Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderwijs Universiteit Maastricht wordt 6 januari hervat na ransomware-infectie

De Universiteit Maastricht hervat op 6 januari het onderwijsprogramma. De grote ransomware-infectie die vorige week toesloeg is nog niet opgelost, maar belangrijke systemen zijn tegen die tijd wel weer bruikbaar.

Studenten moeten hun wachtwoorden veranderen, maar mogen dat niet doen vanaf het wifinetwerk vanaf de universiteit zelf, schrijft de UM in een update over de aanval. De universiteit werd 23 december getroffen door de Clop-ransomware. Daardoor ging een groot deel van de Windows-systemen offline. Eerder zei de universiteit al dat het 'de grootste prioriteit had' dat het onderwijs na de kerstvakantie weer kon hervatten. Dat kan, schrijf de universiteit nu. Vanaf 2 januari zijn 'enkele belangrijke systemen die nodig zijn voor het onderwijs' weer beschikbaar. Dat zijn informatiesystemen rondom roosters, studiemateriaal via EleUM, en het Student Portal. Die hebben volgens de UM wel te maken met beperkte functionaliteit.

In de week van 6 januari gaan de ingeplande herkansingen door. Volgens het College van Bestuur van de UM komt er een extra herkansingsmogelijkheid voor studenten die zich door de aanval moeilijker konden voorbereiden op tentamens, bijvoorbeeld omdat zij niet meer bij studiemateriaal konden komen. Ook komt er een coulanceregeling voor studenten die 'aantoonbaar benadeeld' zijn door de aanval. Details daarover zijn niet bekend.

Medewerkers en studenten van de universiteit mogen geen gebruik meer maken van de computers. De universiteit haalde alle systemen uit voorzorg offline om te onderzoeken welke wel en niet besmet waren. De universiteit waarschuwt studenten en werknemers om niets te doen op de computers. De school werkt samen met beveiligingsbedrijf Fox-IT om de schade te beperken. De eigen systeembeheerders proberen ondertussen zoveel mogelijk netwerken en systemen weer aan de gang te krijgen.

Vorige week zette de universiteit een hulplijn op waarop studenten, docenten en medewerkers informatie konden inwinnen. Volgens de NOS zijn daar inmiddels al honderden vragen op binnengekomen. Veel details over de infectie, zoals de vermoedelijke daders of de omvang ervan, zijn nog niet bekend. Wel liet een woordvoerder eerder al weten dat het gaat om de Clop-ransomware. Die staat erom bekend grote publieke instellingen en bedrijven te infecteren. Ook zou de UM inmiddels contact hebben met de daders, maar of de universiteit het losgeld voor de ransomware wil betalen is nog niet bekend.

Door Tijs Hofmans

Redacteur privacy & security

30-12-2019 • 15:26

101 Linkedin

Reacties (101)

Wijzig sortering
Hoe start Clop eigenlijk? Gewoon een .exe die aangeklikt wordt?
Je kan de werking van de CLOP ransomware zien in deze sandbox waar die is gedraaid.
https://app.any.run/tasks...d-4e05-882f-5f8e559795f7/
Wat @rodie83 vraagt is hoe de infectie start. Wat er vervolgens mee kan gebeuren als het eenmaal gestart is geeft het voorbeeld van die sandbox aan.
Een attachment in een mail. Meer info, over de gehele infectieroutine (dus wat Clop doet nadat hij gestart is), kan je o.a. vinden op https://success.trendmicr...mation-kAJ4P000000kFKJWA2
https://www.mcafee.com/bl...fee-labs/clop-ransomware/

Deze is een stuk meer in debt mocht je het interessant vinden.

Maarja ik denk dat het hoog tijd word dat er een manier komt waardoor mensen gewoon geen bijlagen meer hoeven te openen zodat deze hele mail scam bullshit eindelijk eens kan stoppen na 25 jaar.
Het is belachelijk dat er na 25 jaar nog steeds mensen niet geïnformeerd genoeg of simpelweg naïef zijn over wat er via mails verstuurd kan worden.
We zijn ondertussen meerdere internet generaties verder maar het probleem lijkt alleen maar erger te worden qua menselijke fouten dan beter.
Mee eens, het lijkt wel of tegenwoordige generaties steeds naïever worden. Wij hadden laatst op het werk ook een kleine attack. Uiteindelijk zijn er 5000 accounts uit voorzorg gereset. De dochter van een collega van mij (20, HBO studie), heeft ook gewoon de bijlage aangeklikt die werd doorgelinkt naar een website (die nog met frontpage werd gemaakt zo leek het) en daar haar gegevens ingevuld. Op de vraag waarom ze dat had gedaan, antwoordde ze "het is toch mail van de opleiding ?". Zelf nadenken is er gewoon niet meer bij, ze zijn gewend dat alles, maar dan ook alles, voor hun geregeld wordt. Ik hou mijn hart vast.
Mij valt juist op dat het wel over het algemeen wel goed gaat met mensen die het begin tijdperk van Internet hebben meegemaakt, maar bij de jeugd die nooit anders gekend hebben als internet gaat het vaak slecht.
Ik merk dat er toch ook wel leeftijd gerelateerde naïviteit in zit bij de probleem gevallen. 60 plussers zijn gewoon veel te goedgelovig. als die een merje of wat dan ook met bekendheid in de techt of titel zien denken ze vaak al dat het wel snor zit.
De kennis en sceptische blik lijkt er simpelweg niet te zijn om even de bron of statusbalk te controleren om te kijken waar iets naartoe linkt.

