Universiteit Maastricht heeft contact met ransomware-aanvallers en doet aangifte

De Universiteit Maastricht, die eerder deze week werd getroffen door de Clop-ransomware, heeft contact met de aanvallers. Of er wordt overwogen om losgeld te betalen is niet bekend. De universiteit heeft donderdag aangifte gedaan.

Woordvoerder Fons Elbersen van de UM zegt tegen de NOS en 1Limburg dat de universiteit in gesprek is geweest met de aanvallers. Welk bedrag er wordt gevraagd is niet bekend en de woordvoerder zegt ook niet of er overwogen wordt om te betalen. De woordvoerder bevestigt dat de UM donderdag aangifte heeft gedaan bij de politie.

Afgelopen dinsdag werd de Universiteit Maastricht getroffen door de Clop-ransomware. Daardoor werken verschillende websites, het mailsysteem en het studentenportaal niet meer. De omvang van de schade is nog niet volledig bekend. Zo weet de universiteit nog niet zeker of de wetenschappelijke data is getroffen.

Een team van 'minimaal tien ict'ers' van de UM en buitenaf werkt aan een oplossing. Volgens de woordvoerder is er een 'schil om het netwerk gelegd, zodat niemand er meer in kan'. De universiteit zou na de kerstvakantie op 6 januari weer open moeten gaan, maar er is geen garantie dat dit lukt.

Lees meer

Reacties (266)

Henrikop
27 december 2019 15:57

Interessant artikel over Clop ransomware van McAfee

https://www.mcafee.com/bl...fee-labs/clop-ransomware/

Paar highlights:
- Activeert bijvoorbeeld net voor het weekend of tijdens feestdagen
- Activeert niet bij computers die Russisch lijken
- Zoekt naar specifieke zaken om maximale impact te maken zoals basis back-ups niet te laten functioneren.
- Doet slimme handelingen om bijvoorbeeld ook databases stuk te kunnen maken.

Kortom; nog meer redenen om je huidige staat van IT te reviewen en risico analyse te maken inclusief maatregelen om dit soort shit te "mitigeren".

Dit soort zaken gaan we de komende maanden en jaren alleen maar meer tegenkomen. We hebben veel functies tegenwoordig, maar die komt ook met nadelen zoals een grote aanvalsoppervlakte.

Trommelrem
@Henrikop • 30 december 2019 14:23

Activeert niet bij computers die Russisch lijken

Het schijnt dat het toevoegen van een Russisch toetsenbord in alle userprofiles (dus ook default, localsystem en networkservice) voldoende is. Kan iemand daar wellicht meer duidelijkheid over verschaffen?

Henrikop
@Trommelrem • 30 december 2019 16:06

Zonder er heel diep naar te kijken, lijkt het erop dat het kijkt naar het toetsenbord lay-out. Is Russische lay-out gezien? Dan stopt de code in uitvoering. Helaas denk ik dat je daar weinig aan hebt als de ransomware al geactiveerd is.

Als maatregel secundaire toetsenbord lay-out toevoegen aan user-profiles lijkt mij niet een goede voorzorgsmaatregel.

computerjunky
@Henrikop • 31 december 2019 02:07

Dit is niet helemaal correct. Als bij de check de russiche layout gevonden word dan doet hij een 2de check juist om deze reden.
Deze check gebeurd ook Tijdens de activatie van de malware (de installatie zeg maar voor het encrypt process).

The malware checks that the layout is bigger than the value 0x0437 (Georgian), makes some calculations with the Russian language (0x0419) and with the Azerbaijan language (0x082C). This function will return 1 or 0, 1 if it belongs to Russia or another CIS country, or 0 in every other case.

If the function returns 0, it will go to the normal flow of the malware, otherwise it will get the device context of the entire screen with the function “GetDC”. Another condition will come from the function “GetTextCharset” that returns the font used in the system if it does not have the value 0xCC (RUSSIAN_CHARSET). If it is the charset used, the malware will delete itself from the disk and terminate itself with “TerminateProcess” but if it is not this charset, it will continue in the normal flow This double check circumvents users with a multisystem language, i.e. they have the Russian language installed but not active in the machine to avoid this type of malware.

https://www.mcafee.com/bl...fee-labs/clop-ransomware/

[Reactie gewijzigd door computerjunky op 31 december 2019 02:09]

Koffie
@Kain_niaK • 29 december 2019 09:37

" Allemaal omdat in 2008 Bitcoin is uitgevonden ...."
Deze opmerking is net zo belachelijk als roepen dat deze ransomware aanval het gevolg is van het uitvinden van TCP/IP

Elefant
@Koffie • 29 december 2019 16:27

Nee Bitcoins zijn niet met dit doel opgezet, maar daarom is dit nog wel een van de gevolgen. Ik heb altijd al gezegd dat Bitcoin primair criminelen diende. Wie is het meest gebaat zijn transacties geheim te houden? Wie ziet de overheid het meest als vijand?

Ransomeware zou niet goed mogelijk zijn zonder de betaling anoniem te kunnen afhandelen, bitcoin is daar een essentieel element in. Dat men bitcoins heeft willen populariseren was noodzakelijk om ze weer gemakkelijk in gewoon geld en goederen te kunnen omzetten. Ook dat dient Bitcoins omdat het vaak zwart geld betreft.

Activeert niet bij computers die Russisch lijken

Daar zitten dus vermoedelijk Russische criminelen achter. Die willen niet door hun eigen overheid vervolgd worden en beperken zich liever tot het buitenland. Door de politieke tegenstellingen die wij nastreven wordt internationale samenwerking in de bestrijding ook niet gemakkelijker. De kwaliteit van de Ransomeware wordt steeds beter. Mij maak je niet wijs dat een netwerkbeheerder daar nog tegen opgewassen is. Volgens mij is veiligheid van computersystemen echt een fictie aan worden.

Ḧet wachten is tot de eerste AI-programma's getraind zijn op computerinbraak. Computernetwerken zijn immers een redelijk voorspelbare omgeving, waar je AI in kan trainen. En neem Watson die miljoenen documenten in korte tijd kan lezen en dan de informatie toepassen. Wat dan tegen ons gaat werken is dat de Amerikanen echt op elk niveau grootschalig backdoors in hebben gebouwd in hun spyware, zowel de software als de hardware. Voor goed getrainde AI wordt dit kaasje omdat uit te buiten.

Voor we het weten zijn we in een cyberoorlog beland waarin AI programma's netwerken moeten verdedigen, tegen AI programma's die netwerken aanvallen. Wie weet is die oorlog achter de schermen al begonnen.

The shrout of the dark site has fallen. Begun the clone war has ...

[Reactie gewijzigd door Elefant op 29 december 2019 16:31]

jahoorisieweer
@Elefant • 29 december 2019 18:08

Yup veel is er eigenlijk al.
De strijd op AI vlak wat cyber security betreft.

Niet voor niets heeft o.a. IBM meen ik e.a. vrij gegeven betreffende AI nog onder enig zins onder controle te kunnen houden wat tooltjes betreft en enig inzicht.

Maar ja al die AI zonder extra ingebouwde controle punten programmeren , leggen de basis voor een zeer onvoorspelbare toekomst wat AI en IT betreft. ( Gevaarlijk ja want waar, wanneer en wie kan en mag de "bewuste uitknop" wel of niet bedienen indien nodig? )

OVERDREVEN: ? Het blijven wat digitale data betreft nog steeds maar simpele nulletjes en eentjes , voor beetje AI zodra data digitaal is natuurlijk no problem.

Verder veiligheid zit hem vooral ook in een goed alternatief en ook "todo's" op de plank hebben liggen voor het geval van een incident. ( 100% voorkomen kan men namelijk niet)

OFFTOPIC soort vergelijk:
Zeg maar een not done auto vergelijking . Tesla heeft zo e.a. om ongelukken te kunnen voorkomen ( "dus zeer veilig"), gebleken is gaat ... toch tegen een boom kan er een ongecontroleerd vuurtje uitbreken, waar men in diverse landen totaal geen rekening mee heeft gehouden.
https://tirol.orf.at/stor...?utm_source=pocket-newtab

[Reactie gewijzigd door jahoorisieweer op 29 december 2019 18:25]

Salsario
@Elefant • 31 december 2019 00:04

Afpersing is van alle tijden. Ken je die bankkluisjes die in het verleden regelmatig doelwit waren? Die waren doelwit omdat daar spullen en geld in lag waarvan de eigenaren het bestaan niet kunnen erkennen. Die ransomware aanvallen lijken overigens in aanpak ontzettend veel op de methode die onze eigen AIVD gebruikt als het op tappen aankomt. Sleepnetten! 1 goede vis op een miljoen targets.

Kain_niaK
@Koffie • 29 december 2019 23:45

Dus jij beweert dat er randomware is die geen crypto eist maar je een bankrekeningnummer geeft waar je euro's naar toe moet overmaken?

Koffie
@Kain_niaK • 30 december 2019 08:04

Dus jij beweert dat er worm virussen zijn die je vriendelijk verzoeken een kopie van zichzelf op de volgende computer te installeren?

Als het hele cryptocoin niet was bedacht was er wel een andere weg gevonden.

Kain_niaK
@Koffie • 30 december 2019 09:02

Ik beweer dat ransomware economisch niet haalbaar is zonder crypto omdat crypto transacties niet om te draaien zijn en alle andere transacties wel. En dus wanneer een slachtoffer betaald en de code krijgt om zijn bestanden terug te decrypten kan het slachtoffer zijn geld terug krijgen door zijn bank en de politie op te bellen.

Het staat zelf op de wikipedia pagina over Ransomware.

The idea of abusing anonymous cash systems to safely collect ransom from human kidnapping was introduced in 1992 by Sebastiaan von Solms and David Naccache.[28] This electronic money collection method was also proposed for cryptoviral extortion attacks.[1] In the von Solms-Naccache scenario a newspaper publication was used (since bitcoin ledgers did not exist at the time the paper was written).

[Reactie gewijzigd door Kain_niaK op 30 december 2019 09:05]

YoMarK
@Kain_niaK • 30 december 2019 11:38

Ik ben geen groot fan(met name omdat ik het minen/stroomverbruik nogal zonde vind ) van crypocurrency in de huidige vorm, maar dadelijk ga je nog vertellen dat encryptie ook vooral criminelen dient.
Volgens mij vergeet je even dat privacy een grondrecht is.

whitefox
@YoMarK • 2 januari 2020 15:57

Privacy is een grondrecht, maar met crypocurrency is een valuta gecreëerd die bijna volledig anoniem is. Cash is dat maar voor een gedeelte omdat je over het algemeen de persoon ziet waarmee je de transactie doet. Volledige anonimiteit heeft gewoon zo zijn nadelen en is misschien iets waar we mee moeten leren leven.

Henrikop
@Kain_niaK • 30 december 2019 10:02

"Uitgevonden voor" zou ik niet gebruiken. Het is meer dat bitcoin zich goed leent om te automatiseren. Een gedistribueerde bank, zeg maar.

Groot nadeel van bitcoin is dat het skills vergt om het weer naar dollars om te zetten. Je laat een spoor achter en sporen wissen bij bitcoin vergt expertise. Je weet eigenlijk nooit of je het goed gedaan hebt en zult dus altijd op je hoede moeten blijven.

Kain_niaK
@Henrikop • 30 december 2019 10:33

"Uitgevonden voor" zou ik niet gebruiken.

Dat heb ik ook helemaal niet gezegd. Ik heb alleen gezegt dat een uitvinding als Bitcoin, het fenomeen ransomware mogelijk maakt.

Groot nadeel van bitcoin is dat het skills vergt om het weer naar dollars om te zetten. Je laat een spoor achter en sporen wissen bij bitcoin vergt expertise. Je weet eigenlijk nooit of je het goed gedaan hebt en zult dus altijd op je hoede moeten blijven.

Als je de skill hebt om randsomeware the programeren zul je die skills ook wel hebben.

