Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Productie Norsk Hydro is bijna hersteld na ransomwareaanval

De productie van het Noorse aluminiumbedrijf Norsk Hydro is na de ict-aanval van de afgelopen maand bijna terug op het oude niveau. De schade die het bedrijf heeft opgelopen in de eerste week van de hack, ligt op 300 miljoen Noorse kronen, omgerekend 31,1 miljoen euro.

Dat meldt het bedrijf in een update. De productie van Norsk Hydro zou bijna terug zijn naar het niveau van voor de hack. Wel zegt het bedrijf na de aanval vertraging te hebben opgelopen met administratieve zaken, zoals facturen. Het bedrijf gaf niet aan wanneer deze vertragingen voorbij zijn. Ook is nog niet bekend wie achter de aanval zat en wat de eisen voor het losgeld waren.

Reuters zegt dat Norsk Hydro ondanks de hack van vorige maand de productie van de primaire tak van de metaalproductie met een aantal handmatige oplossingen kon voortzetten. De productie van de tak die onderdelen maakt voor autofabrikanten, bouwbedrijven en andere bedrijfstakken, moest wel met vijftig procent naar beneden worden geschroefd. Bij drie grote bedrijfsonderdelen ligt de productie weer op negentig procent van wat die voor de hack was. Terwijl de tak Building Systems op 75 procent draait. Het bedrijf had een ict-risicoverzekering bij de American International Group, maar de potentiële compensatie had een limiet waarover het bedrijf zich niet verder wil uitlaten.

Op 18 maart werd Norsk Hydro getroffen door het LockerGoGa-virus. Toen sloot het bedrijf wereldwijd al zijn computers af van het netwerk, waardoor geautomatiseerde processen met de hand moesten worden gedaan.

Door Valentijn Demandt

Stagiair nieuwsredactie

08-04-2019 • 15:37

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Fortune 500 bedrijven hebben de exacte dezelfde it uitdaging als kleine bedrijven. het enige verschil is schaalgrote, maar t blijft hetzelfde, mensen moet hun werk doen, it die dit moet ondersteunen. niets meer niets minder. (en tuurlijk zit er verschil tussen een bank een ziekenhuis of een schoenenfabrikant maar uit eindelijk moet de directie is een keer snappen dat er poen nodig is om mensen met kennis aan te nemen en dit te ondersteunen door goede apparatuur en een redelijk fatsoenlijk beleid. niks meer ....niks minder.
waarschijnlijk is dat een kosten-baten plaatje.. risico word anders gemanaged, en XP patches (laten) maken is duur..
Niet ideaal maar soms wel de lesser evil..
Daarover zou ik dezelfde vraag kunnen stellen als in mijn vorige post. :) Dat destijds minder werd stilgestaan bij continuïteit is goed te begrijpen. Dus wederom, met de kennis van nu, zou ik bij de aanschaf van dergelijke apparatuur kijken of voor de verwachte levensduur van dergelijk dure apparatuur ook software updates worden geleverd, inclusief drivers. Als een fabrikant daar niet echt over nadenkt dan belooft dat weinig goeds als de spullen 20 tot 30 jaar mee moeten gaan. Je zou mogen verwachten dat driver support ingebakken zit in de aankoopprijs dan wel in een langlopend service contract.
Zeker een belangrijke vraag..
Ik weet uit ervaring dat een van onze klanten ons product gebruikt om hun MRI etc scanners up to date te houden. Dit is een behoorlijke complexe materie ivm de regels rond medische apparatuur.
Het gaat er niet om dat er geen best practice is, want die is er wel.

Het gaat erom dat die best security practice een [ beetje lastiger / behoorlijk lastiger / véél lastiger ] kan zijn (doorhalen wat niet van toepassing is) om in praktijk te brengen in vergelijking met een doorsnee kantooromgeving op up-to-date hardware met breed gangbare en goed ondersteunde software.

