Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Universiteit Antwerpen is getroffen door Clop-ransomware

De universiteit van Antwerpen is zaterdag getroffen door een aanval met Clop-ransomware. De aanval raakte enkele servers, maar volgens een woordvoerder zijn de databases niet aangetast. De universiteit is nog bezig met het verhelpen van de problemen.

Peter de Meyer, een woordvoerder van de universiteit, vertelt aan Tweakers dat de ransomware op zaterdagavond werd ontdekt. Vermoedelijk is de malware binnengedrongen via een oude pc. De databaseservers zijn niet getroffen, dus wetenschappelijke documenten en studentgegevens zijn niet aangetast. Ook de digitale leeromgeving Blackboard werkt nog.

Wel zijn er enkele systemen van de universiteit besmet met de ransomware. Onder andere het mediaplatform van de school ligt plat. Hierop plaatst de universiteit video's van colleges voor afwezige leerlingen. Daarnaast is onder andere het mailingsysteem waarmee de universiteit nieuwsbrieven verstuurt, buiten werking. Het betaalsysteem van de studentenrestaurants lag tijdelijk plat, maar dat is inmiddels opgelost; maandagmiddag gingen de restaurants weer open. Dit was een van de hogere prioriteiten voor de universiteit, aangezien in de restaurants niet contant betaald kan worden. "Studenten moeten wel kunnen eten."

De Meyer vertelt aan Tweakers dat het gaat om ransomware die door McAfee Clop wordt genoemd. Clop werd begin februari 2019 ontdekt en is een variant van de CryptoMix-ransomware. Clop richt zich op volledige computernetwerken, en dus niet zozeer op individuele computers. Zodra het virus is binnengedrongen in een netwerk, versleutelt het zoveel mogelijk bestanden met aes en voegt een .clop-extensie toe aan de bestandsnamen, wat dient als een indication of compromise. Wanneer de encryptie succesvol is, plaatst de ransomware een readme-bestand in het netwerk. Doorgaans bevat de readme onder andere e-mailadressen. Slachtoffers kunnen via deze adressen contact opnemen voor betaalinstructies.

De Clop-malware bevat, net als veel moderne ransomware, een geldige digitale ondertekening. Hierdoor kan bepaalde antivirussoftware het virus mogelijk niet op tijd herkennen. De ransomware probeert allereerst Windows-processen af te sluiten. Dit doet het virus om bij bestanden te komen die mogelijk worden gebruikt door dergelijke processen. Hiervoor heeft het virus een lijst met vaste hashes, waarmee het virus onder andere Steam, Microsoft Office-programma's en verschillende webbrowsers kan sluiten. Clop bevat ook een batch-bestand dat dataherstel via mogelijke shadow copies voorkomt. Momenteel is er nog geen decryptor beschikbaar voor gedupeerden.

De universiteit vertelt aan Tweakers dat er nog hard wordt gewerkt aan een oplossing. Hiervoor heeft de school de hulp ingeschakeld van McAfee, Microsoft en het Belgische CERT. Ook geeft de universiteit aan dat er nog officieel melding van de besmetting gemaakt zal worden bij de politie. Het is nog onduidelijk wanneer alle systemen van de universiteit weer zullen werken. Ook is het niet bekend hoeveel losgeld de daders hebben geëist bij de universiteit.

Door Daan van Monsjou

Nieuwsposter / Videostagiair

28-10-2019 • 16:55

44 Linkedin

Submitter: white modder

Reacties (44)

Wijzig sortering
Zoals het is geschreven klinkt het alsof het een SMB 1.0 virus betreft. Zijn er meer details bekend over de besmettingsmogelijkheden van clop?
Hoofdzakelijk gebeuren de aanvallen via SPAM met Office-documenten met een macro functie.
Deze download dan een EXE en voert deze uit.
De EXE is ondertekend met een werkend certificaat (ondertussen ingetrokken) wat het werk van de anti-virus weer bemoeilijkt(e).
Een check voor Russische en Albanese toetsenbordindeling zorgen ervoor dat deze landen gevrijwaard blijven.

Natuurlijk zijn alle methodes om de gebruiker er in te luizen mogelijk, zolang ze maar de EXE uitvoeren.
(Free music/movie/software downloaders, etc...)