Daarnaast is het voor gewone gebruikers ook mogelijk om het spoor te vernietigen. Bij Bitcoin Cash heb je bijvoorbeeld Cash Shuffle en Cash Fushion die zitten in de populaire wallets ingebouwd en vernietigen elk spoor.

[Reactie gewijzigd door Kain_niaK op 30 december 2019 10:34]

Dracozirion
27 december 2019 15:32

Zij hadden hier dus duidelijk geen deftige backup. Ik heb al veel bedrijven gezien die bijvoorbeeld een backup server in het domein hebben draaien of een non-domain joined backup server met hetzelfde "administrator" wachtwoord als van de domain admin "administrator". Mogelijk hier van't zelfde of te veel vertrouwen gelegd in Shadow copies.

Als ze geen werkende backup hebben zijn er weinig opties over. Betalen of clean install, de geëncrypteerde data elders plaatsen en hopen dat er ooit een hardcoded decryptie sleutel vrijkomt.

Ik acht de kans reëel dat ze er voor gaan betalen.

Onder "een schil" versta ik dan weer dat ze hun geïnfecteerde servers mogelijk in een aparte VLAN hebben geplaatst waar enkel bepaalde systemen toegang tot hebben over bvb enkel poort 3389.

Meestal zijn het botnets die WAN IP's afgaan, port scans uitvoeren en kijken of de software die hierachter draait exploits bevat. Kijk bijvoorbeeld naar de recente SSL-VPN exploit voor Pulse Secure en Fortigate apparaten. Van het moment dat je dan in het netwerk zit kan je veel bekomen.

[Reactie gewijzigd door Dracozirion op 27 december 2019 15:50]

Anoniem: 310408
@Dracozirion • 27 december 2019 16:04

Zij hadden hier dus duidelijk geen deftige backup.

Bij ransomware is de infectie vaak al maanden in het systeem en kan je geen enkele backup vertrouwen zolang je niet precies weet waar je naar zoeken moet.

Kijk naar Maersk, daar probeerden ze ook backups terug te zetten om ze meteen weer encrypted terug te vinden. Daar zijn voor alle servers nieuwe disks en complete nieuwe software gebruikt. Bleek de enige wijze.

Dracozirion
@Anoniem: 310408 • 27 december 2019 16:08

Akkoord voor een system restore, maar als je individuele data (user folders, files, mailboxes,...) terugzet op nieuwe servers is dit toch opgelost? Er van uitgaande dat er voor deze bestanden geen exploit bestond en de documenten (denk aan pdf, excels,...) zelf geïnfecteerd zijn met een executable?

[Reactie gewijzigd door Dracozirion op 27 december 2019 20:57]

the_stickie
@Dracozirion • 27 december 2019 19:39

Die data is wellicht het meest waardevolle deel, maar ook hetgene waar je als admin geen tijd mee uitspaart- het gaat hier immers duidelijk niet alleen om een fileserver

Er zijn maar weinig IT omgevingen waar alle servers tot in dergelijk detail gedocumenteerd zijn dat het doenbaar is ermee te gaan herinstalleren. Maar zelfs dan kost dat veel tijd.
Bovendien zijn er tal van dingen die je niet zomaar helemaal opnieuw kan doen (een AD (object)maken met dezelfde SID of een root CA opzetten bijv). En dan heb je nog tal van dependencies en historische beslissingen die het je nog lastiger zullen maken

Dracozirion
@the_stickie • 27 december 2019 20:55

Volledig mee akkoord hoor, behalve dan het AD gedeelte. Die objecten kunnen uit meerdere deftige backup systemen in bulk of individueel restored worden op nieuwe servers. Je domain joined clients en software van derde partijen die niet gebruik maken van -door je backup software herkende- databases, ja dat lijkt me wel een ander verhaal. Hoe dan ook, het feit dat ze contact opnemen met de aanvallers doet me wel vermoeden dat ze zaken niet op orde hebben.

the_stickie
@Dracozirion • 28 december 2019 00:34

Mja, ik volg je wel, maar ik zie meer de uitdaging dan de oplossing denk ik

Gesteld dat je geen (valide) backup hebt van een dc.... wat dan? Vergeet de restore van objecten maar

... ik zeg niet dat het onmogelijk is, maar dat vereist een niveau van wizard vér boven de mijne...

Mijn ervaringen met 'AD agnostische' backups is niet zo goed

Dracozirion
@the_stickie • 28 december 2019 01:09

Hier ook niet zo best maar ik heb het al wel enkele keren zien worden uitgevoerd door collega's. Nu ik er aan denk, heb nog wel nooit een encrypted AD omgeving gezien, behalve dan de GPO's. Zij zetten meestal een tweede (nieuwe) DC op en repliceren AD (incl DNS) waarbij we enkel poorten openzetten tussen beide VM's voor AD replicatie. Soit, OT.

HollowGamer
@Anoniem: 310408 • 27 december 2019 21:27

Kan je dat niet terugvinden in de filehashes van de backup? Neem toch aan dat deze veranderen na de encryptie en de laatst gewijzigde datum toch ook?

Denk dat clouddiensten met versiebeheer per bestand en offline/offshore backups de enige manier is om je hier tegen te wapenen.

the_stickie
@HollowGamer • 28 december 2019 09:53

Waarom zijn die clouddiensten beter dan tape met goede software en offsite secure storage?

Het is een interessante optie, maar lang niet de enige goede!

Eminus
@the_stickie • 29 december 2019 19:35

dat is het niet; het is wel een optie.

ik zou trouwens een combinatie van drie doen: Offsite per dag met een tape naar de kluis; Veaam backup en per gebruiker een OneDrive for Business.

Aandachtspunt: ransomware versleuteld en dus muteert bestanden. Als er een incremental backup gemaakt wordt, worden GEWIJZIGDE bestanden meegenomen. Zowel de Veaam als tape backup wordt meegenomen.

Het gaat in 90% van bovenstaande gevallen dan ook niet dat de 'backup encrypted is' maar dat de encrypte bestanden zijn weggeschreven naar tape/virtual tape.

TweetCu
@Dracozirion • 27 december 2019 15:58

Ja inderdaad, een backup binnen hetzelfde netwerk moet altijd een onder een speciaal backup account gebeuren met gelimiteerde rechten en de admin account moet 2fa gebruiken en een ander wachtwoord.

Daarnaast moeten backups altijd incrementeel of differentieel zijn of worden op het backup systeem, zodat bij ransomware aanvallen makkelijk kunt teruggaan op vorige versies van bestanden, en je kan indentificeren als een systeem geïnfecteerd is als er opeens 5GB aan encrypted bestanden bijkomen.

Dan is het ook nog een goed idee om een off-site systeem te draaien die een backup maakt van de backup systeem.

Wat altijd moet is periodiek een kopie maken van een bekende staat van backups naar tape, voor als het backup systeem is gecompromitteerd.

Dan moet deze backup ook nog grondig worden nagekeken en getest of deze ook werkt.

Het feit dat ze willen praten met de schrijvers van de malware geeft al aan hoe ver ze de mist in zijn gegaan.
Ten eerste als je deals gaat sluiten met de schrijvers ga je hun en andere malware schrijvers zeggen dat wat ze doen werkt en gaan ze nog meer ellende creëren voor andere bedrijven en in de toekomst weer de universiteit.
Ten tweede nadat je geld geeft is er geen garantie dat ze ook echt je bestanden decrypten of laten ze nog even een verborgen Remote Access Trojan achter, maarja sowieso moet je gewoon alles herinstalleren op alle systemen en alle databases herbouwen of nakijken of er injecties die gebruikt kunnen worden om verdere toegang te krijgen tot de host.

Sowieso moet de reden onderzocht worden hoe deze ransomware toegang heeft kunnen krijgen tot hun systeem en de bestanden, anders zal dit in de toekomst gewoon weer gebeuren.

[Reactie gewijzigd door TweetCu op 27 december 2019 16:11]

separhim
@TweetCu • 27 december 2019 20:02

Degene die dit gedaan hebben, hebben er veel meer bij als ze het niet opnieuw doen bij dezelfde slachtoffers. Als ze bekend staan omdat dat soort acties dan gaat niemand ooit betalen na een tijdje, als ze bekend zouden staan als "betrouwbaar als je betaalt" dan zullen bedrijven en instellingen eerder bereid zijn te betalen.

indigo79
@TweetCu • 27 december 2019 22:54

Het feit dat ze willen praten met de schrijvers van de malware geeft al aan hoe ver ze de mist in zijn gegaan.

Dat kan even goed op vraag van opsporingsdiensten zijn om die bandieten op te sporen. Er staat in dit artikel niet dat er overwogen wordt om op hun eisen in te gaan.

2fastTG
@Dracozirion • 27 december 2019 15:44

Op basis waarvan trek je deze conclusie? Is het niet waarschijnlijker dat het opschonen van alle systemen redelijk veel tijd in beslag neemt? Herbesmetting voorkomen is nogal belangrijk.

Dracozirion
@2fastTG • 27 december 2019 16:04

Het zijn eerder speculaties gebaseerd op ervaringen. Welke conclusue bedoel je exact?
Zonder backup (en die dient na restore ook nagekeken te worden) zou ik altijd opteren voor een nieuwe installatie, ongeacht de server en hoeveel rollen hier op draaien.

2fastTG
@Dracozirion • 27 december 2019 16:18

“Zij hadden hier dus duidelijk geen deftige backup.“

Misschien is die back-Up gewoon aanwezig, maar neemt het opschonen van alle systemen redelijk wat tijd in beslag.

Dracozirion
@2fastTG • 27 december 2019 20:41

Dan vraag ik me wel af waarom ze contact leggen met de persoon of personen achter de "hack". Om te overwegen of het betalen minder zal kosten dan backups herstellen?

[Reactie gewijzigd door Dracozirion op 27 december 2019 20:58]

tonkie_67
@Dracozirion • 27 december 2019 21:04

Wellicht nam(en) de besmetter(s) wel contact op met de Uni. Als je (mogelijk iom justitie) contact opneemt/houdt help je de opsporing

SuperDre
@Dracozirion • 27 december 2019 18:33

Leuk, backup trekken van versleutelde data... wat denk je dat het restoren van die backup dan voor nut heeft.....

Dracozirion
@SuperDre • 27 december 2019 18:57

Ik denk dat je niet helemaal begrijpt wat falcon bedoelt. De infectie is er al maanden, maar de data wordt pas later geeëncrypteerd. De backups van de data op zich zijn nog oké, tenzij je pas enkele maanden later merkt dat je bestanden al een tijdje geeëncrypteerd zijn.

YoMarK
@Scriptkid • 30 december 2019 11:52

Wat een onzin. Het wel/niet hebben van de door jou genoemde bullseye is gewoon security through obscurity, en dat is geen goed plan.
Ik zou gewoon accepteren dat je in het o-tje bent genomen, die criminelen betalen, en daarna een planning maken om de beveiliging op te schroeven zodat de kans dat dit weer gebeurd wordt verkleint.

De stelling "betalen aan criminelen moet je nooit doen", want(argument) "dan hou je deze hele business in stand" daar heb ik ook vaak over nagedacht. Ben zelf tot de conclusie gekomen dat de hele IT security business eigenlijk grenst aan het criminele. Wij(mijn werkgever) besteden bakken met geld aan security oplossingen(en mij, helaas maar klein bekertje), maar garanties dat de oplossing ook echt doet wat hij zou moeten doen...ho maar. Want(excuses): zero day, overmacht, combinatie van factoren, 3rd party tool is de schuld, hackers te slim, niet goed geïmplementeerd, etc...
Dus : gewoon betalen, medewerkers kunnen verder, en afschijven op het potje security.

Scriptkid
@YoMarK • 30 december 2019 18:49

Denk dat je toch even moet nakijken wat je nu zegt want je gebruikt de verkeerde gezegde.

Daarbij lijk je totaal te missen hoe en waarom hackers activisten groepen werken en welke type security je hebt en kunt gebruiken tegen die soorten.

