
In de deksel van de pan zitten tegenwoordig gaatjes, als je deze een kwart slag draait, is het een vergiet.
Bron? Want zover ik weet kwam het door boekhoudsoftware en en wereldwijd gekoppeld netwerk (incl terminals). Het ging van 1 pc, nam admin rechten over en verspreidde zich snel.

Een USB poort aanlaten.. tjah, d'r is wel iets meer voor nodig dan dat.
Volgens mij haal je USB en SMB door elkaar. Gevalletje klok/ klepel.
Nee hoor, dat is niet het eerste bedrijf in die sector die neergaat door ransomware en ook niet het laatste, hetgeen in de pers komt is maar een fractie. Transport sector is een productie omgeving met bitter weinig marge en een can do mentaliteit waarbij IT onbelangrijk geacht word. Servers die 0.0 updates krijgen (letterlijk), terminals die 0.0 updates krijgen, embedded systemen die 0.0 updates krijgen, dat soort beveiliging kom je daar tegen. Als het maar draait en niet teveel kost.

Dan heb je nog computers aan boord van hun schepen die niet gemanaged worden (kost teveel geld, ding zit continu op zee en de boel managen over een satelliet verbinding is een ramp) => van iedere usb stick die aan boord gaat heb je 20% kans dat hij eraf komt met een trojan payload (waren mooie statistiekjes waar de IT manager speciaal aangenomen om dat soort grapjes te vermijden niet mee kon lachen)

Iedere keer dat zoiets als dit gebeurd schiet de sector wel even wakker en worden er wel inspanningen geleverd maar het zit diep. Ransomware is overigens niet hun enigste probleem, hun systemen worden ook aangevallen door onder andere criminelen om hun drugscontainers in de gaten te houden maar daar hoor je veel minder van omdat hun systemen daar niet plat van gaan.


Maar dit is niet enkel een probleem in die branche, het moet eerst mis gaan voor bedrijven er willen in investeren. En de bedrijven die volop in security geÔnvesteerd hebben zijn vaak diegene waar het al goed is misgelopen in het verleden.
Een beetje denigrerend naar een oude cultuur waar de onze een beetje bleekjes bij afsteekt.
Eerst doen dan denken?
Waar komt een groot deel van 'onze' promovendi ook alweer vandaan? :Y)
Da's teren op oude roem. De Chinezen zijn de Grieken van AziŽ. Ooit een grote cultuur die andere volken ver vooruit was en nu een culturele en economische backwater waarvan je hooguit kunt zeggen dat ze weer op de weg vooruit zitten.
Ik heb in het verleden ook op een paar schepen in de Rotterdamse haven de boel opnieuw geÔnstalleerd. Dat was voldoende voor ze om weer uit te kunnen varen. Maar het is in feite dweilen met de kraan open, omdat er onderweg altijd weer iets kan gebeuren waardoor er computers uit liggen. Als ik zelf zo'n transportbedrijf had, zou ik zeker geen Windows gebruiken of in ieder geval zo min mogelijk, omdat het gewoon te vatbaar is voor allerlei malware.
Wat voor opleiding hadden die stuurlui?
Mijn vader heeft 45 jaar zonder computers, waarvan 35 jr als kapitein, gevaren.
(Maar ja als je het alleen met computer bediening leert.)
Ja, gewoon met de hand dat roer omgooien? :+
Lijkt me sterk!
Ja met een roerganger en die bedient het stuurmechanisme hydraulisch met stuurbekrachtiging.
De computer is er alleen maar als automatische piloot en dan moet er nog steeds iemand op de brug fysiek aanwezig zijn.
(hť lijkt wel autopilot in een auto)
Andere OS'en zijn net zo vatbaar. Zolang er geen goede beveiliging geregeld is blijft het dwijlen met de kraan open.
Een computer op een schip is wat minder belangrijk. Die zijn niet nodig om klanten te benaderen, voor laad/loslijsten, accepteren van boekingen, EDI, etc. Computer op een schip kan niet werken terwijl navigatie (etc) prima door gaat.
Navigatie gebeurt ook op computers ;) hopelijk op een totaal van de "kantoor automatisering" geÔsoleerd netwerk, maar je weet maar nooit. En de updates voor de electronische zeekaarten moet ergens vandaan komen...
Verschillende keren op een groot containerschip op de brug geweest. Gewoonlijk heb je een pc voor communicatie met "kantoor". Dit is vaak een "interessante" pc (oud, geen updates, etc). Het schip zelf heeft zijn eigen systemen en staat redelijk los van die pc. Ik reageerde op iemand die indruk wekte dat zo'n pc kritiek is, het valt eigenlijk wel mee (vind ik).
Het is onbekend om welke variant het ging en op welke manier infectie plaatsvond.
Zou raar zijn als het bedrijf meldt dat het om 'problemen' gaat en anderen bronnen speculeren over een ransomware-aanval, maar dat wel bekend is om welke variant het gaat en hoe de infectie plaats heeft kunnen vinden.

Edit: ik zie nu in de bronnen dat contactpersonen van het bedrijf spreken over een cyberaanval en ransomware. Maar het officiŽle bericht staat daar momenteel dus haaks op.

[Reactie gewijzigd door SomerenV op 30 juli 2018 14:41]

Veroorzaakt door Cisco, om een container Huawei routers tegen te houden. :+

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True