De leeftijd van een fabriek, en dus de ontwikkeling die de productielijn heeft doorgemaakt, speelt ook een rol Ik heb in een moderne fabriek gewerkt, pas 15 jaar oud, en die was goed ingericht qua IT. Ik heb ook gewerkt bij een bedrijf dat stamt van voor de tweede Wereldoorlog, waar zelfs nog software onder MS-DOS draaide.
Ik vind het gewoon slecht management. Dit is een bekend risico, je weet wat de impact is, maar niemand wil er geld aan uitgeven. En dan zijn ze nu 31 miljoen kwijt + reputatie schade.

Tjah. Het is maar waar je je geld aan wil uitgeven.


Legacy hard- en software is een goed excuus, maar er zijn genoeg middelen om te zorgen dat hun kwetsbaarheden niet aan de buitenwereld worden bloot gesteld. Dat is niet gedaan. Dus is het gewoon nogmaals heel slecht IT beheer gevoed door een mentaliteit "Het werkt, dus gaan we er niets aan doen"
Da's het hele punt. Verwijtbaar of niet, het was dus bij veel bedrijven, voordat dit incident naar buiten kwam, geen bekend risico. Of in ieder geval onvoldoende bekend/doorgrond. Het is makkelijk oordelen als je zelf IT-savvy bent, want dan heb je de kennis en achtergrond om van het risico te weten, en te snappen hoe verstrekkend de gevolgen kunnen zijn.

Geloof me, als managers goed beseffen wat voor risico ze lopen dan wordt er wat aan gedaan. Als er namelijk iets is wat ze snappen dan is het een kosten-baten analyse. Uptime (van je productie-lijn) is een KPI waar vrijwel iedere manager productie op wordt afgerekend.
Zie mijn reactie hier: JumpStart in 'nieuws: Productie Norsk Hydro is bijna hersteld na ransomwareaa...

Het is een combinatie van factoren. Legacy hardware, legacy drivers en software, oude infrastructuur, nog niet ingesteld zijn op cyber-dreiging, enzovoorts. Natuurlijk zijn er best practices, maar zeker bij oudere fabrieken, die soms al hun eeuw-feestje gehad hebben, heb je te maken met een "gegroeide" productielijn die veel moeilijker (lees: heel veel hardware upgraden/vervangen, dus duur^2) hardened te krijgen zijn. Koppel dat aan een onvoldoende besef van het risico op bedrijfsspionage en gijzel-aanvallen, en je krijgt het soort situaties als bij Norsk Hydro.

Reken maar dat er mensen wakker geworden zijn door dit incident. (En dat er een aantal "Zie je nou wel, dit is wat ik bedoel!" geroepen zullen hebben.)
Ik en vele anderen met mij hebben een database met een shitload aan usernames en passwords.
Dus je kan op die manier al binnen komen. Heb je geen phisingmail voor nodig.
Niet als je je gebruikers goed informeert en ze zich houden aan de regels (zoals geen standaard wachtwoord, geen makkelijk wachtwoord, niet overal hetzelfde wachtwoord, etc.) weer die eindgebruiker hé... 🤣
een pass-the-hash
Een replay attack? Werkt dat nog op veel systemen dan?
Begint met opvoeden van je gebruikers, zorg dat ze een training krijgen in hoe je die (klote) mailtjes weet te ontdekken.
[..]
alle wazige vormen van bijlages blokkeren, als mensen wat willen stuur t lekker via wetransfer.
Goed, dus dan stuur ik een mailtje zonder attachment, maar met een link naar wetransfer. Haalt die op de één of andere magische manier alle malware eruit!? Hoe maakt dit ook maar enig verschil?
wordt het al een stuk moeilijker om ellende binnen te krijgen)
Dat is leuk en aardig, maar er zit een wereld van verschil tussen "een stuk moeilijker" en "onmogelijk". Nou weet ik niet hoe de infrastructuur van Norsk Hydro eruit ziet (ik heb geen flauw idee of het gatenkaas of bijna-perfect-dichtgetimmerd is), maar het probleem van malware is dat áls het binnenkomt, of dat nou via een gigantisch gat of een minuscuul kiertje is, je net zo goed de sjaak bent.
Goed, dus dan stuur ik een mailtje zonder attachment, maar met een link naar wetransfer. Haalt die op de één of andere magische manier alle malware eruit!? Hoe maakt dit ook maar enig verschil?
Allereerst, kijk je of het email adres 100% klopt van wie je het krijgt, daarnaast als je een bestand verwacht kondig je t netjes aan, joh ik stuur je even een wetransfer. (niemand stuurt je zomaar een wetransfer). Daarnaast is het zo dat elk respecterend bedrijf een fatsoenlijke http(s) antivirus scan op de rand van het netwerk heeft draaien :o }> klant drukt op download, file wordt gescand en dan aangeboden aan de client. Vervolgens draait er een lokale virus scanner op een pc van een ander merk /type en bij het openen van het bestand wordt het nog een keer gescanned...