Wat betreft jongeren tja die lijken mer bijna alles makkelijker om te gaan tegenwoordig dus dat verbaast me helemaal niets.
Het word tijd voor compartmentalisatie. Een computer die op het web kan en html mail kan lezen moet geen brokken kunnen maken. Moet uit principe als geowned behandelt worden.
Het hele e-mail protocol loopt enorm achter.
Dit zou al lang beveiligd moeten zijn maar is het helemaal niet.
Aan de andere kant zullen hackers wel weer andere manieren gaan vinden om malware op computers te krijgen buiten e-mailen om.
Oh vast en zeker maar dat is het in ieder geval uit de handen van gebruikers die vaak toch wel de oorzaak zijn van infecties.
Andere manieren kan je patchen buiten de gebruiker om. Zo heb je als standaard gebruiker met windows 10 niet echt de keuze meer om niet te updaten.

Persoonlijk ben ik totaal geen fan van email. Je hele leven staat er in en als ze een beetje zoeken kunnen ze alles over je te weten komen. Ik zou het liefst leven zonder email maar dat is gewoonweg onmogelijk omdat je het voor alles nodig heb tegenwoordig. Het enige alternatief is een online ID en dat idee vind ik persoonlijk nog veel enger.
zolang bedrijven (lees de business) niet wenst te investeren in oplossingen als Cryptshare/filecap houd je onveilig smtp verkeer. Let wel: dat heeft niets te maken met gebruikers die op potentieel onveilige attachments clicken alleen met het protocol zelf

SMTP is nooit als veilig opgezet.

[Reactie gewijzigd door Eminus op 30 december 2019 20:48]

Het protocol is het probleem hier niet, ik hoor iedereen altijd klagen over SMTP maar het is om eerlijk te zijn naar mijn mening een vrij mooi en functioneel protocol en niet al te moeilijk om van de ground up te implementeren.

Het probleem zit 'm zoals het meestal is in de gebruiker die gewoon het niet voor elkaar krijgt om te begrijpen wat scam is en wat niet. Het protocol gaat hier niets van oplossen.
De enige fout in SMTP is dat het retourpad vanaf een adres incorrect in de historie kan staan,
waardoor traceerbaarheid van de afzender een issue is. (DKIM, SPF etc. zijn op z'n best een halfbakken lapmiddel.)
Het is belachelijk dat er na 25 jaar nog steeds mensen niet geïnformeerd genoeg of simpelweg naïef zijn over wat er via mails verstuurd kan worden.
Ontvangen, bedoel je.
De vraag hoe clop start is niet makkelijk te beantwoorden. Malware, en dus ook ransomware en dus Clop, kan op heel veel manieren een infectie opleveren. Het gaat daarbij niet alleen welke middelen er gebruikt worden maar ook wat de rechten zijn en wanneer daarvan gebruik kan worden gemaakt.

Tegenwoordig is het vaak een mailtje met daarbij malware als bijlage of een URL naar een onbetrouwbare website met malware, waar een gebruiker vervolgens enige moeite moet doen om het te openen en uitvoeren Maar er zijn nog veel meer varianten. Zo kan je in een semi-open netwerk van bijvoorbeeld ook verwachten dat er systemen staan die door onderzoekers en clubjes beheerd worden en daarbij niet heel goed beveiligd zijn, waardoor je niet perse een gebruiker nodig hebt om malware binnen te krijgen of te activeren. Ook komt het voor dat gebruikers buiten sandboxes om met onbetrouwbare exe bestanden gaan experimenteren omdat ze die op de eigen systemen of online tegen komen. En dan is er nog de situatie waarbij je slachtoffers hebt die bij het online surfen bij het laden van bijvoorbeeld geinfecteerde advertenties het systeem geinfecteerd krijgen. Dat zijn enkele voorbeelden. Die start wil overigens niet perse zeggen dat er dan ook meteen een malware-infectie is. Diverse malware werkt in stappen. Na de eerste infectie kan dan vervolgens diverse malware worden opgehaald of actief gemaakt worden waar het bij (kan en misschien zelfs al aanwezig was).

Er zijn voorbeelden van hoe infecties met clop zouden hebben plaatsgevonden, maar uiteindelijk hangt het van de situatie af hoe het per aanval door de criminelen is ingezet.
Aanvulling op het artikel is dat mogelijk een Russische groepering achter de hack zit:
De Limburger schrijft dat er mogelijk Russische criminelen achter de cyberaanval zitten. De krant baseert zich op cyberdeskundige Vitali Kremez in New York. Die zegt in een skypegesprek dat de daders waarschijnlijk onderdeel van de Russische groep TA505 zijn.

De gebruikte gijzelsoftware Clop zou voor het eerst ontdekt zijn in februari 2019. TA505 verspreidt dit soort software en richt zich volgens Kremez uitsluitend op publieke instellingen. Vanwege het lopende onderzoek reageert de universiteit niet op het krantenartikel. In het algemeen is het exact herleiden van dit soort aanvallen erg lastig.
Uit het NOS-artikel dat de newspost noemt.

Iets meer info over die groep, die al 5 jaar bezig lijkt te zijn, en verantwoordelijk is voor meerdere ransomware-malware en andere Trojans (dus niet alleen Clop): https://www.agconnect.nl/...tricht-leidt-naar-rusland

Een overzicht van andere zaken waarbij deze groepering is betrokken: https://malpedia.caad.fkie.fraunhofer.de/actor/ta505

[Reactie gewijzigd door wildhagen op 30 december 2019 15:30]

Ja ik heb dit heel bewust niet in het artikel gezet. Ik heb het Limburger-artikel namelijk gelezen en daarbij wordt één expert aangehaald die bij een vrij klein/onbekend beveiligingsbedrijf werkt, en totaal niet onderbouwt waarom hij wijst op deze groep.

