Universiteitsblad: Universiteit Maastricht betaalde losgeld na ransomwareaanval

De Universiteit Maastricht heeft volgens bronnen van het universiteitsblad Observant het losgeld betaald voor de ransomware waardoor de onderwijsinstelling is getroffen. Het zou gaan om 'een paar ton'. Een woordvoerder wil dat niet bevestigen.

Het onafhankelijke tijdschrift baseert zich op 'goed ingevoerde bronnen' binnen de UM. De universiteit werd op kerstavond getroffen door een grote ransomwareaanval. Daardoor waren vrijwel alle systemen niet meer bereikbaar. Vorige week werd bekend dat de universiteit contact had met de aanvallers. Woordvoerder Fons Elbersen van de universiteit wil niet bevestigen of ontkennen of het losgeld daadwerkelijk betaald is. Hij verwijst daarbij naar een update op de website. Daarin schrijft de universiteit de komende tijd geen informatie meer openbaar te maken over de aanval zolang het onderzoek nog loopt. "We hebben daarbij twee belangrijke overwegingen", schrijft de universiteit. "Het externe onderzoek is in volle gang en we zullen de resultaten en onze leerpunten delen zodra die bekend zijn. In het kader van dat onderzoek willen we niets communiceren dat de digitale veiligheid op een of andere manier kan bemoeilijken."

Inmiddels zouden er alweer verschillende systemen of onderdelen daarvan in werking zijn. Dat zijn informatiesystemen rondom roosters, studiemateriaal via EleUM en het Student Portal. Die hebben volgens de UM wel te maken met beperkte functionaliteit. De UM-mail en de bestandsservers zijn nog niet te gebruiken. Het onderwijs wordt vanaf 6 januari dan ook hervat. De universiteit vroeg studenten en medewerkers ook hun wachtwoorden te resetten. Dat heeft inmiddels een aanzienlijk deel gedaan, zegt Elbersen. Het resetten van wachtwoorden is standaardprotocol bij een dergelijk incident. Voor zover bekend was daar niet direct aanleiding voor.

Volgens Observant zou voor de ransomware 'een paar ton' zijn betaald. Het is niet bekend hoe hoog het daadwerkelijke bedrag zou zijn. Elbersen wil ook daarover niets zeggen. Dat bedrag is in lijn met eerdere aanvallen met Clop, de specifieke ransomware die nu heeft toegeslagen. De universiteit heeft geen verzekering die de schade bij ransomware dekt. Steeds meer verzekeraars bieden aan het losgeld te vergoeden bij een ransomware-infectie.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 02-01-2020 15:28
177 • submitter: DeComponeur

02-01-2020 • 15:28

177 Linkedin

Submitter: DeComponeur

Lees meer

'Cyberverzekeringen' worden normaal
Economie en maatschappij

18 dec 2019

'Cyberverzekeringen' worden normaal

Bescherming tegen AVG-boetes en losgeld

101
Universiteit Maastricht maakt 'winst' na retour ransomware-crypto-losgeld Nieuws van 2 juli 2022
Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware Nieuws van 22 mei 2020
Minister stelt geen eisen aan verzekeraars voor betalen ransomwarelosgeld Nieuws van 23 maart 2020
Wetenschappelijk instituut Wetsus betaalde losgeld om van ransomware af te komen Nieuws van 12 februari 2020
Universiteit Maastricht betaalde 197.000 euro losgeld voor ransomwareaanval Nieuws van 5 februari 2020
Universiteit Maastricht heeft meeste systemen weer online na ransomwareaanval Nieuws van 27 januari 2020
'Ransomware infecteerde ook back-upserver van Universiteit Maastricht' Nieuws van 24 januari 2020
Netwerk van Universiteit Maastricht deels operationeel na grote ransomwareaanval Nieuws van 7 januari 2020
Clop-ransomware sluit nu 663 processen in Windows af bij infectie Nieuws van 6 januari 2020
Onderwijs Universiteit Maastricht wordt 6 januari hervat na ransomware-infectie Nieuws van 30 december 2019
Universiteit Maastricht heeft contact met ransomware-aanvallers en doet aangifte Nieuws van 27 december 2019
Deel diensten Universiteit Maastricht offline door Clop-ransomware - update 2 Nieuws van 24 december 2019
Meer producten en artikelen
Beveiliging en antivirus Maastricht Nederland Ransomware Universiteit Universiteit Maastricht

