Containerbedrijf Cosco zegt na zes dagen hersteld te zijn van 'netwerkproblemen'

Het Chinese scheepvaartbedrijf Cosco heeft te kennen gegeven dat het inmiddels is hersteld van een incident dat zes dagen duurde en dat het omschreef als een network breakdown. Verschillende bronnen meldden dat het in feite om een infectie met ransomware ging.

In een update op zijn site schrijft het bedrijf dat het netwerk is hersteld en dat alle communicatie zoals telefoon, e-mail en 'elektronische gegevensuitwisseling' weer werkt. De problemen deden zich voor bij de Noord- en Zuid-Amerikaanse tak van het bedrijf. Cosco publiceerde op 25 juli een eerste waarschuwing over problemen, waarin het stelde dat de bedrijfsvoering niet was geraakt. Verschillende media, waaronder het lokale Long Beach Press-Telegram en een site over scheepvaartnieuws, zeiden destijds dat er sprake was van een ransomware-infectie.

Het is onbekend om welke variant het ging en op welke manier infectie plaatsvond. In een faq over het incident schrijft Cosco dat de problemen zich voordeden in de VS, Canada, Panama, Argentinië, Brazilië, Peru, Chili en Uruguay.

Als het inderdaad om een ransomwareaanval ging, zou Cosco niet het eerste scheepvaartbedrijf zijn dat grote problemen ondervond door malware. Zo werd Maersk vorig jaar bijvoorbeeld getroffen door de NotPetya-aanval. Een week later zei het dat de meeste hoofdsystemen weer operationeel waren. Na verloop van tijd bleek dat Maersk 45.000 pc's opnieuw installeerde in de 10 dagen na de aanval. Het bedrijf schatte dat het incident maximaal 256 miljoen dollar kostte. Het lijkt erop dat het incident bij Cosco minder ernstig is.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 30-07-2018 14:2737

30-07-2018 • 14:27

37 Linkedin

Lees meer

Rechter legt 240 uur taakstraf op aan Nederlanders achter Coinvault-ransomware Nieuws van 26 juli 2018
'Nieuwe versie van ransomwarevariant kiest tussen versleutelen en cryptomining' Nieuws van 6 juli 2018
Klein aantal Boeing-computers is getroffen door WannaCry-malware Nieuws van 29 maart 2018
Maersk: meeste hoofdsystemen werken weer na NotPetya-aanval Nieuws van 3 juli 2017
Systemen van containerconcern Maersk zijn getroffen door ransomware Nieuws van 27 juni 2017
Meer producten en artikelen
Beveiliging en antivirus Ransomware Security

Reacties (37)

-Moderatie-faq
37
36
22
4
0
6
Wijzig sortering
SunnieNL
30 juli 2018 14:41
Grappig, dus als het over is wordt het nieuws wel overgenomen, maar mijn melding dat ze plat lagen niet :)
Gezien de problemen was er wel iets meer aan de hand dan alleen een netwerk probleem. Mailservers zijn dagen offline geweest (onpremise hosting volgens MX records), op een gegeven moment vroegen ze zelfs om via een yahoo adres contact op te nemen of te faxen.
Daarnaast lag de US website er totaal uit en deed ook telefonie het niet meer. Dit werd deels geredirect naar de andere supportdesks.

Kevin Beaumont heeft een aardige twitterfeed erover.. zie oa https://twitter.com/GossiTheDog/status/1022884011843248128

[Reactie gewijzigd door SunnieNL op 30 juli 2018 14:42]

dwarfangel
@SunnieNL30 juli 2018 15:40
Aangezien ik geen onderdeel ben van de redactie is het koffiedik kijken, maar een reden om zo'n groot bedrijf te targeten als hacker, heeft volgens mij maar 3 redenen:

1. het is per ongeluk, je gooit een virus de wereld in, en dan zie je wel waar de ribbels komen. Mogelijk, maar lijkt me meer iets voor een beginner.
2. het is doelbewust, om het nieuws te halen zodat mensen kunnen lezen hoe effectief je virus is;
3. het is doelbewust, je bent "ingehuurd" met direct doel om concurrentie o.i.d. het leven zuur te maken.

In alleen het eerste geval kan het relevant zijn om welk virus het gaat, en dan is er een nieuwswaarde om mensen te waarschuwen. Aangezien dit echter van de 3 scenario's het minst aannemelijke is, lijkt het me niet wenselijk om zo'n ratje meer aandacht te geven dan noodzakelijk is. Uiteindelijk is in dit geval het meest essentiële nieuws voor aandeelhouders wereldwijd, dat alles weer in orde is.
j1b2c3
@dwarfangel30 juli 2018 21:38
4. strategic warfare.
een goed voorbeeld is oekraine werd getroffen door randsomware of zuid korea met verdenkingen van noord korea .

