Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bedrijf voor vliegtuigonderdelen in België ligt stil wegens ransomware

De Belgische vestiging van het Amerikaanse bedrijf Asco in Zaventem ligt al zeker twee dagen stil omdat de interne systemen getroffen zijn door ransomware. Zo'n duizend personeelsleden zijn daardoor noodgedwongen niet aan het werk.

Asco werd vrijdag getroffen door een ransomwareaanval. Sindsdien is het bedrijf bezig de situatie op te lossen. De activiteiten zijn stilgelegd, en ook woensdag wordt er niet gewerkt, meldt de VRT. Details over de aanval zijn niet bekend. Zo is niet bekend hoeveel losgeld de criminelen vragen voor het ongedaan maken van de cryptomalware.

Het bedrijf heeft aangifte gedaan bij de politie, en externe deskundigen in de arm genomen om de aanval ongedaan te maken. Asco is een van oorsprong Belgisch bedrijf, maar vorig jaar werd de onderneming overgenomen door het Amerikaanse Spirit AeroSystems. Het bedrijf levert technische vliegtuigonderdelen aan onder andere Boeing en Lockheed Martin. Het bedrijf heeft wereldwijd meer dan veertienhonderd medewerkers en naast België ook vestigingen in Duitsland, Canada en de VS.

Criminelen richten zich in toenemende mate op bedrijven met ransomwareaanvallen. De kans dat bedrijven betalen om het beheer over hun systemen terug te krijgen zou groter zijn dan bij consumenten. Ook kunnen de criminelen hogere bedragen vragen.

Door Olaf van Miltenburg

Nieuwscoördinator

11-06-2019 • 16:56

99 Linkedin Google+

Submitter: white modder

Reacties (99)

Wijzig sortering
Dat hangt helemaal af van hoe je je backups maakt. Als je alleen van die zinloze full-machine backups maakt op bestandssysteem-niveau, heeft een backup in zo’n geval niet zo veel nut. De kans dat er een slapende worm in zit is dan redelijk aanwezig. Behalve dat zijn je restore mogelijkheden altijd beperkt tot het terugzetten van de gehele machine, en loop je met sommige gegevens zelfs kans op corruptie (vooral databases zijn daar gevoelig voor).

Daarom is het altijd raadzaam om alleen de data zelf te backuppen, niet de machine. Dan kun je snel een lege machine uit de grond stampen waar gegarandeerd nog geen worm in zit, en daar de data in terugzetten. Dat kost inderdaad meer werk om op te zetten (ieder soort data is uniek en heeft een eigen aanpak nodig), maar dat betaalt zich dubbel en dwars terug wanneer je de backups ooit nodig hebt. Onze mariadb (mysql) backups bijvoorbeeld worden gemaakt vanaf een externe server die een ssl verbinding direct naar de database opzet via mysqldump. Knappe worm die dan op de backupserver iets kapot kan maken...
Behalve dan dat de backup server alleen bestanden heeft en geen mysql server en dus geen stored procedures kan draaien (en zelf nooit besmet kan worden) ;)
Bovendien, hoeveel cryptolockers ken jij die stored procedures in database servers misbruiken voor verspreiding? Die richten zich op werkstations. Dat was namelijk slechts een voorbeeld. Om alle bekende bugs ter wereld te gaan misbruiken moet je heeel veel code schrijven.
Sluiten?

Ze kunnen beter de financiële afdeling opdoeken. Het blijft me altijd verbazen wat ICT per werkdag per werkplek kost. In de praktijk is dat vaak niet eens een paar euro’s. Vergelijk dat eens met het aantal mensen dat je niet nodig hebt. Vergelijk de kosten ook eens aan wat er aan leasewagens of ander onbenul wordt uitgegeven.

ICT is een continu proces en het laatste wat je wilt hebben is dat een partij als Cap Gemini om de haverklap projecten gaat oppakken en uitvoeren waarbij je cashflow helemaal aan gort gaat met als enige houvast dat het altijd meer kost dan wordt begroot.
Waarschijnlijker is dat de interne it ontslagen wordt en men gaat outsourcen: IT is niet de core business van dit soort bedrijven en het management wil een verzekering dat dit niet meer gebeurt. Dus outsourcen en een ransomware polis afsluiten is veel logischer.
Dit is inderdaad gemeengoed aan het worden, helaas... Wat zulke bedrijven alleen schijnen te vergeten dat in sommige gevallen hun eigen geheimen dan toch minder geheim blijven dan ze eigenlijk zouden willen want extern bedrijf kan evengoed lekken en schade is dan minder te overzien en te beheersen.