Reacties (177)

-Moderatie-faq
177
167
103
3
0
37
Wijzig sortering
regmaster
2 januari 2020 21:12
Idd een kwestie van risico en kosten afweging en als dat uitslaat naar dan maar betalen in de hoop dat je in ieder geval het grootste gedeelte van de data weer terug hebt dan is dat een juiste beslissing. Dan mag het OM en de Politie, en iedere bijdehante tweaker, wel roepen dat je nooit moet betalen maar die staan niet in dezelfde schoenen als waar Maastricht en andere slachtoffers in staan. De andere slachtoffers van de Clop ransomware hebben tenslotte ook al hun data weer terug gekregen ná betaling, en dat waren toevallig ook universiteiten en een groot Frans ziekenhuis. Des te meer reden om aan te nemen dat betalen een viale oplossing is. En ja, dan loont misdaad inderdaad helaas. Het is wat het is.
Nu maar hopen dat de slachtoffers van de ransomware ervan geleerd hebben en hun IT gaan aanpassen om dergelijke besmetting te voorkomen dan wel te beperken.
Helaas is de reactie op dit soort incidenten vaak om zoveel mogelijk te gaan verbieden en potdicht te zetten maar dat is ook geen oplossing want er moet wel gewoon gewerkt kunnen worden. Het is niet de vraag hoe je aanvallers met ransomware buiten de deur houdt (gaat je toch niet lukken) maar hoe je het effect ervan zodanig inperkt dat de schade laag of heel beperkt zal zijn. En dat laatste is minder ingewikkeld dan het lijkt maar dat brengt wel een investering met zich mee en een andere wijze van denken en handelen.
M2M
@regmaster2 januari 2020 23:21
Een systeem dat automagisch snapshots maakt en die maandelijks, wekelijks en dagelijks bewaard worden inclusief controle van personeel is meestal al voldoende om in ieder geval niet te hoeven betalen.
vrow
@M2M2 januari 2020 23:58
Nouja, dat is dus het probleem: de ransomware slaapt tegenwoordig langere tijd, zodat de backup van vorige week ook besmet is. Niet versleuteld, maar wel besmet.
Zet je die backup dus terug, dan slaat die direct na het aanzetten wederom aan het versleutelen.
Waar we nu naartoe lijken te moeten, is losse backups weer van losse onderdelen. Losse sql server databases, los de files et cetera. En dan dus systemen opnieuw opbouwen en al die losse backups inlezen.
Maarja, een losse backup van Active Directory, inclusief alle secondary controllers, gecombineerd met Exchange en weet ik wat niet allemaal, is niet zo heel makkelijk los te maken.
Daarom zijn op zich die Azure-cloud AD-services wel weer fijn, gecombineerd met Office365 heb je dan alweer een heel stuk complexiteit buiten de deur.
Maar die virussen zijn dus ongelooflijk lastig tegenwoordig!
ejabberd
@M2M3 januari 2020 08:23
Dat kan ik bevestigen. Ik heb geen ervaring met ransomware maar wel lang geleden met een louche hoster die maandenlang mijn websitedata gijzelde.

Samenvatting: door de slechte ervaringen had ik hen al opgegeven en de twee voorafbetaalde jaren hosting had ik al aanvaard als verzonken kost, maar de hoster probeerde mij zeer lang te chanteren door enkel een kopie van de gegevens te willen geven na eerst te betalen voor een upgrade...niet dus.

Die frustraties hebben me toen veel bijgeleerd over hoe zulke bedrijven kunnen blijven bestaan, over zoekmachineoptimalisatie (zie blogpostlink :*) ) en over hoe ik me kan beveiligen tegen datagijzelingen toen ransomware nog niet populair was.
wildhagen
2 januari 2020 15:31
Steeds meer verzekeraars bieden aan het losgeld te vergoeden bij een ransomware-infectie.
Dit is natuurlijk wel erg dom, net al het betalen zelf overigens.