Heel veel bedrijven hebben gewoon de beveiligingen niet op orde . wij hebben vorig jaar branch genoot Maersk/APM gezien worstelen met dit drama.. maar ja IT bijna volledig uit besteed aan india...

nu hebben wij vorig jaar en dit jaar alles aan gepakt. bijna alle windows XP uit gefaseerd , dikke fire walls , USB poorten dicht , dubble internet providers , overal virus scanners op .. Er is bijna niet mee te werken .. check ... time outs met servers omdat het gewoon niet meer vlot draait.. maar het is wel veilig ... windows updates ? 0.0 :P dus nog steeds zo lek als een mandje .. maar al mijn productie machines staan gescheiden van het bedrijfs netwerk achter de firewall en hebben geen internet.
rest alleen nu nog een it afdeling die dingen begrijpt, dat wij dit van uit de technische dienst dit allemaal pushen is gewoon absurd 8)7
Sailor69
@j1b2c330 juli 2018 22:21
Sorry hoor maar bedrijven zoals Maersk die gewoon doorgaan met het gebruik van software van de vorige eeuw zoals Outlook '95 hebben dat doel bewust instand gehouden. Indiase uitbestedingen enzo waren pas in de picture na de millennium bug zo rond 2005
j1b2c3
@Sailor6931 juli 2018 07:35
Software van de vorige eeuw doe ik nog steeds gebruiken daar is totaal niets mis mee. Ook Windows 95 98 xp is totaal niets mis mee ,Zo lang je het maar niet met internet gaat verbinden, en de netwerk verbindingen goed beperkt . Tevens wij hebben div alpha servers virtueel draaien onder Linux daar is totaal niets mis mee. Zo lang je alles maar goed dicht timmert .
Sailor69
@j1b2c331 juli 2018 18:03
Wel mee eens, maar het wordt wel sloom zoals ze het draaien in een virtual box, ik denk dat de meeste mensen nu pampers gebruiken ipv katoenen luiers.
GreatDictator
@dwarfangel30 juli 2018 17:31
Ik zou eerder verwachten dat het afpersing is maar dat er niet betaald werd.
RGAT
@dwarfangel30 juli 2018 17:19
Zal de vierde optie zijn: voor de 'lulz' oftewel voor de aandacht...
HKLM_
@SunnieNL30 juli 2018 15:05
Je was niet de enige die het melde :+ helaas was het niet belangrijk genoeg maar een recovery bericht wel.
NLKornolio
@SunnieNL30 juli 2018 18:35
Logistieke berichten over containers deden het binnen 24h al weer.
Kan mij voorstellen dat uit veiligheid overweging alles is stilgelegd tot ze zeker wisten dat alles opgelost was.
flippy
30 juli 2018 14:37
zouden ze hebben geleerd van Maersk omdat ze het relatief vlot weer op de baan hebben en hun IT daadwerkelijk op orde hebben of is het gewoon een gevalletje manschappen ertegenaan gooien om alles opnieuw te installeren?

ik gok op het laatste. anders hadden ze de infectie nooit gehad of had door het internationale netwerk kunnen dringen.
Elefant
@flippy30 juli 2018 15:05
Ik denk dat voor alle organizaties geldt: als het kalf verdronken is, dempt men de put. Het is gewoon heel moeilijk om voor die tijd de bewustwording op hetzelfde niveau te krijgen en er voldoende middelen voor vrij te krijgen. Bij Maersk hebben ze de complete infrastuctuur opnieuw moeten installeren, 4000 servers, 45000 PC's en 2500 applicaties.

Totale schade was 250 - 300 mln, wat toch nog beperkt is voor een bedrijf van die omvang. Maar het meest verrassende is dat Maersk het overleefd heeft omdat ze in staat waren 80% van het werk handmatig af te handelen! Het overige hebben ze later weer kunnen inlopen. Tien dagen lang was er geen IT, en bij dat bedrijf komt er elke 15 minuten een schip binnen met 20.000 containers.

Wat als Maersk niet meer in staat was geweest om dingen handmatig af te handelen? Dan zou de schade pas echt niet meer te overzien zijn geweest. En lukt dit ook nog als straks de oudere werknemers verdwenen zijn die de bedrijfsprocessen nog begrijpen, omdat ze die ooit zelf hebben geadministreerd?

Deze bedragen geven ook aan wat voor finaciele ruimte er ontstaat voor criminelen om grote bedrijven te chanteren.

