Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bedrijf voor vliegtuigonderdelen in België ligt stil wegens ransomware

De Belgische vestiging van het Amerikaanse bedrijf Asco in Zaventem ligt al zeker twee dagen stil omdat de interne systemen getroffen zijn door ransomware. Zo'n duizend personeelsleden zijn daardoor noodgedwongen niet aan het werk.

Asco werd vrijdag getroffen door een ransomwareaanval. Sindsdien is het bedrijf bezig de situatie op te lossen. De activiteiten zijn stilgelegd, en ook woensdag wordt er niet gewerkt, meldt de VRT. Details over de aanval zijn niet bekend. Zo is niet bekend hoeveel losgeld de criminelen vragen voor het ongedaan maken van de cryptomalware.

Het bedrijf heeft aangifte gedaan bij de politie, en externe deskundigen in de arm genomen om de aanval ongedaan te maken. Asco is een van oorsprong Belgisch bedrijf, maar vorig jaar werd de onderneming overgenomen door het Amerikaanse Spirit AeroSystems. Het bedrijf levert technische vliegtuigonderdelen aan onder andere Boeing en Lockheed Martin. Het bedrijf heeft wereldwijd meer dan veertienhonderd medewerkers en naast België ook vestigingen in Duitsland, Canada en de VS.

Criminelen richten zich in toenemende mate op bedrijven met ransomwareaanvallen. De kans dat bedrijven betalen om het beheer over hun systemen terug te krijgen zou groter zijn dan bij consumenten. Ook kunnen de criminelen hogere bedragen vragen.

Door Olaf van Miltenburg

Nieuwscoördinator

11-06-2019 • 16:56

99 Linkedin Google+

Submitter: white modder

Reacties (99)

Wijzig sortering
ik zie hier een hoop posts die zeggen betalen en weer door werken.
en daar heb ik maar een ding tegen te zeggen:
Denk jij nou echt dat ze de boel terugzetten?
en zelfs al doen ze dat, heb je geen idee van wat voor andere virussen en backdoors er bij zijn geplaatst.

volledig back-ups uitrollen, nieuwe images uitrollen, systeem opschonen is de enigste oplossing waarbij het systeem weer veilig is.

en ik hoor ook, veel mensen zien dat dit gebeurd als een falen van de ICT, en ook daar heb ik iets op te zeggen:
Management is de gene die daar faalt. zij stellen het budget niet beschikbaar om de boel goed te beveiligen. de ICT wil wel, maar zit vaak vast aan een klein budget, met geen cent meer.
dan kun je niets.

om eerlijk te zijn hoopte ik op een hoger niveau hier op tweakers.
Als reactie op @sys64738
Zo. Das een behoorlijke financiele strop. Je zou bijna zeggen: betalen dat losgeld en weer door.
Om vervolgens direct weer opnieuw besmet te worden, want als bedrijf betaal je het losgeld?
Nee, alle besmette systemen uit het netwerk halen, daarna alles dat nog aan staat op alle mogelijke manieren controleren, zonder dat deze aan het internet hangen natuurlijk.
Dan updates installeren op deze systemen, zodat ze veilig(er) zijn. De besmette machines opnieuw inspoelen en een niet-besmette back-up terugplaatsen.
Het beetje data dat je dan verloren hebt, zal opnieuw ingevoerd moeten worden.

Ook meteen een paar extra lagen aan beveiliging aanbrengen. Zie ook mijn eerdere post.

[Reactie gewijzigd door walteij op 11 juni 2019 17:13]

Als losgeld betalen geen verschil maakt zou men het eigen businessmodel om zeep helpen. Juist een groep/persoon die bekend staat om binnen enkele uren het bedrijf weer goed te kunnen laten draaien en daarna met rust laat kan telkens een aardig bedrag vragen.

Verder klinkt het leuk en aardig maar jij doet de aanname dat er dus een niet besmette actuele back up is, als het allemaal zo simpel zou zijn neem dan even contact met hen op, want zij gooien vast niet voor de lol het bedrijf zoveel dagen helemaal dicht.
Oh, hij zal heus wel het probleem ongedaan maken als je hem betaalt hoor. Dat is inderdaad hun business model. Sommigen hebben zelfs een helpdesk die je kunt bellen :+

Maar als bekend is dat jouw bedrijf betaalt, zullen er nog 100 andere randomware criminelen staan te springen om jou ook te laten betalen, en die hebben natuurlijk niks met beloftes van die andere te maken...

Nee, je moet gewoon altijd je backups goed op orde hebben. En zo weinig mogelijk vertrouwen op de werkstations van je medewerkers. Zet alles wat echt belangrijk is op goed beveiligde servers waar je met een verse automatisch geinstalleerde client bij kunt en je bent binnen een halve dag weer op de been. Het feit dat ze al 2 dagen bezig zijn zegt genoeg over de kunde van hun IT afdeling. Lokale data op willekeurige desktops is zo jaren 90...
Het probleem van actuele back-ups is dat er een verbinding moet zijn met het systeem waarop al die data binnenkomt. En aangezien geen systeem 100% veilig is kan er dan wat doorglippen en zijn ook de back-ups om zeep. En teruggaan naar een back-up van bijvoorbeeld 2 weken geleden is geen oplossing om je zaak weer draaiende te krijgen.

Het feit dat ze al 2 dagen bezig zijn zegt niets over wat ze in die dagen hebben gedaan of hebben geprobeerd. Natuurlijk is een schone herstel een fluitje van een cent, maar daar heb je toch helemaal niets aan. Stel je voor dat een bedrijf de laatste week boekhouding kwijt is, dat is gewoon een ramp.
Dat hangt helemaal af van hoe je je backups maakt. Als je alleen van die zinloze full-machine backups maakt op bestandssysteem-niveau, heeft een backup in zo’n geval niet zo veel nut. De kans dat er een slapende worm in zit is dan redelijk aanwezig. Behalve dat zijn je restore mogelijkheden altijd beperkt tot het terugzetten van de gehele machine, en loop je met sommige gegevens zelfs kans op corruptie (vooral databases zijn daar gevoelig voor).