Attributie is ontzettend moeilijk en moet je zeker ook niet zomaar doen. Ik vind het daarom nogal veel FUD dat deze onderzoeker en De Limburger het wel zo opschrijven - daar was duidelijk geen techjournalist bij betrokken. De NOS heeft dat inmiddels ook alweer flink genuanceerd.

[Reactie gewijzigd door Tijs Hofmans op 30 december 2019 15:36]

Er zijn meer bronnen die Clop (en dus deze aanval) linken aan TA505 hoor, o.a. uit Frankrijk.

Zie bijvoorbeeld https://www.security.nl/p...ties+voor+Clop-ransomware die o.a. doorverwijst naar de aan TA505 toegeschreven verdere aanvallen: https://attack.mitre.org/groups/G0092/

Ook in Frankrijk zijn ze eerder namelijk flink getroffen geweest door Clop, en die hebben het naar dezelfde groep getraceerd.

[Reactie gewijzigd door wildhagen op 30 december 2019 15:45]

Ja klopt maar correlatie =/= causatie. In dit stadium al zo stellig zeggen dat het TA505 was is gewoon veel te voorbarig en schadelijk. Wat de 'expert' in dit geval zegt is op geen enkele andere manier onderbouwd, dus pure speculatie (en daarom nu niet waard het te noemen, imo).
Ik ben het hier mee eens. Journalistiek moet zich eens bezig houden met pure feiten. Zelfs als de het enorm de schijn heeft dat het waar is, moet je dit pas als het 100% zeker is dit soort zaken toevoegen. Tot die tijd zijn het nietszeggende roddels die net zo goed in de Privé zouden kunnen staan. Goed staaltje journalistiek vanuit Tweakers naar mijn mening.
Punt is echter dat er op digitaal vlak letterlijk nul zekerheid is te krijgen, iedere vorm van bewijsmateriaal valt te verwijderen of produceren. En al mocht dat niet gebeurd zijn, er kan altijd geschermd worden met die mogelijkheid. Zeker in geval van statelijke actoren of georganiseerde misdaad.
Ik ben het hier mee eens. Journalistiek moet zich eens bezig houden met pure feiten. Goed staaltje journalistiek vanuit Tweakers naar mijn mening.
renders, leaks, geruchten , ...
Mocht tweakers ea media zich met feiten bezighouden verscheen er waarschijnlijk 1 artikel per dag. :X
Ja want voor je het weet heb je een verhaal over russische en koreaanse codes online gezet en mag je daarna weer een correctie uit gaan zetten omdat je zogenaamde expert gewoon geen idee heeft waar ie over praat.
Inderdaad, hou het bij de feiten. Anders kun je net zo goed Rian van Rijbroek vragen wie hier achter zit |:(
Die 'expert' heeft volgens mij niet eens contact gehad met de Universiteit en weet ook niet of hij samenwerkt met Fox-IT.
De servers staan gewoon in Rusland, want dat is goedkoop en veel vrijer dan in het 'vrije' westen... }>
Waar ze zitten weet (traceert...) niemand, never!
Dit vind ik oprecht echt super.

Ik ben helemaal klaar met de Nederlandse "journalisten" (met de NOS voorop) die bij elke hack automatisch in het "Rusland Rusland Rusland" relfex schieten zonder enige onderbouwing. Lekker makkelijk scoren.

Petje af dat Tweakers daar niet aan mee doet. Met onderbouwing Rusland als overheid aanwijzen: prima. Zonder onderbouwing heeft het met journalisme niets te maken.
De malware verwijdert zichzelf als het systeem op de Russische taal is ingesteld (zie analyse), maar dat kan natuurlijk een truuc zijn om Rusland de schuld te kunnen geven.
Another condition will come from the function “GetTextCharset” that returns the font used in the system if it does not have the value 0xCC (RUSSIAN_CHARSET). If it is the charset used, the malware will delete itself from the disk and terminate itself with “TerminateProcess” but if it is not this charset, it will continue in the normal flow.

[Reactie gewijzigd door Bergen op 30 december 2019 19:13]

Of omdat de financiële middelen om losgeld te halen in het westen wat ruimer voorhanden zijn.
Dit klinkt als een oplossing , gewoon even alle pcs op russishe instellen en hoppa netwerk is schoon 8)7
Mijn eerste idee ook, maar ik neem aan dat het ook weer niet zó simpel is, anders had FoxIT er hooguit een kwartiertje werk mee gehad.
Die controle wordt alleen uitgevoerd bij de infectie. "if (russisch) then {delete} else {infect}"
Een russische link lijkt voor de hand te liggen wanneer je sommige analyses van Clop versies leest:
The malware’s first action is to compare the keyboard of the victim computer using the function “GetKeyboardLayout” against the hardcoded values.

This function returns the user keyboard input layout at the moment the malware calls the function.

The malware checks that the layout is bigger than the value 0x0437 (Georgian), makes some calculations with the Russian language (0x0419) and with the Azerbaijan language (0x082C). This function will return 1 or 0, 1 if it belongs to Russia or another CIS country, or 0 in every other case.

If the function returns 0, it will go to the normal flow of the malware, otherwise it will get the device context of the entire screen with the function “GetDC”. Another condition will come from the function “GetTextCharset” that returns the font used in the system if it does not have the value 0xCC (RUSSIAN_CHARSET). If it is the charset used, the malware will delete itself from the disk and terminate itself with “TerminateProcess” but if it is not this charset, it will continue in the normal flow. This double check circumvents users with a multisystem language, i.e. they have the Russian language installed but not active in the machine to avoid this type of malware.