[Reactie gewijzigd door Elefant op 30 juli 2018 15:44]

SomerenV
@flippy30 juli 2018 14:42
anders hadden ze de infectie nooit gehad of had door het internationale netwerk kunnen dringen.
Je netwerk is zo sterk als de zwakste schakel. Je kunt het overal op orde hebben maar als er ergens binnen je bedrijf een gaatje zit dan kun je alsnog de sjaak zijn.
flippy
@SomerenV30 juli 2018 14:49
oorzaak bij maersk was dat de usb poorten gewoon aanstonden op terminals. lijkt me vrijs simpel te voorkomen. en intern verkeer ziet er heel specifiek uit dus kan je erg makkelijk op filteren zodra 1 terminal andere data stuurt. en datastromen moeten zoizo gescheiden zijn in VPN's en overige basiszaken voor een IT club van dat formaat.
wica
@flippy30 juli 2018 15:00
Hmm, dus Maersk is geïnfecteerd door een USB stick verstuurd vanuit de Ukraine en iemand heeft hem bij Maersk in een onbeveiligde terminaal met USB ?

Ik zie graag de url, naar de bron hiervan.

Want zoals @bkor het al terecht zegt, heeft Maersk last gehad van een aanval gericht op een boekhoudsoftware. En zover wij nu weten, is Maersk een toevallige slachtoffer. Waarvan de beveiliging te vergelijken was met een vergiet, van 20 jaar geleden.
ajolla
@wica30 juli 2018 15:53
Als ik me goed herinner was de Oekraïense leverancier van het boekhoudprogramma gehackt en was de upgrade van de software gecompromitteerd. Als die upgrade overal wordt geïnstalleerd ben je inderdaad internationaal het haasje.
bkor
@ajolla30 juli 2018 17:15
Deze boekhoudsoftware was alleen aanwezig bij sommige gebruikers. De upgradesoftware hiervan had bij deze mensen lokale "Admin" rechten. Deze rechten werd door NotPetya gebruikt om meer rechten te verkrijgen (als een admin was ingelogd op die machine werd dat hergebruikt). Met de nieuwe rechten installeerde de software zichzelf op andere machines, vond weer extra rechten en gebruikte dat weer, etc. Voor zover ik begrijp liet Maersk toe dat een oudere versie van SMB gebruikt kon worden. Een nieuwere versie zou het hergebruik van rechten veel moeilijker maken. Naast dat heel de wereld schijnbaar te benaderen was via 1 netwerk.
d3burt
@bkor30 juli 2018 17:52
Het uitzetten van SMBv1 was niet zo makkelijk als het leek. Het was niet een kwestie van vinkje uit en klaar. Ook koppelingen tussen Windows en Linux met CIFS leverden uitdagingen op. Er zijn een hoop bedrijven die deze legpuzzel niet hebben kunnen oplossen, dus ik ben er van overtuigd dat je nog steeds struikelt over de SMB1 servers.
FreshMaker
@wica30 juli 2018 18:39
Waarvan de beveiliging te vergelijken was met een vergiet, van 20 jaar geleden.
Een nieuw vergiet is net zo lek, dat is juist planned purpose, anders had het een saladeschaal geheten
wica
@FreshMaker30 juli 2018 19:32
/geheel off-topic
Tsss, heb de de laatste innovatie rondom het vergiet niet gevolgd? ;)
In de deksel van de pan zitten tegenwoordig gaatjes, als je deze een kwart slag draait, is het een vergiet.
bkor
@flippy30 juli 2018 14:54
Bron? Want zover ik weet kwam het door boekhoudsoftware en en wereldwijd gekoppeld netwerk (incl terminals). Het ging van 1 pc, nam admin rechten over en verspreidde zich snel.

Een USB poort aanlaten.. tjah, d'r is wel iets meer voor nodig dan dat.
CivLord
@flippy30 juli 2018 18:19
Volgens mij haal je USB en SMB door elkaar. Gevalletje klok/ klepel.
sprankel
@flippy30 juli 2018 18:31
Nee hoor, dat is niet het eerste bedrijf in die sector die neergaat door ransomware en ook niet het laatste, hetgeen in de pers komt is maar een fractie. Transport sector is een productie omgeving met bitter weinig marge en een can do mentaliteit waarbij IT onbelangrijk geacht word. Servers die 0.0 updates krijgen (letterlijk), terminals die 0.0 updates krijgen, embedded systemen die 0.0 updates krijgen, dat soort beveiliging kom je daar tegen. Als het maar draait en niet teveel kost.