Daarom is het altijd raadzaam om alleen de data zelf te backuppen, niet de machine. Dan kun je snel een lege machine uit de grond stampen waar gegarandeerd nog geen worm in zit, en daar de data in terugzetten. Dat kost inderdaad meer werk om op te zetten (ieder soort data is uniek en heeft een eigen aanpak nodig), maar dat betaalt zich dubbel en dwars terug wanneer je de backups ooit nodig hebt. Onze mariadb (mysql) backups bijvoorbeeld worden gemaakt vanaf een externe server die een ssl verbinding direct naar de database opzet via mysqldump. Knappe worm die dan op de backupserver iets kapot kan maken...
Dus hangen je systemen aan elkaar, en dus kan dit voorkomen.
Het enige dat je daarvoor nodig hebt is een keer een ongepatchte privilege escalation bug in stored procedures... en kwaadaardige code wordt zo meegenomen door je mysqldump en besmet je backupserver
Behalve dan dat de backup server alleen bestanden heeft en geen mysql server en dus geen stored procedures kan draaien (en zelf nooit besmet kan worden) ;)
Bovendien, hoeveel cryptolockers ken jij die stored procedures in database servers misbruiken voor verspreiding? Die richten zich op werkstations. Dat was namelijk slechts een voorbeeld. Om alle bekende bugs ter wereld te gaan misbruiken moet je heeel veel code schrijven.
Ik vind dat naïef. Een crimineel er op gaan vertrouwen dat hij het niet nog eens doet. We weten ondertussen echt wel beter.
Natuurlijk moet je als bedrijf er daarna van alles aan doen in een poging om dit in de toekomst te voorkomen. Maar als men het bedrijf niet op gang helpt met teruggave van de gegevens betaald binnen afzienbare tijd niemand meer, juist het veelvuldig vrijgegeven van de encryptie zorgt ervoor dat dit inmiddels een volwaardige industrie is geworden waarbij zelfs de experts regelmatig het adres geven om gewoon te betalen.
Grappig dat je alleen de techniek uitlicht. Zeker niet onbelangrijk daar niet van, maar de gebruiker opvoeden is daar ook onderdeel van.
Grappig dat je alleen de techniek uitlicht. Zeker niet onbelangrijk daar niet van, maar de gebruiker opvoeden is daar ook onderdeel van.
Het is reeds ettelijke malen bewezen dat je met goed werk vrijwel iedereen kan misleiden. Voorbeeld? Bij een bedrijf dat ik goed ken lag op het bureau van een van de secretaresses van een van de IT managers een briefje met een Google Drive link. Of ze de presentatie kon uitprinten en opsturen naar een pers contact. Hoe die stick en dat handgeschreven briefje (met herkenbaar handschrift) daar terecht is gekomen is nooit duidelijk geworden maar dat er een zeer vervelend virus op stond is zeker. Een infectie die niet door de high end detectie gezien werd. Ik ken werkelijk geen enkel bedrijf waar een secretaresse een dergelijke opdracht zou weigeren. Jij wel?

Het 'opvoeden' (ik heb een bloedhekel aan die term) van gebruikers heeft zeker een rol maar stelt als beveiliging niets voor. Als IT beveiliging moet je er altijd vanuit gaan dat ELKE gebruiker (ook jij) als toegang kan dienen.

Na enkele congressen waar de sprekers konden aantonen dat ze elke IT'er konden beetnemen, ken ik geen IT'er meer die zegt dat ie der zelf niet in zou trappen. Als een van mijn mensen dat zou zeggen zou ik hem meteen de toegang tot de servers verwijderen. De aanvallen zijn op dit moment geweldig complex en slim. Je moet je IT mensen die daarmee bezig zijn minstens 12 uur per week gunnen om up to date te blijven en er rekening mee houden dat ze een goed deel van het jaar bij congressen zijn.
Bij ons hebben ze wat aan opvoeding gedaan.

Eerst een paar online cursussen en regelmatige mail over verdachte links etc.
USB poorten zijn bij ons al lang dicht voor sticks en drives, dat werkt alvast niet meer.

Een paar weken na die cursus kregen we at random "verdachte mails".
Er waren er een paar in omloop, en de meest aangeklikte was er een waar in vermeld stond dat je porno (unappropriate content) had bezocht op het werk. Er was een link bij waar je zogezegd een lijst kreeg met de bezochte sites.
Blijkbaar zijn daar nogal veel mensen in getrapt.
De nigeriaanse prins had minder succes, maar er waren er ook van zogezegde creditcardmaatschappijen die je verwittigden dat er een groot bedrag op je bedrijfskredietkaart was geboekt.

Niet makkelijk dat opvoeden....
Even los van de term opvoeden, waar ik persoonlijk ook een hekel aan heb, je mag er vanuit beveiligings oogpunt gewoon niet vanuit gaan dat daarmee de beveiliging op orde is. Je _moet_ er van uit gaan dat men er bij kan en vanuit dat standpunt ga je beveiligen. Als je er van uit gaat dat de gebruikers opgevoed zijn, want dat is in feite wat je een beetje zegt, dan kun je eigenlijk gelijk wel inpakken.

Ik snap je punt wel, je moet er voor zorgen dat men niet random attachments opent...maar je moet er vanuit beveiligings oogpunt wel vanuit gaan dat ze dat doen....
Ben eigenlijk wel benieuwd door welke ransomware ze getroffen zijn. De oudere ransomware maakt gebruik van gaten die al lang gepatched zijn.
Het probleem is vaak dat de ransomware zich al verspreidt heeft maar nog niet op alle systemen aktief is. De enige oplossing is vaak alles terug te zetten. Isoleren is niet mogelijk omdat je dan steeds achter de feiten aan loopt of je fileserver weer encrypted wordt door andere systemen zogauw die weer online komt.