Ik zie dat (vanaf afstand) gebeuren juist bij bedrijven die zulk materiaal verwerken (zowel fysiek als digitaal) dat geheim moet blijven... En juist daar zijn al de nodige datadiefstallen geweest. Ook in Nederland...
plus dat die derde partij in een nog veel leukere situatie zit: ze willen natuurlijk de 'service' voor minimale kosten aanbieden, en het ergste wat ze kunnen verliezen is een klant dus beveiliging zal hen echt worst wezen.
Maar je kunt je wel verzekeren tegen dit soort risico's. Dus in de loop van de tijd als dit te vaak gebeurt zullen verzekeraars eisen gaan stellen om dit soort zaken goed te regelen. Iets was met interne IT afdelingen veel zachter gebeurt (althans, ik ken geen inhouse IT club die een SLA met de eigen business heeft met daarin bijv. boeteclausules).
Maar je kunt je wel verzekeren tegen dit soort risico's. Dus in de loop van de tijd als dit te vaak gebeurt zullen verzekeraars eisen gaan stellen om dit soort zaken goed te regelen. Iets was met interne IT afdelingen veel zachter gebeurt (althans, ik ken geen inhouse IT club die een SLA met de eigen business heeft met daarin bijv. boeteclausules).
Je kunt je inderdaad wel verzekeren tegen die risico's. Maar als de verzekeraar optreedt en actie onderneemt, is het al gebeurd en dus (mogelijk) gelekt, dus mosterd na de maaltijd.

En als ik heel eerlijk ben vind ik het uitermate dom en ondoordacht dat je je als bedrijf dan maar gaat verzekeren tegen die risico's. Je doet toch eerst een RI&E (Risico Inventarisatie en Evaluatie) voor je zo'n besluit neemt? Denk maar niet dat je als (sub)contractor voor bijvoorbeeld Lockheed Martin wegkomt met melden dat je je hebt verzekerd tegen het risico van datadiefstal omdat je je IT-zaken hebt geoutsourced.
Die verzekeraar is dan de gesel van de markt. Als ze te vaak moeten uitkeren dan gaan ze eisen stellen aan dit soort partijen en kun je dus niet meer overal terecht als opdrachtgever. Dus ja, het is na het feit, maar het geeft een precedentwerking op de kwaliteit.
En ik denk ook niet dat dit de beste oplossing is voor de meeste bedrijven maar je komt als management wel weg met een het is ge-outsourced en we hebben de volgende serie afspraken (ISO27001 oid). De verzekering zal Lockheed minder belangrijk vinden.
Op zich zou dit een oplossing kunnen zijn, ja. Maar zijn er dit soort verzekeringen? Waarbij inderdaad een verzekeringsbedrijf lagere premies zou vragen als je een goed extern security bedrijf in de arm neemt, premies verlaagt als je een security bug bounty program hebt etc... Zou inderdaad kunnen werken, zo. Maar bestaat het echt?
Unive heeft er zelfs een voor consumenten. De eis is dan wel een virusscanner (en specifiek die van F-Secure). Of zakelijk, over de grens zie je het meer. Het is nog wel maatwerk omdat er nog geen statistiek op de risico's en de kosten mogelijk zijn voor verzekeraars.
interessant, dank voor de links!
Dat hangt er echt vanaf. Doe jij een lompe 'lift and shift' en beschouw jij 'de cloud' als een virtueel datacentre/serverhok? Dat verhaaltje gaat duur worden.

Echter, ga je serverless en op andere manieren cloud-native heb je al een hoop minder gebruikskosten, een hoop minder human resources nodig om die servers te voorzien van updates, fixes, backups, monitoring, .... enz enz. Daarbij moet je niet enkel naar de prijs per uur/transactie kijken maar naar de tco, total cost of ownership.

Als jij grotere servers nodig hebt om capaciteitsredenen, mag je daar ook voor betalen in een on-premise setup. En flink ook. Het mooie aan de cloud is dat je voor nul nada noppes 'upfront' cost gewoon je CPU/memory capaciteit kan verdubbelen of beter, je betaald ervoor en dan schaal je zonder problemen weer even terug naar de goedkopere tier.