[Reactie gewijzigd door Bor op 30 december 2019 15:49]

Is dan wel weer apart. Kan inderdaad duiden op een Russische groepering. Maar dan vraag ik me af wat voor een motivering de makers van Clop hadden bij het programmeren van de keyboard-restrictie in deze Trojan. Je sluit een stuk van jouw "afzetmarkt" uit. Lijkt wel politiek gemotiveerd?

[Reactie gewijzigd door OldNoob op 30 december 2019 16:11]

Maar dan vraag ik me af wat voor een motivering de makers van Clop hadden bij het programmeren van deze Trojan.
Wat dacht je van geld verdienen? Dat is het hele idee van ransomware, waar Clop toe behoort: je encrypt mensen hun bestanden, en geeft ze vervolgens de mogelijkheid om deze te decrypten, na het overmaken van wat geld (meestal in de vorm van bitcoins) naar een bepaalde adres.

En dan moet je geluk hebben dat ze alles decrypten na betaling. Er bestaat ook ransomware (niet Clop afaik) die na 100 decrypte bestanden je doodleuk opnieuw laat betalen voor de volgende 100, enzovoorts.

TA505 is, voor zover ik uit eerdere berichtgeving uit o.a. Frankrijk opmaak, iig niet gelieerd aan een overheid. Zover bekend is dit "gewoon" een private club die zich met dit soort acties probeert te verrijken. Ook de bankentrojan Dridex is door deze groep geschreven. In 2015 hebben ze met die trojan tientallen miljoenen dollars binnengehaald. Dat is dus aardig lucratief.

[Reactie gewijzigd door wildhagen op 30 december 2019 16:11]

Ik mijn reactie verduidelijkt. Ik vroeg mij af waarom de keyboard restrictie er in gebouwd werd.
Ik mijn reactie verduidelijkt. Ik vroeg mij af waarom de keyboard restrictie er in gebouwd werd.
Dat zou weer kunnen zijn om buiten schot van de eigen nationale diensten te blijven. De kans op vervolging in eigen land is immers groter dan in een willekeurig ander land (dan moet je de daders nog maar voor de rechtbank zien te krijgen). En de FSB (Russische geheime dienst) wil je denk ik niet echt achter je aan hebben, als malware-schrijver zijnde.

Er is wel vaker malware geweest die bepaalde keyboard-layouts uitsluit, of andere vormen van selectieve besmetting toepast. Een bekend voorbeeld is de Sodinokibi-malware, die zichzelf deinstalleerd,als één van de volgende keyboard-layouts actief is (even copy/paste, dus Engelse namen): Romanian, Russian, Ukrainian, Belarusian, Estonian, Latvian, Lithuanian, Tajik, Persian, Armenian, Azeri, Georgian, Kazak, Kyrgyz, Turkmen, Uzbek, Tatar.
Is het Rusland, of juist een poging Rusland verdacht te maken?
[...]


Wat dacht je van geld verdienen? Dat is het hele idee van ransomware, waar Clop toe behoort: je encrypt mensen hun bestanden, en geeft ze vervolgens de mogelijkheid om deze te decrypten, na het overmaken van wat geld (meestal in de vorm van bitcoins) naar een bepaalde adres.

En dan moet je geluk hebben dat ze alles decrypten na betaling. Er bestaat ook ransomware (niet Clop afaik) die na 100 decrypte bestanden je doodleuk opnieuw laat betalen voor de volgende 100, enzovoorts.

TA505 is, voor zover ik uit eerdere berichtgeving uit o.a. Frankrijk opmaak, iig niet gelieerd aan een overheid. Zover bekend is dit "gewoon" een private club die zich met dit soort acties probeert te verrijken. Ook de bankentrojan Dridex is door deze groep geschreven. In 2015 hebben ze met die trojan tientallen miljoenen dollars binnengehaald. Dat is dus aardig lucratief.
Beetje vreemd dat je net dát stukje van z'n bericht quote. Wat hij zei ging overduidelijk over waarom ze de Russische markt uitsluiten, niet over dat ze überhaupt malware maakten.
Ik denk dat als ze een Russische server besmetten en locken ze een enkeltje Siberië te pakken hebben
Weet niet in hoeverre het echt klopt maar ik heb begrepen dat de russen hackers redelijk met rust laat zolang ze niet actief zijn in eigen land.
Dit past ook in het buitenland beleid van Rusland dat heel erg sterk op geënt is om in andere landen sociale onrust te veroorzaken.
Je sluit een stuk van jouw "afzetmarkt" uit. Lijkt wel politiek gemotiveerd?
Dat is een zeer moeilijk te beantwoorden vraag. Wat we weten van de grotere hackersgroepen in Rusland is dat ze vaak onafhankelijk zijn maar werk in opdracht doen. In opdracht van de regering maar je ziet ook dat als een bedrijf ruzie heeft met een Russische partner er vaak hackpogingen zijn.

Wat wel duidelijk lijkt te zijn is dat Poetin er geen geheim van maakt dat ie wat onrust in de EU op dit moment best wel leuk vind. Hoe minder EU er is hoe beter het voor Rusland is. Zo zijn er grote krachten in Polen bezig met de propaganda van een Polexit. Ook duidelijk is dat alle min of meer georganiseerde hack groeperingen een ding weten. In Rusland zelf actief zijn is niet goed voor de gezondheid.