Het betalen van crypto lockers houdt wel degelijk cryptos in stand en heeft niks te maken met bijvoorbeeld bedrijfs spionage. Het wel of niet betalen staat dan ook compleet los van bedrijfs spionage dus je zult nogsteeds securty moeten voeren daartegen.

Denk nu eens zelf andersom jij bent de hacker. Wie ga jij targeten bedrijf x die nog nooit gehacked is. Of bedrijf y waarbij al success volle hacks gedaan zijn en men betaald heeft.

Ik zou het wel weten. En Het fijt dat ze betalen geeft ook nog meer informatie prijs over hoe hun omgeving in elkaar steekt dan je denkt maar wat dat is laat ik aan jouw over gezien je er blijkbaar veel over na denkt.

Angelusz
27 december 2019 15:13

Nu vraag ik me af m.b.t. deze ransomware: Een schil om het netwerk zorgt dat er van buitenaf geen nieuwe commands naar het programma verstuurd kunnen worden.

Maar, als er reeds instructies bestaan om te blijven encrypten, is het niet ook noodzakelijk om de computers te stoppen en vanuit een ander systeem te scannen en uit te zoeken wat er aan de hand is?

Naar mijn kennis is de simpele basis van ransomware dat het programma je data op de achtergrond aan het versleutelen is terwijl de PC aanstaat.

segil
@Angelusz • 27 december 2019 15:24

Zover ik de werking van ransomware ken, is dat dit pas zichtbaar wordt nadat alles encrypted is. Zolang het encryption proces loopt, zal de malware alle alle toegang tot het filesystem onderscheppen en de data keurig unencrypted doorgeven, zodat voor de gebruiker niets aan de hand lijkt. Pas als alles encrypted is, wordt de encryption key verwijderd, stopt de malware met het decrypten van data, en wordt de gebruiker geïnformeerd over de situatie.

Niet Henk
@segil • 27 december 2019 16:04

Dat hangt van de malware af. Sommige ransomware decrypt nooit en is dan ook merkbaar tijdens het encryptieproces, als je toevallig een encrypted bestand probeert te openen.

Wat ik over Clop heb gelezen lijkt erop of het enkel encrypt, en niet tijdens het encrypten ook nog data terug kan geven. Een hele computer encrypten kost veelal een uurtje afhankelijk van de hardware (heb ik wel eens met VeraCrypt gedaan), alleen alle office-bestanden kan in minuten klaar zijn. Als je hier in het proces iets aan wilt doen, moet je heel snel handelen.

Clop verspreid zich wel eerst, en activeert zichzelf op gezette tijden (m.n. feestdagen) om zo onder de radar te blijven tijdens de encryptie en maximale impact te hebben.

PtrO
@Niet Henk • 27 december 2019 21:00

Het is soms al voldoende om zeg de eerst 100/0 bytes te encrypten van elk bestand waarmee je op/in een gemiddeld systeem in een paar minuten klaar bent. Het is daarmee ook niet moeilijk om die eerste kilobyte of sectoren van een file tijdelijk zolang het totale proces voortduurt, te decrypten. Relatief eenvoudig om dat lowlevel weg te werken in het i/o subsysteem wat ook voorkomt dat een tracer dat bemerkt. Ook de performance zal niet tot nauwelijks instorten.

[Reactie gewijzigd door PtrO op 27 december 2019 21:01]

Ayporos
@PtrO • 28 december 2019 00:11

Het hele probleem met dat idee is dat het dan vrij gemakkelijk is voor security experts om de decrypt key uit de malware te halen als ze een machine weten te vinden waar het encryptie proces op dat moment loopt.

Ik betwijfel dat er veel ransomware is die zo werkt, want dat klinkt namelijk als een behoorlijke vulnerability.

latka
@Ayporos • 28 december 2019 02:23

Clop heeft een command en control server. Keys kun je in memory doen. Behoorlijk lastig te hacken, ook voor security experts. Dan zul je toch een debugger op de malware moeten zetten. Zonder decryptie in het geheugen is potentieel veiliger, maar een decryptie key lift je niet 1-2-3 uit de .exe file.

Eminus
@latka • 29 december 2019 19:45

zover ik weet maakt Clop geen C&C verbinding maar vindt de communicatie via email, in tegenstelling tot vele (zoniet bijna alle) anderen.

Dat maakt het ook heel lastig om op firewall niveau te blokkeren of port rules aan te maken in een SIEM zodat je tijdig gewaarschuwd wordt.
Clop wordt natuurlijk vrij gemakkelijk geblokkeerd door InterceptX / HitmanPro.

D11
@Ayporos • 29 december 2019 16:19

Dat werkt niet sls asymetrische encryptie wordt gebruikt. Dan worden de bestanden met de public key ingepakt, terwijl de private key niet aanwezig hoeft te zijn op het systeem.

SgtElPotato
@PtrO • 27 december 2019 22:09

Dit en een andere extensie en 90% 99% van de mensen / administrators raakt al in paniek

Balder©
@Niet Henk • 28 december 2019 17:28

Klopt, gaat heel snel. Enige dat zou werken is alle systemen (in dat je het bestand opent) door middel van een soort rode knop uit te schakelen door degene die het bestand opent. In dat het proces start gaat het snel.
Via dvd versie van command prompt kun je virus dan verwijderen, alle andere methodes gaan door met encrypten.

fastedje
@segil • 27 december 2019 18:12

Als je monitoring hebt op je servers van diverse metrics, zoals disk usage, dan zou dit toch op moeten gaan vallen als er 5 a 10% van je servers uit disk gaan lopen?

segil
@fastedje • 27 december 2019 18:20

Zeker, vooral op systemen die niet veel disk IO genereren, zoals een DC of dhcp server.

Sinned123
@segil • 27 december 2019 20:04

Waarom zou je dat soort systemen willen encrypten.
Die heb je vrij gauw opgebouwd zonder dataverlies.

Zelf lijkt het mij dat alle stanaard OS bestanden niet worden encrypt.
Je wilt onder de radar blijven en dan kan je het niet gebruiken dat systemen crashen/vastlopen of helemaal niet meer booten.

NoobishPro
@segil • 28 december 2019 00:49

Heb zelf wel eens ransomware gezien welke je gewoon totaal kon omzeilen door de WI-FI uit te zetten... Ze zijn niet altijd even briljant.

killercow
@segil • 27 december 2019 15:46

Dat is interessant dan, want dat betekend dat je zou kunnen detecteren op hoge read-write hoeveelheden en in dat geval een memory-dump kunnen maken wanneer je verwacht dat er inderdaad een ransomware encrypt-run draait. In die memory-dump zal dan toch ook de decryptie key zitten.

ShellGhost
@killercow • 27 december 2019 15:52

Dat kan je ook. Je kan met tools alarmen zetten op buitensporige read/write acties. Swift on Security kan dat heel goed met zijn scripts

Zonnekeer
@ShellGhost • 30 december 2019 10:45

Ja... Totdat ze er een slow burn van maken die zichzelf tot maar een paar I/Os extra beperkt en de versleuteling over de periode van een week uitvoert ipv een uur.

scsirob
@Djdehaas • 27 december 2019 16:08

... Pas als alles encrypted is, wordt de encryption key verwijderd, stopt de malware met het decrypten van data, en wordt de gebruiker geïnformeerd over de situatie

Dat betekent dat de decryptie sleutel tijdens het proces op het systeem staat. Als je er vanuit gaat dat die systemen netjes gebackupped worden, dan zou je de sleutel dus uit de laatste backup kunnen vissen?

Vale vista
@scsirob • 27 december 2019 17:54

Die vlieger gaat niet op als ze een asymmetrisch encryptie algoritme gebruikt hebben. Het virus versleuteld de bestanden met de public key, welke enkel en alleen met de bijbehorende private key ontsleuteld kan worden, maar die private key is niet nodig voor het encryptie proces, en wordt dus hoogstwaarschijnlijk ook niet lokaal gegenereerd of opgeslagen in het geheugen. Hoogstwaarschijnlijk kunnen enkel de aanvallers achterhalen welke private key gebruikt kan worden voor decryptie.

[Reactie gewijzigd door Vale vista op 27 december 2019 17:56]

R4gnax

Networking en security

@Vale vista • 27 december 2019 19:12

Terwijl het encryptie-proces op de achtergrond nog loopt, hangt de malware een stukje logica tussen de normale onderdelen van het filesystem in, om files die reeds ge-encrypt zijn, on-the-fly weer decrypted door te geven.

Bij asynchrone encryptie moet die privé-sleutel dus alsnog aanwezig zijn. Anders kan dat niet werken.

[Reactie gewijzigd door R4gnax op 27 december 2019 19:13]

cotix
@Vale vista • 28 december 2019 00:49

Alleen is asymmetrische encryptie zo traag dat er bij het encrypten van een bestand eigenlijk altijd gebruik word gemaakt van een symmetrische cipher, zoals AES.

kodak

Networking en security
Ransomware

@Angelusz • 27 december 2019 16:00

Ik kan me zo voorstellen dat ze eigenlijk geen enkel systeem in het netwerk meer kunnen vertrouwen. Je weet immers dat een crimineel in je netwerk zit maar niet precies waar allemaal. Wat vervolgens de beste manieren zijn om te weten waar het zit en hoe dat valt te herkennen hangt van de situatie af. Maar er is niet voor niets dat bij aanvallen je maar beter kan zorgen voor goede backups en systemen waarop je kan terugvallen.

Angelusz
@kodak • 27 december 2019 16:03

Absoluut. Daarom is mijn eerste ingeving ook: Uitschakelen (feitelijk wat ze nu hebben gedaan met die schil, alleen zitten ze dus nog met het programma op de draaiende PC's zelf) en met beschermde computer van buitenaf connectie met de geïnfecteerde datadragers maken om te proberen het op te lossen.

xajorkith
@Angelusz • 29 december 2019 00:38

De schil zal voor zowel van buiten naar binnen maar vooral van binnen naar buiten gelegd zijn. Je wil voorkomen dat de server in het netwerk contact op kunnen nemen met de command servers. Kat en muis spelletje, block IP's ze verhuizen. Op gegeven moment is het klaar, probleem hier is dat de ransom ware al actief is op veel servers. Ze hadden het dus te laat door dus de schil haalt weinig meer uit.

3raser

27 december 2019 15:15

Dit lijkt me een zeer moeilijke afweging. Je wilt uit principe niet betalen maar als het herstellen van de schade meer kost dan het betalen van de afperser, wat doe je dan?

Hoe staat het met de backups? Ik neem aan dat je van wetenschappelijke data wel offline backups hebt die niet getroffen (kunnen) worden door ransomware.

Tozz
@3raser • 27 december 2019 15:59

Dan betaal je ook niet. Het nadeel van betalen is niet dat je je data terug hebt, het nadeel is dat je bij wijze van morgen weer genaaid wordt en weer mag betalen. Het is afpersing, dat stopt meestal niet na 1x.

Groningerkoek
@Tozz • 27 december 2019 17:14

Als het de gewoonte wordt dat betalen uiteindelijk resulteert in een systeem wat je een paar dagen later alsnog kwijt bent ondermijnen de hackers hun eigen verdienmodel, die zijn juist gebaat bij systemen die na betaling weer snel in de lucht zijn en daarna ongestoord door kunnen draaien zodat het verleidelijker wordt voor anderen om ook maar te betalen om er vanaf te zijn.

kodak

Networking en security
Ransomware

@Groningerkoek • 27 december 2019 17:26

De redenatie van @Tozz vat ik wat breder op. Dat je er hopelijk weinig tot geen last meer van hebt maakt nog wel dat je de criminelen een financiële beloning geeft voor hun verwerpelijke daden en dus een motivatie is om er elders mee door te gaan. Criminelen die geld vragen lijken zich net zo te gedragen als gewone ondernemers op zoek naar financieel gewin: zolang het lucratief is is er motivatie.