Hiermee geef je het signaal "misdaad loont!" af, nu men ziet dat er betaalt wordt. Je kan dan wachten op en herhaling door andere (of dezelfde) groeperingen natuurlijk, die ook een graantje van het geld mee willen pikken.

Ik snap wel waarom ze het doen (data terugkrijgen), maar toch lijkt het me een onwenselijke ontwikkeling. Het schept een precendent, en dan wel één die nog tot veel grotere schade gaat leiden.
Auredium
@wildhagen2 januari 2020 15:37
De realiteit is dat hier bij Maastricht niets nieuws gebeurd. Bedrijven en instanties betalen al zeker jaren vaak gewoon het losgeld.
Voor veel instanties en bedrijven is het gewoonweg een afweging; hoe langer de systemen plat liggen hoe meer verlies er wordt gedraaid. Bij scholen is het vergelijkbaar want leerlingen betalen ook gewoon geld en als die niet kunnen werken en leren op de universiteiten door een cryptolocker dan gaat dit uiteindelijk geld kosten voor de opleiding. Overigens zijn back-upsystemen ook vaak aangetast tijdens een aanval tegenwoordig. (en vaak ook niet goed op orde, dat dan weer ook)

Je ziet gelijktijdig cryptolockers minder voorkomen bij individuen omdat deze sneller 'nuke and pave' doen en dus niets betalen.

[Reactie gewijzigd door Auredium op 2 januari 2020 15:38]

gabba25
@Auredium2 januari 2020 16:02
Maar als je dan betaaalt, wie zegt dat het dan nooit meer voorkomt? Misschien laten ze wel een achterdeur achter om het vervolgens 6 maanden later weer te actieveren? Waarom komt Microsoft (ik neem aan dat het om Windows systemen gaat) niet veel harder in actie tegen maatregelen? (disable excryptie over netwerk oid). Er moet toch wel iets meer tegen te doen zijn lijkt mij?

Heel veel vragen.
SinergyX
@gabba252 januari 2020 16:10
Er is nagenoeg geen enkele verspreiding geweest in alle jaren die terug kwam, ergens is zelfs cryptolockers ook gewoon 'handel', als jij netjes je woord houd en met de code alles weer weghaalt, blijft de drempel om dan maar te betalen laag.

Andersom kan je ook zeggen, je betaald niets, je doet een complete wipe en zet bestanden uit een 'gecontrolleerde' backup terug, wie zegt dat de locker niet op een usb stick stond, of op een apparaat die ze niet hebben gezien?

Wil je tot niveau 'wat doe je met dat bestand' gaan werken, komt meteen de anti-privacy groep weer op gang, MS hoort niet te zien/weten wat wij met bestanden doen. Een cryptolocker is ergens weinig anders dan normale crypto op je bestanden gooien, met het verschil dat jij de sleutel niet hebt.

Er is veel aan gedaan, er zijn veel sleutels beschikbaar gekomen, maar met onze eigen honger naar nog hogere encryptie schaalt de criminele kant dus gewoon mee.
EGM360
@SinergyX2 januari 2020 17:13
(...)
Wil je tot niveau 'wat doe je met dat bestand' gaan werken, komt meteen de anti-privacy groep weer op gang, MS hoort niet te zien/weten wat wij met bestanden doen. Een cryptolocker is ergens weinig anders dan normale crypto op je bestanden gooien, met het verschil dat jij de sleutel niet hebt.
(...)
Privacywaakhond (niet anti-privacy) ;) , maar je hebt groot gelijk. Een partij als Microsoft heeft niet te kijken in de data van het bestand. De 'honger' naar betere encryptie waar je het over hebt vind ik wel een beetje raar geredeneerd, door de toenemende kracht van (cloud)computing is betere encryptie simpelweg een noodzaak om de meest basiszaken veilig via het internet te kunnen uitvoeren.
Terrestrial
@SinergyX2 januari 2020 19:36
De hogere encryptie is geen probleem, het gebruikersgemak kan wel een probleem zijn maar in dit geval is het gewoon dat de beveiliging niet deugt.