Ik weet best dat veel tweakers er niet van overtuigd zijn dat het vooral Russen en Chinezen zijn maar laat je dat niet afleiden. Ik heb net even iets meer vertrouwen in de experts dan in Tweakers die niet veel verder komen dan koppensnellen op de meer toegankelijke IT sites zoals Tweakers.
Stomme vraag wellicht, maar kan ik hieruit de conclusie trekken dat het slim is om op je pc een Russische character set te installeren? Verder wel gewoon je standaard spul gebruiken maar óók Russisch installeren uit een soort van voorzorg (erg ver gezocht wellicht.. :P )
Nee, als je de code goed leest zie je dat het installeren niet genoeg is. Het moet ook de actieve taal zijn. Dit wordt gechecked om juist dit soort remedies tegen te gaan.
Kan dit weer niet het gevolg zijn van je bevestigings heuristiek?
Echter als je een beetje slimme Koreaan bent, dan schrijf je dit stukje russische taal herkenning er opzettelijk in. Een makkelijk aan te brengen dwaalspoor.

Het zegt imo heel weinig dat er naar russische geinstalleerde & geactiveerde taal word gekeken. De programmeurs weten dat de ransomware reverse engineerd word en kunnen er dus opzettelijk dit soort dingen inzetten. Of opzettelijk wat andere stommiteiten in programmeren om de journalisesten/reverse engineers te laten denken dat ze niet zo slim zijn.
Ik vraag me dan altijd af hoe in Rusland hier zelf naar gekeken wordt. Wordt daar actief jacht gemaakt op dit soort cybercrime, werkt men internationaal samen? Of laat de overheid daar het ongemoeid, en ziet men het als een kweekvijver voor staatshackers danwel een leuke extra inkomstenbron?
Universiteiten zou daar echt zoveel geld te halen zijn? Eerder kennis.
Rusland als een grote hacker zien (of ze er wel of niet achter zitten), lijkt me ze wel goed uit te komen.
geld. Grote omgeving met een kans dat de backup niet op orde is. Backup niet op orde zou kunnen duiden dat mensen eerder genegen zijn te betalen.

my 2 cents.
Waarom denk je dat er niet veel geld te halen zou zijn? Dat een organisatie een universiteit is zegt weinig over het veel of weinig geld hebben. In een bestaande organisatie komt geld meestal samen met de waarde die de organisatie heeft. UM lijkt me niet een heel grote universiteit, maar ze staan wel vaak hoog aangeschreven. Dat maakt het lucratief om subsiedies en geld voor opdrachten in te investeren. Het jaarverslag geeft aan dat er alleen al aan opdrachten ruim 100 miljoen euro zou binnen komen (bijvoorbeeld uit bedrijfsleven en stichtingen) en 250 miljoen euro aan subsidies. Of een organisatie ook zoveel geld dan beschikbaar heeft voor dit soort noodgevallen is dan weer iets anders.

Daarbij is het bij een besmetting tegenwoordig maar de vraag of het werkelijk alleen om het geld zou gaan. Diverse besmettingen bestaan uit meerdere onderdelen waarbij het ene onderdeel kan doen aan het stelen van belangrijke data en het andere deel zich richt op inkomsten via gijzelen.
Er gaat wel een hoop geld doorheen, maar schijnbaar gaat er niet genoeg naar beveiliging. Of gaat men nu de subsidies gebruiken om het losgeld te betalen (onderzoekdatabases schijnen niet getroffen te zijn).
In hetzelfde jaarverslag staat ook een paragraaf over beveiliging. Ze hebben er in ieder geval duidelijk wel aandacht voor. Of het daarmee (niet) genoeg zou zijn is nmm niet te zeggen zonder verdere details over de oorzaak. Het is immers niet enkel een kwestie van geld investeren en het risico is weg.
Volgens mij dragen de ransomwaremakers gewoon netjes VAT af. Stel dat je per bestand 250 euro omzet hebt (de laagste prijs die ik tot nu toe heb gezien is 300 euro per bestand), dan kun je aardig wat verdienen aan VAT.
Inkomstenbelasting is iets anders dan VAT.
Ze maken geen factuur denk ik hoor.
Maar misschien geven ze wel inkomsten aan.
Je hebt geen idee waar je het over hebt. BTW is helemaal niet van toepassing op transacties buiten de handelszone.
Zeg jij nu dat die hackers een BTW-nummer hebben?
Geen idee hoe dat in Rusland heet, maar ik mag er toch vanuit gaan van wel? Hoe kun je anders aan ze betalen? Het gaat niet om kleine bedragen. Stel dat je besluit om 1000 bestanden te redden, dat kost je minimaal US$ 250,000.00.
Laat Rusland nou niet geheel ontoevallig een boel investeren in cryptocurrencies.
Val bijna van mijn stoel.

Ten eerste, heb je wel enig idee wat BTW is? Daarnaast, hoe kom je aan dat achterlijke bedrag? Er is ransomware die gratis bestanden terug geeft en er is ransomware die je uitlacht en nooit iets teruggeeft, er is helemaal geen 'minimaal 250k'. Maargoed ook 250k is niks in de juiste kringen. Google eens naar btce bijv
Er loopt ergens een flinke geldstroom. Het lijkt mij dat de Russische belastingdienst daar dan ook wel van op de hoogte is. En hoewel het losgeld vaak in bitcoins betaald wordt zal er toch ook wel ergens iets naar harde valuta omgezet worden. Want in de supermarkt betalen met bitcoin is nog steeds erg lastig.
"De Limburger schrijft dat er mogelijk Russische criminelen achter de cyberaanval zitten."
"Die zegt in een skypegesprek dat de daders waarschijnlijk onderdeel van de Russische groep TA505 zijn."
"zou voor het eerst ontdekt zijn in februari 2019"

Kwaliteitskrantje die Limburger.