zo maak je de kans wel heel klein op infectie....

Alle hacks die nu ongeveer plaats vinden gebeurt eerst op basis van social hacking, ontfuselen van een inlog met k*tmailtjes, zelfs telefonisch doen ze zich voor als microsoft, doen een teamviewertje en zetten malware op je machine om zo vervolgens te connecten naar een remote botnet en je vrolijk remote commando's kan inschieten.

Daarom vroeg ik ook, hoe zijn ze dan achter het administrator (domain) account gekomen, want dat zijn vaak maar een paar mensen die zoiets weten in de organisatie. Ten tweede malware verspreiden via AD kan niet, (AD kan je super veel info geven) Maar AD heeft geen distributie mechanisme. maar ze nemen een pc/servertje over, en broadcoasten zo de malware je netwerk op of ze distribureren een bestand met via een GPO in windows, <- nog nooit gezien maar t kan). op lokale netwerk staan vaak geen interne firewalls dus heb je vrij spel (en dat snap ik ook want je kan niet alles beveiligen.)

Kijk als je als haxor de tijd krijgt om te snappen hoe de infra (netwerk), routing naar andere sites in elkaar zit en je kan in AD rondkijken dan heb je wel een probleem ja.
Allereerst, kijk je of het email adres 100% klopt van wie je het krijgt, [..] Vervolgens draait er een lokale virus scanner op een pc van een ander merk /type en bij het openen van het bestand wordt het nog een keer gescanned...
Voor dit hele verhaal maakt het niets uit of je de data via een attachment stuurt of via (een link naar) wetransfer.
Oh? Niet? Leg is uit dan? Waar zit je infectie moment dan? Of juist het voorkomen van je infectie moment?
Jij stelt voor om emails met attachments te vervangen door emails met linkjes naar een filesharing service.

Allerlei voorzorgen als "controleer de afzender" (en trucs om de afzender te spoofen) zijn niet relevant, want uiteindelijk krijg je nog steeds een email binnen.

Voor zover ik in kan schatten is het voor je spam en malware filter juist makkelijker om malware te detecteren als die in een attachment zit. In dat geval kan de scanner de inhoud daarvan immers ook inspecteren. Met alleen een linkje naar een filesharing service kan ie niets, want je filter heeft geen idee welke data daarachter verstopt zit. (Het filter dat automatisch laten downloaden en ook scannen klinkt als een prachtige manier om een DoS op te zetten. Daarnaast kan de verzender een server gebruiken die zo is ingesteld dat de eerste download (of alle downloads x uur na het versturen) een "schone" file teruggeven, maar de tweede download (of alle downloads na meer dan x uur) wel de malware krijgen. Bij een attachment ziet het filter gegarandeerd dezelfde inhoud als wat de ontvanger uiteindelijk opent.)