Men doet hier in Nederland altijd alsof we alles zo goed voor mekaar hebben maar in de praktijk is dat helemaal niet het geval.
grote_oever
@gabba252 januari 2020 16:13
Zijn wel 2 lossen dingen wat je aangeeft. Als je betaald is er geen zekerheid dat het weer voorkomt. Zelfs zonder backdoor kun je wederom doelwit worden. Sterker nog; vaak is dit een teken voor hackers om je extra onder de loop te nemen, want je bent bereid om voor je data te betalen.

Ik hoop voor de UM dat ze, nadat de data weer terug is, wel kritisch gaan kijken naar hun ICT-systemen en niet ervan uitgaan dat alles achter de rug is. Bij de organisatie waar ik werk houden ze de informatie van de universiteit goed in de gaten om eventuele problemen binnen onze organisatie te voorkomen.

Dit zijn een paar hele interessante dagen voor security officers.
F-I-X
@grote_oever3 januari 2020 00:11
Dit zijn een paar hele interessante dagen voor security officers.
Maak daar maar een paar maanden van.
Je hebt wel gelijk dat deze media aandacht er toe lijd dat er andere groepen zullen zijn die het ook gaan proberen. Ik mag hopen dat ze weten hoe het uberhaubt is binnengekomen. Zoals al door andere gesuggereerd is, kan het ook al een aantal weken slapend zijn geweest tot juist specifiek deze kerstperiode.
En dan weet je misschien waar het vandaan komt, zal het waarschijnlijk ook niet eens zo makkelijk zijn om een bepaald gebruik of routine die er achter ligt, eruit te halen.

Leuke nachtmerrie, mag hopen dat ze niet in eerste instantie zelf schuldig zijn door te beknibbelen op de ICT of personeel of juist eerdere waarschuwingen van de experts hebben genegeerd omdat het lastig of te duur was.

Heleboel aannames en doom denken... kan net zo goed iets simpels zijn wat haast niet te voorkomen is.
separhim
@gabba252 januari 2020 16:12
Een probleem met het opnieuw te activeren is dat niemand dat opnieuw gaat betalen maar dat het bedrijf waarschijnlijk wel de beveiliging beter op orde heeft. Je komt daarnaast over als onbetrouwbaar, hetgeen bedrijven of instelling minder geneigd maken om te betalen aan jouw groep.

[Reactie gewijzigd door separhim op 2 januari 2020 17:31]

OxWax
@gabba252 januari 2020 17:52
https://heimdalsecurity.com/blog/ransomware-payouts/

According to the source, the FBI and a forensic investigation firm attempted to recover the data without paying the ransom, but their efforts proved to be unsuccessful. $100,000 out of the $130,000 payment demand was covered by insurance.

Apparently, the county did have back up servers in place, however, they became infected by ransomware as well.
nietorigineel
@Auredium2 januari 2020 16:28
Het blijft natuurlijk wel kortzichtig: voor Maastricht is dit misschien nu een goede deal, maar als dit ervoor zorgt er tien nieuwe groepen hiermee starten, kost het eigenlijk veel meer, maar die kosten komen niet bij Maastricht terecht (hopen ze).
locke960
@nietorigineel2 januari 2020 16:59
Ik zou het eerder egoïstisch noemen. De beslissing is voor de Universiteit Maastricht waarschijnlijk de beste, maar de negatieve gevolgen worden afgewenteld op de maatschappij. Die negatieve gevolgen zijn een te verwachte toename in ransomware aanvallen omdat het blijkbaar werkt. Als niemand zou betalen zou het snel gedaan zijn met ransomware.