"In het algemeen is het exact herleiden van dit soort aanvallen erg lastig."
Toch nog een feit.
Nee, het is gewoon nogal een domme opmerking. Je kunt niet eenvoudig bepaalde landen 'afsluiten' zonder iedereen te identificeren. Wat je voorstelt is dus een internet vergelijkbaar met een politiestaat. Waar alles en iedereen gecontroleerd is.
De laatste zin in het artikel is een beetje vreemd.
Waarom zou je contact zoeken met de hackers als je zeker niet van plan bent te gaan betalen?
Ik zou daar geen energie in stoppen en liever zorgen dat alles weer snel beschikbaar komt.
Als men wèl van plan zou zijn losgeld te betalen was dit al gedaan en had men de sleutel van de hackers ontvangen om clop weer ongedaan te maken.
Er zijn dus nogal wat vraagtekens wat er precies gedaan is.
Ik begrijp best dat de prioriteit bij de ICT afdeling ligt bij het oplossen van de problems maar een woordvoerder van de universiteit zou zich wel beter moeten laten informeren om de media en pers te woord te staan.
Opties afwegen, vermoed ik. Ze hebben nog niet gezegd "We gaan niet betalen". Denk dat je in zo'n crisissituatie alle opties openhoudt, en een mailtje sturen naar de daders is zo gebeurd.
mijn vermoedens; niet op feiten gebaseerd. Ik denk dat de universiteit bezig was met het analyseren van de geleden schade en wat de cybersecurity verzekering (als ze die hebben) eventueel bereid is uit te keren.

Als de balans erg doorslaat in de richting van ransom betalen is de keus snel gemaakt. Helemaal als studenten eventueel niet kunnen afstuderen en een jaar moeten overdoen.

nogmaals het is maar een scenario
Waarom zou je contact zoeken met de hackers als je zeker niet van plan bent te gaan betalen?
Ik zou daar geen energie in stoppen en liever zorgen dat alles weer snel beschikbaar komt.
Omdat contact zoeken waarschijnlijk niet alleen gaat om betalen?

edit:
@HoppyF lijkt zich blind te staren op een specifieke reden, hoe is een antwoord dat er meerdere redenen kunnen zijn dan irrelevant?

[Reactie gewijzigd door kodak op 30 december 2019 20:39]

Waarom gaat het dan wel?
Wil men de hackers ervan overtuigen dat ze de sleutel maar gratis moeten geven dan?
E-mailen heeft naar mijn mening alleen maar zin als je daadwerkelijk niet meer weet wat je moet doen en noodgedwongen moet gaan betalen.
Eerste contact kan ook zijn dat je een paar bestanden door de hackers wilt laten decrypten zodat je zeker weet dat ze ook de juiste sleutel bezitten.
Contact zoeken om opsporen. Ook criminelen maken fouten. Hoe vaker contact, hoe groter je de kans dat je ze kan opsporen. Er zijn tal van voorbeelden uit het verleden waarbij daders uiteindelijk zijn opgespoord door een klein, maar fataal foutje.
Dus, contact zoeken en onderhouden gaat echt niet alleen om betalen.
Ja, leuk maar dat weten de criminelen ook.
Ze gaan dus niet overmatig e-mailen en doorzien deze trucjes ook wel.
Een foutje maken zou kunnen maar het is bekend dat dit soort criminelen vaker met succes computer systemen in gijzeling hebben gehouden en er geld uit hebben weten halen.
Naar mijn idee zou je nooit moeten betalen omdat je ransomware in stand houdt door wel te betalen.
Criminelen willen geld en nemen daar risico's voor, je kan ze met te mailen steeds verder drijven.
Zo heb ik eens ge-antwoord op een mail van een onbestaande firma die een IP-block van ons wou huren (vanaf een gmailadres).
Na een mailtje of 20 had ik een bankrekening-nr in londen, enkele emailadressen en hun ASN-nr.
De contactpersonen en hun ASN stond op diverse blacklists vanwege phishing.
Daarna alle gegevens doorgegeven aan FCCU, antwoord van overheid: we kunnen niets doen ze hebben nog niets strafbaars gedaan....
Je doet allemaal aannames. De wereld is niet zo simpel dat het iets moet zijn wat jij bedenkt dat een ander zou doen.

Beveiliging is niet enkel een kwestie van medewerkers en klanten kunnen niet meer bij het systeem dus gaan we lekker eigenwijs het zelf oplossen. Daarbij is het ook een kwestie dat je wil weten met wat voor risico's je te maken hebt en is er ook nog de kant van opsporing, vervolging en preventie.

Je kan heel eigenwijs gaan beredeneren hoe de wereld in elkaar zou zitten en wat wel of niet goed is, maar dat lijkt me in de praktijk niet haalbaar.
"Ja, leuk maar dat weten de criminelen ook."

Zolang criminelen bankpassen stelen en vervolgens pontificaal met hun smoelwerk in de camera van de geldautomaat staan te turen, mag je er vanuit gaan dat er fouten gemaakt worden. Op alle niveaus.
Achterhalen wie er achter zitten neem ik aan, lijkt me dat justitie ook wel ff meekijkt.
Tsja, maar zo simpel is het niet dat je de hackers een e-mail stuurt en dan kunt tracen wie erachter zitten.
Dit soort hackers zijn niet achterlijk en weten echt wel dat een e-mail hun identiteit zou kunnen onthullen.
Het zou wel grappig zijn als je de hackers kunt bewegen een stukje malware te kunnen laten openen waarmee je ze in de val kunt lokken.
Het is het proberen waard.
Follow the money is een andere optie maar ook een bitcoin betaling is niet zo eenvoudig te volgen.
De betaling zelf wel maar niet wie de ontvanger is.
Tja je kan bitcoin eindeloos volgen maar pas een persoon pakken zodra het in cash omgezet word.