Groningerkoek
@Scriptkid • 27 december 2019 22:37

Zullen ze wel een nieuwe toegang moeten zoeken (tenzij men compleet achterlijk is en dezelfde deur open laat staan)

Groningerkoek
@Scriptkid • 28 december 2019 10:38

Persoonlijk denk ik dat je die 10+ miljoen schromelijk overschat.

stuffie123
@Tozz • 27 december 2019 17:52

Een belangrijk nadeel van betalen is ook de kans op verafschuwing door de maatschappij. Ten eerste omdat het gaat om overheidsgeld, en ten tweede omdat het de criminaliteit in stand houdt.

Vergeet niet dat je van alle kanten, en zelfs van de politie het advies krijgt om niet te betalen. Iets waar de fbi trouwens anders over denkt.

wildhagen

@3raser • 27 december 2019 15:21

Wat ik uit het vorige artikel begreep (aantal quotes eruit) was dat de (recente) backups onbruikbaar zouden zijn omdat die ook besmet bleken te zijn. Geen idee of dit echt zo is overigens.

Ook de AD, dus alle useraccounts, groepen/groepslidmaatschappen, DNS, DHCP etc, was ook encrypted door de malware. Die terugzetten is alleen al een drama, omdat je dan useraccounts etc kwijt kunt raken.

Dit is gewoon een bitch om te herstellen. Heb het bij enkele van onze klanten ook gehad, gelukkig was daar 'slechts' gebruikersdata geraakt, en was de backup bruikbaar, maar toch. Het is een bitch om dit soort zaken te herstellen, kan best vele dagen duren, als het om heel veel data gaat.

Scriptkid
@wildhagen • 27 december 2019 21:45

Het feit dat DC`s gehit zijn geeft al aan dat er high level accounts compromised zijn. klinkt dus als heel erg falen van JIT/JEA en PAW icm slimme admins.

ben benieuwed of men de root oorzaak ook bekend gaat maken , phish, gedownload tooltje etc.

Kabouterplop01
@Scriptkid • 28 december 2019 09:08

yup, Onder een admin, of hoger equivalent account, of zoiets, geactiveerd.
Sommigen die snappen niet eens dat een domain admin/enterprise admin account in de kluis hoort en gaan er gerust mee internetten vanaf <noem eens een server type.>
Als men als admin dat account nodig heeft; zou men ook moeten leren op de MS cursus dat men het password veranderd, alvorens het weer in de kluis te stoppen.

Scriptkid
@Kabouterplop01 • 28 december 2019 10:17

In de nieuwe premier powershell cursusen behandelen we in de powershell voor it management de functionaliteit voor powershell en jit jea als nieuwe aparten modules en dus best uitgebreid. Moet je wel premier contract hebben en even de ms university in de gaten houden wanneer we ze hebben.

Https://microsoft.nl/nlu

twslex
@wildhagen • 29 december 2019 08:36

Dat valt meestal erg mee in dat soort omgevingen. Daar is vaak een koppeling met de studenten administratie en het creeren van accounts gaat dus automatisch.
Ook zijn de accounts bij google/apple of microsoft cloud bekend, revers script maken in idm en je accounts zijn terug.

Alex3
@twslex • 30 december 2019 17:17

En denk je dat de studentenadministratie een apart systeem is?

twslex
@Alex3 • 3 januari 2020 07:52

Als je het goed opzet wel en laat je alleen transacties door van en naar de AD/eDir/OpenLDAP oid.
Het heeft immers een heel hoog gdpr gehalte.

rickboy333

@3raser • 27 december 2019 15:21

Zover ik weet zijn ook de backups getroffen. Als je een shadow backup wil terugzetten dan zorgt een .bat bestand er voor dat het niet gaat werken. Of dat ook het geval is bij full backups weet ik niet

nieuws: Deel diensten Universiteit Maastricht offline door Clop-ransomware - ...

Of er nog tape backups zijn weet ik niet en is volgensmij ook nog niet bekend.

[Reactie gewijzigd door rickboy333 op 27 december 2019 15:22]

sfranken
@rickboy333 • 27 december 2019 15:54

Ik mag toch écht wel hopen dat er meer dan een shadow copy draait op je wetenschappelijke databanken, anders ben je als afdeling / universiteit gewoon dom bezig (en dat is een understatement). Dit soort dingen moet je offline en offsite backuppen, voor dit soort situaties.

Maar goed, dat is mijn mening.

Randomguy369
@sfranken • 27 december 2019 17:39

Volgens de NOS zijn de wetenschappelijke onderzoeken beveiligd en zouden dus veilig moeten zijn.

sfranken
@Randomguy369 • 27 december 2019 19:52

De term "beveiligd" doet hier niet veel. Dat kan slaan op de infrastructuur, dat het fysiek ergens anders draait en daarmee "beveiligd" is, of het kan slaan op het feit dat je er niet zomaar in kan komen omdat je bij een bepaalde groep moet horen in hun AD, of een login erop. Iets meer info vanuit de NOS had hier wel handig geweest.

Sandor_Clegane
@rickboy333 • 27 december 2019 16:02

Dat is wel knap, hoe werkt dat?

Ah, ze gebruiker VSSADMIN oid. Hopen dat je een NetApp oid hebt.

[Reactie gewijzigd door Sandor_Clegane op 27 december 2019 16:05]

peize9

@3raser • 27 december 2019 17:46

Verzekering zal de schade neem ik aan wel vergoeden, dus gewoon niet betalen en als het meer kost dan is het het probleem van de verzekering.

Blokker_1999

Ransomware
Networking en security

@peize9 • 27 december 2019 18:16

Als je al verzekerd bent, dan zal de verzekering enkel voor de goedkoopste oplossing de kosten vergoeden. En dat is meestal gewoon betalen dus.

casberrypi

@Blokker_1999 • 28 december 2019 11:29

Juist voor verzekeraars kan het dus voordelig zijn om niet te betalen, en een lijst van prominente klanten publiek maken.

SuperDre
@peize9 • 27 december 2019 18:26

Dit is een aparte verzekering, en veel bedrijven zijn hier niet tegen verzekerd. Het is niet alsof dit in je inboedelverzekering zit.

Bjorn89
@SuperDre • 28 december 2019 14:25

Dit is een semi publieke instantie, voor het vollk bedoeld. Dit is niet puur een privaat bedrijf, elke verzekeraar die dit niet support zal zich ook zelf in de voet schieten.

Want basicly zeggen ze, Nederlandsvolk boeit ons totaal niet, educatie is niet belangrijk.

SuperDre
@Bjorn89 • 28 december 2019 19:48

Wat een onzin, dat maakt voor een verzekeraar niets uit, het is geen liefdadigheidsinstelling.

PtrO
@peize9 • 27 december 2019 21:29

Ik zou mij kunnen voorstellen dat er (straks) wetten komen die betalen van losgeld, verbiedt.
Immers daarmee hou je het verdienmodel in stand.

casberrypi

@PtrO • 28 december 2019 11:31

Nou is het betalen juridisch al best moeilijk. Het is niet dat je een factuurtje krijgt hé.

dmantione
@peize9 • 27 december 2019 22:50

Zonder dat ik de details ken voor de Universiteit Maastricht, vallen universiteiten onder het overheidsbeleid dat de overheid groot genoeg is om alle schade zelf te kunnen lijden en daarom geen verzekeringen afsluit. Het zou kunnen dat de UM voor specifieke zaken alsnog verzekerd is, maar over het algemeen zijn universiteiten dat niet.

casberrypi

@dmantione • 28 december 2019 11:35

Universiteiten zijn juridisch zelfstandige organisaties, gelukkig maar. Zou de landelijke overheid daarvoor op moeten draaien? En die andere universiteiten die wél veel geld geïnvesteerd hebben in backup infrastructuur en andere beveiliging? Gaat de landelijke overheid daarvoor dan subsidies verstrekken? En moet Maastricht het dan maar even zonder stellen, omdat het geld is uitgegeven aan afpersers?

dmantione
@casberrypi • 28 december 2019 12:44

Relevante vragen, maar ik kan daar geen antwoord op geven. Universiteiten zijn juridisch zelfstandig, maar ook overheidsinstellingen, en volgen het overheidsbeleid voor verzekeringen. De TU Delft heeft na instorten van Bouwkunde enkele jaren geleden zelf voor de kosten moeten opdraaien, of daar van de centrale overheid is bijgesprongen kan ik je niet vertellen.

Het ligt in de rede dat de schade in Maastricht flink is, maar financieel niet in de tientallen miljoenen zal lopen en de universiteit zal de kosten daarvan kunnen lijden, zonder dat ze direct in Den Haag hoeven te gaan bedelen.

Bjorn89
@casberrypi • 28 december 2019 14:26

Maar draaien wel voor een enorm groot gedeelte op 'grants' en publiekelijk geld.

Het is geen puur privaat bedrijf, wij als inwoners betalen allemaal eraan mee.

stftweaker
27 december 2019 15:24

Ik denk dat er een paar systeem beheerders een nieuwe baan kunnen zoeken in het nieuwe jaar.
Geen goede backups. Geen enkele vorm van garanties. Ik bedoel dit schiet toch niet op mensen..

Enigste vorm van contact moet zijn haha nice try we got a backup later.

DinX
@stftweaker • 27 december 2019 17:12

Dit is in de meeste gevallen puur een budgettaire kwestie.

Je kan je inderdaad tegen heel erg veel dingen indekken, maar op het einde van de rit dient het wel betaald te worden. ICT moet op zeer veel plaatsen jaarlijks nog meer werk verrichten terwijl de budgetten vaak niet fel omhoog gaan.

Iedereen die hier schermt met backups, offsite backups, backups van backups,... onderschat vaak de prijs wat dit met zich meebrengt voor grote organisaties. Het is niet alsof je gewoon een paar schijven gaat kopen bij de Mediamarkt, aansluit en er wat bestanden naartoe kopieert.

Een beetje basis perimeter firewall zonder al te veel extra licenties is al snel enkel 10.000den euros wanneer je het wat redundant wil opzetten en de specs genoeg moeten zijn om je 1Gbps/1Gpbs met VPN, IDS, IDP, AV,... te kunnen trekken.

Doe daar nog wat DNS based security bij aan wederom x euro per gebruiker per jaar.
Nog een interne firewall om je servers van je standaard LAN af te schermen ? Zodra je over de 10Gbps verwerking gaat komt de 100k list price al snel dichtbij.

Wil je een zeer grote omgeving in detail gaan voorzien van ACL's op netwerkniveau komen eer al snel oplossingen als Clearpass of ISE bij. Hopla, nog maar eens x euro per gebruiker per maand.
Wil je een degelijke 2FA oplossing voor je, op zijn minst, remote toegang, die ook nog eens te implementeren valt met je bestaande systemen? Wederom x euro per gebruiker per jaar in geval van iets als Duo. doe er ook nog maar eens x0 euro per hardware token bij als je het niet via een smartphone of dergelijke wil doen.

Dan zitten we nog enkel bij de lokale netwerkbeveiliging.
Wil je nog iets zoals Cisco AMP erbij, Cisco Umbrella (of de concurrenten die er niet veel zijn), nog maar eens x euro per gebruiker per maand.
Dan zijn we zelfs nog niet toegekomen aan licentiekosten, hardware,... voor x aantal extra lagen van backups.

Dit zijn dan nog enkel maar de materiële en licentiekosten. Dan spreken we nog niet over heet meeste moeilijke voor IT Management: "extra FTE's". Personeelskost is een zeer gevoelig ding voor management. Maar voor al die extra zaken heb je ook extra personeel nodig, vaak zelfs binnen aparte domeinen.