Het is dus een variatie op de Tragedy of the Commons. Voor het algemeen goed zou er niet betaald moeten worden, voor het eigen belang wel. Misschien moet losgeld betalen wel verboden worden. Maar daar zitten ook weer haken en ogen aan.
Masterlans
@locke9602 januari 2020 18:45
Wat een kortzichtige statement. Weet je hoeveel research data er op die servers staat? Er gaan miljoenen aan publiek geld (ZonMW/NWO etc.) naar onderzoek naar o.a. geneesmiddelen/behandelingen en het basale onderzoek waar dit op gebaseerd is. Je gooit dus geld van de maatschappij weg om zogenaamd de maatschappij een dienst te bewijzen? De daadwerkelijke schade is vele maken hoger dan dat bedrag, en de potentiële schade weer een veelvoud daarvan.
locke960
@Masterlans2 januari 2020 20:20
Je kiest er nu voor om het korte termijn, negatieve, aspect van niet betalen uit te lichten. Met hetzelfde recht kun je er op wijzen dat als alle voorgangers van de Universiteit van Maastricht niet betaald hadden, de Universiteit nooit met dit probleem te maken gehad zou hebben. Dan hadden ze nu hun gegevens EN hun geld nog gehad. En de medewerkers hun kerstvakantie en de rest van de wereld een ransomware vrije wereld.

[Reactie gewijzigd door locke960 op 2 januari 2020 20:23]

pepsiblik
@Masterlans2 januari 2020 21:17
De research servers zijn niet aangetast. Da’s een ander netwerk.
Scriptkid
@Masterlans2 januari 2020 19:37
dus we moeten ook maar gaan onderhandelen met terroristen en ze gewoon hun zin geven ?

Nee dat doen we ook niet dan houden we ze aan het lijntje todat SWAT team er een eind aan maakt.

Eigenlijk zou deze beslissing niet eens bij het bedrijf mogen liggen want men gijzeld infeite een asset. alle beslissingen omtrend onderhandeling met de hacker zou via de polictie moeten lopen.

Cyber warfare zou uit de handen van individuen moeten worden gehaald en in de handen van speciale taskforce gelegd moeten worden. In het geval val crypto is er communicatie tussen bijde partijen dus kan men de terroristen gewoon traceren.
sympa
@Scriptkid2 januari 2020 19:46
Tja, dan deal je (kennelijk) met Russische criminelen: https://www.heise.de/news...rity.atom.beitrag.beitrag
Criminelen die kennelijk geen gedonder willen in Rusland, maar niet bang zijn voor klachten uit het buitenland...
Scriptkid
@sympa2 januari 2020 19:54
Ook dat kun je gewoon op politiek nivo aanpakken.

kijk maar naar heel china, n. korea etc en hoe de handels verboden en maatregelen druk zetten op een land.

Rusland is er ook niet bij gebaat om een eiland te worden zolang de politiek maar 1 blok vormt vanuit Europa.
JECL
@Scriptkid3 januari 2020 11:04
Er zijn wel enorme beperkingen op politieke mogelijkheden.
Handelsverboden snijden aan beide kanten.
En Rusland steunt nu gewoon groeperingen die het "blok" uit elkaar helpt drijven.

Hetzelfde met betalen, de som kan vele malen kleiner zijn dan de schade. Je kan inderdaad na betalen die crimineel proberen op te sporen natuurlijk.
freaky
@Scriptkid2 januari 2020 21:40
Nee dat doen we ook niet dan houden we ze aan het lijntje todat SWAT team er een eind aan maakt.
Dat je het SWAT noemt geeft eigenlijk al aan dat je te veel USA films gezien hebt.
Scriptkid
@freaky2 januari 2020 23:49
Wij hebben ook gewoon een SWAT team hoor alleen noemen we dat net iets anders : Aanhoudings- en Ondersteuningsteam in Nederland of BSB of BBE

neem aan dat bij de meeste SWAT beter kend staat dan AON, BSB BBE teams.

[Reactie gewijzigd door Scriptkid op 2 januari 2020 23:57]

Masterlans
@Scriptkid2 januari 2020 22:05
Als jij met een wapen bedreigd wordt en ze je autosleutel willen hou je ze koste wat het kost bij je? Want dan laat je i.i.g. je principes prevaleren boven korte termijn welzijn en moedig je ze niet aan.
Misschien dapper, misschien stupide.

Je kunt ook je sleutel afgeven, en ondertussen (en daarna) politie en justitie hun werk laten doen.
Je stelt zelf dat ze de 'terroristen' (ik zou het eerder uitschot noemen) toch kunnen traceren. Laat ze dat doen en zwaar genoeg straffen om af te schrikken.
Scriptkid
@Masterlans2 januari 2020 23:55
Dat is een directe persoonlijk confrontatie waarbij de hulp nog niet gealameerd is. Dus ja geef je je sleutel.