Jouw hele redenatie lijkt te drijven op het idee dat je een file kunt scannen zodra je hem opent vanaf de filesharing site. Diezelfde kans om te scannen heb je echter ook op het moment dat je een attachment opent (als je GMail of OWA of iets dergelijks gebruikt) of al veel eerder (als je via POP3 of IMAP tegen je eigen mail server praat). In alle gevallen zal de payload uiteindelijk op je eigen computer terecht komen en kan ie daar door je lokale virusscanner gecontroleerd worden (en ja, downloads worden hoe dan ook gescanned, maar als je echt hard prutst, dan kun je je antivirus zo slecht kunt configureren, dat ie niet goed integreert met je mail client; dan is het in theorie mogelijk om daar een gat in je beveiliging te creëren).
Niet? Ik denk dat een hacker welke een bedrijf target er niet vanuit gaat dat RDP open staat. Mail blijft de zwakste schakel. Dropper via mail naar een specifieke target en laat de fun beginnen.
Blijft de meest makkelijke manier om malware/Ransomware binnen te krijgen.
Overal RDP dichtgezet bij onze klanten en geen enkele ransomware meer gezien.

Een hacker scant gewoon openbare IP adressen op de RDP poort, en als ze die vinden beginnen ze te bruteforcen. Zijn gewoon automatische scripts voor...

Mail is juist niet meer effectief aangezien dit nog vereist dat een gebruiker erop klikt, vervolgens uitvoert, en de antivirus negeert..

RDP login kraken en je hebt volledige macht over het systeem (als het adminrechten heeft)
RDP staat zelden open en al helemaal niet bij dit soort grote bedrijven .Servers zijn over het algemeen niet bereikbaar vanaf buiten via RDP, die kans is erg klein. Ransomeware komt bijna altijd binnen als een dropper via mail, de kunst is om de gebruiker te verleiden en dat doet men tegenwoordig gewoon door heel gericht op een persoon. Mail is gericht op de persoon en is zeer effectief, er is altijd wel iemand die er op klikt. Ook in dit bewuste geval is het op een geheel andere manier binnengekomen.

Ik zie heel wat ransome of malware binnenkomen en bijna allemaal komen ze via mail.
Ik kom regelmatig servers tegen die via RDP (via het internet) worden overgenomen (terminal servers voornamelijk).
Onlangs nog een Windows server 2003 zelfs...
(Geen rechtstreekse klanten van ons voor de duidelijkheid.)

Bij kleine en middelgrote bedrijven zal je dit zeker tegenkomen, de kans is zeker niet klein. Er zijn diensten genoeg die dat kunnen bevestigen.

Grotere bedrijven hebben het nadeel dat ze soms aan stokoude software vastzitten, waardoor ze nog oude servers draaien, als dan iemand inderdaad op mail klikt begint de bal te rollen, zeker als ze dat doen op een terminal server...

In de gevallen die ik als ICT'er heb meegemaakt, een 5-tal ransomware aanvallen, was dit steeds via RDP.

Wij zien voornamelijk phishingmails stijgen op dit moment voor Office 365.
Spamfilter en ATP op Office 365 houdt al redelijk veel tegen, zeker qua gevaarlijke bijlagen.

Ik zeg niet dat dit bij grote bedrijven openstaat, en daar zal het waarschijnlijk binnengekomen zijn via mail of een besmette pc,..

Ik heb zelf al voldoende research gedaan hierover, en al enkele meegemaakt,.. dus ik weet waarover ik spreek.

