Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Fox-IT: Nederlandse bedrijven getroffen door SamSam-malware

Volgens beveiligingsbedrijf Fox-IT zijn de afgelopen maanden verscheidene Nederlandse bedrijven slachtoffer geworden van de SamSam-malware. Hoeveel bedrijven daadwerkelijk losgeld hebben betaald, is niet bekend.

Dat zegt Fox-IT in een ANP-bericht, zo meldt onder andere de NOS. In de afgelopen maanden zouden tientallen bedrijven besmet zijn met de gijzelsoftware SamSam, al worden er geen specifieke namen genoemd. Ook kan het beveiligingsbedrijf niet aangeven hoeveel van de getroffen bedrijven daadwerkelijk losgeld hebben betaald aan de hackers. Wel denkt Fox-IT dat er nog veel meer bedrijven getroffen zijn dan nu bekend is geworden.

In de Verenigde Staten zijn onlangs twee IraniŽrs aangeklaagd voor het verspreiden van de SamSam-malware, die onder meer gebruikmaakt van kwetsbaarheden in de remote desktop-functionaliteit. Die zouden betrokken zijn geweest bij hackaanvallen in de VS, waaronder bij ziekenhuizen. De verdachten bevinden zich overigens nog in Iran, waardoor het onduidelijk is of zij ooit gearresteerd kunnen worden.

De afgelopen drie jaar zijn er verscheidene netwerken geÔnfiltreerd door de SamSam-malware. De software nestelt zich op systemen, waarna die geblokkeerd worden; die kunnen vervolgens pas weer gedeblokkeerd worden als het slachtoffer losgeld betaalt, dat doorgaans in bitcoin voldaan moet worden.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

02-12-2018 • 11:59

109 Linkedin Google+

Reacties (109)

Wijzig sortering
Vermeld dan in ieder geval in het bericht dat het komt omdat er RDP servers/computers onbeschermd aan het internet hangen. Die worden gehackt en dan gaat men verder het netwerk in kaart brengen en kijken welk systeem ze moeten locken om maximaal te kunnen cashen.
Goed punt. Meer inhoudelijke informatie is te vinden op de website van malwarebytes:

https://blog.malwarebytes...sam-ransomware-need-know/

De attack vector is meer dan RDP alleen overigens:

"In 2018, SamSam uses either vulnerabilities in remote desktop protocols (RDP), Java-based web servers, or file transfer protocol (FTP) servers to gain access to the victims’ network or brute force against weak passwords to obtain an initial foothold."

Ze willen trouwens 0.8 BTC per aangevallen PC en 4.5 BTC om alles te herstellen:

"You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs."

0.8 BTC is 2861 euro op dit moment en 4.5 BTC is 16.099 euro :|

Blijkbaar hebben de aanvallers al meer dan $850.000 verdient:

https://www.csoonline.com...arned-nearly-850-000.html

[Reactie gewijzigd door Squ1zZy op 2 december 2018 12:19]

Het is me nog steeds niet duidelijk waar de kwetsbaarheid precies in zit en waar de schade na de initiŽle breach wordt opgelopen. Is bijvoorbeeld Linux of OpenVMS met Xrdp en JBoss ook kwetsbaar of betreft het alleen Windows? En waarom zou Windows dan bijvoorbeeld wel kwetsbaar zijn en andere besturingssystemen minder of helemaal niet?
Het lijkt erop dat ze zelf geen nieuwe kwetsbaarheden hebben ontdekt en gebruiken maar bekende kwetsbaarheden gebruiken of simpelweg een bruteforceattack uitvoeren op openstaande diensten. Vanuit deze kwetsbare, van buiten bereikbare, host proberen ze vervolgens meer rechten te verkrijgen om dieper het netwerk in te duiken.

Dus welke software/os/kwetsbaarheid misbruikt wordt zal per periode verschillen...afhankelijk van (denk ik) nieuw ontdekte kwetsbaarheden welke wel bekend zijn maar nog niet verholpen dmv patches.

Volgens MWB werden bijv kwetsbare Jboss-installaties actief misbruikt in 2016/17
Based on our own run-ins with the infection, we’ve observed that attacks were made on targets via vulnerable JBoss host servers during a previous wave of SamSam attacks in 2016 and 2017
Maar goed, dit is allemaal opzich niet zo speciaal. Wat wel "grappig" is dat ze ook onderzoek doen naar wat voor bedrijf het is, hoe groot ze zijn, wat voor werknemers ze in dienst hebben en zodoende bepalen hoeveel ransom ze (haalbaar) kunnen eisen.
850k is niey weinig, maar toch ook niet echt veel om verschillende overheden achter je aan te hebben...
Bedenk wel dat de schade in de miljoenen zal lopen als volledige bedrijven "plat" liggen. Bovendien wordt malware verspreiden de laatste jaren altijd heel ernstig genomen door Amerikaanse instanties als de FBI.
Blijkbaar hebben de aanvallers al meer dan $850.000 verdient buitgemaakt:
Ik vind het als bedrijf ook niet heel erg slim om RDP naar buiten open te zetten.... dit is namelijk niet het eerste stuk malware wat zich via RDP verspreide, er zijn al meerdere aanvallen (zowel ransomware als overige vormen van malware) op dat protocol geweest.

Als je dan zonodig RDP nodig hebt voor bijvoorbeeld je personeel, zet het dan op zijn minst achter een VPN. Ook dat is natuurlijk geen garantie, maar het verhoogt je veiligheid wel aanzienlijk.

Dat lijkt me toch redelij Security 1-0-1 allemaal...

[Reactie gewijzigd door wildhagen op 2 december 2018 12:09]

ik denk dat het nog steeds gewoon een kostenplaatje is.
Beveiliging is duur, VPNs, firewalls, etc. Kost allemaal best wat.

'en het ging de afgelopen jaren toch goed?'

Het is een eeuwenoud liedje.
Beveiliging is duur, VPNs, firewalls, etc. Kost allemaal best wat.
Minder dan de §16000 die het je kost als het nu misgaat.
Minder dan de §16000 die het je kost als het nu misgaat.
Dat ligt er aan in hoe verre dit daadwerkelijk een impact heeft, ik heb omgevingen waar ik een geheel nieuwe omgeving opzet (waar dit impact op zou hebben) inc. terugzetten van backups dan die §16000. In een aantal gevallen nog sneller als je goede backup en restore functionaliteit heb voor je (virtuele) server omgeving.

Ik zie klanten waarbij §16.000 het hele IT budget is voor dat jaar of gewoon al een significant deel is daarvan.

Bij veel anderen is dit nog geen twee maanden 1fte of 2-3 weken een externe beveiligingsexpert. Niet elk dekseltje past op elk potje...

Waar je nu meer issues mee gaat krijgen is dat een dergelijk security gat wel eens een flinke boete van de staat kan betekenen ivm. datalekken en geen degelijke beveiliging. Echter is daar nog geen harde lijn in te trekken omdat eerlijk gezegd de controlerende partij hier nog geen kaas van heeft gegeten.

Waar ik op hoop is dat een hoop bedrijven eindelijk eens hun half bakke RDP/Citrix omgevingen de nek omdraaien en indien je echt een applicatie nodig heb die alleen werkt via RDP (denk bv. aan AFAS) dat ze kiezen voor SAAS oplossing die dan (hopelijk) beter wordt beveiligd door de leverancier dan met een zo goedkoop mogelijke eigen oplossing...
Voor 16k heb je 1 firewall of 3 maanden een middelmatige security FTE. Is echt helemaal niks vergeleken bij wat een beetje bedrijf aan security uitgeeft.
Voor een kleine firewall voor het MKB, inclusief initiŽle inrichting en drie jaar updates ben je ongeveer 1500 euro kwijt, en een paar tientjes in de maand voor monitoring en incidenteel beheer.

Ik heb geen idee wat jij voor beeld hebt bij bedrijven die slachtoffer worden van dit soort figuren, maar als je het NOS-artikel leest moet je duidelijk worden dat ze zich juist op MKB richten en hun prijzen daarop aangepast hebben. Bedrijven met 5 tot 50 personeelsleden hebben niet genoeg computer-infra om een fulltime systeembeheerder te kunnen verantwoorden, dus doet iemand het 'erbij' met alle risico's van dien.

Dat is het ideale slachtoffer voor SamSam.
Echt niet. Voor grotere bedrijven is het opzettev van een goede VPN met firewalling echt wel een grotere kostenpost dan dat hoor. Alleen al aan uren schrijf je zoiets in een maand al.
Bedrijven die zo groot zijn dat ze 3 fte fulltime bezig houden met het beheer van hun remote access hebben personeel genoeg om hun ict jarenlang al goed op orde te hebben.
3fte kan je met §16K nog geen twee weken inhuren. Zelfs als interne medewerker ben je dat met twee maanden al kwijt aan kosten (1fte).

§16K is in het bedrijfsleven echt zakgeld.

Een cisco router voor wat grotere bedrijven kost je al rustig de helft.

Een FortiGate firewall ook al zo rond de 5-6K ex btw.
Onzin. Er zijn legio bedrijven die geen 16k hebben om uit te geven aan remote access of andere security gerelateerde dingen. MKB bijvoorbeeld.
Exact. Dat is dus precies waarom het dus velaal niet gebeurt en waardoor je dus deze nieuwsberichten krijgt.

Goede security voor het MKB is ontzettend duur. Die §16K is leuk leergeld, maar is nog vrij schappelijk.
Hoezo duur? Je zet de kantoor PCs niet aan het internet en de servers ook niet. Scheelt een sloot geld. Vinkje voor de VPN server aan als je remote beheer nodig hebt en klaar. Je kunt het ook moeilijk maken inderdaad. Als je als bedrijf internet als business hebt is het logisch wel iets fatsoenlijks neer te zetten. Maar als je ding niet internet gerelateerd is zet je de boel niet open naar het internet omdat dat zo makkelijk is.
Dan nog kost het geen EUR 2.000,00.
Gewoon een tweaker met teamviewer inhuren! ;)
Wat een onzin, ik kan een goede VPN achter dedicated firewall opzetten voor VEEL minder. Dan nog het beheer wat ook minimaal is. Doe mij die §16000 maar en dan krijg je van mij een leuke SLA voor een jaar om de VPN+firewall+RDS te beheren en installeren.
Oke maar geef eens een bedrag wat zoiets volgens jou dan zou kunnen kosten? Ik kan het op zich zelf ook prima opzetten (heb het thuis immers ook) alleen aan beheer en troubleshooting gaat het toch gauw in de papieren lopen hoor. De appliances zijn vaak duur, maar dat is nog te overzien. De betaal je 1 keer en dan heb je daar in principe geen kostenpost meer aan voor de komende tig jaar. Het onderhoud, updaten, bijhouden en uitrollen van configuratie naar clients is echter een ander verhaal.
Zo jij bent hopelijk sarcastisch.
Hoezo als het mis gaat, er staan voorwaarden in een SLA voor zulke gevallen. Maar aangezien het hier om een hypothetische stelling gaat mag je daarover fantaseren wat je wil.
Met mijn reactie wil ik enkel aangeven dat het draaien van VPN+firewall+RDS echt niet zoveel geld hoeft te kosten. Ik heb het vaak genoeg opgezet om te stellen dat dat veel te veel geld is.
Ik werk al heel wat jaren in de ICT-wereld en ik zal dolblij zijn als ik een keer offertes krijg die in lijn zijn met wat jij nu stelt. Of is dit ook weer zoiets dat alle mindere goden het werk doen en alle expert zitten langs de zijlijn op tweakers te vertellen dat het allemaal niet klopt wat er in de echte wereld gebeurt?
Ik zou het niet weten, zie wel vaker bedragen of aannames van mijn klanten qua prijzen voorbijkomen waarbij ik zelf ook verstelt sta.
Vooral medium-enterprise bedrijven zijn soms helemaal doorgeslagen en worden vaak leeg geklopt.
Een SLA is niks meer dan een papieren tijger. Elke SLA die daadwerkelijk de kosten vergoed is een potentiele killer voor het bedrijf. Verder zijn SLA's eigenlijk altijd vergoeding in de vorm van X percentage van maand/jaarbedrag.

Of de SLA is zo geformuleerd dat het ondenkbaar is dat je uberhaupt een kans denkt te kunnen maken misschien (KPN bijvoorbeeld)
Mwoa.... Als je zonder SLA tussen 9 en 5 kunt bellen op werkdagen of 250 euro/uur bij kunt betalen, maar met SLA kunt rekenen op 24/7 support. Voor tientje extra in de maand kan het het overwegen waard zijn. Het is maar net of je klant bent bij een beetje bedrijf die SLA's geen nonsense laten zijn behalve uitklopperij.
rvl1980,
Excuus, ik doelde specifiek op de genoemde bedragen :) Schade vergoedingen zijn totaal niet interessant als er iets down is. Je hebt daar 2 varianten in. De ene gaat de (kleine) leverancier van kapot, de andere red de klant niet als ze echt heel erg lang down zijn.

SLA in de vorm van de te verwachten dienstverlening is uiteraard zeer zinnig, maar verder is het vooral een papieren tijger zo merk ik. Ik ga liever af op gevoel en ondernomen acties. Als ik elke keer afscheid moet nemen van mijn leveranciers als ze een fout maken, dan ben ik continue bezig.
Meeste mkb routers / firewalls ondersteunen wel VPN hoor.

Is meestal luiheid en onkunde; ‘voor die Cisco 89x router hebben we wel een config template maar dat VPN doen we andere keer wel want dat moet uitgezocht worden want die staat er niet tussen’.
Ik ben het niet met je oneens, maar kunde kost geld en je kan niet verwachten van die een of twee ITers die een klein bedrijfje heb ze alles kunnen en weten. Die extra kunde en kennis inkopen kost geld en dat is dan weer iets wat veel kleine MKBs niet er voor over hebben.

Daar komt bij dat vanuit een support perspectief veel zakelijke VPN oplossingen behoorlijk bagger zijn. Ik kan je uit ervaring vertellen dat zelfs perfect geconfigureerde VPNs voor relatief veel support calls zorgen ivm. bv. een RDS Gateway. Wat weer voor veel frustratie en kosten zorgt bij de kleine MKB.
Als basic security skills geen onderdeel zijn van de ITers in een bedrijfje dan leggen we de lat wel erg laag om ze ITer te noemen. Voor een rdp service kiezen als oplossing is een, maar het dan ook nog nauwelijks tot niet beveiligen?
Wat een onzin, IT is tegenwoordig zo breed dat niemand alles kan weten. Zeker Cisco kennis uit jou voorbeeld is gewoon niet aanwezig bij een hele hoop ITers, das het werk van een netwerk beheerder en gewoon veel kleinere bedrijven hebben niet het budget voor zoveel petjes. Dan heb je organisaties waar Pietje bv. erg goed was met Watchguard, maar Pietje is weg en nu moet Jantje die wel Cisco certificatie ooit heeft behaald aan de slag met een Watchguard...

Daar komt bij dat in dit geval Cisco certificatie en 'ervaring' op een CV zeker niet altijd zorgt voor een ITer met diepgaande kennis en ervaring voor Cisco routers en VPNs.

En ik kan ook uit ervaring zeggen dat je vaak geen keuze heb, klant wil het geld/tijd er niet aan besteden of initieel wel en op een later tijdstip niet meer (directie maakt af en toe rare sprongen). Vaak zijn dingen als beveiliging en backup/restore de eerste die sneuvelen bij 'besparingen'.

Een Cisco VPN is niet basic security en een hoop 'basic security' is gewoon niet afdoende tegenwoordig. En vanuit een persoonlijk perspectief vind ik Cisco veel te duur voor wat je er voor terugkrijgt, ruk interface, basic features achter een behoorlijk hoge paywall, etc.
Je hoeft als ITer echt niet alles te kunnen. Maar dat is geen excuus om geen basiskennis van beveiliging te hebben. En dat is precies waar deze ransomware misbruik van maakt. Als je het eisen van basiskennis al af doet als onzin dan is er iets grondig mis met het opplakken van een labeltje op de functie van ITer. Waarom zouden we wel eisen stellen aan functies voor het bijhouden van de boekhouding of bedrijfshulpverlening maar niet voor de IT? Iemand die ITer is en niet weet dat je geen standaard wachtwoorden moet gebruiken of de systemen moet patchen heeft echt een gebrek aan basiskennis. Een computer of netwerkapparatuur kopen met tal van beloftes kan iedereen met geld, maar dat wil niet zeggen dat die ook geschikt is om als ITer te functioneren. Al lijken heel wat mensen dat liever wel te denken omdat het bijvoorbeeld het eigen gewin helpt (lees het levert geld op zolang het goed gaat en niemand lastige vragen stelt, er meer kennis van heeft en kritisch is op het prutswerk).
Iemand die ITer is en niet weet dat je geen standaard wachtwoorden moet gebruiken
Ik wil even weten hoeveel ITers jij bent tegengekomen in de afgelopen 20 jaar die wachtwoorden als "Welkom01" gebruikten voor passwords, passwords in de documentatie zetten op de netwerkschijf, of voor verschillende systemen allemaal hetzelfde ww gebruiken. Ik heb namelijk niet genoeg vingers.
of de systemen moet patchen heeft echt een gebrek aan basiskennis.
Zelfde vraag, hoeveel systemen ben jij tegen gekomen in de afgelopen 20 jaar die niet voldoen aan die eisen? En hoeveel bedrijven ben jij tegengekomen die geen geld wilde uitgeven om elke keer systeem x te laten patchen? Of tijd/geld uit te trekken om patches eerst te testen voordat ze worden uitgerold? Of servers die zo verdomde instabiel waren waarbij je eigenlijk niet durfde te updaten omdat je bang was dat deze wel eens down zou kunnen gaan en nooit meer op zou komen. In alle gevallen veel meer dan dat me lief is.

Maar we hebben het specifiek over Cisco VPN, of liever, GB2 had het specifiek over Cisco VPN. Ik zie dat niet als basis security kennis. Over de rest heb je gelijk, maar er zit nog steeds een wezenlijk verschil tussen iets weten en iets doen.
Een computer of netwerkapparatuur kopen met tal van beloftes kan iedereen met geld, maar dat wil niet zeggen dat die ook geschikt is om als ITer te functioneren. Al lijken heel wat mensen dat liever wel te denken omdat het bijvoorbeeld het eigen gewin helpt (lees het levert geld op zolang het goed gaat en niemand lastige vragen stelt, er meer kennis van heeft en kritisch is op het prutswerk).
Het probleem is dat het altijd meer geld oplevert, ook al gaat het niet goed en gaat iemand lastige vragen stellen, want dan wordt er veel te vaak een l*lverhaal opgehangen waarvan de niet ITer niet weet dat het rammelt en een externe expert niet direct kan zeggen "Das een l*lverhaal!" zonder de rest van de omgeving te kennen.

Aan de andere kant heb ik ook vaak genoeg meegemaakt dat 'externe experts' ook maar wat roepen in de hoop dat niemand wat durft te zeggen of niet weet waar hij/zij het over heeft. Ik heb ook wel eens een klant om de oren moeten slaan met white papers, onderzoeken van 3e partijen en email communicatie omdat een 'externe expert' wel even dacht een nieuwe klant te kunnen binnenslepen over iemand anders zijn lijk. Van pure leugens tot zaken waarvan je anderhalf jaar geleden al had voorgesteld dat te verbeteren maar dat de klant niet akkoord ging met de kosten (vandaar nooit emails verwijderen als ITer!).

Ik zal zeer zeker toegeven dat er zat prutsers zijn in de IT, zeker die beter zouden moeten weten, maar het in de praktijk niet doen. Echter zie ik ook net zo vaak dat bedrijven hun ITers niet voldoende tijd/geld geven om alles te doen wat er gedaan moet worden, waardoor er week op week alleen maar brandjes worden geblust en geen structurele verbeteringen worden geÔmplementeerd of er gewoon essentiŽle processen ontbreken. Denk bv. aan change management, wat ook door veel ITers word afgedaan als nutteloze bureaucratie: iemand zet ivm. een lang lopende storing patch management uit op een behoorlijke cluster PCs en omdat het nergens centraal wordt bijgehouden/geregistreerd wordt blijkt dat er uiteindelijk bijna een jaar geen patches zijn gedraaid. Das behoorlijk naar als je daar tegen aanloopt als je remote PC naar W10 probeert te upgraden...

[Reactie gewijzigd door Cergorach op 2 december 2018 21:43]

RDS Gateway inrichten is niet zo duur toch. Kost je een extra VM wellicht. En een certificaat van een tientje per jaar.
En waarom zou een RD Gateway opeens niet te brute forcen zijn?
Goede password policies, gebruikers voorzien van een goed te gebruiken passwordmanager of MFA gebruiken.

RDP is trouwens niet de meest veilige oplossing, zelfs voor de Spectre/Meltdown vulnerabilities konden specialisten met een standaard userid al admin functionaliteit bemachtigen. Er zijn wat oplossingen die Guacamole gebruiken om 'published apps' te maken die dergelijke lekken niet kunnen gebruiken.

@latka: Het zou zo moeten zijn dat Administrators veilig omgaan met admin ww, gebruikers doen dat een stuk minder, dus zou je een gebruikers account makkelijker kunnen broodforcen of via social engineering kunnen buitmaken dan van een admin. Als je dan binnen bent als gebruiker zonder admin rechten zou je denken dat je geen admin zaken zou kunnen uitvoeren, in de praktijk blijkt dat dus wel te kunnen, mits je weet wat je doet.

[Reactie gewijzigd door Cergorach op 3 december 2018 00:42]

Spectre/meltdown hiervoor gebruiken is onlogisch en eigenlijk niet mogelijk: dat is een local exploit. Dan moet je al binnen zijn.
Dan verdien je het ook bijna, altijd via VPN met 2-factor authenticatie doen.
VPN hoeft niet veel te kosten. Het zit in veel netwerkproducten erbij, Palo Alto Networks heeft Global Protect of F5 Networks heeft VPN edge client. Of je installeert OpenVPN op een linux server (werkt zelfs op een Raspberry Pi)
VPN kost relatief veel, want het is echt niet alleen je VPN appliances en configuratie, het is het lopende support en de gebruikers die het moeten gebruiken. Zeker vanuit een troubleshooting perspectief is het nog meer bewegende onderdelen, tenzij je dedicated netwerk specialisten heb die dit kunnen opvangen is dat echt een issue met de doorsnee Windows centrische helpdesk/systeembeheerders. Welke vaak echt bagger weinig verstand hebben van een Linux Server, wat nog veel meer bewegende onderdelen met zich meebrengt. Zeker met een dedicated Linux Server is het absolute hel in mijn ervaring als je daar geen interne specialisten voor heb of bent aangewezen op externe minder gemotiveerde leveranciers...

Dit is leuk bij grotere organisaties met een goed IT budget en bereid zijn hier in te investeren, maar in mijn ervaring is dat eerder de uitzondering dan de regel.
Security legt het zeer snel af tegen gebruikersgemak. Stel je voor dat je een extra stap moet doen voordat je remote gebruik van een rdp server kan maken.
Security legt het zeer snel af tegen gebruikersgemak. Stel je voor dat je een extra stap moet doen voordat je remote gebruik van een rdp server kan maken.
Over het algemeen vinden mensen het niet zo heel erg als dat moet als er goed is uitgelegd waarom dat moet. Waar gebruikers echter heel giftig om worden is als het in hun ervaring te vaak niet werkt... Of dat nu komt omdat ze iets zelf niet helemaal goed doen of dat er ergens wat 'hikt' maakt niet echt uit.
Het kan wel als je je security maar op orde hebt. En dat hoeft echt niet veel te kosten hoor. Tevens is het voor bedrijven gewoon handig als je cryptolocker preventie hebt geÔnstalleerd op je werkstations en servers (Sophos intercept X bijvoorbeeld)

[Reactie gewijzigd door HKLM_ op 2 december 2018 12:35]

Die cryptolocker preventie (CryptoGuard) bestaat sinds 2013 en wordt geleverd door een team in Hengelo (HitmanPro.Alert is het hart van Intercept X).
Ref: downloads: HitmanPro.Alert 2.5.0 build 50 bŤta
Yes als je onder de services kijkt zie je dat ook staan :P
Beter alle servers voor toegang tot bepaalde dingen achter een DMZ.
Hoe kun je je hier tegen beveiligen? Ik heb de RDP poort openstaan naar mijn thuis PC om op afstand er altijd bij te kunnen, betekent dit dus dat ik kwetsbaar ben?

EDIT: Bedankt voor de tips iedereen!

[Reactie gewijzigd door Twanekel op 3 december 2018 09:16]

In de afgelopen maanden hebben onderzoekers aangegeven dat slecht gepatchte RDP services en die zonder authenticatie of zwakke combinaties van user / password vooral doelwit zijn. Er zou bijvoorbeeld gebruikt worden van wachtwoorden die makkelijk te raden zijn en RDP exploits die maanden geleden al gepatched konden worden.
Je kunt in een firewall aangeven dat alleen vanaf een bepaald ip-adres geconnect mag worden.
Je zou ook een alternatieve port kunnen NAT-en. Dus dat je vanaf buiten op port 6969 :9 connect, en dat die binnen je netwerk wordt omgeleid naar port 3389 op je RDP-snerver.

Of je stelt een VPN op je synology NAS en zorgt ervoor dat je alleen via VPN kunt RDP-en :)
Ja en nee, als je nu up-to-date bent met patching relatief veilig. Het valt of staat met je keuze van username/password en eventueel extra authenticatie.
Echter, het is geen slecht idee om er een extra stap aan authenticatie aan toe te voegen zoals een VPN, bijvoorbeeld op je router indien dit ondersteund wordt.
Dat zorgt ervoor dat 2 stappen nodig zijn (dus niet dezelfde credentials gebruiken voor beide) voordat schade op die PC aangericht kan worden. Dus zal of credentials voor beide via brute-force gevonden moeten worden, of een lek waarvoor de update nog niet beschikbaar is of je deze nog niet geÔnstalleerd hebt.
Voeg in ieder geval iets toe dat het aantal gefaalde logins/tijdseenheid of IP adres limiteerd.

[Reactie gewijzigd door DB LucF op 2 december 2018 21:17]

Ja maar hoe moet tweakers.net dat nou weten als het niet in het artikel van NU.nl of de NOS vermeld staat?
:+
Het staat letterlijk in het NOS bericht.
Even uitzoeken? Als een tweaker het weet kan tweakers.net er toch ook achter komen? Iets met minder copy/paste content.
Uitzoeken kost tijd en dus geld. Tweakers is ook maar gewoon een commercieel bedrijf dat geld moet verdienen.
Juist, en gezien de inkomsten van reclame moet komen, moet de inhoud in orde zijn om ervoor te zorgen dat mensen de site relevant blijven vinden en terugkomen op de site. Want als ze dat niet doen dan gaan de views omlaag, en als de views omlaag gaan, gaan ook de inkomsten uit reclame omlaag.
Dus, beter 5 minuten extra besteden aan een artikel en wat extra informatie via google verzamelen zodat de inhoud accurater en interessanter is.
Dat is beter dan clickbait genereren. Mooi voorbeeld daarvan is WebWereld. Die site is zo goed als dood door de slechte content.
Mja. Beetje irritant altijd die schokkende news items van FOX-IT. Veel van die IT experts op NOS en RTL Nieuws voelen hun eigen goed als ze open deuren intrappen trouwens.
Hiet ben ik het wel mee eens wat betreft de verhouding met andere risico's. Zoals in de berichtgeving staat heeben we het hier over enkele gevallen in de afgelopen maanden. Waarbij het ook nog slachtoffers lijken te zijn die hun beveiliging voor het gemak of uit onkunde maar zwakker hebben gemaakt en dan ten prooi kunnen vallen. Waarbij ook nog eens op gaat dat ze de afgelopen jaren al slachtoffer konden zijn van iedere andere bruteforcer. Foxit en de media lijkrn dus weer eens te waarschuwen voor iets wat dagelijks voorkomt, maar nu weer met een ander motief wordt misbruikt. Het word gebracht alsof het bijzondere aanvallen zijn, terwijl daar niets van blijkt en het vooral om bruteforcen of gebrek aan wachtwoorden lijkt te gaan. Het is niet bepaald nieuws dat als je je deur open zet er onverlaten binnen kunnen komen die hun eigen motief hebben om van jou een slachtoffer te maken. Foxit, anp, nrc doen net alsof dat nu wel nieuws is. Daarmee bagatelliseren ze het probleem dat een slechte beveiliging iedere dag dit soort problemen bij slachtoffers veroorzaken. En wel heel veel meer dan bij die paat slachtoffers van deze zoveelste randsomware malware.

[Reactie gewijzigd door kodak op 2 december 2018 16:53]

"Voelen hun eigen goed"? Wat bedoel je daarmee? Dat ze aan hun ballen zitten of zo?
Tientallen slachtoffers op een totaal van een paar miljoen servers in Nederland noem ik niet heel schokkend. Het zou interresant zijn om inzichtelijk te hebben hoeveel potentiele slachtoffers er nog gemaakt kunnen worden. Want als 99,9% wel beveiliging heeft is dit wel een heel makkelijke manier om pr voor je securitybedrijf krijgen. Dat slecht beveiligde services als rdp een enorm risico voor de eigenaar en klanten zijn is niet nieuw. Dat er nu weer een andere vorm van misbruik is maakt het risico op zich niet groter.
Misschien wel leuk om een discussie te hebben over praktische dingen die je direct kunt doen om de boel beter te beveiligen. Dit is hoe ik RDP beveilig:

Standaard staat het loggen van mislukte inlogpogingen uit. Zet dit aan als volgt:
gpedit.msc -> Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Controlebeleid -> Aanmeldingsgebeurtenissen controleren: Mislukte pogingen aanvinken
Controleer eventvwr.msc, Beveiliging op: Controle mislukt, event 4625

Beperken aantal login pogingen (voorbeeld):
gpedit.msc -> Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Accountbeleid -> Accountvergrendelingsbeleid -> Drempel voor accountvergrendelingen: 10 ongeldige aanmeldingen, (beide timeouts op 1 minuut)
Let op: bij 11 verkeerde logins wordt de legitieme user vanaf nu ook geblokkeerd voor 1 minuut!

Veranderen TCP/IP port: https://support.microsoft...g-port-for-remote-desktop
TLDR; veranderen in de regsitry op deze lokatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
Het veranderen van de inkomende TCP/IP poort kan natuurlijk ook met portforwarding in de router/firewall. Aan de LAN kant van je router gebruik je dan gewoon poort 3389.
En weer betreft het Windows based OS.

Alle ransomware is voor het Windows platform omdat dit het meest gebruikt word.

Bedrijven moet echt eens beginnen in te zien dat missie kritische machines beter geen Windows based OS moeten draaien.

Anno 2018 zijn er genoeg alternatieven, en omscholing is echt niet nodig. Gebruikers hoeven alleen maar instructies te krijgen op welke icoontjes men moet klikken.

Dit blijft een terugkomend iets ransomware, hier zijn wij voorlopig nog niet vanaf :/
Dit kan je wel roepen maar als business zit je nog steeds vast aan Microsoft in een ontelbaar aantal scenario's. Zeker aan de desktop kant maar ook aan de server kant.
Wij zijn heel erg van het gebruiken van Linux based/Open Source, zo is zelfs onze Domain Controller voor Windows computers is geen Windows doos, maar ik kom met Linux desktops gewoon niet weg en ook voor specifieke (maar belangrijke) applicaties moet ik nog in ieder geval ťťn Windows server onderhouden.
Wij zijn een serviceverlenend bedrijf en als je dan klantsoftware moet gaan draaien kan je gewoon niet met Ubuntu aankomen (laat staan nog minder gebruikte distro's) want dat kunnen ze gewoon niet servicen en snapt niemand wat van.
Kan je wel zeggen dat users alleen hoeven te weten waar het firefox icoontje is maar dat zit in de praktijk veel genuanceerder.

En dan kom je ook een beetje bij de kern dat je jezelf op het gebied van security niet voor de gek moet houden.
Linux is ook kut met peren als dat niet bijgehouden wordt. De grotere problemen met bijvoorbeeld webservers van de laatste jaren zijn lekken in Open Source pakketten zoals OpenSSL die er tevens al gigantisch lang in zaten, ondanks het mooie open source karakter.
De meeste, zoniet alle grote problemen in Windows land liggen ook een hele hoop on/slecht-gepatchtste machines aan ten grondslag.

[Reactie gewijzigd door Koffiebarbaar op 2 december 2018 15:07]

Wat heeft dit met windows te maken? Het is niet zo dat rdp standaard aan staat met een slechte beveiliging. En dan is het probleem practisch gezien niet afhankelijk van windows of welk ander os dan ook, maar van onkunde van de beheerders.
Dit is een probleem omdat zowat iedereen (zakelijk) Windows gebruikt, dus jouw oplossing is niet betere beveiliging en training maar dat we met z'n allen naar Linux stappen (wat vervolgens het populairste wordt en dan dus het grote doelwit van aanvallen zodat je weer bij 0 bent...)
Alle ransomware is voor het Windows platform omdat dit het meest gebruikt word.
Dit is dus niet waar aangezien er al zat malware voor Android, iOS en ja ook Linux is :)
Omscholing is niet nodig
En daarna zeg je dat je gebruikers moet uitleggen hoe te werken met Linux...
Verder zal je Linux een stuk minder goed beveiligd zijn als die systeembeheerder opgeleid is voor Windows Server en dus geen idee heeft van alle risico's in Linux en hoe hij/zij die moet configureren...
Zeker de systeembeheerder die RDP naar buiten open zet zal ook zonder probleem simpele wachtwoorden gebruiken en telnet naar buiten open zetten :+

Ransomware zal zeker nog lang blijven helaas, daar komen we vanaf door met zijn allen eens een keer goede backups te maken en de beveiliging op niveau te brengen ipv weg te rennen naar Linux, dan weer terug naar Windows, dan weer Linux etc...

[Reactie gewijzigd door RGAT op 2 december 2018 16:53]

Het maakt betrekkelijk weinig uit of iets 'missie-kritiek' is of niet. Met een slechte inrichting ben je ook kwetsbaar voor andere aanvallen. Het is bijna een open deur, maar dit is een bewijs dat je spullen moet beveiligen, goed moet (laten) inrichten en bij moet blijven houden.
Het gaat hier om een configuratie fout van de beheerder. Rol een Linix distro uit met users met sudo rechten en het grootste gevaar voor je security is plotseling je user en niet de software..
Er is ook ransomware voor linux hoor, het is niet alleen bij windows.
Alle ransomware is voor het Windows platform omdat dit het meest gebruikt word.

Bedrijven moet echt eens beginnen in te zien dat missie kritische machines beter geen Windows based OS moeten draaien.
Stel nou dat 'bedrijven' dat opeens inzien en alles naar *nix wordt gezet. Dan krijg je hetzelfde probleem, niet? Wat je nu zegt raakt toch kant noch wal? Welk OS het ook is, of je nu je RDP of SSH met 1FA aan de buitenwereld openzet komen ze op den duur binnen via je zwakke password en crypten ze potentieel je data.
Dat is net zoiets als zeggen dat je een Opel moet rijden i.p.v. een BMW omdat er met een BMW vaker te hard worden gereden...
Bedrijven moet echt eens beginnen in te zien dat missie kritische machines beter geen Windows based OS moeten draaien.
Zeker net als die Mac fans die altijd riepen dat er geen virussen waren voor de Mac, totdat ze er wel waren en nu alle grote leverancier ook MacOS AV maken...

De reden dat bijna alle bedrijven gebruik maken van Windows OS is omdat de software die ze gebruiken daarom vraagt en gewoon niet werkt op een Linux bak (en Apple geen MacOS servers maakt). OSen worden niet gedreven door de wensen van de gebruiker, maar door de noodzaak van de software.

Deel dat veel klanten nog gebruik maken van RDP servers is omdat ze geen geld willen uitgeven aan een nieuwe omgeving of dat de leveranciers nog steeds geen puur webbased oplossingen hebben gebouwd. Vergeet ook niet dat overstappen naar een concurrent, als dat al mogelijk is qua functionaliteit, vaak een enorm kostbare actie is. Naast de migratie zit je ook met de opleiding van je personeel, iets waar veel bedrijven helemaal geen zin in hebben, IT is er immers om het makkelijker te maken in een bedrijf en niet om het moeilijker te maken (daar heeft men imho gelijk in).

Terugkomend op je idee, het is gewoon bruut wachten op de eerste Linux ransomware, Linux is echt niet spontaan beter beveiligd dan Windows in dergelijke situaties.
Mocht je toch RDP open willen hebben op een server dat direct verbonden is.
Zou tweestapsverificatie (zoals Duo) dan een oplossing bieden?
Kan. Je kan ook bv de default port veranderen, een RDP gateway ertussen zetten.
Wat meer info: https://www.trugrid.com/blogs/how-to-secure-rds

[Reactie gewijzigd door ShellGhost op 2 december 2018 14:50]

DUO werkt in inder geval tegen een brute-force want je doet immers niets meer dan gewoon inloggen.
Hoe dat werkt als ze daadwerkelijk een exploit in RDP gebruiken weet ik niet.
Duo.com en rds knight. Dan ben je klaar. Duo.com is gratis tot 10 apparaten en rds knight kost 50 eu. Bij rds knight kan je dan bijvoorbeeld alleen nl als toegestane ip reeksen toestaan of zelfs alleen maar 1 ip toestaan.

Duo.com is 2 factor authenticatie, en RDS Knight is een application firewall voor RDP. Combinatie zorgt dus voor dat men alleen maar mag inloggen indien men voldoet aan ip reeksen/ip nummers en 2fa zorgt voor extra beveiliging qua authenticiteit.

[Reactie gewijzigd door Hourglass op 2 december 2018 18:12]

Wat ik iedere keer mis bij dit soort hijgerige berichten is een verwijzing naar een site waarop duidelijk staat wat je kunt doen om de kans te verkleinen.
Dat zou je toch juist bij tweakers.net verwachten? Enige technische achtergrond en tips.. ipv copy paste van de ANP-telex.
Dat is al een hele tijd aan de gang maar mag niet luidop gezegd worden. Zelfs typefouten worden soms klakkeloos gecopy paste..
Ze zijn voornamelijk op zoek naar journalisten, die alles klakkeloos kunnen overtypen.
Niet naar journalisten, stagiaires, om het zo goedkoop mogelijk te houden...

Bouke zit er echter al sinds 2010 met ruim 5000 nieuwsberichten, dus dit is niet iets van just now... En eerlijk gezegd kan je Bouke dat niet kwalijk nemen, want die doet wat de directie van Tweakers.net wil, een zo breed mogelijk publiek aantrekken. Dat doe je met zo weinig mogelijk diepgang...
100% eens; ik betaal liever iets voor diepte, achtergrond, goede technische tips en verwijzingen dan het huidige verouderde 'gratis' (advertentie)modelletje dat Tweakers langzamerhand vervlakt en uitholt; gunstige uitzonderingen daargelaten.
Heb ook de indruk dat de echte specialistische kennis afhaakt in de reacties. Tekenend, soms nog wel eens een ťchte +3-rating maar steeds minder.
Deze vervlakking speelt helaas wereldwijd in bijna alle snel verouderende 'gratis'-mediaplatforms. Het wordt misschien weer tijd dat media middels belastingen (deels) weer enige financiŽle ondersteuning gaan krijgen en zo minder afhankelijk worden gemaakt van die verdienmodelletjes.
Platforms als FTM en De Correspondent lijken langzamerhand de eigen broek op te kunnen houden en zouden misschien een inspiratiebron kunnen zijn? .
Het lijkt me sterk dat de eindredactie van tweakers tegen hun verslaggevers zegt dat ze dan maar cruciale informatie moeten weglaten. Of vooral geen journalistiek moeten bedrijven door kritisch te zijn als een bedrijf het nieuws zoekt voor iets wat dat bedrijf belangrijk vind.

Er is hier nauwelijks tot niet kritisch gekeken of hoe dit bijna niettige probleem met maar enkele besmettingen zo bijzonder of uniek is om er wel over te schrijven. Het ontbreekt ook nog eens aan een uitleg waarom dit zo speciaal is.

Duizenden websites en computers raken dagelijks besmet of gecompromitteerd door misbruik van bekende oude exploits die door slecht patchen of slechte credentials. Dat het nu bij een paar systemen in maanden tijd is voorgekomen met samsam laat het net lijken alsof al die andere besmettingen waar Bouke of tweakers gewoonlijk niets om geeft plotseling minder waard zijn omdat ze geen nieuws trekken.

De insteek is alsof dit gevalletje plots heeel erg belangrijk is. Dit pr stuntje van foxit zonder kritiek als nieuws overnemen en dan nog belangrijke details weglaten is een grote farce.

[Reactie gewijzigd door kodak op 2 december 2018 21:03]

De insteek is alsof dit gevalletje plots heeel erg belangrijk is. Dit pr stuntje van foxit zonder kritiek als nieuws overnemen en dan nog belangrijke details weglaten is een grote farce.
Mee eens, maar als je slechts X uur per week werkt voor een werkgever en je moet Y opleveren, dan kan het zijn dat door Y op te leveren deze niet van denderende kwaliteit is. Daar komt bij:
Door Bauke Schievink
Admin Mobile / Nieuwsposter
De vraag is wie is de 'security expert' bij Tweakers.net? En waarom heeft hij/zij niet dit nieuws gepost? En wat voor kwaliteit 'security expert' werkt er bij Tweakers.net, volgens mij zijn de salarissen niet echt top. En je kent het gezegde: "Those who can't do, teach. Those that can't teach report on the Internet.". ;-)

Maar even gekeken te hebben bij de Tweakers.net crew zie ik eigenlijk niemand die als security expert wordt betiteld.

Het is zondag, ik betwijfel of Tweakers.net het budget heeft om een security expert 7 dagen in de week beschikbaar te hebben...
Je moet toch wel van een bijzonder laag allure zijn om een ziekenhuis aan te vallen.
Ik vind je sowieso van een bijzonder laag allure als je mensen moet afpersen voor geld in plaats van zeg maar gewoon te werken voor je centen.
Dat je dan ziekenhuizen pakt kan er eigenlijk ook nog wel bij.
Zijn de bitcoins niet mede dalende omdat dit soort malware steeds minder succesvol wordt en de vraag naar bitcoins daardoor gedrukt wordt ?
Nee, de hoeveelheid mensen die er daadwerkelijk ooit ingetrapt zijn, zijn er zo weinig dat deze een enorme lage impact hebben op de koers van BTC. De koersen van alle cryptocurrency zijn enorm onderhevig aan het gedrag van speculanten, waar ik het vermoeden heb dat velen er uit zijn gestapt op het hoogste moment en alle mensen die zijn ingestapt met alleen maar dollartekens voor de ogen er onderweg naar de bodem er ook in paniek uitstappen.
Nu ik er over nadenk vind ik ransomware eigenlijk best een goede manier om bedrijven ‘boetes’ te geven voor nalatigheid op het gebied van security. Uiteindelijk hebben diezelfde bedrijven ook persoonsgegevens en kan er ook via een data leak van alles gestolen worden. Dan is ransomware toch ‘fatsoenlijker’ dan andermans data stelen en doorverkopen.
Wat eng. Gisteren zag ik toevallig dat er een connectie was vanuit een ip uit Thailand vanaf poort 3389 op poort 80 van mijn server. Ik denk dat dat geen kwaad kan, maar zal toch eens beter gaan monitoren wat er allemaal gebeurt in mijn netwerk.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True