Op dat moment heeft je aanvaller je auto en dan zeg je ook niet tegen de politie laat maar zitten die auto en laat de aanvalller maar gaan ik heb hem al betaald. Nee dan wil je ook je auto terug en ga je ook niet nog eens betalen voor je auto als hij dat zou vragen.
kodak
@Auredium2 januari 2020 17:24
Het verschil is wel dat een bedrijf de financiele middelen te danken heeft aan eigen inkomsten en het hier gaat om een organisatie waar volgens het jaarverslag het grootste deel van de financiele middelen uit belastinggeld komen. Dat zet wel te denken of dat geld wel bedoeld is voor financieren van criminelen.
sympa
@kodak2 januari 2020 19:48
Dat geld is voor het doen van onderzoek. Laat onze overheid dan maar zorgdragen voor veiligheid. We kopen jullie (Russische) gas, maar als we merken dat "jullie" cybercriminelen de hand boven het hoofd houden ....
Anoniem: 470811
@kodak3 januari 2020 14:55
Klopt, en het zouden zelfs ook zo maar eens terroristische organisaties kunnen zijn, die vervolgens met het geld 'verdiend' bij UM mensen van het leven gaan beroven.

Ik snap echter het dilemma wel bij de getroffen organisaties wel hoor, en ik snap dat ze deze kosten afweging maken en dat begrip heb ik wel eens moeten verdedigen hier. Soms kan het fors goedkoper zijn (hoewel je alsnog je hele netwerk moet screenen), en/of helpen cruciale data te herstellen.

Principieel kan het inderdaad gewoon niet. Je betaalt criminaliteit, je maakt van jezelf een doelwit, en motiveert criminelen hun aanpak te continueren bij anderen.
er0mess
@Auredium2 januari 2020 16:53
Niet alleen bedrijven maar ook landen en overheden in het geval van bv gijzelings(mensen) situaties..

Al zullen ze dat publiekelijk nooit toegeven (om idd anderen niet op ideeën te brengen) maar achter de schermen wordt er onderhandelt en vaak betaald (vaak wel een stuk minder dan de oorspronkelijke eis)
RazorBlade72nd
@Auredium2 januari 2020 19:02
Het vervelende is natuurlijk wel dat het om belastinggeld gaat. Hoe ga je aan de belastingbetaler/kiezer uitleggen dat een duur medicijn, dat het leven van iemand kan redden, niet vergoed wordt maar dat er wel belastinggeld aan criminelen wordt betaald. Niet alleen verdwijnt het belastinggeld in de zakken van criminelen maar criminaliteit wordt ook nog eens aangemoedigd door de overheid. Immers, ben je crimineel dan geeft de overheid daarvoor geld.

De overheid staat er bovendien om bekend dat ze nogal vaak hun ICT zaakjes niet op orde hebben. Dan is het des te wranger om te weten dat de overheid liever het geld uitgeeft aan criminelen dan hun zaakjes op orde te brengen. Dit is niet een gevalletje waarbij de overheid doorgaans altijd alles op ICT vlak prima op orde heeft en dat dan toch onverhoopt iets mis gaat.

En hoewel ik het hier over overheid heb, weet ik dat het semi overheid is. Toch blijft het om belastinggeld gaan. De maatschappij zal hier voor moeten opdraaien.
wimdebok
@Auredium2 januari 2020 23:54
Eens. Maar ook het is de goedkoopste manier om je van deze ellende te verlossen. Hele verstandige zet van de Universiteit van Maastricht, hoe ellendig het ook voelt.
RazorBlade72nd
@wimdebok3 januari 2020 00:40
Is dat zo? Je begrijpt dat hoe vaker je betaald, hoe meer dit soort afpersing zal plaatsvinden. Aan de andere kant, hoe minder je betaald, hoe minder vaak dit zal voorkomen. Het is niet onwaarschijnlijk dat de afpersers nu weten wat ze precies moeten doen om opnieuw deze aanval in te zetten. Als de (semi) overheid nooit zou betalen dan is de kans op gerichte aanvallen ook minimaal.
RobbieB
@wildhagen2 januari 2020 15:37
Het is simpel risk management: Kosten dure beveiligingsmaatregelen en continue patch-kosten vs. kosten losgeld.