Daarnaast weet je hier niet hoe het zit met de backups en welke systemen er zijn getroffen. Gezien de productie stil ligt zou het best kunnen zijn dat het productienetwerk (ot) getroffen is naast het kantoornetwerk (it). OT systemen zijn vaak lastig te patchen door verouderde os-en of embedded systemen (Windows 7 embed of mss zelfs nog xp embedded) en draaien vaak aangepaste versies van het os en speciale software om de machines aan te sturen.

Zie ook https://www.dataprivacyan...l-threatened-by-wannacry/

[Reactie gewijzigd door SunnieNL op 12 juni 2019 06:51]

Een paar honderden euro's betalen om terug verder te kunnen, of duizenden euro's (en héél veel tijd) investeren in het beter beveiligen? Die keuze is helaas héél snel gemaakt hoor door bedrijfsleiders.
het zal mij benieuwen hoe deze ransomware zich verspreid heeft en hoe het werkt.
Waarschijnlijk opdezelfde manier als andere ransomware. Gebruikt ontvangt email met linkje en klikt erop en toen was het te laat omdat ze geen netwerk segmentie of endpoint security gebruiken maar slechts een av.
En hun systemen niet up-to-date houden, mogelijk nog verouderde SMB protocollen gebruiken, binnen het eigen netwerk al het verkeer unencrypted rond laten gaan en zo zijn er nog wel 15 andere redenen/oorzaken aan te wijzen die stuk voor stuk (deels) kunnen bijdragen aan dit soort problemen.

Belangrijkere vraag: Is er nog een back-up van alle belangrijke data, die niet aangetast is. Want als ze die niet meer hebben, omdat deze ook is aangetast, is de financiële strop nog wat groter...
En intern verkeer volledig vertrouwen en geen enkele vorm van firewalling toepassen.

ICT, en zeker onderhoudt, wordt door veel bedrijven steeds als een kostenpost gezien. Het zelfde zag je bij Maersk. Daar hoorde je achteraf dat de IT'ers al jaren riepen om geld en tijd om onderhoud te plegen, maar beide kregen ze niet, want: Kosten

Ik ben dus best blij dat Maersk ineens 300 miljoen kon afschrijven, want dan leren ze het nu hopelijk en krijgen deze mensen wel de benodigde middelen.
Helemaal mee eens. Eigenlijk zou je speciaal voor die leiders die security geen prioriteit geven het moeten uittekenen in een analoge wereld, want blijkbaar begrijpen ze iets niet wat onzichtbaar is.

Het bedrijfspand heeft draagmuren gemaakt van piepschuim. Er zijn geen sloten of de sleutel hangt openlijk buiten de deur. Er is geen receptie, je kunt zo naar binnen lopen. Er wordt nooit schoongemaakt, dus het pand is rot en beschimmeld. Alles wat iedereen zegt en doet is openlijk te volgen en alle documenten staan buiten aan de deur. De vloer is van licht ontvlambaar materiaal en er wordt binnen gerookt. Het personeel kan net lezen en schrijven.

Geen enkel zinnig persoon zou bovenstaande situatie acceptabel vinden. Het is echter volstrekt acceptabel wanneer het om de digitale wereld gaat. In een digitaliserende wereld, is digitale infrastructuur in feite je bedrijfspand.
Are you kidding? Als ze 300 miljoen moeten ze afschrijven dan moet de voltallige IT afdeling eruit omdat ze ze niet meer kunnen betalen, en bovendien waren ze zo incompetent om dat te laten gebeuren.
Are you kidding? Als ze 300 miljoen moeten ze afschrijven dan moet de voltallige IT afdeling eruit omdat ze ze niet meer kunnen betalen, en bovendien waren ze zo incompetent om dat te laten gebeuren.
Dan kunnen ze het bedrijf wel sluiten. Deze gedachte is illustratief voor het probleem. IT is geen luxe, maar een essentieel onderdeel van zo'n beetje iedere organisatie, het is geen luxe zoals een werkend toilet. Als je er niet genoeg in investeert dan gaat je bedrijf kapot.

Voor Maersk is het ellendig, maar hopelijk leren andere bedrijven er iets van. Ik verwacht er niet heel veel van, maar hopelijk kan iemand nu het argument maken "Wij moeten 100 miljoen in IT investeren, want als het fout gaat kost het ons nog veel meer, kijk maar!"
Sluiten?

Ze kunnen beter de financiële afdeling opdoeken. Het blijft me altijd verbazen wat ICT per werkdag per werkplek kost. In de praktijk is dat vaak niet eens een paar euro’s. Vergelijk dat eens met het aantal mensen dat je niet nodig hebt. Vergelijk de kosten ook eens aan wat er aan leasewagens of ander onbenul wordt uitgegeven.

ICT is een continu proces en het laatste wat je wilt hebben is dat een partij als Cap Gemini om de haverklap projecten gaat oppakken en uitvoeren waarbij je cashflow helemaal aan gort gaat met als enige houvast dat het altijd meer kost dan wordt begroot.
En dan, terug naar pen en papier? of zelfs postduif?
Ik ben het met @Snow_King eens, die 300 miiljoen is een goeie wake-up call geweest, en de IT afdeling eruit, dan kan uiteraard niet, anders had het herstel nooit 300 miljoen gekost.
Jawel hoor. Wat je doet is, je huurt Cap Gemini in i.p.v. je in house mensen. Daarom kost het 300 miljoen i.p.v. 100.
Zal wel meevallen als ze een aandeleninkoopprogramma hebben opgezet van USD 1,5 miljard: http://investor.maersk.co...ion-around-usd-15-billion
Waarschijnlijker is dat de interne it ontslagen wordt en men gaat outsourcen: IT is niet de core business van dit soort bedrijven en het management wil een verzekering dat dit niet meer gebeurt. Dus outsourcen en een ransomware polis afsluiten is veel logischer.
en dan kan vervolgens de zelfde situatie op een nog veel grotere schaal ontstaan als een van die partijen ooit een SOP/worm treft.