De IT Manager moet dus een enorme berg geld aan zijn hogere directie gaan verantwoorden die compleet onzichtbaar is, laat staan technisch te begrijpen. En jammer genoeg zijn er nog veel bedrijven en instellingen (zelfs de hele grote) waar je niet moet afkomen meet "volgend jaar hebben we 500.000 euro extra investeringen in ICT nodig, met een daarbijhorende jaarlijkse licentiekost van 200.000 euro). Fictieve bedragen, maar niet ver van de werkelijkheid.

hackerhater

@DinX • 27 december 2019 17:26

Het kost geld ja, maar data kwijtraken of medewerkers die uit hun neus kunnen gaan eten omdat de boel plat ligt kost nog veel meer.

indigo79
@hackerhater • 27 december 2019 22:43

Zelfs als je van alle belangrijke data backups hebt, kost het gewoon veel tijd om dergelijke schade te herstellen. Het gaat over enorm veel systemen (volgens hun website heeft de universiteit een 3700 personeelsleden en bovendien zijn er systemen om 18000 studenten te ondersteunen waarbij je in eerste instandie niet weet wie er allemaal geïnfecteerd is en als je er eentje mist, kan je met wat pech weer opnieuw beginnen), er is in de meeste gevallen geen systeem voorzien om alle systemen automatisch van een maagdelijk OS te voorzien, je moet met zekerheid kunnen achterhalen welke backups (of welke delen van welke backups) geïnfecteerd zijn (het OS van een mogelijk geïnfecteerde backup terugzetten is uiteraard geen goed idee, maar als de user data documenten met macro's en code allerhande bevat, moeten die ook geverifieerd worden) en zo lang je niet zeker weet hoe de hele aanval begonnen is, kan met een identieke configuratie het hele verhaal weer opnieuw beginnen. Vergeet ook niet dat we hier van een universiteit spreken, waar veel mensen meer dan een paar standaard programma's gebruiken en niet van een vertaalbureau of zo waar je voor een standaard cloudopslag kan gaan en elk systeem bij elke reboot van een verse installatie kan voorzien.

Het feit dat men rekent op een week of een paar weken herstelwerk is voor mij op zich geen indicatie dat men geen backups zou hebben. Er zijn uiteraard deployments waarbij je dat allemaal kan verkorten, maar in een universiteit waar elke onderzoeker eigen software nodig heeft (en regelmatig ook zelf schrijft), is dat een weinig realistische optie. In theorie kan het allemaal, maar het kost waarschijnlijk meer dan om de paar jaar een hersteloperatie en het is niet dat IT afdelingen typisch een bom geld op overschot hebben.

En die commentaren dat de systeembeheerders best een andere baan gaan zoeken, komen hopelijk van mensen die niet weten waarover ze het hebben (of van die ene IT afdeling die wel geld op overschot heeft). De rest van de systeembeheerders heeft voor elk uur dat ze aan backups en andere niet direct zichtbare verbeteringen besteden eerst twee uur werk om het management te overtuigen van het nut ervan en roeit dus met de riemen die ze hebben, waarbij vaak wel aandacht is om alle belangrijke data te backuppen, maar geen tijd of geld overblijft om op voorhand over large scale disaster recovery na te denken. In het overgrote deel van de gevallen is zo'n backup ook vooral nodig om iemand die z'n bestanden per ongeluk gewist heeft uit de nood te helpen.

Balder©
@indigo79 • 28 december 2019 17:35

Het probleem zal zijn dat het virusbestand zich lokaal opslaat. Ik ga ervan uit dat ze elke dag meerdere backups maken, maar eerst zullen ze van elke pc het virus (lokaal) moeten verwijderen.
En als je 19000 systemen aan elkaar verbonden hebt zit hier het probleem.
Alle systemen zou ik tegelijk formateren en opnieuw installeren en ja misschien verlies je dan inderdaad de laatste data die nog niet opgeslagen was en zul je alle pc's weer van alle verschillende software moeten voorzien. Maar dit is wel de beste methode.

[Reactie gewijzigd door Balder© op 28 december 2019 17:36]

stftweaker
@hackerhater • 27 december 2019 20:38

Precies dit. Een it manager die niet duidelijk kan maken waar extra geld voor nodig is. Omdat het ook echt nodig is, is naar mijn mening een slechte it manager. Als jij vertel luister backups kosten bedrag x en als shit hit the fan cost bedrag y. Dan lijkt het mij wel erg duidelijk toch?

Nu kan er niet gewerkt worden. Slechte publiciteit, bestanden mogelijk voor altijd weg. En is niet zo dat dit de eerste aanval is.

indigo79
@stftweaker • 27 december 2019 22:47

Dan is het compromis een budget dat net volstaat voor het backuppen van kritische data, maar niet voor een large scale disaster recovery plan, onder het motto 'dan kunnen we het probleem oplossen als het zich stelt'. En dat lijkt hier ook het geval te zijn.

Een IT manager die zijn management kan overtuigen om voor een volledige oplossing te gaan kan een veelvoud verdienen als advocaat (of oplichter, of nog iets anders waarvoor het veel geld opbrengt als je mensen kan overtuigen van jouw verhaal).

n9iels

@hackerhater • 27 december 2019 21:48

En dat besef komt dus pas op dit soort momenten, als het te laat is. Veelal waarschuwt men al lang van te voren, maar voor de kosten die je maakt krijgt men geen nieuwe functionaliteiten ed. terug. Dat is de reden waarom dit veelal laag onderin de agenda staat. Heel lullig, maar dit soort berichten helpen wel met er aandacht voor krijgen....

SuperDre
@hackerhater • 27 december 2019 18:30

Maar geld moet er dan wel zijn. En zelfs helpt vaak geld er tegenaan gooien ook niet.

efwee
@DinX • 27 december 2019 19:18

Dank voor dit overzicht.

Twee opmerkingen:

Zeker een universiteit met digitale omgevingen voor studenten heeft vast ook veel bespaard op allerlei processen en faciliteiten die vroeger zonder IT bakken vol geld kosten. In Tilburg hadden ze toen ik daar zat een complete drukkerij! En studiegidsen. Nu vast niet meer. De neiging van veel organisaties is blij die opbrengsten inboeken maar moeilijk doen als de kosten die daarbij horen ter sprake komen.

In 2018 was de begroting van de Universiteit Maastricht zo'n 445 miljoen.

Scriptkid
@DinX • 27 december 2019 21:30

en toen was er de cloud waar je dat allemaal niet hoeft te doen omdat de cloud leverancier dat voor je doet.

Ja vaak wordt cloud als duur gezien maar als je apples met apples vergelijkt wordt het ineens een stuk goedkoper.

Moet je natuurlijk wel cloud native gaan en niet weer servers in cloud gaan instaleren.

BvdW1978
@Scriptkid • 27 december 2019 23:27

Je data in een S3 bucket is net zo hard encrypted als op een fileshare. Het is wat makkelijker om je daartegen te wapenen, maar onder de streep net zo goed heel duur. Dat zet zeker wel druk op je cloud business case.

Scriptkid
@BvdW1978 • 28 december 2019 09:03

Data op onedrive is protected tegen encryption die heeft detectie bij meer dan 100 files.

En waar ik op doel is de reactie van alle duren netwerk apperatuur en fte kosten voor onderhoud. Dat zijn allemaal zaken die bij azure goed geregeld zijn en waar jij je als klant niet druk over hoeft te maken.

Volgensmijn. Geld voor alle 3 de grote cloud providers dat hun saas en iaas nog steeds 0 known hacks hebben.

Kabouterplop01
@DinX • 28 december 2019 09:24

Ja, dat klopt en als je dat niet hebt, heb je dus skilled admins nodig...

biggydeen2
@DinX • 29 december 2019 07:14

Dat valt allemaal op te lossen door simpelweg naar de cloud te gaan. Daar regelt MS of Amazon dit voor je. Op een tien keer grotere schaal dan hrt bedrijf zelf ooit zou kunnen. Dan heb je natuurlijk de discussie of je alle data in de cloud wilt/mag hebben. Maar je hebt wel veel minder fte nodig omdat het hele beheer gedeelte grotendeels wegvalt.

Daarnaast heb je aan al die beveiliging ook niet zoveel als een interne medewerker de malware per ongeluk heeft meegenomen op zn USB stickje.

fRiEtJeSaTe
@stftweaker • 27 december 2019 15:30

Ik denk dat er een paar systeem beheerders een nieuwe baan kunnen zoeken in het nieuwe jaar.
Geen goede backups. Geen enkele vorm van garanties. Ik bedoel dit schiet toch niet op mensen..

Enigste vorm van contact moet zijn haha nice try we got a backup later.

Enige.
En iedereen maakt fouten. Security is nou eenmaal een ondankbare tak van sport. Je loopt altijd achter de feiten aan. Terwijl jij alle gaten moet zien te dichten, hoeft een hacker er maar 1 te vinden.

Yzord

@fRiEtJeSaTe • 27 december 2019 15:57

Komop, hoe lang bestaan deze ransomware nu al? Als grote organisatie had hier allang op ingespeeld moeten worden dmv een dagelijkse backup van een backup en deze offline te storen. Wat je dan mist is hooguit een dag.

Ik blijf dit steeds stunteliger vinden naarmate we verderop raken in de tijd. Als beheer behoor je je gewoon in te dekken tegen dit soort cybercrime. Ik heb zelf in een grote organisatie (Hogeschool) gewerkt en de nonchalance die ik ervaarde tijdens meetings over dit soort dingen is nog veel te groot. Ik was altijd zeer kritisch tijdens meetings over dit soort zaken en werd als ‘vervelend’ beschouwd, want meer werk enzo, maar vroeg of laat ben je als organisatie een keer de lul. Dit is gewoon makkelijk scoren voor criminelen.

separhim
@Yzord • 27 december 2019 19:59

Ransomware staat er niet binnen dag op en activeert zich, die kunnen al maanden ergens in het systeem zitten dus dan is het meer dan "Wat je dan mist is hooguit een dag".

Yzord

@separhim • 27 december 2019 21:25

Daarom zei ik ook offline storen. De backup vervolgens scannen op de betreffende ransomware alvorens men het restored. Maar goed, ik ben er al weer vijf jaar uit (Windows omgeving) dus het kan best zijn dat ik wat over het hoofd zie. Des te belangrijker is het om kritisch te zijn als IT organisatie in een grote organisatie. Een virusje hier of daar ala, maar dit is serieuze business en daar mag je gerust een halve fte op zetten om dit te voorkomen in de toekomst.

Maar dat gebeurt vaak niet. Beheren is vooruitzien.

separhim
@Yzord • 27 december 2019 21:43

Ik kan niet veel zeggen over de specifieke situatie qua IT van de UM maar wat het beste is, offline back-ups en wat mogelijk is met je budget kan nogal sterk verschillen. Je kan wel zeggen, ff offline back-up maken, maar dat betekent niet dat de beheer van het systeem van de UM daar de mogelijkheid voor heeft om dit een tijd terug te kunnen gaan voor de infectie.

Je moet ook in de gaten houden dat dit systeem honderden zo niet duizenden computers heeft en op elk kan nog steeds de ransomware staan. Als ik opzoek hoe je het beste om kan gaan met dit soort ransomware dan zeggen ze allemaal, heb een backup die voor de infectie is gemaakt die niet in contact is geweest met een computer sindsdien. Het is waarschijnlijk niet even gemakkelijk de ransomware verwijderen voordat je de backup van gister er weer opzet.

GeleFles
@Yzord • 27 december 2019 21:15

'deze ransomware' bestaat misschien al langer, maar blijft verre van hetzelfde. omdat detectie steeds geavanceerder word, word de ransomware ook steeds beter.
Eerder ging de ransomware gelijk decrypten, maar bij nieuwe ransomware wacht de encryptie totdat eerst backups en shadow copies gesloopt zijn.
Daarna pas aan de slag, soms zelfs pas op commando vanuit de hackers als ze zeker weten waar en wanneer ze het hardst kunnen toeslaan. (zodat ze zeker weten dat er niet zomaar een backup teruggezet kan worden en dat er belangrijke data geencrypt word)

indigo79
@Yzord • 27 december 2019 22:51

Komop, hoe lang bestaan deze ransomware nu al? Als grote organisatie had hier allang op ingespeeld moeten worden dmv een dagelijkse backup van een backup en deze offline te storen. Wat je dan mist is hooguit een dag.

PC's of laptops voor 3700 personeelsleden (waarvan een groot deel meer dan een beetje standaardsoftware nodig heeft) en ondersteunende systemen voor die 3700 personeelsleden en 18000 studenten herstel jij op hooguit een dag? Ofwel weet je niet waarover je spreekt, ofwel weet ik graag wat je nu verdient om je per direct een aanbod te doen waar je niet aan kan weerstaan.