Gekende procesnaam: swaqp.exe

Importeert volgende bibliotheken:
ADVAPI32.dll
COMCTL32.dll
KERNEL32.dll

Signed met een werkend certificaat (now revoked)
ALINA LTD
**Sectigo RSA Code Signing CA
***Sectigo

Bronnen:
https://securingtomorrow....fee-labs/clop-ransomware/
https://www.bleepingcompu...g-networks-not-computers/
Als ze een geldig certificaat hebben en Sectigo (voorheen Comodo CA) niet gehacked is, dan moet toch te achterhalen zijn wie het certificaat heeft aangevraagd. Zal dan wel een schimmig bedrijf zijn (Alina Ltd) maar dit zou toch wel alarmbelletjes moeten laten rinkelen daar. Zeker als zo'n certificaat het blijkbaar AV scanners bemoeilijkt.

Overigens snap ik dat ook niet, elke PC/laptop heeft tegenwoordig wel een SSD en dan is I/O echt geen bottleneck meer. Een AV scanner kan dan toch ook flink beter te werk gaan zonder al te veel impact op performance?
Dit toont maar weer eens aan hoe slecht het huidige certificatensysteem werkt. Een certificaat zou gepind moeten zijn op een domein, of op een hash van een bestand, lijkt mij.

P.S. Het artikel heeft het over leerlingen en een school, welke zou dat toch zijn?
Dit toont maar weer eens aan hoe slecht het huidige certificatensysteem werkt. Een certificaat zou gepind moeten zijn op een domein, of op een hash van een bestand, lijkt mij.

P.S. Het artikel heeft het over leerlingen en een school, welke zou dat toch zijn?
De titel van het artikel geeft een tip :z

hoe werkt dat certificatensysteem eigenlijk? Wie deelt die uit onder welk voorwaarden?
Tja, maar dat gaat over een universiteit...
Iedereen kan certificaten uitgeven. Het is de vraag of je die partij vertrouwd. Anders gezegd: als je een Root-certificaat vertrouwd, dan vertrouwd de pc uitgegeven certificaten.

Degene die uitdeelt bepaald ook de voorwaarden. Maar die voorwaarden zijn ook weer voor belang bij het vertrouwen van het Root-certificaat. Ziehier de moeilijkheid met certificaten.
Als je werkt in een Enterprise bedrijf moet je een whitelist gaan aanleggen met applicaties die mogen draaien in Windows. Komt deze niet voor, dan wordt deze niet gestart. Virus kan daar niet omheen, omdat de hash van het programma bekend is voorafgaand. TrendMicro OfficeScan XG/Apex One ondersteund dit. Werkt prima. Buiten dat, waarom zou de persoon die de .EXE opent vanuit de email Full Admin zijn??
Kunnen mensen wel zeggen, dat is lastig als ze het niet zijn, fout!
Ben je ooit bij een universiteit binnen geweest? In theorie heb je vast gelijk, in de praktijk krijg je dit nooit voor elkaar. Ga je echt alle (Windows) gebruikers interviewen, een inventarisatie opmaken, whitelisten etc..? Sterkte. Het rookverbod konden ze niet eens handhaven, laat staan dit idee.
In mijn tijd, had je of een eigen laptop, of een eigen HDD die je moest gebruiken.
Maar dan nog zou je niet bij bedrijfsnetwerk mogen komen. Dus ik snap je opmerking niet echt over interviewen. Jij doet dus liever niets? Dan weet je dus zeker dat het je een keer tegenkomt.
Goed, ik heb toevallig bij een universiteit gewerkt. Ik vrees dat je geen idee hebt wat voor een cultuur en werkomgeving dat is. Het is geen bedrijf met een chef en een baas, er zijn ten eerste een aantal faculteiten en diensten. Die hebben niets met elkaar te maken, behalve dat ze onder dezelfde universiteit vallen. In die verschillende organisaties zijn er twee grote groepen: Wetenschappelijk en Ondersteunend personeel. De termen verraden al een klein beetje hoe de neuzen staan. Die twee groepen zijn weer onderverdeeld in onder andere departementen, afdelingen, leerstoelen en meer van dat.

Die faculteiten hebben een directeur (hoofd ondersteuning/bedrijfsvoering) en een decaan (hoofd wetenschap) De directeur valt onder de decaan. Alle technische en andere zaken vallen onder de noemer ondersteunend. Het bestaansrecht en het doel van de ICT is de ondersteuning en continuïteit van de wetenschappelijke activiteiten. Mocht er dus maar het vermoeden zijn dat jouw ICT plan een onderzoek iets in de weg dreigt te leggen kun je nog zo'n goed verhaal hebben, gaat het niet door.