Ik vraag me dan ook af hoe criminelen dit omzetten in harde biljetten die te gebruiken zijn. Je kan immers miljoenen aan bitcoin hebben maar je kan er zo goed als niets mee. Zelfs als je het online naar een andere wallet doorsluist en er cash voor vangt loop je groot risico want de volgende persoon kan het wel uitgeven en zeggen ja maar die coins kopen van pietje op grapsteeg 1 aan het geinplein en dan ben je alsnog de sjaak.
Bitcoin is alleen anoniem als je het voor altijd in bitcoin houd en dat maakt het vooralsnog vrij nutteloos.
En dan zit de dealer met geld wat hij niet kan omzetten... Wat gaat hij er mee doen? Als hij het omzet en ze kloppen aan dan lappen ze jou er ook gewoon bij.

De transacties van wallet naar wallet naar wallet is gewoon te tracken ze weten alleen niet van wie de wallets zijn totdat iemand het dus om zet naar cash of andere valuta.
Genoeg wegen, ene kost je meer dan de ander maar het fabeltje dat je nooit wegkomt met crypto is niets meer dan dat, een fabeltje. Dat het bij een miljoenenroof lastiger is dan bij 200k euro is uiteraard logisch
Overigens liggen door deze aanval ook een aantal systemen van de Open Universiteit er uit. Het gaat dan met name om de systemen die vallen onder de bibliotheek, aangezien OU deze via Universiteit Maastricht laat lopen. Hierdoor kunnen studenten van de OU bijv. geen wetenschappelijke artikelen of tijdschriften benaderen.

* Ik studeer zelf een vak aan de OU. Zie ook oustatus.nl.
Is de kans niet aanwezig dat laptops van leerlingen/leraren ook al besmet zijn geraakt en straks de boel weer besmetten? Geen verstand van dit soort dingen verder.
Ik neem toch aan dat ze tegen die tijd de beveiliging zodanig op orde hebben dat deze besmetting in ieder geval onmiddellijk wordt gestopt.
klein detail: en hoe ben jij precies van plan om al de studenten hun laptop te 'dwingen' jouw security baseline in te voeren? patch level? security software? geen local admins meer? ? Ik zeg veel succes.

Daarnaast: "simpel" te beveiligen ?? stapje terug: er zijn letterlijk een 1 of 2 stukken software die ik vertrouw tegen ransomware versleuteling. Die werken vanuit een behavior basis; en niet zoals 90% van de virusscanners vanuit een heuristics. Kort en simpel: als een proces of applicatie niet 'mag' encrypten wordt het tegengehouden en teruggedraaid. Vergis je niet; encryptie is veelal een Windows eigen proces en mag normaal gewoon doorgaan. Elke netwerkmapping die gemaakt is in Windows betekent veelal dat ook die bestanden versleuteld worden.

heb je slimmere ransomware (dom genoeg NotPetya van 2017) dan wordt het smb protocol gebruiker om lateraal over je netwerkt te bewegen .. en ALLES te encrypten.

Ransomware is niet simpel; niet makkelijk en zeker niet makkelijk te voorkomen. Je kan beginnen met handvatten geven en voorzichtig richtlijnen uitstippelen.
Dat is toch helemaal niet nodig. Als je eigen netwerk veilig genoeg is dan kan je daar een besmette pc aan hangen maar dan word het alsnog geblockt. Dat is notabene het hele nut van beveiliging. Het hele internet is 1 groot netwerk waarvan een groot deel niet veilig is maar het deel dat gepatched en beveiligd is heeft daar geen last van.
Dat is niets anders dan met studenten laptops op je netwerk. De malware daarop zou niets uit moeten maken, daar beveilig je je netwerk juist tegen. Dus al draaien die laptop windows 2000 zonder enige update zou het niet uit moeten maken als de rest van je netwerk goed genoeg is gepatched.

En in het geval van deze clob worden er een aantal checks gedaan voordat de encryptie begint en dus kan je het al voor die tijd stoppen met de juiste beveiliging lijkt mij.
Zo werd er een certificaat geïnstalleerd. Dat lijkt mij blokkeerbaar als sysadmin.
Je kan niet alles voorzien maar deze informatie was al ruim 4 maanden beschikbaar en ik zou er toch wel mijn tijd voor vrij maken om die 10 minuten even te onderzoeken of alles wel up to par is.
Er is geen vak in de wereld waar je kennis zo snel outdated is als in de IT en als zelfst doctoren moet bijleren om up to date te blijven dan is dat van een IT'er die hele bedrijven in de lucht moeten houden waar duizenden of tienduizenden van afhankelijk zijn toch niet zo heel veel gevraagt. Is dat het wel dan heeft het team duidelijk versterking nodig aan vaste krachten of simpelweg ander personeel dat wel graag bijleert en zijn kennis up to date houd.
Ik ben al tig jaar uit de IT maar er is geen dag dat ik niet een reeks artikelen lees. Ik ben namelijk nog altijd erg geïnteresseerd in de IT.
Maargoed ik denk dat betere backups van cruciale systemen daar in iedergeval nu wel op de menukaart staan. waardoor ze voortaan veel sneller weer in de lucht kunnen zijn. Data blijft een lastiger verhaal. niet omdat het daadwerkelijk lastig is maar gewoon omdat een harde offline kopie een vrij duur geval is.