Dan heb je nog computers aan boord van hun schepen die niet gemanaged worden (kost teveel geld, ding zit continu op zee en de boel managen over een satelliet verbinding is een ramp) => van iedere usb stick die aan boord gaat heb je 20% kans dat hij eraf komt met een trojan payload (waren mooie statistiekjes waar de IT manager speciaal aangenomen om dat soort grapjes te vermijden niet mee kon lachen)

Iedere keer dat zoiets als dit gebeurd schiet de sector wel even wakker en worden er wel inspanningen geleverd maar het zit diep. Ransomware is overigens niet hun enigste probleem, hun systemen worden ook aangevallen door onder andere criminelen om hun drugscontainers in de gaten te houden maar daar hoor je veel minder van omdat hun systemen daar niet plat van gaan.


Maar dit is niet enkel een probleem in die branche, het moet eerst mis gaan voor bedrijven er willen in investeren. En de bedrijven die volop in security geïnvesteerd hebben zijn vaak diegene waar het al goed is misgelopen in het verleden.
ajolla
@downtime30 juli 2018 16:02
Een beetje denigrerend naar een oude cultuur waar de onze een beetje bleekjes bij afsteekt.
Eerst doen dan denken?
Waar komt een groot deel van 'onze' promovendi ook alweer vandaan? :Y)
downtime
@ajolla30 juli 2018 17:12
Da's teren op oude roem. De Chinezen zijn de Grieken van Azië. Ooit een grote cultuur die andere volken ver vooruit was en nu een culturele en economische backwater waarvan je hooguit kunt zeggen dat ze weer op de weg vooruit zitten.
psychicist
30 juli 2018 15:02
Ik heb in het verleden ook op een paar schepen in de Rotterdamse haven de boel opnieuw geïnstalleerd. Dat was voldoende voor ze om weer uit te kunnen varen. Maar het is in feite dweilen met de kraan open, omdat er onderweg altijd weer iets kan gebeuren waardoor er computers uit liggen. Als ik zelf zo'n transportbedrijf had, zou ik zeker geen Windows gebruiken of in ieder geval zo min mogelijk, omdat het gewoon te vatbaar is voor allerlei malware.
Euronitwit
@psychicist30 juli 2018 16:18
Wat voor opleiding hadden die stuurlui?
Mijn vader heeft 45 jaar zonder computers, waarvan 35 jr als kapitein, gevaren.
(Maar ja als je het alleen met computer bediening leert.)
MrMonkE
@Euronitwit30 juli 2018 17:37
Ja, gewoon met de hand dat roer omgooien? :+
Lijkt me sterk!
Euronitwit
@MrMonkE30 juli 2018 18:19
Ja met een roerganger en die bedient het stuurmechanisme hydraulisch met stuurbekrachtiging.
De computer is er alleen maar als automatische piloot en dan moet er nog steeds iemand op de brug fysiek aanwezig zijn.
(hé lijkt wel autopilot in een auto)
ShellGhost
@psychicist30 juli 2018 15:54
Andere OS'en zijn net zo vatbaar. Zolang er geen goede beveiliging geregeld is blijft het dwijlen met de kraan open.
bkor
@psychicist30 juli 2018 17:17
Een computer op een schip is wat minder belangrijk. Die zijn niet nodig om klanten te benaderen, voor laad/loslijsten, accepteren van boekingen, EDI, etc. Computer op een schip kan niet werken terwijl navigatie (etc) prima door gaat.
wizzkizz
@bkor30 juli 2018 19:09
Navigatie gebeurt ook op computers ;) hopelijk op een totaal van de "kantoor automatisering" geïsoleerd netwerk, maar je weet maar nooit. En de updates voor de electronische zeekaarten moet ergens vandaan komen...
bkor
@wizzkizz30 juli 2018 20:33
Verschillende keren op een groot containerschip op de brug geweest. Gewoonlijk heb je een pc voor communicatie met "kantoor". Dit is vaak een "interessante" pc (oud, geen updates, etc). Het schip zelf heeft zijn eigen systemen en staat redelijk los van die pc. Ik reageerde op iemand die indruk wekte dat zo'n pc kritiek is, het valt eigenlijk wel mee (vind ik).
SomerenV
30 juli 2018 14:38
Het is onbekend om welke variant het ging en op welke manier infectie plaatsvond.
Zou raar zijn als het bedrijf meldt dat het om 'problemen' gaat en anderen bronnen speculeren over een ransomware-aanval, maar dat wel bekend is om welke variant het gaat en hoe de infectie plaats heeft kunnen vinden.

Edit: ik zie nu in de bronnen dat contactpersonen van het bedrijf spreken over een cyberaanval en ransomware. Maar het officiële bericht staat daar momenteel dus haaks op.

[Reactie gewijzigd door SomerenV op 30 juli 2018 14:41]

WhatsappHack
30 juli 2018 17:26
In samenwerking met Cisco? :+
CivLord
@WhatsappHack30 juli 2018 18:24
Veroorzaakt door Cisco, om een container Huawei routers tegen te houden. :+

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee