Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Productie Norsk Hydro is bijna hersteld na ransomwareaanval

De productie van het Noorse aluminiumbedrijf Norsk Hydro is na de ict-aanval van de afgelopen maand bijna terug op het oude niveau. De schade die het bedrijf heeft opgelopen in de eerste week van de hack, ligt op 300 miljoen Noorse kronen, omgerekend 31,1 miljoen euro.

Dat meldt het bedrijf in een update. De productie van Norsk Hydro zou bijna terug zijn naar het niveau van voor de hack. Wel zegt het bedrijf na de aanval vertraging te hebben opgelopen met administratieve zaken, zoals facturen. Het bedrijf gaf niet aan wanneer deze vertragingen voorbij zijn. Ook is nog niet bekend wie achter de aanval zat en wat de eisen voor het losgeld waren.

Reuters zegt dat Norsk Hydro ondanks de hack van vorige maand de productie van de primaire tak van de metaalproductie met een aantal handmatige oplossingen kon voortzetten. De productie van de tak die onderdelen maakt voor autofabrikanten, bouwbedrijven en andere bedrijfstakken, moest wel met vijftig procent naar beneden worden geschroefd. Bij drie grote bedrijfsonderdelen ligt de productie weer op negentig procent van wat die voor de hack was. Terwijl de tak Building Systems op 75 procent draait. Het bedrijf had een ict-risicoverzekering bij de American International Group, maar de potentiële compensatie had een limiet waarover het bedrijf zich niet verder wil uitlaten.

Op 18 maart werd Norsk Hydro getroffen door het LockerGoGa-virus. Toen sloot het bedrijf wereldwijd al zijn computers af van het netwerk, waardoor geautomatiseerde processen met de hand moesten worden gedaan.

Door Valentijn Demandt

Stagiair nieuwsredactie

08-04-2019 • 15:37

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Laat voorop stellen ik keur die ransomrommel absoluut niet goed, niet constructief, t wordt nergens beter van en de financiele schade is vaak enorm.

Maar ik heb geen medelijden met bedrijven die hun rommel niet op orde hebben, en of t nou management is, (vaak zo) of directie die geen budget vrijstelt of iets onzin vind of inferieure ICT afdelingen die hun zaken niet op orde hebben,....

Die locker meuk was al vrij vroeg gepatched, en een bedrijf van zo'n formaat had dit prima van te voren kunnen aanvliegen....nu kost het miljoenen, driedubbel werk en onder aan de streep levert het niks op (dan ellende).

Dure les, ....gebeurt ze niet snel een tweede keer denk ik....
Was het maar zo simpel.

In een productie omgeving (ik ben 9+ jaar procestechnoloog geweest in de metaalindustrie) is het niet altijd zo eenvoudig om je computers netjes gepatched en ge-upgrade te houden. Je zit nogal eens vast aan specifieke hardware (van derden) die een bepaald OS, drivers en/of browser vereist, waar je niet zomaar even nieuwe hardware neerzet. Ditto voor software. De computers draaien systeem-kritische applicaties, al dan niet maatwerk/custom, en dan is de zekerheid dat een upgrade niets sloopt een stuk minder groot dan bij gangbare huis-tuin-en-keuken software.

Dus "even patchen" is er bij productie systemen gewoon niet bij. Het is hoe dan ook een risico en het kost hoe dan ook geld (vanwege downtime).

Ik wil er niet mee zeggen dat Norsk Hydro dit niet had kunnen voorkomen. Ik wil er wel mee zeggen dat het wat genuanceerder ligt.
Met deze wetenschap nu in huis, wordt er dan wat aan gedaan om het in de wat verdere toekomst te voorkomen? Ik snap dat het duur is om bijv elke 5 jaar specialistische software te vervangen maar als het de continuiteit van je bedrijf garandeert en dit soort vast enorme kostenposten kan voorkomen is een upgrade cyclus van 5 jaar het dan niet gewoon waard? Tijden zijn veranderd. Alles is met alles verbonden en dus moet je je toch extra gaan wapenen tegen malware en daar hangt nu eenmaal een kostenplaatje aan.
In de realiteit zal je in fabrieksomgevingen vaak moeten werken met wat de leverancier wil of kan aanbieden en dat zijn vaak technologieën met een sterk achterhaald security model, gewoonweg omdat dit niet de prioriteit is. Je kan die systemen best goed afschermen maar dan verlies je meteen ook elke vorm van SLA met de leverancier. We spreken trouwens niet over kleine leveranciers maar over Fortune 500 bedrijven.
Hmm ik krijg herinneringen aan het 'kroket' security model. Stevig van buiten, zacht van binnen. Via de ene leverancier zijn VPN naar binnen en bij de andere weer naar buiten.
Of een fax/printer - bel hem op, stuur een fax met een hack, en je komt het bedrijfsnetwerk op: https://research.checkpoi...ax-back-to-the-dark-ages/
Het kroketmodel moet de wereld uit. Helaas heb je dan een 'taaie' IT-omgeving. Maak die maar eens werkbaar, met de huidige middelen. Ik denk dat je elk object capabilities moet geven - iets wat je downloadt kan dus nooit verder. En als het verder gaat, is doe volgende stap ook zijn capabilities kwijt.
Fortune 500 bedrijven hebben de exacte dezelfde it uitdaging als kleine bedrijven. het enige verschil is schaalgrote, maar t blijft hetzelfde, mensen moet hun werk doen, it die dit moet ondersteunen. niets meer niets minder. (en tuurlijk zit er verschil tussen een bank een ziekenhuis of een schoenenfabrikant maar uit eindelijk moet de directie is een keer snappen dat er poen nodig is om mensen met kennis aan te nemen en dit te ondersteunen door goede apparatuur en een redelijk fatsoenlijk beleid. niks meer ....niks minder.
Ik weet bijvoorbeeld van een kennis dat bepaalde Röntgen apparatuur en een elektronenmicroscoop drivers hebben die alleen op Windows XP draaien. De fabrikant levert nu nieuwere types met nieuwere software terwijl de oude drivers niet meer worden aangepast. Waarschijnlijk heeft de fabrikant na bijna twintig jaar zelfs geen mensen meer in dienst die de software zouden kunnen aanpassen aan nieuwere Windows versies, als ze het al zouden willen.

Het enige dat ze kunnen doen is XP blijven gebruiken en het niet aan een netwerk koppelen.
waarschijnlijk is dat een kosten-baten plaatje.. risico word anders gemanaged, en XP patches (laten) maken is duur..
Niet ideaal maar soms wel de lesser evil..
Daarover zou ik dezelfde vraag kunnen stellen als in mijn vorige post. :) Dat destijds minder werd stilgestaan bij continuïteit is goed te begrijpen. Dus wederom, met de kennis van nu, zou ik bij de aanschaf van dergelijke apparatuur kijken of voor de verwachte levensduur van dergelijk dure apparatuur ook software updates worden geleverd, inclusief drivers. Als een fabrikant daar niet echt over nadenkt dan belooft dat weinig goeds als de spullen 20 tot 30 jaar mee moeten gaan. Je zou mogen verwachten dat driver support ingebakken zit in de aankoopprijs dan wel in een langlopend service contract.
Zeker een belangrijke vraag..
Ik weet uit ervaring dat een van onze klanten ons product gebruikt om hun MRI etc scanners up to date te houden. Dit is een behoorlijke complexe materie ivm de regels rond medische apparatuur.
Het gaat er niet perse om dat alle productiemachines zijn gepatched, maar dat dit goed is afgekaderd.
Het is geen probleem als er nog machines met Windows XP op staat, als dit maar volledig staat losgekoppeld van het netwerk (fysiek, dan wel via blokkeren poorten in firewall).
Het gaat er niet om dat er geen best practice is, want die is er wel.

Het gaat erom dat die best security practice een [ beetje lastiger / behoorlijk lastiger / véél lastiger ] kan zijn (doorhalen wat niet van toepassing is) om in praktijk te brengen in vergelijking met een doorsnee kantooromgeving op up-to-date hardware met breed gangbare en goed ondersteunde software.

De leeftijd van een fabriek, en dus de ontwikkeling die de productielijn heeft doorgemaakt, speelt ook een rol Ik heb in een moderne fabriek gewerkt, pas 15 jaar oud, en die was goed ingericht qua IT. Ik heb ook gewerkt bij een bedrijf dat stamt van voor de tweede Wereldoorlog, waar zelfs nog software onder MS-DOS draaide.
Ik vind het gewoon slecht management. Dit is een bekend risico, je weet wat de impact is, maar niemand wil er geld aan uitgeven. En dan zijn ze nu 31 miljoen kwijt + reputatie schade.

Tjah. Het is maar waar je je geld aan wil uitgeven.


Legacy hard- en software is een goed excuus, maar er zijn genoeg middelen om te zorgen dat hun kwetsbaarheden niet aan de buitenwereld worden bloot gesteld. Dat is niet gedaan. Dus is het gewoon nogmaals heel slecht IT beheer gevoed door een mentaliteit "Het werkt, dus gaan we er niets aan doen"
Da's het hele punt. Verwijtbaar of niet, het was dus bij veel bedrijven, voordat dit incident naar buiten kwam, geen bekend risico. Of in ieder geval onvoldoende bekend/doorgrond. Het is makkelijk oordelen als je zelf IT-savvy bent, want dan heb je de kennis en achtergrond om van het risico te weten, en te snappen hoe verstrekkend de gevolgen kunnen zijn.

Geloof me, als managers goed beseffen wat voor risico ze lopen dan wordt er wat aan gedaan. Als er namelijk iets is wat ze snappen dan is het een kosten-baten analyse. Uptime (van je productie-lijn) is een KPI waar vrijwel iedere manager productie op wordt afgerekend.
Maar die systemen hang je dan ook niet aan het internet...
T is jammer dat mijn basis reactie gemin'd wordt maar dat terzijde.
Ik snap wat je schrijft, Maar je kantoorsystemen hebben niets te maken met proces-automatiserings-machines. dus, wat je kan doen, als ze bijv. oude OSén gebruiken is of deze isoleren op een apart VLAN en met firewall regels je verkeer regelen (specifiek voor je proces IT), en laten we is beginnen met basis UTM zaken als AV, webfiltering en evt. IPS (intrustion prevention). Vaak is het zo dat die machines ook niet in het domein hangen, dus als ze gesloopt worden is het producent opbellen (en een restore draaien) of een beetje IT afdeling heeft bijv. een ghost image en kan deze terug zetten via een externe cd/dvd speler. (Harde schijf eruit halen, ghost image terug zetten en weer door.) of zorg dat je een tweede hdd op de plank hebt liggen. Daarnaast moet je je afvragen of zo n machine wel op internet moet? (maar das een beleidsding en kan ik niet over oordelen/beoordelen op een afstand.

Niet patchen ivm downtime is doodsteek nr1, je downtime is nu veel groter en je kosten ook.
Zie mijn reactie hier: JumpStart in 'nieuws: Productie Norsk Hydro is bijna hersteld na ransomwareaa...

Het is een combinatie van factoren. Legacy hardware, legacy drivers en software, oude infrastructuur, nog niet ingesteld zijn op cyber-dreiging, enzovoorts. Natuurlijk zijn er best practices, maar zeker bij oudere fabrieken, die soms al hun eeuw-feestje gehad hebben, heb je te maken met een "gegroeide" productielijn die veel moeilijker (lees: heel veel hardware upgraden/vervangen, dus duur^2) hardened te krijgen zijn. Koppel dat aan een onvoldoende besef van het risico op bedrijfsspionage en gijzel-aanvallen, en je krijgt het soort situaties als bij Norsk Hydro.

Reken maar dat er mensen wakker geworden zijn door dit incident. (En dat er een aantal "Zie je nou wel, dit is wat ik bedoel!" geroepen zullen hebben.)
Klopt, de automation industrie loopt echt hopeloos achter. Veelal XP embedded / 7 embedded, mag absoluut niet gepatched worden want dan heb je geen support meer. Hier valt echt nog enorm veel te verbeteren voor bedrijven als Siemens/Beckhoff/etc. Het is echt bizar als je met een leverancier in gesprek gaat over updates en/of anti-virus op zulke machines, ze kijken je aan alsof ze vuur zien branden. Ook in Nederland kun je ze vinden, ik zal geen namen noemen maar in Kampen zit er 1 die er echt helemaal niets van snapt ;-)

dvdk126 heeft overigens volledig gelijk dat zulke machines volledig gesegmenteerd van het netwerk horen te zijn en niet meer toegankelijk dan strikt noodzakelijk. De clou is uiteraard dat leveranciers bij voorkeur zoveel mogelijk remote support willen leveren want dan hoeven ze niet heen en weer te rijden. Uiteraard rekenen ze extra als ze wel heen en weer moeten rijden en zit je met managers die ook niet begrijpen wat IT security inhoud. Roepen hoe het zou moeten zijn is uiteraard heel makkelijk, dat de praktijk niet altijd zo werkt is (helaas) een gegeven.
@itlee :
"Die locker meuk was al vrij vroeg gepatched, en een bedrijf van zo'n formaat had dit prima van te voren kunnen aanvliegen."
Heb je hier wat info over?
Ik werk op die "inferieure" IT afdeling van Hydro (wel aan de applicatie kant in my defense). En ik heb eigenlijk nooit het idee gehad dat er werd beknibbelt op IT kosten.
Er zit op dit moment een bataljon van experts van interne en externe bedrijven te werken aan dit probleem. Ben benieuwd of zij uiteindelijk met dezelfde conclusie aankomen als jij.

[Reactie gewijzigd door ErwinvanGool op 9 april 2019 01:05]

Los van dit draadje lijkt het mij niet heel verstandig om als medewerker van Hydro, nota bene onder je eigen naam, interne informatie vrij te geven over de aard van de hack e.d. Ik ben zelf in de verste verte niet betrokken bij dit verhaal, maar gewoon een tip van een mede-ICT'er ;-)
Ik geef je gelijk, misschien had ik het iets beter moeten formuleren (en totaal niet misschien) zodat het niet op interne bronnen is gebaseerd. Dat is het namelijk niet. Ik zal de post verwijderen.
Is de aanval on premise uitgevoerd, of op afstand (via internet). In dat laatste geval vind ik het bijzonder dat bedrijfskritische systemen "zo maar" aan het internet hangen. In het eerste geval: dat klinkt als een gerichte aanval en die zijn lastig af te slaan. Zeker als personeel (onbewust) meewerkt aan de hack door accountgegevens vrij te geven. Zo blijkt maar weer dat de eindgebruiker de zwakste schakel is in ieder veiligheidssysteem.
Onzin. Je kan "vrij" makkelijk een pass-the-hash doen als je eenmaal binnen bent. Dan heb je niet eens een password nodig. En als het mee zit kan je een golden ticket bemachtigen en dan ben je klaar.
Als je eenmaal binnen bent... Precies. En hoe kom je binnen?
Er zijn genoeg mensen die op het ene verdachte mailtje klikken dat er door heen komt of andere manieren van Social engineering.
Dat was dus precies mijn punt. De eindgebruiker is en blijft de zwakste schakel in de veiligheidsketen.
Is dat zo? Is dat 100%?
Er zijn genoeg bedrijven die werken met een twee of drie maandelijkse patchcycles. Dus als hacker heb je drie maanden de tijd om met een niet gepatchte bug te spelen. Is ruimschoots voldoende.
Social engineering werkt meestal ook wel. Achter iemand aan lopen het pand in ook. Zoek een werkend netwerkpoortje op, plaats een arduino en klaar.
100%? Vast niet. En social engineering... Wie trapt daar in? Of achter iemand aanlopen die niet oplet?
Precies... Je geeft zelf al hetzelfde antwoord.
Welk antwoord geef ik?
Je bent een tikkeltje vreemd aan het beredeneren.
Dat de eindgebruiker een zo niet de zwakste schakel is. Je kunt nog zo veel patchen, als ze in een social engineering val trappen, ben je de Sjaak.
De eindgebruiker de schuld geven is en blijft een zwaktebod. Als je gaat eten bij een grote restaurantketen kan de bediening ook niet toegang krijgen tot de rekening van het hoofdkantoor. Waarom zouden computersystemen dat dan wel toestaan?
Let wel, ik zeg niet dat het makkelijk is, maar de mentaliteit is niet de juiste.
"Open geen attachments van mensen die u niet kent" - maar de computer weet beter wie ik ken dan ikzelf, de computer kan de mail beter authenticeren, etc.
Ik geef de eindgebruiker niet perse de schuld, die ligt bij de daders en niet bij de slachtoffers.
Maar voor de gemiddelde hacker is het wel een verleidelijk doelwit.

Mijn (schoon)ouders (leeftijd 70+) zijn vrij moderne mensen (smartphone, tablet, mailen, Googlen, social media, internetbankieren, etc) maar heb ik inmiddels aardig paranoia gekregen als het gaat om bijv het openen van mail van onbekende afzenders of met een twijfelachtige boodschap, bijlage of vraag. Ze vragen liever voor de zekerheid aan mij of iets veilig is, dan dat ze een risico nemen.

Tegelijkertijd heb ik collega's op 't werk (leeftijd 25+ tot 50+) die klikken alles open en aan zonder zich druk te maken om veiligheid, want "dat moet IT maar regelen".

Dus noem het een zwaktebod, maar het is wel de realiteit in mijn ervaring.
De mens is zeker een actor die de schade mogelijk maakt. Maar inderdaad, waarom regelt de IT dat ondertussen niet? Ik denk omdat veiligheid onvoldoende op #1 staat.
100 nieuwe features, of de hele boel overhoopgooien om de boel te voorzien van nieuwe bugs maar dan wel een stuk veiliger te krijgen? Je mag raden wie er wint.
Zullen we programmeren met bounds checking of zonder? Doe maar zonder, dan gaat ie 10% harder.
En denk dat we naar een ander model moeten. Hoe dat er uit ziet weet ik niet. Meer afschotting tussen functies op 1 systeem, maar ook vanuit dat systeem naar het netwerk.
Ik geloof niet dat je het met techniek alleen 100% waterdicht krijgt. Dat blijft een kat-en-muisspel tussen ontwikkelaars en hackers.
De techniek en security awareness bij gebruikers moeten hand in hand gaan.
We hebben nu wel veilige elementen in onze computer. Maar die worden gebruikt om DRM mogelijk te maken, en niet voor de integriteit van het systeem en gemiddelde applicaties.
Als je dat begint te onderzoeken krijg je het benauwd en snap je waarom hier op tweakers zo op privacy gehamerd word.
Ik en vele anderen met mij hebben een database met een shitload aan usernames en passwords.
Dus je kan op die manier al binnen komen. Heb je geen phisingmail voor nodig.
Niet als je je gebruikers goed informeert en ze zich houden aan de regels (zoals geen standaard wachtwoord, geen makkelijk wachtwoord, niet overal hetzelfde wachtwoord, etc.) weer die eindgebruiker hé... 🤣
een pass-the-hash
Een replay attack? Werkt dat nog op veel systemen dan?
Regel 1; Begint met opvoeden van je gebruikers, zorg dat ze een training krijgen in hoe je die (klote) mailtjes weet te ontdekken.
Regel 2; zorg dat je systemen gepatched zijn, en systemen die bijv procesmatig IT bedrijven (aansturing van machinale spullen die bedrijfskritisch zijn en niet geupdate worden dat je die op de rand van je netwerk beveiligd (apart VLAN/aparte firewall regels, en als t heel kritisch wordt zet je er een firewall tussen)
Regel 3; Veel IT'ers krijgen een stijf toetsenbord van lekker veel en ingewikkelde shizzle bouwen zodat niemand meer snapt hoe t nu werkelijk in elkaar zet en erfenis op erfenis wordt gebouwd. Dat gebeurt niet alleen in applicatie-bouw-land maar ook op security/netwerk vlak. Neem competente mensen aan die shizzle simpel houden en niet als ja knikkers door het pand lopen want de sales wil dit en sales wil dat en de IT afdeling maar buigen, ja baas, we maken het baas...enz. met alle gevolgen vandien.

specifiek vraag je om een stap hoe je dit had kunnen voorkomen, serieuze filtering op je email platform (URLs, DMARC, DKIM, spf implementeren (wordt het al een stuk moeilijker om ellende binnen te krijgen) alle wazige vormen van bijlages blokkeren, als mensen wat willen stuur t lekker via wetransfer.

Stap 2; Op de rand(en) van je netwerk fatsoenlijke UTM filtering met controles hierop, als is het maar een IPS filter die een mailtje afstuurt en dat iemand dat oppakt. Ik doe veel met fortinet, die heeft toen dr tijd IPS signatures uitgebracht, https://www.fortinet.com/...-the-wcry-ransomware.html

En de admin accounts hack ben ik wel heel benieuwd hoe ze dat gedaan hebben....
Maar niet patchen en daar maar allerlei redenen voor bedenken is hetzelfde als ik verwissel mn autobanden niet want dan sta ik stil bij de garage en heb ik downtime met mn auto, nee aquaplanning is lekker of kapot op de vluchtstrook staan helpt.. :) Dat je een patch twee weken uitstelt om de eerste ellende even aan te kijken snap ik, maar bedrijven brengen niet voor jan lul patches uit....klein of groot bedrijf, installeer je troep en stop met smoezen te bedenken om het niet te doen...
Begint met opvoeden van je gebruikers, zorg dat ze een training krijgen in hoe je die (klote) mailtjes weet te ontdekken.
[..]
alle wazige vormen van bijlages blokkeren, als mensen wat willen stuur t lekker via wetransfer.
Goed, dus dan stuur ik een mailtje zonder attachment, maar met een link naar wetransfer. Haalt die op de één of andere magische manier alle malware eruit!? Hoe maakt dit ook maar enig verschil?
wordt het al een stuk moeilijker om ellende binnen te krijgen)
Dat is leuk en aardig, maar er zit een wereld van verschil tussen "een stuk moeilijker" en "onmogelijk". Nou weet ik niet hoe de infrastructuur van Norsk Hydro eruit ziet (ik heb geen flauw idee of het gatenkaas of bijna-perfect-dichtgetimmerd is), maar het probleem van malware is dat áls het binnenkomt, of dat nou via een gigantisch gat of een minuscuul kiertje is, je net zo goed de sjaak bent.
Goed, dus dan stuur ik een mailtje zonder attachment, maar met een link naar wetransfer. Haalt die op de één of andere magische manier alle malware eruit!? Hoe maakt dit ook maar enig verschil?
Allereerst, kijk je of het email adres 100% klopt van wie je het krijgt, daarnaast als je een bestand verwacht kondig je t netjes aan, joh ik stuur je even een wetransfer. (niemand stuurt je zomaar een wetransfer). Daarnaast is het zo dat elk respecterend bedrijf een fatsoenlijke http(s) antivirus scan op de rand van het netwerk heeft draaien :o }> klant drukt op download, file wordt gescand en dan aangeboden aan de client. Vervolgens draait er een lokale virus scanner op een pc van een ander merk /type en bij het openen van het bestand wordt het nog een keer gescanned...

zo maak je de kans wel heel klein op infectie....

Alle hacks die nu ongeveer plaats vinden gebeurt eerst op basis van social hacking, ontfuselen van een inlog met k*tmailtjes, zelfs telefonisch doen ze zich voor als microsoft, doen een teamviewertje en zetten malware op je machine om zo vervolgens te connecten naar een remote botnet en je vrolijk remote commando's kan inschieten.

Daarom vroeg ik ook, hoe zijn ze dan achter het administrator (domain) account gekomen, want dat zijn vaak maar een paar mensen die zoiets weten in de organisatie. Ten tweede malware verspreiden via AD kan niet, (AD kan je super veel info geven) Maar AD heeft geen distributie mechanisme. maar ze nemen een pc/servertje over, en broadcoasten zo de malware je netwerk op of ze distribureren een bestand met via een GPO in windows, <- nog nooit gezien maar t kan). op lokale netwerk staan vaak geen interne firewalls dus heb je vrij spel (en dat snap ik ook want je kan niet alles beveiligen.)

Kijk als je als haxor de tijd krijgt om te snappen hoe de infra (netwerk), routing naar andere sites in elkaar zit en je kan in AD rondkijken dan heb je wel een probleem ja.
Allereerst, kijk je of het email adres 100% klopt van wie je het krijgt, [..] Vervolgens draait er een lokale virus scanner op een pc van een ander merk /type en bij het openen van het bestand wordt het nog een keer gescanned...
Voor dit hele verhaal maakt het niets uit of je de data via een attachment stuurt of via (een link naar) wetransfer.
Oh? Niet? Leg is uit dan? Waar zit je infectie moment dan? Of juist het voorkomen van je infectie moment?
Jij stelt voor om emails met attachments te vervangen door emails met linkjes naar een filesharing service.

Allerlei voorzorgen als "controleer de afzender" (en trucs om de afzender te spoofen) zijn niet relevant, want uiteindelijk krijg je nog steeds een email binnen.

Voor zover ik in kan schatten is het voor je spam en malware filter juist makkelijker om malware te detecteren als die in een attachment zit. In dat geval kan de scanner de inhoud daarvan immers ook inspecteren. Met alleen een linkje naar een filesharing service kan ie niets, want je filter heeft geen idee welke data daarachter verstopt zit. (Het filter dat automatisch laten downloaden en ook scannen klinkt als een prachtige manier om een DoS op te zetten. Daarnaast kan de verzender een server gebruiken die zo is ingesteld dat de eerste download (of alle downloads x uur na het versturen) een "schone" file teruggeven, maar de tweede download (of alle downloads na meer dan x uur) wel de malware krijgen. Bij een attachment ziet het filter gegarandeerd dezelfde inhoud als wat de ontvanger uiteindelijk opent.)

Jouw hele redenatie lijkt te drijven op het idee dat je een file kunt scannen zodra je hem opent vanaf de filesharing site. Diezelfde kans om te scannen heb je echter ook op het moment dat je een attachment opent (als je GMail of OWA of iets dergelijks gebruikt) of al veel eerder (als je via POP3 of IMAP tegen je eigen mail server praat). In alle gevallen zal de payload uiteindelijk op je eigen computer terecht komen en kan ie daar door je lokale virusscanner gecontroleerd worden (en ja, downloads worden hoe dan ook gescanned, maar als je echt hard prutst, dan kun je je antivirus zo slecht kunt configureren, dat ie niet goed integreert met je mail client; dan is het in theorie mogelijk om daar een gat in je beveiliging te creëren).
Die locker meuk was al vrij vroeg gepatched,
Voor zover mij bekend is nog niet bekend hoe LockerGaga op het netwerk is gekomen en is er nog geen 100% bescherming mogelijk. Als jij dat wel weet denk ik dat Norsk graag even een mailtje van je wil hebben.
Dat noemen we dus victim-bashing...
Er zijn maar twee soorten grote bedrijven: Die weten dat ze zijn gehacked, en degene die het nog niet weten ;)
Wat ik vaak hoor is het argument ict is niet onze brood winning maar productie process xyz is duit dus er is geen geld voor updates etc.

Denk dat dit een goed voorbeeld is hoe een productie bedrojf toch enorm last kan hebben van ict verstoring.
Wat ik vaak hoor is het argument ict is niet onze brood winning maar productie process xyz is duit dus er is geen geld voor updates etc.

Denk dat dit een goed voorbeeld is hoe een productie bedrojf toch enorm last kan hebben van ict verstoring.
De wereld moet wat dat betreft nog een hoop bijleren. Ik vraag me wel eens af hoe het met de brandveiligheid zou zijn als we dat niet wettelijk geregeld hadden. Ik vermoed dat de meeste bedrijven dan geen sprinklers, brandalarm en jaarlijkse oefening zouden hebben.

Er zit vast ook een mate van 'survivor-bias' in: op de bedrijvenborrel spreekt nooit met een bedrijfsleider die z'n hele onverzekerde bedrijf heeft zien afbranden, die gaat namelijk failliet en is dan geen bedrijfsleider meer.
Dit is louter een informatief artikel zonder enige detail omtrent de aanval. Dus ik snap eigenlijk niet goed hoe dat een medetweaker hier zijn of haar oordeel over de sterkte van de beveiliging van Hydro kan bepalen...
Als RDP van buitenaf openstaat zijn er hallucinant veel aanvallen/bruteforces per minuut. Als er dan ook geen monitoring en lockoutpolicy opstaat dan is het een kwestie van tijd vooraleer ze in het netwerk zitten.
Daarna loggen ze in om al hun software te downloaden en herstarten ze de computer/server om hun sporen te wissen.

^ dit toepassen zal het risico voor een geautomatiseerde aanval al bijna compleet tegenhouden (op dit moment natuurlijk..)

Via mail heb ik de laatste tijd geen ransomware gezien, RDP is de enige methode die wij constant zien terugkomen.
Niet? Ik denk dat een hacker welke een bedrijf target er niet vanuit gaat dat RDP open staat. Mail blijft de zwakste schakel. Dropper via mail naar een specifieke target en laat de fun beginnen.
Blijft de meest makkelijke manier om malware/Ransomware binnen te krijgen.
Overal RDP dichtgezet bij onze klanten en geen enkele ransomware meer gezien.

Een hacker scant gewoon openbare IP adressen op de RDP poort, en als ze die vinden beginnen ze te bruteforcen. Zijn gewoon automatische scripts voor...

Mail is juist niet meer effectief aangezien dit nog vereist dat een gebruiker erop klikt, vervolgens uitvoert, en de antivirus negeert..

RDP login kraken en je hebt volledige macht over het systeem (als het adminrechten heeft)
RDP staat zelden open en al helemaal niet bij dit soort grote bedrijven .Servers zijn over het algemeen niet bereikbaar vanaf buiten via RDP, die kans is erg klein. Ransomeware komt bijna altijd binnen als een dropper via mail, de kunst is om de gebruiker te verleiden en dat doet men tegenwoordig gewoon door heel gericht op een persoon. Mail is gericht op de persoon en is zeer effectief, er is altijd wel iemand die er op klikt. Ook in dit bewuste geval is het op een geheel andere manier binnengekomen.

Ik zie heel wat ransome of malware binnenkomen en bijna allemaal komen ze via mail.
Ik kom regelmatig servers tegen die via RDP (via het internet) worden overgenomen (terminal servers voornamelijk).
Onlangs nog een Windows server 2003 zelfs...
(Geen rechtstreekse klanten van ons voor de duidelijkheid.)

Bij kleine en middelgrote bedrijven zal je dit zeker tegenkomen, de kans is zeker niet klein. Er zijn diensten genoeg die dat kunnen bevestigen.

Grotere bedrijven hebben het nadeel dat ze soms aan stokoude software vastzitten, waardoor ze nog oude servers draaien, als dan iemand inderdaad op mail klikt begint de bal te rollen, zeker als ze dat doen op een terminal server...

In de gevallen die ik als ICT'er heb meegemaakt, een 5-tal ransomware aanvallen, was dit steeds via RDP.

Wij zien voornamelijk phishingmails stijgen op dit moment voor Office 365.
Spamfilter en ATP op Office 365 houdt al redelijk veel tegen, zeker qua gevaarlijke bijlagen.

Ik zeg niet dat dit bij grote bedrijven openstaat, en daar zal het waarschijnlijk binnengekomen zijn via mail of een besmette pc,..

Ik heb zelf al voldoende research gedaan hierover, en al enkele meegemaakt,.. dus ik weet waarover ik spreek.

[Reactie gewijzigd door bython op 10 april 2019 22:11]

Stokoude servers en dan de gevolgen ondervinden door het klikken op een mail? Nou ik kan je vertellen dat iets als een pass the hash en dergelijk methodes gewoon heel lekker op Windows 10 werkt en iets heel actueels is en direct voor een enorm probleem kan zorgen. Je hoeft helemaal geen oude zooi te hebben. Windows Defender (SCEP) of Office365 ATP pakt ze er wel uit? Nou vergeet het maar, die vangen er veel uit maar niet alles. Je moet er altijd vanuit gaan dat niet alles 100% is en dat detectie achterloopt. Vergeet ook niet dat veel aanvallen tegenwoordig heel gericht zijn op personen. We zien helaas veel te veel voorbeelden en daarvoor is mail een prima middel.
En natuurlijk zijn er andere middelen...maar mail en websites zijn wel de grootste kopzorgen.

RDP via internet? Ik mag toch hopen van niet en dan minimaal in een DMZ met geen enkele verbinding naar intern, of een VPN, anders zou ik me toch zorgen maken over de capaciteiten van de IT afdeling.
Dat is wel de laatste poort die je naar het internet openzet.
In dit geval ging het toch om een zeer capabel bedrijf met een IT security afdeling, en het laatste wat ze zouden toestaan zijn dergelijke poorten. De bedrijven die target zijn van deze aanvallen zijn behoorlijke knapen en die worden wel op een heel wat slimmere manier slachtoffer.
RDP etc...is gewoon dom werk. Leuk om aan te vallen...maar echt geen middel wat dit soort jongens gebruiken.

Ik werk bij een groot bedrijf....en het probleem zit echt niet alleen maar in stokoude IT. Legacy spul is altijd een probleem, maar in een mooi server en pc park zitten genoeg zwakheden, alles valt met configuratie, strak doorvoeren van policies etc. En nog steeds kan een bedrijf zich niet voor 100% beschermen, de vraag is nooit “of” maar altijd wanneer.

[Reactie gewijzigd door OkselFris op 10 april 2019 22:51]

Wij beheren 100+ kleine en middelgrote bedrijven, als een klant naar ons toekomt hebben wij dat al zeker meegemaakt dat hier nog een RDP openstond voor heel het internet, zonder DMZ of andere scheidingen.
Die gaat dan ook meteen dicht vanaf dat wij de controle krijgen over het netwerk.

Het principe dat niets 100% waterdicht is hoef je mij niet uit te leggen ;)

Lekken zoals de recente Chrome bug en Winrar bug zijn onze grootste kopzorgen, aangezien die bijna meteen werden misbruikt.
Dat zijn risico's die je wel kunt beperken, maar 100 klanten zo op 1,2,3 up-to-date krijgen vergt veel tijd.. (niet alle klanten willen voor patch management betalen bijvoorbeeld)

In een omgeving waar je alles zelf in de hand hebt kan je meer met policies 'spelen' , maar bij 100+ klanten de policies strak zetten zie ik niet veel IT bedrijven doen, omdat het bijna onbeheersbaar is. De controle over de omgeving is ook minder. Je kan veel automatiseren, maar een mens niet.
Een hacker hoeft daar ook niet van uit te gaan, die doet als het goed is wat reconnaissance.

Genoeg volk dat gewoon constant alle IP ranges van AWS, GCP, ... nakijken op open poorten. Als jij op een Windows-EC2 instance vergeet poortje 3398 dicht te zetten in de security group, krijg je echt binnen een aantal minuten na het opstarten van zo'n instance een hele stortvloed aan bruteforce attacks.

Zo is ook onze FreePBX server ten prooi gevallen aan de memcached-vulnerability van vorig jaar. Poortje 11211 stond gewoon open to the world. Die 'aanval' was ook heel kort na publicatie gestart, wat mij gewoon doet vermoeden dat dat IP-adres in een database stond ergens, met de open poorten erbij en eventueel welke services erop draaien.
zowieso belangrijk sommige nutsbedrijven los zijn van het internet, dan maar een mannetje of vrouwtje achter de bedieningsknoppen. Zoals energie centrales en waterschappen.
Dus de factureer, customer service en marketing afdeling moet ook niet op het internet zitten? Overigens geen nuts bedrijf.

[Reactie gewijzigd door falconhunter op 8 april 2019 16:24]

Ze leren het ook nooit hé.

Geen belangrijke computers aan het internet. Dan kan een bedrijf ook geen schade oplopen.

Lex
Ook zonder internet zijn er legio manieren om systemen te infecteren. Er is áltijd een zwakke schakel die misbruikt kan worden.
Er zijn dus bedrijven die hun kritische systemen uiterst serieus nemen. Die maken er een apart High secure netwerk van. 24x7 bemaning, iris-scan, fysiek langs bewaking. Elke systeem zijn eigen fail-over en een fail-ver netwerk op een externe locatie. UIteraard een OTAP omgeving. 1x per maand het netwerk volgens procedure omzetten naar externe locatie. Gebeurt er shit kun je overschakelen en weet je zeker dat het werkt. Voor minder dan 30 miljoen had je zo'n omgeving gehad.

Ik ben blij dat ik voor zo'n omgeving heb mogen werken.
Ik neem aan dat dergelijk belangrijke computers beperkte toegangen hebben tot enkele medewerkers en het systeem met paswoord is beveiligt.

Tja het is belabberd gesteld met de beveiliging.

Lex
Oh, even muziekje draaien op de werk PC... En bingo..

Helaas ook al meerdere malen gezien/meegemaakt. En maar volhouden dat ze niets gedaan hebben (Terwijl het log gewoon aangeeft dat er om xx:xx een usb stikje is ingegaan).

Maarja, ICT beheer is achterlijk.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smarthome

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True