Wat er nog bijkomt is dat je niet van te voren weet wat er in een onderzoek aan hard- en software wordt gebruikt. Wat je weet is wat er in het onderwijs en 90% van de kantoren wordt gebruikt, maar de labs daar heb je geen idee van.

Ransomware is een bedreiging en het valt goed uit te leggen dat er op z'n minst een aantal maatregelen getroffen moeten worden. Een onderzoeker heeft er een groot belang bij dat de data veilig is en zal best willen meewerken, maar wel tot zoverre. Whitelisten en meer van dat soort beperkingen zorgt alleen maar voor hakken in het zand en een ontslagbrief. Wat we destijds gedaan hebben is een lijst opgesteld van minimale eisen waar een ICT datadrager aan moet voldoen. Dus denk aan een virusscanner in geval van Windows (sorry), encryptie, backups, virtuele werkplekken, updates, beperkte rechten, auditing etc etc etc maar je kunt niets als je niet de mensen meeneemt. Dus het is inderdaad al die groepjes afgaan, mailen, bellen, stalken, koffie drinken, tot ze ervan overtuigd zijn dat je ze tot nut bent en dan pas kom je ergens.

We hebben best een paar projectleiders gehad die de commerciële wereld gewend waren, daar was de baas de baas en als die vond dat je een roze USB kabel moest gebruiken dan deed je dat. Die projectleiders zijn hier niet oud geworden.
Een whitelist zou inderdaad het makkelijk uitvoeren van een programma kunnen tegenhouden, maar infectie door bijv. een goeie ouderwetse buffer overflow in een gewhiteliste applicatie hou je daar niet mee tegen. Ik weet niet hoe Clop toeslaat maar ik kan me voorstellen dat dat één van de mogelijkheden is.
Als je werkt in een Enterprise bedrijf moet je een whitelist gaan aanleggen met applicaties die mogen draaien in Windows. Komt deze niet voor, dan wordt deze niet gestart.
Dat klinkt leuk in theorie, maar ik zie twee problemen:
  • In elk geval bij informatica (en in mindere mate bij andere technische faculteiten; over niet technische faculteiten durf ik niets te zeggen) schrijven onderzoekers zelf een boel software als onderdeel van het onderzoek dat ze doen. Hoe ga je dat op de whitelist krijgen?
  • Deze maatregel stopt lang niet alle malware. Als je via een buffer overflow een ROP-payload naar binnen smokkelt (met bijvoorbeeld shellcode), dan zal jouw whitelist dat niet voorkomen. (Een whitelist van alleen 100% bug-vrije software zou wel werken... maar succes met het vinden van bug-vrije programma's die een niet-triviale taak uitvoeren, die zijn zo'n beetje op één hand te tellen.)
Sorry jongens, kwa buffer overflow hebben jullie een punt. Maar meestal is Ransomware heel doelgericht en niet op allerlei applicaties geschreven. Meestal alleen op de fouten in het besturingssysteem. Maar als ik het van alle zo lees, is niets doen beter dan wat ik voorstelde? Heeft iemand ooit een PoC gedraaid?
Had wel alternatieven verwacht alvorens een plan af te schieten.

Mijn ervaring is dat deze methode bijna alle Ransomware stopt, ism ongeautoriseerde encryptie blokkades.
Maar als ik het van alle zo lees, is niets doen beter dan wat ik voorstelde?
Die conclusie klopt alleen als er slechts twee opties zijn (hetzij niets doen, hetzij jouw idee gebruiken). Er zijn echter nog talloze andere mogelijkheden.
Had wel alternatieven verwacht alvorens een plan af te schieten.
Als jij voorstelt om de armoede in de wereld op te lossen door gewoon heel veel extra geld bij te drukken, dan mag ik niet uitleggen waarom dat gegarandeerd fout gaat, tenzij ik zelf een beter plan heb...!?