PtrO
@fRiEtJeSaTe • 27 december 2019 21:19

De grootste fout zit wmb paradoxaal toch in het besturingssysteem als ontwerp die generiek onbeschermd toegang mogelijk maakt. Ik kan mij zomaar voorstellen dat wanneer iemand anders dan de eigenaar een bestand veranderd, het verzoek daartoe wordt gepauzeerd of met snapshots wordt afgeschermd.
Vervolgens kun je de verschillen tussen snapshots gebruiken om te bepalen wat de mate vam verandering is en/of dat in lijn is met verwachting en doel van het bestand. je kunt ook op strategische plaatsen in een bestand, checkbytes plaatsen. Zodra die worden veranderd is het bingo.

Je kunt er verder nadenken waarom een eenmaal gepriviligieerd programma daarna onbeperkt leest, laat staan schrijftoegang moet hebben tot ieders individuele data.op bronniveau. Linux is wat beter qua systeemscheiding maar ook daar is de detaillering en granulatie van rechten een ondergeschoven kindje.

Scriptkid
@PtrO • 27 december 2019 21:33

dat is juist binnen een windows omgeving redelijk goed te regelen, probleem is alleen dat bijna geen enkel bedrijf dat doet.

Kijk eens naar Powershell JIT en JEA beheer is al sinds 2008 in de markt maar ken nog geen 1 bedrijf (en ja ik kom bij vele) die het geimplementeerd heeft. Meeste bedrijven modderen nog steeds met beheerders via RDP naar servers met local admin op de server. En dan dan ook nog eens zonder een PAW te gebruiken.

dmantione
@Scriptkid • 27 december 2019 22:24

Wetenschappers zijn niet het type personen die je een dichtgetimmerde machine kunt geven waar ze bijna geen rechten op hebben. De computer wordt voor veel kwesties gebruikt en het is vaak niet te voorkomen dat mensen daar zelf rechten op hebben, maar dan verschuift de verantwoordelijkheid voor de veiligheid van het systeem van de beheerder naar de gebruiker.

Het beheer regelt in een universiteit vaak de beveiliging tussen apparaten die op zich als potentieel gecorrumpeerd beschouwd moeten worden en is dus actief met actief scannen van verdachte netwerkactiviteiten. Centrale voor de bedrijfsvoeriging van de universiteit cruciale systemen zitten vaak wel op een ageschermd netwerk, maar gezien daar toch ook weer tienduizenden mensen gebruik van maken, lopen er ook een hoop deurtjes van het open internet (het netwerk van universiteiten gebruik vaak publieke ipv4-adressen), naar het afgesloten deel en het is niet zo triviaal om goed te bewaken wat er allemaal door die deurtjes gaat.

Als je iets in Windows actief moet gaan inregelen, dan gaat dat niet werken. Ga uit van allerlei apparaten die mensen voor een groot deel zelf beheren en bescherm systemen je cruciale systemen tegen potentieel vijandige apparaten. Het is hier waarschijnlijk ernstig misgegaan: De malware heeft zich waarschijnlijk via een apparaat wat iemand zelf slecht beveiligd heeft (kan van een student zijn, een wetenschapper, of zelfs van een gast) en de malware heeft zich van daaruit weten te verspreiden naar cruciale systemen. Over hoe dat precies is gegaan weten is voor zover ik weet nog niets bekend.

BvdW1978
@dmantione • 27 december 2019 23:29

Wat is er mis met die publieke IP-adressen?

Kabouterplop01
@BvdW1978 • 28 december 2019 09:21

Die zijn rechtstreeks benaderbaar vanaf het internet, en dus potentieel meer kwetsbaarder. (ook al zit er wellicht een firewall voor)
Er zijn honderden partijen die alle ip adressen op het internet afscannen en zoeken naar kwetsbaarheden.

BvdW1978
@Kabouterplop01 • 28 december 2019 11:33

Dat is, gegeven een normaal netwerk met firewall op de rand en ACL's op de switches, een non-issue. Ik durf zelfs te beweren dat het veiliger is omdat de ontwerpers niet hoeven na te denken over ondoorzichtige NAT-wokkels in het netwerk.

Kabouterplop01
@BvdW1978 • 28 december 2019 19:25

Ben ik niet helemaal met je eens, gegeven het voorbeeld van dit issue.
(Maar ik heb totaal geen verstand van het universiteits netwerk en kan dus ook niet zeggen of er non rfc-1918 ip adressen worden gebruikt)

BvdW1978
@Kabouterplop01 • 28 december 2019 19:58

RFC 1918 specificeert adresruimte die je voor eigen lokale TCP/IP deployments mag inzetten. Die worsen dus nooit over het publieke net gerouteerd. Specifiek 10.0.0.0/8, 192.168.0.0/16 en 172.16.0.0/12. Kom je die tegen, dan zit je op een privaat netwerk. Wil je vanaf daar iets met het internet doen, dan heb je NAT of een proxy nodig.

De afgelopen 20 jaar is de grove misvatting ontstaan dat je door gebruik van dit soort adressen veiliger bezig bent. Zelf ben ik het daar hartgrondig mee oneens. Zeker dit soort malware haal je binnen, nestelt zich op je werkplek en haalt vervolgens zijn instructies van buiten zelf op. Daar beschermt NAT je nog geen milliseconde tegen.

Je ziet dit hele debat ook terugkomen buj IPv6: ja maar NAT is veilig! Onzin. De filterregels in een firewall worden veel complexer door NAT omdat je rekening moet houden met pakketjes die onderweg herschreven worden, en waar een administratie van moet worden bijgehouden in de router. Door alles routable te adresseren, kun je veel eenvoudiger redeneren over verkeersstromen van A naar B omdat er niets meer onderweg omgesmurfd enbteruggeklust moet worden. Firewalls worden daar simpeler, sneller en veiliger door.

Kabouterplop01
@BvdW1978 • 29 december 2019 10:07

Dat zou je zeggen, maar klopt niet. Het is een BCP dat je rfc adressen niet over het publieke internet routeert. Ik zie het vaak genoeg, knurftjes die met RIP en OSPF hun rfc 1918 adresjes aankondigen én routeren. Ik neem niet eens de moeite meer om het ze te melden.

Ik durf te beweren dat NAT minder onveilig is dan non rfc1918 rechtstreeks aan het internet.
Als je een kale kwestsbare/ongepatchte machine zo op het publieke internet hangt is ie binnen 5 minuten besmet.
Ik zeg pertinent NIET dat als je NAT gebruikt je dan veilig bent.
Bij complexe netwerken denk ik dat je gelijk hebt over de vereenvoudiging; daar heb je goede netwerkbeheerders voor nodig, maar niet bij huis tuin en keukengebruik, aangezien niet iedereen verstand heeft van V6 en het naar mijns inzien aggressieve manier van "het zichzelf propageren en aanzetten".

BvdW1978
@Kabouterplop01 • 29 december 2019 11:27

Klopt, prutsers heb je overal helaas. Maar kale ongepatchte machines zo op het internet hangen is niet hetzelfde als het gebruik van routable IP's. Dat weet jij ook wel als ik de rest van je reactie zo inschat. Je filtert de ingress op de gateway, staat alleen established toe en klaar ben je: grosso modo net zo "veilig" als NAT maar een stuk simpeler qua ruleset en een sensible default die ik in de Fritzbox van XS4ALL ook zo heb aangetroffen voor IPv6.

Het grote euvel zit echter elders: bij bouwers van besturingssystemen die nu nog steeds denken dat er zoiets bestaat als een veilig LAN en op die basisaanname hun systeem met open poorten uitleveren aan nietsvermoedende consumenten. Veilige LAN's bestaan wel maar zijn zeldzaam. Bouwers van besturingssystemen, IoT en andere connected apparaten zouden uit moeten gaan van vijandigheid aan de andere kant van ál hun poorten (netwerk, USB.. alles). Maar hee, een nerd mag dromen hebben he..

Kabouterplop01
@BvdW1978 • 29 december 2019 11:58

check en +1 $_/-\o_$

dmantione
@BvdW1978 • 28 december 2019 12:48

... en dat is in de regel niet de situatie op een universiteit: Het is geen internettoegangsnetwerk, maar internet direct op de hoofdsnelweg. In faculteiten staan clients en servers soordat mensen laagdrempelig ook ingaand verkeerd kunnen organiseren zonder toestemming van netwerkbeheerders stimuleer je de ontwikkeling van een hoop applicaties.

BvdW1978
@dmantione • 28 december 2019 12:59

Onwaar. Onderbouwing: ik heb jaren voor de Dienst ICT van een Nederlandse TU gewerkt en weet vrij precies hoe de universiteiten en Surf hun spullen geregeld hebben. Je werkplek-aansluiting zit echt niet onversneden op de hoofdsnelweg. Wat niet wil zeggen dat er geen prutsers aanwezig zijn, maar daar wapent RFC 1918 je ook niet tegen.

twslex
@BvdW1978 • 29 december 2019 08:50

Helaas, bij uni maastricht kan je gewoon een publiekelijk ip adres krijgen als dienst. Je mag daar dan 1 client aanhangen. Dus router neergezet en een eigen privaat netwerkje gebouwd.

BvdW1978
@twslex • 29 december 2019 09:48

Dat kan, men houdt je inderdaad niet tegen om dat te doen (al is het wel detecteerbaar). Andere vraag is of je hier nu wel zo verstandig aan doet. De universiteit krijgt die adressen van Surf onder een pakket van voorwaarden en beleid. De universiteit vertaalt die afspraken en beleid door naar concrete lokale uitwerkingen en dat gieten ze weer in diensten voor eindgebruikers. Dat als dienst geleverde IP komt dus met voorwaarden. Ik ken die niet, maar heel goede kans dat je in overtreding bent.

Toen ik dit werk nog deed bij een andere universiteit, was het leven en laten leven maar hadden we dit soort setupjes wel degelijk in beeld. Ik kan me echter voorstellen dat dat intussen strenger is geworden (ik ben rond 2012 vertrokken bij de TU). Het verkeerspatroon van een NAT-gateway is simpelweg anders dan dat van een endpoint en dat kun je maar heel lastig verstoppen. Ik zou je aanraden om eens met ICT te gaan praten. Waarschijnlijk kun je ook gewoon een subnet krijgen zonder dat je zelf gaat zitten tweaken.

Scriptkid
@dmantione • 27 december 2019 22:50

wetenschappers hebben niks te zoeken op servers en al zeker niet op je DC etc.

nee dit lijk echt een geval van verzuim bij beheer.

Segafreak83
@Scriptkid • 27 december 2019 23:19

Wel als de wetenschapper toevallig ook beheerder is

.

Verder niet zoveel aannames maken allemaal. Slecht beveiligd, bla bla, ga het zelf maar eens regelen met een beperkt budget.. Wil ik je wel zien doen.

Kabouterplop01
@Segafreak83 • 28 december 2019 09:18

Daarom moet die manager ook flink op zijn broek hebben, die regelt het budget en bepaalt de prioriteit van de werkzaamheden.

Sprincky
@Kabouterplop01 • 28 december 2019 13:23

Dat doet het college van bestuur, en de penningmeester niet de manager.

Overigens was de ICT afdeling bij Maastricht half door studenten/half door professionele medewerkers.

-_- Ik heb gelukkkig geen tentamens volgende maand, maar ze moeten het wel oplossen voor Maart want er valt nu met niemand te communiceren daar.

PtrO
@Scriptkid • 27 december 2019 21:56

Helder maar het besturingssysteem zou dat in ontwerp, de dataveiligheid impliciet moeten regelen.

Op het moment dat je het als gebruiker, waar ik ook de systeembeheer/der onder schaar, zelf moet gaan inrichten, laat staan bedenken; is het per definitie onveilig. Genoeg voorbeelden waarbij de diefstal/onveiligheid juist van of met medewerking binnenuit plaatsvond.