Naarmate meerdere bedrijven zich onder een zon aanbieder scharen wordt uiteindelijk die aanbieder een gigantische attack-surface; is het wel verstandig die factor gewoon te vergeten?

Met het afschuiven van zulke verantwoordelijk heid los je m
i. het probleem eigenlijk niet op.
Waarschijnlijker is dat de interne it ontslagen wordt en men gaat outsourcen
Waardoor je dus met een hoop ontslagen IT'ers zit die misschien op wraak uit zijn, mag je 3 keer raden waar dan de volgende ransomware-aanval vandaan gaat komen. En dan handelen ze met voorkennis over je interne netwerklayout en security,
Waarschijnlijker is dat de interne it ontslagen wordt en men gaat outsourcen: IT is niet de core business van dit soort bedrijven en het management wil een verzekering dat dit niet meer gebeurt. Dus outsourcen en een ransomware polis afsluiten is veel logischer.
Dit is inderdaad gemeengoed aan het worden, helaas... Wat zulke bedrijven alleen schijnen te vergeten dat in sommige gevallen hun eigen geheimen dan toch minder geheim blijven dan ze eigenlijk zouden willen want extern bedrijf kan evengoed lekken en schade is dan minder te overzien en te beheersen.

Ik zie dat (vanaf afstand) gebeuren juist bij bedrijven die zulk materiaal verwerken (zowel fysiek als digitaal) dat geheim moet blijven... En juist daar zijn al de nodige datadiefstallen geweest. Ook in Nederland...
plus dat die derde partij in een nog veel leukere situatie zit: ze willen natuurlijk de 'service' voor minimale kosten aanbieden, en het ergste wat ze kunnen verliezen is een klant dus beveiliging zal hen echt worst wezen.
Maar je kunt je wel verzekeren tegen dit soort risico's. Dus in de loop van de tijd als dit te vaak gebeurt zullen verzekeraars eisen gaan stellen om dit soort zaken goed te regelen. Iets was met interne IT afdelingen veel zachter gebeurt (althans, ik ken geen inhouse IT club die een SLA met de eigen business heeft met daarin bijv. boeteclausules).
Maar je kunt je wel verzekeren tegen dit soort risico's. Dus in de loop van de tijd als dit te vaak gebeurt zullen verzekeraars eisen gaan stellen om dit soort zaken goed te regelen. Iets was met interne IT afdelingen veel zachter gebeurt (althans, ik ken geen inhouse IT club die een SLA met de eigen business heeft met daarin bijv. boeteclausules).
Je kunt je inderdaad wel verzekeren tegen die risico's. Maar als de verzekeraar optreedt en actie onderneemt, is het al gebeurd en dus (mogelijk) gelekt, dus mosterd na de maaltijd.

En als ik heel eerlijk ben vind ik het uitermate dom en ondoordacht dat je je als bedrijf dan maar gaat verzekeren tegen die risico's. Je doet toch eerst een RI&E (Risico Inventarisatie en Evaluatie) voor je zo'n besluit neemt? Denk maar niet dat je als (sub)contractor voor bijvoorbeeld Lockheed Martin wegkomt met melden dat je je hebt verzekerd tegen het risico van datadiefstal omdat je je IT-zaken hebt geoutsourced.
Die verzekeraar is dan de gesel van de markt. Als ze te vaak moeten uitkeren dan gaan ze eisen stellen aan dit soort partijen en kun je dus niet meer overal terecht als opdrachtgever. Dus ja, het is na het feit, maar het geeft een precedentwerking op de kwaliteit.
En ik denk ook niet dat dit de beste oplossing is voor de meeste bedrijven maar je komt als management wel weg met een het is ge-outsourced en we hebben de volgende serie afspraken (ISO27001 oid). De verzekering zal Lockheed minder belangrijk vinden.
Op zich zou dit een oplossing kunnen zijn, ja. Maar zijn er dit soort verzekeringen? Waarbij inderdaad een verzekeringsbedrijf lagere premies zou vragen als je een goed extern security bedrijf in de arm neemt, premies verlaagt als je een security bug bounty program hebt etc... Zou inderdaad kunnen werken, zo. Maar bestaat het echt?
Unive heeft er zelfs een voor consumenten. De eis is dan wel een virusscanner (en specifiek die van F-Secure). Of zakelijk, over de grens zie je het meer. Het is nog wel maatwerk omdat er nog geen statistiek op de risico's en de kosten mogelijk zijn voor verzekeraars.
interessant, dank voor de links!
Ik kan me aansluiten bij je ervaring dat IT als "vervelende" kostenpost wordt gezien.
Dit is heel erg jammer, want op momenten dat het fout gaat wordt het zelden erkent.
Zo ook voor je laatste zin; ik zie het iets somberder in:
Over twee jaar zit er een andere CEO/bestuur en wordt het geintje herhaald.
"Hou die nieuwe update maar tegen, mijn *VULHIERRANDOMMANAGAMENTTOOL* werkt niet meer."
"Dat lijkt me niet slim, want... "
"Doe maar gewoon, anders had jij wel de CEO geweest"
Helaas - je hebt gelijk.
Echter, het kan ook anders. Een aantal van onze klanten heeft hun 'move naar de cloud' zeer goed voorbereidt en echt bijna alles gerefactored/herontwikkeld/doorontwikkeld/herontworpen om zoveel mogelijk 'cloud native' te zijn.