Dat ik geen oplossing heb, betekent niet dat jouw voorstel daarmee automatisch een goed idee wordt. Zelfs als "niets doen" het enige alternatief zou zijn (omdat ik geen derde optie aandraag), dan nog kan jouw voorstel een slecht idee zijn, als de nadelen groter zijn dan de voordelen. En (zoals Wouterie veel beter uitlegde dan ik in mijn vorige post) daar lijkt het wel op; je zou het onderzoek bijna volledig stilleggen, wat waarschijnlijk nog erger is dan een malware infectie.
Mijn ervaring is dat deze methode bijna alle Ransomware stopt, ism ongeautoriseerde encryptie blokkades.
Ten eerste, je presenteerde het als waterdichte oplossing ("Virus kan daar niet omheen"), maar nu krabbel je al terug naar "dat deze methode bijna alle Ransomware stopt". Dat is een heel belangrijk verschil!

Maar nu maak je me nieuwsgierig; wat moet ik me voorstellen bij een "ongeautoriseerde encryptie blokkades"? Je kunt een programma niet verbieden om encryptie uit te voeren, want je kunt niet detecteren of het dat probeert te doen. Je zou de toegang tot encryptie-gerelateerde system calls kunnen blokkeren (als je OS die heeft), maar zelfs dan kun je niet voorkomen dat een programma encryptie uitvoert met behulp van zijn eigen code. Ik heb oprecht geen idee hoe je zo'n blokkade in gedachte hebt...?
Getroffen tijdens viveslan. Toeval?
Mag hopen dat een lanparty netwerk geen toegang heeft gehad aan het intern uni netwerk.
fysiek zullen ze niet volledig gescheiden zijn, maar eerder in een aparte VLAN voor guest-devices. Als dit soort malware ook exploits voor routers, firewalls of switches bevat, dan is het wel een mogelijkheid, maar niet groter dan een laptop van een student
Wat betekent het concreet dat een virus zich "richt op het netwerk" ipv individuele computers? Beetje vage omschrijving als je het mij vraagt.
Het virus heeft als doel zich zo snel mogelijk te verspreiden, om zo veel mogelijk schade aan te richten, niet om een bepaalde computer er uit te pikken om die te versleutelen.
Malware die jouw hele netwerk Pwned :+
heerlijke slagroomvervanger uit de jaren 70. Bestaat het nog ?

PS gevonden, E 1,38 bij de super ..

[Reactie gewijzigd door tweazer op 28 oktober 2019 22:09]

De bestanden in de backup waren op moment van backuppen nog bruikbaar (ondanks toevoeging)? Wat let je dan om na restoren de bestanden te cleanen alvorens weer te gebruiken? Heb je meer info over deze virussen dan deze vage omschrijving?
Kan zijn dat ze pas werken als er een bepaalde datum is verstreken o.i.d en dat daarom de backup eerst wel bruikbaar was, maar daarna niet.
Als de bestanden bruikbaar waren op moment van backup dan zal je na restoren op een clean systeem de bestanden moeten kunnen schonen. Er is op dat moment nl veel meer bekend van 't virus (want actief geworden dus bij alle security boeren als Eset bekend) dus de kennis en tools om de infectie uit de files te verwijderen moet beschikbaar zijn. Je moet alleen tot die tijd niets anders met die van de backup gehaalde files doen, want dat kan het virus weer activeren.
'Er zijn nieuwe virussen in opkomst waar nog niets tegen te doen is' klinkt mij te veel als de Facebook bangmakerij.
Mijn fout, ik had in mijn hoofd dat om een backup te activeren dat je dan automatisch minimaal een programma daaruit moest starten. Je hebt helemaal gelijk.
Dan moet je contact opnemen met Corné de Keizer van SecVision. Hij weet er alles van. De toekomst is gewoon dat je back-ups ook onklaar worden gemaakt. Hier kom je dan te laat achter zodat restoren niet meer mogelijk is. Want wie controleert er nu de back-ups of de data nog toegankelijk is? Zo een virus wordt pas na maanden actief.
https://secvision.nl/

Hij heeft bij ons training gegeven. Ook hoe je badges kunt clonen met een kastje van Aliexpress. Toegang tot het pand krijgen. Denken dat je als bedrijf veilig bent. Nou vergeet het maar.

Via internet dit gevonden:
Om het helemaal lastig te maken, kan een computervirus zich al wel nestelen in een omgeving, zonder dat deze zaken versleutelt. Op een later moment (als het virus dus al in de back-up zit) kan het virus alsnog actief worden. De vraag is welke trigger het virus heeft geactiveerd. Kun je de back-up terugzetten zonder dat deze trigger wordt geactiveerd, en is het systeem dan alsnog op te schonen? Hiervoor is specifieke kennis van het virus nodig.