Los daarvan heeft "windows" qua architectuur een structurele fout o.a. qua filesystem die dit soort aanvallen in de basis vergemakkelijkt. Ik zeg het nofi wat bruusk maar dataveiligheid is daar geen integraal onderdeel maar is er (later) overheen gezet.

Scriptkid
@PtrO • 27 december 2019 22:03

en dat is waar het al fout gaat windows gaat er van uit dat er geen beheerder achter zit, elke beheer actie op disk vereist UAC.

Een standaardt gebruiker kan het systeem eigenlijk niet slopen ook niet met een crypto je moet daarvoor meer rechten hebben. Dit is ook de default van windows. Wat zou jij daar nog stenger aan willen hebben.

Waar het mis gaat is dat vele dit omzeilen omdat het niet handig is waardoor men standaarde complete local admin is of zelfs dagelijks met local admin in gaat loggen.

Verderf
@Scriptkid • 27 december 2019 23:03

En wat veel mensen ook vergeten, randomize je local admin passwords!

Scriptkid
@Verderf • 27 december 2019 23:09

ja en nee ,

het passwoord is totaal niet belangrijk zodra er mee inlogd is, is het kwertsbaar. De default local admin dient disabled te zijn en een nieuwe user met local admin dient aangemaakt te zijn met een bij de user bekend pasw ald die user local admin mag zijn. Verder moet je ook monitoren op login gebruik van dat account dus altijd audited elevation only.

Verderf
@Scriptkid • 27 december 2019 23:14

Ik doelde meer op randomizen van elke local admin per machine, dus al zou je het van 1 machine kunnen recoveren dan heb je er nog steeds vrij weinig aan.

Mit-46
@stftweaker • 27 december 2019 15:56

Ik vind het ook vreemd. Wij draaien dagelijks backups was mijn eerste gedachte.

Maar wat nu als het backup systeem ook plat gelegd wordt?

Ik heb geen ervaring met deze specifieke ransonware, maar de keer dat wij werden aangevallen is het opgelost met het terugzetten van backups. Dat ging alleen om geïnfecteerde shares.
Dat is al een poos terug. Alles woonde toen nog on premisis en tegenwoordig woont alles bij Microsoft (Azure).

Het is niet mijn tak van sport, maar ik meen dat Microsoft hier diensten en beveiliging voor aanbiedt.

[Reactie gewijzigd door Mit-46 op 27 december 2019 16:19]

kodak

Networking en security
Ransomware

@Mit-46 • 27 december 2019 17:07

Leuk dat er bedrijven zijn die diensten en beveiliging leveren, maar je moet er alsnog wat aan hebben binnen een redelijke prijs en tijd, net als dat je het zelf gaat doen.
En dan komt het er dus alsnog op neer dat je aan die backups minder of niets hebt als ze besmet zijn of te oud zijn. De vraag is dus niet alleen of je een backup hebt maar ook hoe je er voor kan zorgen dat die backups nog van waarde zijn zonder dat je er te veel tijd en geld in steekt.

hackerhater

@kodak • 27 december 2019 17:24

True that,
buiten dat je backups absoluut niet schrijfbaar mogen zijn vanaf de clients, moet er ook een detectie meelopen die alarm slaat bij ongewoon aantal wijzigingen.

SuperDre
@Mit-46 • 27 december 2019 18:29

Leuk dat je dagelijks een backup draait, maar dit soort ransomware draait vaak al langer, dus jouw backups die je netjes maakt zijn inmiddels ook encrypted. Dus je zult dan misschien zelfs weken terug moeten om nog werkende backups te hebben (en vaak zijn backups van weken geleden al waardeloos omdat er veel veranderd).

Segafreak83
@Mit-46 • 27 december 2019 23:21

Dagelijkse backups helpt niet hiertegen. De ransomware kan al maanden op je systeem staan en dus ook in je backups zitten..

joppybt
@stftweaker • 27 december 2019 15:36

Ik denk dat er een paar systeem beheerders een nieuwe baan kunnen zoeken in het nieuwe jaar.
Geen goede backups. Geen enkele vorm van garanties. Ik bedoel dit schiet toch niet op mensen..

Ik zou juist deze systeembeheerders in dienst willen houden. Zij zijn zich nu extreem bewust van de risico's en weten precies wat er waar mis kan gaan.
Een systeembeheerder die dit nog nooit mee heeft gemaakt zal het altijd onderschatten.

ShellGhost
@stftweaker • 27 december 2019 15:55

Wie zegt dat het aan de beheerders ligt? Het kan ook heel goed aan de managers liggen die weigeren om fatsoenlijke budgetten vrij te geven zodat zaken wel goed geregeld kunnen worden.

jannick63
@stftweaker • 27 december 2019 15:55

Het probleem ligt helaas vaker bij de "leidinggevende" dan de systeembeheerder zelf.

Zoals bregweb ook aangeeft, als het management/directie weinig awareness toont en jou als systeembeheerder de tijd niet gunt om dit soort zaken goed te patchen en te onderhouden. Dan loop je vaak vanzelf tegen de lamp.

Meestal is de beveiliging toch een ondergeschoven kindje binnen organisaties. Als systeembeheerder kan het dan heel lastig worden om hier tijd voor te reserveren, terwijl je eigenlijk die tijd niet gegund krijgt van bovenaf.

SuperDre
@stftweaker • 27 december 2019 18:28

Oh, jij had het natuurlijk wel kunnen voorkomen. Het kan best zijn dat ze goede backups hadden, maarja als de malware al langer draait dan zijn je backups dus ook vernachelt. Het is allemaal niet zo simpel als jij blijkbaar denkt.

biglia
@stftweaker • 27 december 2019 18:44

Ik denk dat er een paar systeem beheerders een nieuwe baan kunnen zoeken in het nieuwe jaar.
Geen goede backups. Geen enkele vorm van garanties. Ik bedoel dit schiet toch niet op mensen.

Ik weet niet hoe dit in Nederland is, maar aan Belgische universiteiten gaan de beste IT'ers niet aan de slag omdat het zo weinig betaalt en de werkingsbudgetten in het onderwijs heel laag liggen.

Wouterie
@stftweaker • 27 december 2019 15:37

Enige.

Daarnaast is het ervan afhankelijk hoe lang ze al in je systeem zitten. Ik heb al eens te maken gehad met een cryptolocker die vanaf een bepaalde datum pas actief werd. Het terugzetten van de data had als enig resultaat dat er na uren werk weer versleutelde data stond, maar dan van een paar maanden oud.

Daarnaast gaat het om bijzonder veel data, waaronder onderzoeksdata. Dat wordt regelmatig veilig gesteld, maar het is niet het systeempje op je zolderkamertje en de backup bij je oma verderop. Het gaat om gruwelijk veel data.

Dus, waarschijnlijk is hun enige vorm van contact met jou: Haha, nice try! We've got your backup. Later!

Maar, inderdaad, dat de kritische systemen zo om te leggen zijn, dat staat ze zeer slecht. Dat betekent dat geen enkel admin account meer te vertrouwen is.

r.j.deroos
27 december 2019 20:37

Krijg er grijze haren van; bij elk van dit soort artikelen dezelfde reacties in de trant van niet betalen, want je krijgt je data toch niet terug, eigen schuld, slechte beveiliging, had je dan geen backup, etc.

Makkelijk praten vanaf de zijlijn. Denk niet dat het zo makkelijk is als je zelf getroffen bent. Even bloeden en betalen, of alles kwijt? Lijkt me een afweging die een ieder voor zich kan maken.

Je fiets van 500 euro wordt van je oprit af gestolen; niet dubbel op slot gezet. Eigen schuld! Je krijgt 'm terug als je 250 euro betaalt. Totaal uit de lucht gegrepen prijzen natuurlijk, maar zelf bij losgeld van 500 euro (net zo veel als een nieuwe) zou je dat er nog voor over kunnen hebben, als je fiets je bijvoorbeeld erg dierbaar was.

sanderenzo
@r.j.deroos • 29 december 2019 21:19

Helemaal mee eens. Als medewerker UM ben ik me zeer bewust van backup (offline en online). Werkelijk het enige wat ik niet direct backup is e-mail, pas als de mailbox bijna vol is gaat de oudste mail (half jaar oid) naar m'n mail archief, wat wel gebackupt wordt. Als de situatie zo blijft ben ik nu dus een dikke twee jaar mails kwijt. Dat is een ramp voor mij en ik denk voor elke onderzoeker. Als ervoor betaald moet worden om dit terug te krijgen, so be it. Ik denk niet dat mensen vanaf de zijlijn kunnen inschatten hoe waardevol deze gegevens zijn.

Alex3
@sanderenzo • 31 december 2019 12:58

Tja, er wordt wat afgeprutst. Bij mij (op een andere universiteit) was mijn hele mailarchief van 20 jaar verdwenen. Daar kwam ik na twee maanden achter, en een oudere backup dan van 1 maand was er niet. Alleen het laatste half jaar mail was er nog. Gelukkig hebben ze ook een popserver, en thuis had ik, waarschijnlijk als een van de weinigen, alles gepopt. Maar dat is alleen de ontvangen mail.

sanderenzo
@Alex3 • 4 januari 2020 21:19

Phew dat liep dan nog redelijk goed af. Heb ik ook een tijdje gedaan, net als automatisch doorsturen alle mail naar ander mail adres, totdat ik me bewuster werd van de privacy issues. Nu maar eens een goede oplossing verzinnen zodat dit niet weer kan gebeuren. Iemand nog tips/ goede ideeën hierover?

TimMer
@r.j.deroos • 28 december 2019 03:47

Als je data je dierbaar is heb je backups van maximaal 24 uur oud, als bedrijf zijnde nog minder als je het goed doet.

Het is ook niet gezegd dat je daadwerkelijk van het gezeik af bent als je betaalt en met betalen stimuleer je crimineel gedrag.

Trommelrem
@TimMer • 30 december 2019 14:17

CLOP is een retentiefucker. Je hebt dus niets aan backups.

ro8in
28 december 2019 06:46

Misschien een stomme vraag, maar zijn er geen backups? En zo nee is dit dan niet gewoon een dikke beheerder/management faal?

Finger
@ro8in • 28 december 2019 11:03

Vast wel, maar vaak zijn die ook besmet omdat de ransomware vaak maanden van te voren al aanwezig is voor het geactiveerd wordt.

Trommelrem
@ro8in • 30 december 2019 14:17

Volgens mij is CLOP ook een retentiefucker.

Gemaskerde
27 december 2019 15:18

Als beheerder van een groot netwerk zou je dit toch snel moeten kunnen constateren als dit binnen het netwerk gebeurd? zijn er niet bepaalde isolatie technieken beschikbaar om dit soort ransomware aanvallen snel te isoleren bij een aanval?

Het komt steeds vaker voor, en toch lijkt het of we niks geleerd hebben van de wanna-cry ransomware aanval in 2017.

Het gaat in deze niet zo zeer om het pakken van de persoon/organisatie die achter de ransomware zit maar meer ter bescherming van je eigen infrastructuur, en hier lijkt het toch echt tekort te schieten?

segil
@Gemaskerde • 27 december 2019 15:27

Normaal gesproken wel ja, je kunt je netwerk inrichten volgens een 3 tier model, waarbij de kwetbaarste systemen (dc's e.d.) niet zomaar te benaderen zijn voor allerlei protocollen vanaf de andere tiers. Maar hoe de ransomware in dit geval het netwerk is binnengekomen en zich verspreid heeft, is nog gissen. Het is niet zo dat als deze malware op een domain computer actief wordt, vanzelf alle servers besmet raken. Daarvoor zijn toch andere rechten nodig, of iets van een exploit om toegang te krijgen tot andere systemen.

regmaster
@segil • 27 december 2019 15:51

De Not Petya besmetting bij Maersk (Maersk was geen target van de aanvallers btw) was in eerste instantie helemaal geen succes doordat bij Maersk alle systemen gepatcht waren en voorzien van anti-virus. De server met het besmette boekhoud programma stond op punt van uitfasering en werd eigenlijk al niet meer gebruikt maar hing nog wel in het netwerk. Nu heeft Not Petya nog een truukje en dat is een pass the hash aanval om hogere rechten te bemachtigen. Die aanval lukte toen een beheerder met zijn domain admin rechten op de besmette server inlogde. Binnen een aantal minuten waren zo goed als alle pc's en servers besmet en onder controle van de aanvallers, die waarschijnlijk net zo verbaasd waren als Maersk zelf. De explosieve besmetting kon succesvol zijn doordat er nauwelijks segmentering was aangebracht en er met de hoge domain admin rechten van systeem naar systeem gehopt kon worden.
Segmentering (Tier 3), IAM met als uitgangspunt least privalage rechten, off site backups, white listing van progs op virtuele servers en desktops en uiteraard IDS/IPS en SIEM zullen een dergelijke aanval minder succesvol maken of in ieder geval de schade beperken.

segil
@regmaster • 27 december 2019 18:09

precies, inloggen met een domain admin account op een workstation / simpele server is een no go wat mij betreft. Microsoft kan ook dergelijke aanvalvectoren herkennen met ATA en Azure ATP.