Gezien hun applicaties en oplossingen gaat ze dat echt een flinke duit gekost hebben, aan werkkracht, tijd en andere resources. Maar ik kan je wel vertellen dat ze van het moment ze in de cloud terechtkwamen, al geld aan het besparen zijn op running costs - lijkt me dus dat die investering relatief snel gaat worden terugverdient.
Cloud is nagenoeg altijd duurder dan on-premises. Kostenbesparing is het slechtste argument om naar de cloud te gaan. En zo zijn er nog wel meerdere reden om het niet te doen. Wet- en regelgeving bijvoorbeeld.
Ik denk dus dat jouw klanten overdreven veel geld aan het uitgeven waren aan... Ja, aan wat eigenlijk? Misschien hadden ze dat geld in security kunnen steken :)
Dat hang echt compleet af van de use case, en de grootste factor is de beschikbaarheid. Volgens mij is het zo dat als je 24/7 beschikbaarheid wilt, dat dat duurder is, maar stel je applicaties pakweg 10 uur beschikbaar dan denk ik niet niet dat on premise goedkoper is. Echter valt en staat alles met schaal: hoe groter de schaal en beschikbaarheid, hoe goedkoper onpremise wordt.
Dat hangt er echt vanaf. Doe jij een lompe 'lift and shift' en beschouw jij 'de cloud' als een virtueel datacentre/serverhok? Dat verhaaltje gaat duur worden.

Echter, ga je serverless en op andere manieren cloud-native heb je al een hoop minder gebruikskosten, een hoop minder human resources nodig om die servers te voorzien van updates, fixes, backups, monitoring, .... enz enz. Daarbij moet je niet enkel naar de prijs per uur/transactie kijken maar naar de tco, total cost of ownership.

Als jij grotere servers nodig hebt om capaciteitsredenen, mag je daar ook voor betalen in een on-premise setup. En flink ook. Het mooie aan de cloud is dat je voor nul nada noppes 'upfront' cost gewoon je CPU/memory capaciteit kan verdubbelen of beter, je betaald ervoor en dan schaal je zonder problemen weer even terug naar de goedkopere tier.

Waren die klanten 'overdreven veel geld' aan het uitgeven? Ja, echt wel, daar verschrok ik me toch even aan. Maar we spreken ook niet over de fruitteeltboerderij aan het eind van de straat.
Hoe kom je daar nou weer bij? On premise is bijna altijd duurder. Waarom? Je kan niet sfachalen op momenten dat je het niet gebruikt en bijschalen betekent vooraf inkopen. Je betaald dus altijd voor overcapaciteit.
Als startup zal het goedkoper zijn. Maar de licentiestructuren (office365, crm), verplichte upgrades incl benodigde opleidingen of trainingen, en IaaS voor alle meuk die je niet als paas of saas kan afnemen...
Daarnaast kampen veel bedrijven met jarenlange hybride vorm, waardoor je met dubbele kosten zit . Zowel hardwarematig (airco, racks, ups) als bemensing (kennis ouwe meuk + cloud kennis).
Heb je een bron van die klachten bij Maersk? Mijn informatie is namelijk nogal conflicterend.
ICT, en zeker onderhoudt, wordt door veel bedrijven steeds als een kostenpost gezien. Het zelfde zag je bij Maersk. Daar hoorde je achteraf dat de IT'ers al jaren riepen om geld en tijd om onderhoud te plegen, maar beide kregen ze niet, want: Kosten
Ik heb bij een reclamebureau gewerkt toen de internet bubbel net was begonnen. Wij waren de internet mensen uit een aquisitie. Iemand opperde in een vergadering bij het kijken naar de financien dat er in die IT afdeling eigenlijk alleen maar geld in ging en of het wel noodzakelijk was. Dat is een gevaar in sommige bedrijven als je een interne afdeling hebt.
Sommige bedrijven werken daarom met interne facturen. (Oef! 8)7 )
Ik ben dus best blij dat Maersk ineens 300 miljoen kon afschrijven, want dan leren ze het nu hopelijk en krijgen deze mensen wel de benodigde middelen.
Hahaha.. nee hoor. Op een gegeven moment gaat er een centen.. accountant op los en die gaat snijden in de kosten van de bodemloze IT put waar nooit een cent uit komt en alleen maar in verdwijnt.
Misschien ben ik te cynisch.

Een vriend van heeft het op zijn werk gehad. (Ziekenhuis)
Zij hebben nu 'military grade' ALLES.
Maar als er een admin kneus tussen zit.. :X
Kun je dan met een back-up van de vorige dag(en) alles weer ongedaan maken?
Tenzij de database en andere data nu ook versleuteld zijn. Stel je hebt een maand backups beschikbaar, maar de hackers wachten een of twee maanden voordat ze de ransomware activeren, dan zijn de backups ook besmet.
Depends.
Als je bedoelt dat de ransomware (inactief) ook in de backup zit dan ja, maar daarmee is niet gezegd dat je de data niet kan restoren zonder succes.
Dus afhankelijk van de omstandigheden zou je prima een database kunnen restoren van een backup van voordat de ransomware actief was.
Dat niet alleen. Als de backups besmet zijn met ransomware dan is de data nog niet versleuteld, dus als je dat weet, dan isoleer je de backup, gooi je de removal tool eroverheen en dan pas gooi je de backup live terug de productie-omgeving in.

Je kan misschien 1 keer de fout in gaan door een besmette backup terug te zetten maar dan weet je direct dat ie besmet is, en een geïsoleerde backup is makkelijk op te schonen.

Als de data wél versleuteld is, dan slaat elke beetje fatsoenlijke backup-oplossing direct alarm en zal de backup niet eens gemaakt worden.

[Reactie gewijzigd door Stoney3K op 11 juni 2019 19:42]

Als de data wél versleuteld is, dan slaat elke beetje fatsoenlijke backup-oplossing direct alarm en zal de backup niet eens gemaakt worden.
Hoezo zou de backup-oplossing alarm slaan als je encrypted files wilt backuppen?
Hoezo zou de backup-oplossing alarm slaan als je encrypted files wilt backuppen?
Niet wanneer het er weinig zijn, maar wel als je ineens een heel groot volume aan veranderde data hebt terwijl de veranderingen in de reguliere backups veel kleiner zijn.
Als je gewoon VM backup doet, dan weet dat backupsysteem niet eens wat voor data er in zit, kan dus nooit alarm geven.
Het gaat dus niet om de aard van de data maar om de enorme hoeveelheid aan veranderde data die reden is voor een alarm.
Als je gewoon VM backup doet, dan weet dat backupsysteem niet eens wat voor data er in zit, kan dus nooit alarm geven.
Lang leve tape.
Is misschien wat onhandiger, maar je hebt wel 'gewoon' je backups.