Uiteindelijk moeten die kosten van beveiligingsmaatregelen helaas toch betaald worden, maar als dat bv. nog jaren duurt voordat je echt een probleem hebt, dan ben je onder de streep goedlkoper uit...

De vraag die ik vooral heb is hoe verzekeringen hiermee omgaan. Want als bv. achterstallige patches als nalatigheid wordt gezien, dan kun je in 99% van alle aanvallen hier op terug vallen als verzekeraar...
sniper20
@RobbieB2 januari 2020 15:40
Mag toch hopen dat principes hier ook een rol spelen. Vooral als overheidsinstantie. Misdaad zou niet mogen lonen.
RobbieB
@sniper202 januari 2020 15:45
Zoals ik hieronder ook al gereageerd heb:
Dit is geen nieuws. Misdaad loont al sinds het bestaat, het probleem verplaatst zich gewoon steeds. Daarbij zijn o.a. deze 2 variabelen belangrijk:
- Hoe groot is het threat-surface dat ik eenvoudig kan bereiken?
- Hoe groot is de pakkans?

En laat nu net bij digitale criminaliteit die eerste gigantisch zijn door het internet en die tweede minimaal omdat je dit vanuit iedere plek ter wereld kan doen. Ook in landen waar nauwelijks tot niet gehandhaafd wordt.

Je kunt hier ook de parallel trekken met b.v plofkraken. Door minder 'blauw' op straat is de pakkans afgenomen. En door een veel betere infrastructuur en snellere mobiele scooters is de ontsnappingskans ook groter geworden. Tel daarbij op dat door zwaardere en eenvoudig verkrijgbare explosieven je middelen ook beter zijn geworden en voila...
tweaknico
@RobbieB2 januari 2020 16:07
Dat aanvals oppervlak is met name zo groot omdat gebruikers van systemen (en met name management van die gebruikers) niet of nauwelijks nut en noodzaak van beveiliging zien, en als ze hiet inzien dan moet het echt zo goedkoop mogelijk..
In het verlengde daarvan wordt beveiliging altijd als after-thought toegevoegd aan een product en vrijwel nooit wordt een product met beveiliging integraal opgebouwd.
Anoniem: 470811
@tweaknico3 januari 2020 14:57
Los van het feit dat je met updates installeren en een moderne anti-malware gewoon 99,9% tegenhoudt.
tweaknico
@Anoniem: 4708113 januari 2020 15:57
Het probleem is dat een paar "beveiligers" heel veel pogingen moet kunnen afwenden, waarbij slechts een inbreker het maar een maal goed hoeft te doen om met de kroonjuwelen aan de haal te gaan. (het hoeft maar een keer te lukken).
(en proberen is vrijwel gratis, beveiligen niet echt).

[Reactie gewijzigd door tweaknico op 3 januari 2020 15:57]

Anoniem: 470811
@tweaknico3 januari 2020 18:43
Klopt, ik zeg alleen dat Ransomware infectie zelden een state-of-the-art tech is. Meestal worden er gewoon kwetsbaarheden misbruikt, en een degelijke anti-malware die triggert op het gedrag van een cryptoware.
Cergorach
@sniper202 januari 2020 18:30
Mag toch hopen dat principes hier ook een rol spelen.
Tot op zekere hoogte... Ik vermoed dat in dit geval ook de backup servers zijn geraakt en de backups toch niet zo op orde zijn als zou moeten. Als je vervolgens data niet heb die je niet terug kan krijgen op een andere manier dat ook principes de duur uit gaan.

Ik vermoed dan ook dat er wel wat koppen gaan rollen. Of op IT vlak of op directie vlak (afhankelijk van waar het issue zit en of mensen zichzelf goed hebben ingedekt).