Blokker_1999

Ransomware
Networking en security

@regmaster • 27 december 2019 18:12

Maersk is een heel goed voorbeeld om te gebruiken wanneer ondersteunend personeel klaagt over waarom ze gebruik moeten maken van priviliged access management. Bij ons zijn er velen die maar niet begrijpen waarom ze niet langer 1 admin account mogen hebben dat hen volledige toegang geeft op alle systemen waar ze wel eens op moeten komen. Dan is een voorbeeldje zoals Maersk heel eenvoudig om aan te tonen waarom je dat net wel wenst.

karma4
@Blokker_1999 • 28 december 2019 16:09

Je zou wel een verbaasd kunnen raken hoe vaak dat op aanraden van de externe leverancier niet gebeurt. Een shared account voor alle gebruikers en algemene root rechten. Geen wonder dat het niet begrepen wordt. Let wel, ik ben het met je eens.

Gemaskerde
@segil • 27 december 2019 15:41

aangezien er zoveel van het netwerk getroffen is zou je al bijna denken dat ze toegang hebben gehad door fishing of mogelijk door een known vulnerability die niet optijd gepatcht is.

Het vreemde in deze vind ik dat de backup servers ook zijn geraakt, dit houd dus in dat de backup omgeving zwaar verwikkeld is geweest en benaderbaar via de primary omgeving en dus niet goed afgeschermd is geweest, ik vind dit persoonlijk een slechte zaak en ook wel deels onkunde van de beheerders van dit netwerk, een backup omgeving is er niet voor niks? deze moet volledig afgeschermd zijn van de primary omgeving speciaal voor dit soort gevallen, vooral als het om data gaat!

kodak

Networking en security
Ransomware

@Gemaskerde • 27 december 2019 16:29

Om te weten wat er gebeurt en om te weten wat er nodig is om erger te voorkomen zijn twee verschillende dingen.

Het gebruik van detectie is al heel lang een middel om problemen hopelijk vroegtijdig te herkennen. Detectie is alleen niet een kwestie van weten waar je naar moet kijken omdat de criminelen juist proberen de detectie te voorkomen. Daar zit je al met een probleem dat je dus niet precies weet waar je echt naar had moeten kijken en wat te veel of te weinig informatie was. Detectie is dus beperkt mogelijk.

En zelfs als je dan al weet wat je wel kan herkennen moet je vervolgens nog eens weten wat er echt nodig is om de aanval te stoppen. Want ook hier gaat op dat een crimineel moeite kan doen om niet met een oplossing meteen buiten spel te staan.

Als je last hebt van een inbraak of gijzeling kan je ook niet makkelijk stellen dat een slachtoffer dus te kort zou hebben geschoten. Het was op zijn minst niet genoeg voor deze aanval.

Batch
27 december 2019 15:31

We weten de details nog niet, maar heeft de virusscanner geen steken laten vallen? Welke virusscanner hebben ze daar eigenlijk?

wildhagen

@Batch • 27 december 2019 15:33

Een virusscannre is geen wondermiddel. Als een nieuwe variant ransomware uitkomt, of dat nou een compleet nieuwe versie is, of een nieuwe variant van reeds bestaande ransomware, kan het best zijn dat de virusscanner die nog niet herkent.

En er hoeft maar één PC zonder virusscanner (of met hele oude virusdefinities) in het netwerk te zijn om besmet te kunnen raken...

ShellGhost
@wildhagen • 27 december 2019 15:56

Dan weet ik niet welke virusscanners jij kent, maar diegene die ken en aanraad herkennen een hoop zonder die ooit gezien te hebben op basis van patronen en gedragingen van het betreffende virus of malware.

wildhagen

@ShellGhost • 27 december 2019 15:59

Ja, veel wordt heuristisch herkend, maar bij lange na niet alles. Vergeet niet dat makers van ransomware ook niet gek zijn, die testen ook wel of hun malware herkend wordt door de gangbare virusscanners.

Tegenwoordig hebben alle grote virusscanners idd wel anti-ransomware herkenning, maar ook dát is niet altijd een garantie dat er niet eens een keertje iets doorheen glipt.

Heb in mijn ruim 20-jarige carriere als systeembeheerder inmiddels meer dan genoeg virussen (algemeen, dus niet specifiek ransomware) gezien die in 1e instantie niet door de virusscanner werden herkend.

ShellGhost
@wildhagen • 27 december 2019 16:04

Er is nu minimaal 1 bedrijf, en ik geloof ook een tweede, die een no breach garantie geeft. Als je toch gebreached wordt terwijl je hun anti"virus" pakket draait krijg je max 1 miljoen uitgekeerd. Zijn "helaas" wel dollars.

CrowdStrike is offering a warranty to Falcon Complete™ customers that will cover up to $1 million in breach response expenses if there is a security incident within the environment protected by CrowdStrike Falcon Complete.

curkey
@ShellGhost • 27 december 2019 20:51

Klinkt leuk, 1 miljoen aan schadevergoeding aan "breach response options", maar bij een beetje een uitbraak zoals deze zit je daar snel op. Check maar eens wat de Not-Petya gekost heeft bij Maersk.
En dan heb je de non-productivity uren niet in deze vergoeding zitten (van alle medewerkers en contractors die noodgedwongen op hun handen zitten).

kodak

Networking en security
Ransomware

@ShellGhost • 27 december 2019 16:47

Dit soort praatjes over de virusscanner die ik gebruik en aanraad is wel goed want hij kan wel een veel herkennen doet weinig eer aan de discussie of een virusscanner voldoende oplossing is.

Een beveiliging en zogenaamde garanties zijn net zo veel waard als dat je als gebruiker er voordeel bij hebt en dan kan je in veel gevallen maar beter niet met een of twee zaken hopen dat het je voordeel gaat hebben.

ErikRo
@Batch • 27 december 2019 15:58

Even door een versleutelaar crypter halen tot hij niet meer herkend wordt door scanners

jpsch
@Batch • 27 december 2019 16:23

Dit staat in de Clop-aanval van Universiteit Antwerpen. Je zou verwachten dat bijgewerkte virusscanners op clop-extensie gaan zoeken.

Zodra het virus is binnengedrongen in een netwerk, versleutelt het zoveel mogelijk bestanden met aes en voegt een .clop-extensie toe aan de bestandsnamen, wat dient als een indication of compromise.

PtrO
@Batch • 27 december 2019 21:35

Bij virusscanner moet iemand de eerste zijn die het slachtoffer daarvan is om als kwaadwillend herkend en gerapporteerd te worden. Patroonherkenning/heuristisch is hooguit bruikbaar om simpele aanvallen te detecteren. Een op maat gemaakte "virus" zal niet worden herkend. Hierbij onthouden dat een gerichte virusaanval zich gerust over maanden kan uitstrekken.

mugenmarco
27 december 2019 15:14

Ik heb in het verleden verschillende varianten gezien van Ransomware maar zo hardnekkig als deze heb ik nog nooit mee gemaakt.

'Volgens de woordvoerder is er een 'schil om het netwerk gelegd, zodat niemand er meer in kan'

Hoe wil je zoiets oplossen als je er niet eens meer bij kan?

Zelfs hun hele backup systeem is getroffen dus deze terug zetten is ook geen optie meer.

Zijn er slimme Tweakers hier die wel een oplossing hebben?

ps, nee ik ben geen systeembeheerder van die universiteit maar ben wel erg nieuwsgierig.

eltweako
@mugenmarco • 27 december 2019 15:26

Ik heb geen kennis van deze specifieke infectie.
Maar wat er vaak speelt, is dat de hacker in kwestie al enige tijd in de systemen zit. Na een tijdje "meekijken" weten ze precies waar ze pijn kunnen doen.
Ze maken externe back-ups onklaar en versleutelen alle kritische systemen in een keer, zodat je nergens meer bij kunt.

Zo ver als ik weet werkt Clop vooral als "gebruikelijke" ransomware, maar mogelijk hebben de hackers hier aanvullende stappen ondernomen om onderzoek/recovery te bemoeilijken.

[Reactie gewijzigd door eltweako op 27 december 2019 20:14]

nlinzweden
@mugenmarco • 27 december 2019 15:34

Die schil zorgt ervoor dat van buiten het netwerk je niet naar binnen kan. Bijvoorbeeld, de meeste website zijn offline, DNS werkt niet, en VPN is offline. Maar als je al op het netwerk zit, is het anders. Dus de ICT-ers kunnen gewoon hun werk doen.

kodak

Networking en security
Ransomware

@mugenmarco • 27 december 2019 16:11

'Volgens de woordvoerder is er een 'schil om het netwerk gelegd, zodat niemand er meer in kan'
Hoe wil je zoiets oplossen als je er niet eens meer bij kan?

Je netwerk afscheiden van andere netwerken kan een oplossing zijn als je aan het onderzoeken en oplossen bent. Je sluit zo een vorm van toegang af.

Afhankelijk van de afsluiting wil het niet zeggen dat gebruikers er niet meer gebruik van kunnen maken. Ze moeten waarschijnlijk op een vertrouwde manier toegang heb, zoals aanwezig zijn in de gebouwen.

Zelfs hun hele backup systeem is getroffen dus deze terug zetten is ook geen optie meer.

Dat is afhankelijk van hoe de backups getroffen zijn. Als alle belangrijke bestanden daarop gecrypt zijn is het een andere situatie dan dat er malware tussen staat die ze niet moeten herstellen bij het terugzetten van een backup.

D11
@kodak • 29 december 2019 16:23

Daarom maken wij ook offline backups ... lastig te hacken als de tapes in de brandkluis liggen.

Zer0
@mugenmarco • 27 december 2019 15:46

Zijn er slimme Tweakers hier die wel een oplossing hebben?

Een slimme tweaker die hier een oplossing voor heeft is aan het onderhandelen met de Uni over de beloning...

Iblies
@Zer0 • 27 december 2019 16:15

Hoe cru het ook klinkt, de Uni heeft gefaald.

Al enkele jaren hoor je over ransomware en alle grote instellingen zouden daar voortdurend behoedzaam op moeten zijn, en ja, dat kost geld.

Dat nu een organisatie praktisch stilstaat met 16.000 studenten en x aantal studenten , dat kost ook bakken met geld. Extra extern advies kost ook bakken met geld.

Iemand die de oplossing weet zou naar rato moeten worden vergoed.

renevanh
@mugenmarco • 27 december 2019 16:47

Zijn er slimme Tweakers hier die wel een oplossing hebben?

Zonder kennis van de specifieke situatie? Lijkt me niet.

Een eerdere opmerking hier over de vraag of de ransomware nog actief encrypt bij nieuwe besmettingen en over een memorydump tijdens het encrypten gaf me wel een idee: plug een voorbereid, niet besmet systeem in het netwerk, wacht op besmetting en haal die encryption key uit een memorydump.
Maar ik word gelukkig niet gehinderd door enige kennis van de betreffende ransomware