En als dit zo door blijft gaan, is backuppen op tape misschien weer zo gek nog niet. ;)
Dat heeft weinig te maken met 'tape', maar alles met goed backup beleid:

Of het nou tape is, ponskaarten, floppies, ... Stel ik zet een gebouw in de fik (analoog met ransomware in een netwerk) zijn ook die backups weg als ze niet off-site bewaard worden.
Daarom heb je verschillende tiers - je kan perfect lokaal een paar backups bijhouden en die roteren, terwijl je ook alles off-site verhuist (incluis die recente backups die je al lokaal bijhoudt).

Daarom: Je backups mogen 'warm' zijn, maar om veilig te zitten heb je best ook nog een 'koude' backup ergens.

[Reactie gewijzigd door Tokkes op 11 juni 2019 18:22]

het lijkt me dat het ook zinnig is om om de x-tijd backups te checken of ze wel restoren zoals het hoort. Hoe eerder je merkt dat het fout zit, hoe sneller je kunt ingrijpen en hoe minder last je ervan gaat hebben.
Dit inderdaad. Was inderdaad een restore test vergeten in de cyclus op te nemen in mijn post maar je hebt natuurlijk helemaal gelijk.
Ook tape wordt gewoon hergebruikt, net als disks en andere opties.
Dat ligt er maar aan aan hoe snel je een besmetting van je data ontdekt.
Als de laatste 100% betrouwbare tape een maand oud is dan heb je nog een aardige uitdaging (en kostenpost) om de data weer actueel te krijgen.
Je doelt denk op offline backups en dus geen live data die meteen beschreven kan worden?
Dit dus, als over versimpeling van het probleem, maar de opvolgende discussie is zeker interessant :)
Als je dat tegenkomt met een backup, dan heb je je backup mechanisme niet goed uitgedacht / ingesteld:
1. Backup archieven mogen elkaar niet overschrijven
2. Backup archieven moeten ge-encrypteerd zijn, zodat de archieven niet kunnen gewijzigd worden
3. Nadat ieder backup archief is gemaakt, moet je tenminste het rapport even bekijken - als je ipv de dagelijkse 500MB aan nieuwe data plots 15GB nieuwe data in het rapport ziet staan, dan kan je maar beter het een en ander checken...
4. Als je een backup archief terugzet, moet je kunnen kiezen of je een archief integraal of partieel terugzet.
2. Je kunt een versleuteld (is encrypteren een woord?) bestand nogmaals versleutelen, en weg is je argument. Ik - de crimineel - kan weliswaar niet de versleutelde database uitlezen (ervanuitgaande dat je dat goed gedaan hebt bv met PGP en een private key die niet op die server staat), maar ik kan 'm wel nogmaals versleutelen. Daarvoor moet ik natuurlijk toegang hebben tot die server, en het bestand moet overschrijfbaar zijn, etc etc...
Het idee van archieven is juist dat ze immutabel zijn, met andere woorden, als een backup gearchiveerd is dan kun je daarna als kwaadwillende hacker wel versleutelen, maar het al gearchiveerde bestand wordt dan niet overschreven. Daar kun je dus altijd naartoe terug.

Encryptie gaat je daar alleen niet tegen helpen, want een bestand versleutelen verhindert niet dat het overschreven wordt.
Als je een degelijke backup-strategie hebt, dan kan de ransomware niet aan je backup-archieven aan. Borg Backup bvb heeft de optie om je repository 'append only' te maken, zodat je eerdere backup archieven veilig zijn zelfs als je host server gecompromitteerd is. Op het ogenblik dat nieuwe archieven worden aangemaakt met daarin enkel versleutelde informatie, ben je afhankelijk van een nazicht van je dagelijkse backup-rapport. Dat zal onmiddellijk uitwijzen dat er iets niet koosjer is aan met de host server.
Ik begrijp ook wel dat 100% garantie tegen malware onmogelijk is, maar het helpt wel als je je backups niet op hetzelfde systeem als de host server bewaart en de verbinding tussen host en backup server aan strenge voorwaarden is onderworpen.
Dus je upload een backup naar een externe partij die overschrijven niet toestaat. Ik heb met een setup in AWS gewerkt waarbij snapshots werden bewaard, waaronder een snapshot met backups. Die snapshots werden een maand bewaard, en die kon je natuurlijk niet overschrijven, alleen verwijderen. Na een maand werden ze verwijderd. Dus als dit ransom-versleutling een maand zou draaien voordat de ransom geactiveerd zou worden, dan kun je geen kant op.

Als ik zelf zo'n actie zou uitvoeren, dan zou ik dat ook doen - een aantal weken laten draaien, zodat er weken van data weg zijn. Ik vraag me wel af hoe dat werkt met een database, of ze dan alle records stuk voor stuk versleutelen, of de bestanden zelf, maar het maakt ook weinig uit.
Neen.

Fase 1
host-data = 5GB, onversleuteld => backup-data = 5GB, onversleuteld

Fase 2
host-data wordt versleuteld (laten we veronderstellen dat de eigenaar dit niet opmerkt)

Fase 3
host-data = 5GB, versleuteld => backup-data = 5GB + 5GB (1 keer onversleuteld, 1 keer versleuteld, want append-only optie staat aan).