[Reactie gewijzigd door Reptillian77 op 28 oktober 2019 20:29]

Badge clonen bestaat al meer dan 10 jaar, er is maar 1 type (miscchien 2) die wel veilig zijn maar voor de rest allemaal makelijk te clonen. Ik doe het gewoon met een Raspberry.

Als je een goede DRaaS hebt dan worden de backups direct getest, ik ga geen namen noemen aangezien ik partner ben .... sluikreclame op T.net is vaak niet gewenst ;)

Hoe worden deze vorm van virussen genoemd?
Volgens mij is dit gewoon cryptolocker of ransomware software.
@Reptillian77 Had het over een nieuw soort virus, ik ben benieuwd naar de benaming hiervan.
Ik ben ook wel benieuwd, maar waarschijnlijk gaat het dus gewoon over de bovengenoemde types. Zijn andere voorbeelden zijn namelijk ook niks nieuws in de security / ICT business.
veel bla bla zonder deftige info.
Lijkt me er op dat die man gewoon veel lessen wil verkopen :-)
Een badge clonen kan inderdaad al jaren, gewoon met mijn smartphone kan ik dat al. Ligt men doorgaans echter niet wakker van dus...
Dus als heel de wereld op unix of linux draait, dan zijn er geen kwaadwillende mensen meer? De best beveiligde bankkluizen zijn in de geschiedenis ook altijd gekraakt. Het is blijven innoveren, niet vermijden.
Dus als heel de wereld op unix of linux draait, dan zijn er geen kwaadwillende mensen meer? De best beveiligde bankkluizen zijn in de geschiedenis ook altijd gekraakt. Het is blijven innoveren, niet vermijden.
Monoculturen zijn slecht in disaster recovery.
Terugkerende discussie.

Maar je kan de aanvalsoppervlakte van Linux/Unix niet vergelijken met die van Windows.
Altijd wordt gesteld dat allen vatbaar zijn hiervoor, maar vrijwel alle nieuws gaat telkens over weer een geslaagde Windows aanval. Natuurlijk heeft dat ook te maken met marktaandeel, maar het woordje ook geeft aan dat het één van de factoren is; niet de enige. En dan nog is het misschien juist daarom verstandig om iets anders aan te leggen zodat anderen de klappen opvangen.
Als al tientallen jaren het argument wordt gebruikt "ja maar het kan ook op andere systemen gebeuren" maar al tientallen jaren gebeurd dat in de praktijk niet bij andere systemen maar wel op dat systeem, dan wordt het toch eens tijd om je achter de oren te krabben 8)7 |:( :+

edit: typo

[Reactie gewijzigd door Yev op 29 oktober 2019 09:42]

Altijd wordt gesteld dat allen vatbaar zijn hiervoor, maar vrijwel alle nieuws gaat telkens over weer een geslaagde Windows aanval.
Dat komt omdat dat is wat consumenten kennen (en zelf draaien), dus daarom wordt het erbij gezegd. Er zijn ook talloze lekken in Linux (of, in het algemeen, niet-Microsoft software), maar als daar iets mis gaat, dan wordt er niet bij gezegd "geslaagde aanval op iets anders dan Windows".

Als ik Google vraag naar "biggest hacks" dan krijg ik als eerste resultaat dit lijstje. Ik zal niet beweren dat dat de beste lijst is, het is alleen bedoeld om je geheugen op te frissen dat "niet-Windows" ook vaak genoeg gehacked wordt.
Ja ik ken dat lijstje, maar dat zijn specifieke doelgerichte hacks op juist die systemen vanwege de informatie op die systemen. Dat lijstje en andere lijstjes zijn overigens grote/spectaculaire hacks maar hebben weinig invloed op het totale aantal hacks en voor de praktijk van de gewone burger of gewone bedrijven.

Ik ontken ook niet dat Linux/Unix onhackbaar is, maar in de praktijk voor personen/bedrijven is dat gevaar enorm veel kleiner tov Windows (maar dus niet 0). En dat is dan ook de reden dat we vrijwel altijd lezen over inbraken, gijzelfsoftware en virussen/malware op Windows. Wanneer heb jij voor het laatst een grote virusuitbraak of datagijzeling meegemaakt op Linux/LibreOffice, om maar een voorbeeld te noemen?
Nogmaals: het gaat mij om in de risico's die praktijk worden ervaren en de kans op incidenten. En die kans ligt nu eenmaal veel hoger bij MS Windows / MS Office dan bij alternatieven.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True