@kodak If it looks like a duck, swims like a duck, and quacks like a duck, then it probably is a duck
ik praat over ransomware in het algemeen; en niet over CLOP

encryptie is een windows eigen proces. Jij kan niet voorkomen dat bestanden versleuteld worden zonder daarvoor gerichte tooling aan te schaffen. Die tooling draait op endpoints. Hoe precies wil jij die tooling draaien op studenten endpoints? Ransomware is GEEN virus. Het versleuteld. Zoals ik eerder zei; versleuteling 'mag'; het is windows eigen. Weinig virusscanners zullen ingrijpen en diegeen die dat wel doen, doen dit op andere gronden dan bijv. heuristics maar veelal op behavior analyse. (malwarebytes, interceptx, falcon)

Op je opmerking dat je besmette pc kan hangen aan je netwerk; theorie en praktijk zijn zeer verschillend;

Meerdere ransomware varianten maken gebruik van Mimikatz & pass the hass exploits voor laterale beweging. Het is windows eigen (NTLM protocol) om via de hash waardes te kunnen connecten naar shares - pc's middels mimikatz verkregen credentials. Hoe kan je zeggen dat je 'besmette' pc's wel aan je netwerk knoopt is voor mij een raadsel: in het gunstigste geval wordt 'alleen' de netwerkmapping met de bestanden van de gebruiker geraakt. In het ongunstige geval worden de local admin password hashes en domain password hashes uit de LSASS gehaald.

Pass the hash zorgt voor de rest en daar komt geen kwetsbaarheid bij kijken. Als er geen kwetsbaarheid bij komt kijken, kan je er ook heel lastig te tegen patchen (niet dus) Het enige wat je kan doen is je beleid aanpassen. accounts splitsen, tooling op servers installeren (diezelfde interceptx met remote encryption mogelijkheid) en kiezen om, in dit specifieke geval van de universiteit, je studenten laptops geen netwerkmapping toe te staan maar kiezen voor een ander mechanisme (cloud broker bijv) en/of web toegang.
Heb je kennis over deze besmetting bij de universiteit? Het zou anders wel heel makkelijk zijn om maar wat te gaan roepen door eigenwijs maar wat aan te nemen over wat er aan de hand zou zijn en daarbij wat aannames aan het doen.

Dat er diverse besmettingen zijn waarover bedrijven publiceren zegt vooral iets over die publicaties, niet over hoe een andere besmetting zou gaan en al helemaal niet welke software wat had weten te herkennen en dus de zaakjes niet op orde waren.

Daarbij is je redenatie over wie de daders zouden zijn nogal krom. Zelfs als een bepaalde crimineel alleen anderen zou aanvallen zegt dat niets over wat alle andere criminelen doen of dat die ene crimineel dus de dader is. Dat speculeren en ook nog met wel een heel slechte onderbouwing.
Zeg je nou dat je als beveiliging gewoon ff een russische keyboard layout had moeten doen?
Voor degene die nog niet zeker wist of het wel uit rusland afkomstig was. ze targeten alleen overige landen.
Of het is een Chinees die zo heel slim de aandacht van het onderzoek naar die landen wil misleiden.
"Ze checken op Russische taal, dus het komt uit Rusland."

Dit is serieus jouw "bewijs" dat het "uit Rusland" komt? Dat de auteurs van deze ransomware mensen op een dwaalspoor zouden willen zetten komt niet bij je op?

En al was het zo: wat zou je daar dan mee willen zeggen? Gelijk ook maar de conclusie trekken dat Putin er dan achter moet zitten. Of iets anders? En dan?

Ik zeg: onbewezen en bovendien irrelevant.
wat een simpele weergave van de werkelijkheid.
Als het allemaal zo makkelijk was als jij aangeeft, heeft geen enkele ransomware kans van slagen.

Misschien moet je eens meer onderzoek doen naar hoe het allemaal werkt in plaats van je simplistische weergave van de wereld om je heen.
Het is zo vervelend om te reageren 'als ze hun zaakjes op orde hadden', neem aan dat bij jou ook alles perfect en op orde is op de werkvloer.
Ah, dat wilde ik even controleren. Dus jouw idee van "je zaakjes op orde hebben" is dat je van elke mogelijke vorm van ransomware je gewoon eventjes op de hoogte blijft en zorgt dat je toevallig alle kill-switches en precondities op orde hebt die ervoor zorgen dat het script niet runt.

Dus, mailtje rondsturen naar je organisatie met honderden/duizenden users:
"Jongens en meisjes, we hebben even geforceerd dat je nu standaard een russisch toetsenbord ingesteld hebt. Beveiliging enzo. Werk ze!"
Deze randsomeware word door meerdere beveiliging suites die vaak bij grote bedrijven en instituten gebruikt worden geblocked.
Daaruit kan je dus constateren dat of de gebruikte beveiliging :
-niet up to date is
-niet goed afgesteld is
-niet adequate is voor 2019

En ja als IT'er bij een multi miljoenen instantie waar vele duizenden mensen afhankelijk zijn van de IT systemen kan je maar beter op de hoogte blijven daar word je immers voor betaald.
Ik werk al vele jaren niet meer in de IT maar zo moeilijk is het nou ook weer niet om enigszins bij te blijven.
En simpele up to date beveiliging had voldoende geweest geen Russische layout nodig Dat was een GRAP maar dat is door iemand duidelijk gemist.
En ook in alle iteraties en variaties geblocked? Je hebt de code al gezien en geanalyseerd?

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True