-> Zelfs als je het gedurende een maand niet zou opmerken dat je data versleuteld is, dan zou je het wel merken aan de backup-rapporten die je na iedere backup (dagelijks?) ontvangt.
In de goede oude tijd gebruikten we grootvader- vader - zoon principe om tapes te roteren en zo maanden of zelfs jaren te kunnen teruggaan. Met de huidige backup Appliances en cloud Storage kan dat perfect als je een beetje investeert en discipline hebt.
Ja en nee. Ja als de ransomware via een geklikte link is binnen gekomen. Nee als er via een hack iets op de server is neergezet in dat geval moet je terug gaan naar oudere backups.
Over het algemeen niet, een beetje malware gaat zich eerst rustig neerzetten in de oudste bestanden en dan langzaam aan steeds actuelere bestanden pakken (zodat het zo lang mogelijk onopgemerkt blijft).
Hoeft echt niet hoor. Bedrijf waar ik nogal eens over de vloer kwam had ook zo'n soort akkefietje. Bleek dat dit zich probeerde te verspreiden via een banner op een website waar hotelboekingen gedaan werden. Er werd een zero-day flash exploit gebruikt. Hotel koopt banners in van een banner oer voor meer inkomsten dus daar heb je geen grip op.

Granted, da's alweer een jaar of anderhalf geleden maar wel wat geraffineerder dan een lullig mailtje met attachment. Kan je als eindgebruiker ook niet veel aan doen. Gelukkig heeft het niet veel schade kunnen doen, immers, het ding probeert vanuit je temp. Internet files andere zaken te encrypten en faalt daarin, maar twas toch genoeg om op de werkplek daar heeeeel vaak de virusscanner te triggeren.

Gemakkelijke oplossing is dan om standaard in de corporate browser alle banners te blokkeren 'by default' , of om alles *flash* standaard te blocken maar dit laatste gaat simpelweg niet altijd en gebeurt naar mijn ervaring echt maar zelden bij bedrijven.
Het is echt niet altijd zwart-wit en is echt niet altijd overduidelijk de schuld van die ene domme gebruiker. Soms is het beleid, stomme kostenbesparingen, slecht patch management etc etc. Belangrijk als beheerder blijkt iig wel om goeie backups te hebben zodat je iig nog terug kan na zo'n wakeup-call en allicht verandert er dan nog iets binnen de organisatie.
Meestal docx die macro activeert. In veel office programma's staat het standaard aan, omdat gebruiker ooi een keer standaard openen heeft aangevinkt ofzo. Tweede is inderdaad email die uitziet als zip met exe die uitziet als pdf. Meeste systemen hebben het verbergen van bekende bestandstypen (.exe, .pdf) aanstaan.

[Reactie gewijzigd door Balder© op 13 juni 2019 10:24]

USB stick opsturen naar een secretaresse met een fake brief van een "collega" of ze de bestanden even wil controleren? 10 sticks opsturen, zal er altijd wel 1 raak zijn. Bij bedrijven kan dat wel uit.

[Reactie gewijzigd door Automark op 11 juni 2019 17:14]

De vraag is niet zozeer hoe 1 client pc besmet is, dat is vrij makkelijk, maar hoe het op de servers terecht komt.
Een client PC is wel een mooi punt om de servers te benaderen met je ransomware.
Het is reëel dat op een van die servers een niet volledig gepatched OS of een andere service draait. Dan is het alleen nog maar een kwestie van exploits uitvoeren.
gewoon iemand doet KLIK
het zal mij benieuwen hoe deze ransomware zich verspreid heeft en hoe het werkt.
Hoe dit werkt waarschijnlijk een easy to guess pwd op een account. Daarna infiltreren en hogere privileges verkrijgen en dan de boel besmetten.

Indien je echt geïnteresseerd bent check de blogs bij sophos mbt ransomeware.
Of een dump van de lsass service dan heb je meteen alle wachtwoorden van alle accounts actief op de machine. d.m.v. lateral movement kan je je naar andere machines begeven met de accounts buitgemaakt en daar het grapje herhalen 99% van de bedrijven monitoren hun Clients niet. Op deze manier kan je een sleeper beacon en active beacon netwerk opzetten. De gemiddelde tijd voordat dit ontdekt word is een jaar.
Zo. Das een behoorlijke financiele strop. Je zou bijna zeggen: betalen dat losgeld en weer door.

Maar ja. Ten eerste toon je daarmee aan dat dit soort praktijken blijkbaar lonend zijn en nodigt het criminelen uit om hiermee door te gaan.

En ten tweede is het maar de vraag wat er gebeurt met je systeem zodra je betaald hebt. Alles zal vast weer benaderbaar zijn. Maar hoe lang? Als je niet weet wat er precies gebeurd is met je systeem, of op welke manier de besmetting plaats heeft gevonden, kun je volgende maand weer aan de beurt zijn. Zeker als je te boek staat als partij die uiteindelijk toch wel betaalt.
Ze zijn erbij gebaat om na betaling "het probleem" op te lossen, want als eenmaal bekend wordt dat het niet gebeurt zal er nooit meer iemand betalen. Sta je als ransomware echter bekend om gewoon de sleutel op te leveren dan overwegen bedrijven het in ieder geval.

Logischerwijs helpen ze je niet om het nog een keer te voorkomen, je betaald voor de sleutel en die werkt maar 1 keer.

Het is aan je IT (of een specialistische externe partij) om te achterhalen hoe het binnen is gekomen. Zeer waarschijnlijk door een gebruiker die een bijlage heeft geopend. De gebruiker blijft in deze altijd de zwakste schakel.
Hoe voorkom je dat? Alles helemaal dichttimmeren, alleen toegang wat echt nodig is, zo min mogelijk power users, en frequente zuivere en goed afgescheide backups blijven maken, liefst offline en online.

Irritant voor de gebruikers die wel weten wat ze doen, maar dan wordt dus de vraag of dat het risico waard is.

[Reactie gewijzigd door Zebby op 11 juni 2019 17:26]

Probleem is niet zozeer een gebruiker op een client pc, dat blijft altijd kwetsbaar, maar meer: hoe kan die malware op een server terecht komen?
Omdat gebruikers op client PCs inherent een zekere mate van toegang hebben tot die servers — al was het maar dat de firewall er niet tussen zit — en dat escaleren van daar naar full access makkelijker is dan van buitenaf. Van client naar alle andere clients is nog makkelijker.