[Reactie gewijzigd door bython op 10 april 2019 22:11]

Stokoude servers en dan de gevolgen ondervinden door het klikken op een mail? Nou ik kan je vertellen dat iets als een pass the hash en dergelijk methodes gewoon heel lekker op Windows 10 werkt en iets heel actueels is en direct voor een enorm probleem kan zorgen. Je hoeft helemaal geen oude zooi te hebben. Windows Defender (SCEP) of Office365 ATP pakt ze er wel uit? Nou vergeet het maar, die vangen er veel uit maar niet alles. Je moet er altijd vanuit gaan dat niet alles 100% is en dat detectie achterloopt. Vergeet ook niet dat veel aanvallen tegenwoordig heel gericht zijn op personen. We zien helaas veel te veel voorbeelden en daarvoor is mail een prima middel.
En natuurlijk zijn er andere middelen...maar mail en websites zijn wel de grootste kopzorgen.

RDP via internet? Ik mag toch hopen van niet en dan minimaal in een DMZ met geen enkele verbinding naar intern, of een VPN, anders zou ik me toch zorgen maken over de capaciteiten van de IT afdeling.
Dat is wel de laatste poort die je naar het internet openzet.
In dit geval ging het toch om een zeer capabel bedrijf met een IT security afdeling, en het laatste wat ze zouden toestaan zijn dergelijke poorten. De bedrijven die target zijn van deze aanvallen zijn behoorlijke knapen en die worden wel op een heel wat slimmere manier slachtoffer.
RDP etc...is gewoon dom werk. Leuk om aan te vallen...maar echt geen middel wat dit soort jongens gebruiken.

Ik werk bij een groot bedrijf....en het probleem zit echt niet alleen maar in stokoude IT. Legacy spul is altijd een probleem, maar in een mooi server en pc park zitten genoeg zwakheden, alles valt met configuratie, strak doorvoeren van policies etc. En nog steeds kan een bedrijf zich niet voor 100% beschermen, de vraag is nooit “of” maar altijd wanneer.

[Reactie gewijzigd door OkselFris op 10 april 2019 22:51]

Wij beheren 100+ kleine en middelgrote bedrijven, als een klant naar ons toekomt hebben wij dat al zeker meegemaakt dat hier nog een RDP openstond voor heel het internet, zonder DMZ of andere scheidingen.
Die gaat dan ook meteen dicht vanaf dat wij de controle krijgen over het netwerk.

Het principe dat niets 100% waterdicht is hoef je mij niet uit te leggen ;)

Lekken zoals de recente Chrome bug en Winrar bug zijn onze grootste kopzorgen, aangezien die bijna meteen werden misbruikt.
Dat zijn risico's die je wel kunt beperken, maar 100 klanten zo op 1,2,3 up-to-date krijgen vergt veel tijd.. (niet alle klanten willen voor patch management betalen bijvoorbeeld)

In een omgeving waar je alles zelf in de hand hebt kan je meer met policies 'spelen' , maar bij 100+ klanten de policies strak zetten zie ik niet veel IT bedrijven doen, omdat het bijna onbeheersbaar is. De controle over de omgeving is ook minder. Je kan veel automatiseren, maar een mens niet.
Een hacker hoeft daar ook niet van uit te gaan, die doet als het goed is wat reconnaissance.

Genoeg volk dat gewoon constant alle IP ranges van AWS, GCP, ... nakijken op open poorten. Als jij op een Windows-EC2 instance vergeet poortje 3398 dicht te zetten in de security group, krijg je echt binnen een aantal minuten na het opstarten van zo'n instance een hele stortvloed aan bruteforce attacks.

Zo is ook onze FreePBX server ten prooi gevallen aan de memcached-vulnerability van vorig jaar. Poortje 11211 stond gewoon open to the world. Die 'aanval' was ook heel kort na publicatie gestart, wat mij gewoon doet vermoeden dat dat IP-adres in een database stond ergens, met de open poorten erbij en eventueel welke services erop draaien.
Ik neem aan dat dergelijk belangrijke computers beperkte toegangen hebben tot enkele medewerkers en het systeem met paswoord is beveiligt.

Tja het is belabberd gesteld met de beveiliging.

Lex

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True