Waren die klanten 'overdreven veel geld' aan het uitgeven? Ja, echt wel, daar verschrok ik me toch even aan. Maar we spreken ook niet over de fruitteeltboerderij aan het eind van de straat.
Hoe kom je daar nou weer bij? On premise is bijna altijd duurder. Waarom? Je kan niet sfachalen op momenten dat je het niet gebruikt en bijschalen betekent vooraf inkopen. Je betaald dus altijd voor overcapaciteit.
Als startup zal het goedkoper zijn. Maar de licentiestructuren (office365, crm), verplichte upgrades incl benodigde opleidingen of trainingen, en IaaS voor alle meuk die je niet als paas of saas kan afnemen...
Daarnaast kampen veel bedrijven met jarenlange hybride vorm, waardoor je met dubbele kosten zit . Zowel hardwarematig (airco, racks, ups) als bemensing (kennis ouwe meuk + cloud kennis).
Als je een degelijke backup-strategie hebt, dan kan de ransomware niet aan je backup-archieven aan. Borg Backup bvb heeft de optie om je repository 'append only' te maken, zodat je eerdere backup archieven veilig zijn zelfs als je host server gecompromitteerd is. Op het ogenblik dat nieuwe archieven worden aangemaakt met daarin enkel versleutelde informatie, ben je afhankelijk van een nazicht van je dagelijkse backup-rapport. Dat zal onmiddellijk uitwijzen dat er iets niet koosjer is aan met de host server.
Ik begrijp ook wel dat 100% garantie tegen malware onmogelijk is, maar het helpt wel als je je backups niet op hetzelfde systeem als de host server bewaart en de verbinding tussen host en backup server aan strenge voorwaarden is onderworpen.
Dus je upload een backup naar een externe partij die overschrijven niet toestaat. Ik heb met een setup in AWS gewerkt waarbij snapshots werden bewaard, waaronder een snapshot met backups. Die snapshots werden een maand bewaard, en die kon je natuurlijk niet overschrijven, alleen verwijderen. Na een maand werden ze verwijderd. Dus als dit ransom-versleutling een maand zou draaien voordat de ransom geactiveerd zou worden, dan kun je geen kant op.

Als ik zelf zo'n actie zou uitvoeren, dan zou ik dat ook doen - een aantal weken laten draaien, zodat er weken van data weg zijn. Ik vraag me wel af hoe dat werkt met een database, of ze dan alle records stuk voor stuk versleutelen, of de bestanden zelf, maar het maakt ook weinig uit.
Neen.

Fase 1
host-data = 5GB, onversleuteld => backup-data = 5GB, onversleuteld

Fase 2
host-data wordt versleuteld (laten we veronderstellen dat de eigenaar dit niet opmerkt)

Fase 3
host-data = 5GB, versleuteld => backup-data = 5GB + 5GB (1 keer onversleuteld, 1 keer versleuteld, want append-only optie staat aan).

-> Zelfs als je het gedurende een maand niet zou opmerken dat je data versleuteld is, dan zou je het wel merken aan de backup-rapporten die je na iedere backup (dagelijks?) ontvangt.
Meestal docx die macro activeert. In veel office programma's staat het standaard aan, omdat gebruiker ooi een keer standaard openen heeft aangevinkt ofzo. Tweede is inderdaad email die uitziet als zip met exe die uitziet als pdf. Meeste systemen hebben het verbergen van bekende bestandstypen (.exe, .pdf) aanstaan.

[Reactie gewijzigd door Balder© op 13 juni 2019 10:24]

Voor een bedrijf in de aerospace industrie dat o.a. onderdelen maakt voor Lockhead Martin mag je verwachten dat de informatie beveiliging enigzins van gemiddeld niveau of hoger is. Een reeds bekende vorm van ransomware lijkt mij dan ook niet aannemelijk. Verder zijn geen vergelijkbare bedrijven getroffen (zover bekend), wat zou beteken dat het hier om een specifiek doelwit gaat. Als ik even mijn alu hoedje op zet, dan klinkt het eerder als stelen van intelectueel eigendom met ransomware als dekmantel.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True