Daarnaast is het vaak gewoon genoeg om de clients te fucken. Lang niet altijd staat alle data volledig centraal op de file storage. Plus, alle Home directories die horen bij geïnfecteerde clients zijn dus ook getroffen, zelfs als ze op een centrale Filer staan.
Yup, en ze komen niet direct op de server, het is geen gerichte aanval, dat gaat allemaal via de oude trouwe enduser :)
Uit "ervaring" weet ik dat ze er een professionele helpdesk op na houden en zelfs aan kunnen bieden je te adviseren om je beter te wapenen tegen dit soort praktijken. Dat is nog eens service.. :Y)
Niet vergelijkbaar in soort hack en de gevolgen ervan, maar Radiohead lost het op een mooie manier op en beloont de misdaad op deze manier niet. Het keert het juist om naar iets positiefs en spoort je aan om juist wel te betalen ivm het goede doel erachter. Voor dit bedrijf is dat natuurlijk geen mogelijkheid.

Geen losgeld, wel publicatie van gestolen muziek Radiohead
Voor 150.000 dollar kon de Britse band Radiohead 18 uur aan gestolen muziekopnames terugkopen. In plaats daarvan gaat de band de muziek zelf naar buiten brengen.

[Reactie gewijzigd door sumac op 11 juni 2019 17:17]

Gewoon formatteren en opnieuw beginnen. Doe ik ook.
Dat is het nadeel van ramen, je moet ze regelmatig schoonmaken als ze vies worden.
Er staat nergens dat het ramen betreft, voor hetzelfde geldt is het het aangevreten fruit of de pinguin. Of wellicht OS/2 :+
Jammer voor ASCO, ben er iets meer dan tien jaar geleden eens uitgebreid op bezoek geweesd. Ze maken bvb allerlei extra sterke vliegtuigonderdelen (bvb voor het landingsgestel dat enorme krachten opvangt wanneer de wielen het tarmac raken). Dat is natuurlijk allemaal op basis van 3D designs & CNC machines. Als die designs encrypted zijn kunnen ze natuurlijk niet meer verder werken...
Je zou toch mogen verwachten dat zo’n bedrijf afdoende maatregelen heeft getroffen om dit soort ellende te voorkomen, maar niet dus ...
Exacte getallen heb ik niet, maar in de industriële automatisering ligt bij praktisch alle bedrijven een enorm risico in sterk verouderde systemen die je niet een twee drie wegwerkt
Bijna elke fabriek heeft wel museumwaardige stukjes techniek draaien, en vaak draaien juist die systemen nog geweldig, even upgraden is niet zo simpel want stilstand en prijs. Laatste fabriek waar ik werkte was een niet onbelangrijke reden om uiteindelijk de laatste 20 meter aan Logic kasten de deur uit te toen dat onderdelen en mensen die er mee om kunnen gaan steeds schaarser worden. En de allernieuwste software draaien is in de industrie bijna niet te doen, je zit met al die apparatuur en andere systemen waarmee gecommuniceerd word. Een simpele beveiligingsupdate, je leuk. Maar laat anderen eerst maar een tijdje ermee draaien zodat bugs bovenkomen. Bij een kantoor kun je nog zeggen na 2 dagen, "o.k. dit werkt niet we zetten de oude servers vanavond terug" maar bij een fabriek betekend dit gemakkelijk een week stilstand. Natuurlijk doet men volop zijn best om systemen zoveel mogelijk gescheiden te houden en word er geïnvesteerd en firewalls e.d. maar dan kom je op de fabriek voor een storing en blijkt dat een productiemedewerker even zijn eigen laptop bij de robotarm inplugde want "tja, dacht da d'r wel internet op zat" 100% veilig kan alleen als je een systeem helemaal loskoppelt, in een bunker neerzet en die bunker met beton dicht giet. Alleen heb je er dan niet zoveel aan. Maar goed ook wel fabrieken gezien waar men erom vraagt. overal dubbele netwerkaansluitingen links is het interne niet aan de buitenwereld hangend netwerk zonder enige vorm van bescherming en rechts is overig inclusief internet. Even je laptop van thuis verkeerd prikken en de boel kan plat.
Dat klopt, die CNC of MRI machine waar geen nieuwere control software voor is dan een win2k image (als het niet XP is) kun je nu eenmaal niet zomaar upgraden. En een apparaat dat in de basisprijs een miljoentje kost (plus opties) ga je ook niet weggooien als het nog niet is afgeschreven alleen omdat je de OS niet meer kan updaten. De aandeelhouders cq belastingbetalers zien je aankomen.
En zelfs bij moderne apparatuur is de beveiliging doorgaans bagger. Ik heb er al een hoop zien voorbijkomen: Een provider die klaagt dat je de Microsoft hardening en security baseline volgt en dat dit niet compatibel is met hun product. Of eentje die doodleuk komt vertellen dat je een auto-login moet draaien, omdat hun server component niet als een service kan draaien. Nog een leuke is de "eis" om 24/7 full admin toegang hebben tot bepaalde servers anders weigeren ze elke vorm van support. Dat laatste bij voorkeur met een generieke credentials die ze bij alle klanten gebruiken en eentje dat nooit mag worden veranderd? Of software pakketten die nog voor het implementeren end of life zijn.

Gelukkig heb ik het management en de investeerder achter mij staan, al was het maar omdat enkele uren downtime makkelijk meer kost dan alle HA's, DR's en security maatregelen samen.
Gewoon Back-ups met Acronis uitvoeren die bieden https://www.acronis.com/en-us/ransomware-protection/ aan
Voor een bedrijf in de aerospace industrie dat o.a. onderdelen maakt voor Lockhead Martin mag je verwachten dat de informatie beveiliging enigzins van gemiddeld niveau of hoger is. Een reeds bekende vorm van ransomware lijkt mij dan ook niet aannemelijk. Verder zijn geen vergelijkbare bedrijven getroffen (zover bekend), wat zou beteken dat het hier om een specifiek doelwit gaat. Als ik even mijn alu hoedje op zet, dan klinkt het eerder als stelen van intelectueel eigendom met ransomware als dekmantel.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 AMD Ryzen 5 3600

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True