Als misdaad nooit zou lonen, dan zou het ondertussen al uitgestorven zijn, het doel is om het op lange termijn niet lonend te maken, maar zelfs dat is erg lastig.
OxWax
@sniper202 januari 2020 15:46
dus liever paar miljoen(overheidsgeld) verlies door maanden/jaren werk kwijt dan paar ton en je data terug?
sniper20
@OxWax2 januari 2020 16:20
Ja, wat mij betreft wel. Dit hangt nu al zolang in de media en kan goed dienen als voorbeeldcase. Als je hiermee als overheid laat zien dat cybercriminaliteit niet loont kan dat op langere termijn zeker helpen.
OxWax
@sniper202 januari 2020 17:51
Ransomware statistics in 2019
Here are the most shocking ransomware facts coming from 2019 alone:

Two-thirds of ransomware attacks targeted state and local governments.
55% of SMBs from the US would pay hackers to recover their stolen data in ransomware attacks.
Over 500 US schools were affected by ransomware attacks in 2019.
Almost 70 US government organizations were infected with ransomware since January 2019.
A total of 140 US local governments, police stations, and hospitals have been infected with ransomware.
In the third quarter of 2019, the average ransomware payout increased to $41,000.

#4. La Porte County, Indiana, USA
July 2019
Amount paid: $130,000

Another victim of the Ryuk ransomware, La Porte County, Indiana, paid $130,000 to recover their data.
The attack happened on July 6 and was noticed right before it managed to spread to all of the network’s computers. The IT staff confined it to less than 7% of machines, however, two domain controllers were impacted and thus, network services became unavailable.

According to the source, the FBI and a forensic investigation firm attempted to recover the data without paying the ransom, but their efforts proved to be unsuccessful. $100,000 out of the $130,000 payment demand was covered by insurance.

Apparently, the county did have back up servers in place, however, they became infected by ransomware as well.
https://heimdalsecurity.com/blog/ransomware-payouts/
nst6ldr
@OxWax2 januari 2020 15:54
Die vergelijking gaat niet op omdat je lange termijn schade gelijk stelt aan de korte termijn gevolgen. Die korte termijn gevolgen zijn juist niet waar @wildhagen op doelt. Op de lange termijn is deze universiteit nu gewoon een cashcow.
Mart81
@RobbieB2 januari 2020 15:58
Eens!

Door te betalen heeft men hun "data en systemen" terug, hierdoor valt de schade aan de Uni (lees: bedrijf) lager uit t.o.v. alles op te bouwen met backups, mits deze beschikbaar zijn. Scheelt een bak tijd wat zich weer vertaald in sneller operationeel te zijn en sneller vervolg acties op te starten om herhaling te voorkomen.
Cergorach
@Mart812 januari 2020 18:36
t.o.v. alles op te bouwen met backups <snip> Scheelt een bak tijd wat zich weer vertaald in sneller operationeel te zijn en sneller vervolg acties op te starten om herhaling te voorkomen.
Tenzij ze het door een stelletje monniken handmatig moeten laten over schrijven en laten illustreren, dan is het ALTIJD goedkoper om deze zelf te herstellen. Ik zou zelfs willen stellen dat het tegenwoordig sneller is, tenzij je nog met 15 jaar oude meuk zit te spelen. Ik vermoed hier dan ook gewoon dat de backup niet goed is gemaakt en/of de backup servers ook geïnfecteerd zijn.

Het lijkt er dan ook op dat er niet 1, maar heel veel dingen zijn gevallen...

Daarnaast zou het ronduit onverantwoord en stupide zijn als men die servers niet alsnog helemaal moet doorlichten en als ze niets kunnen vinden, geheel opnieuw moeten bouwen.

@Mart81 Het enige wat ik durf te zeggen is dat wat zo een organisatie zegt, zeer zeker niet 100% gelooft moet worden. Dat kan intentie zijn, maar dat kan ook onwetendheid of het niet correct begrijpen van zaken zijn.

[Reactie gewijzigd door Cergorach op 2 januari 2020 18:50]

Mart81
@Cergorach2 januari 2020 18:42
Verwacht ook dat de backups geïnfecteerd waren. Dan wil je graag zsm terug naar de meest recente versie.

In de eerste berichten werd tevens gesteld dat wetenschappelijke data niet getroffen was, wat zegt dit nieuws bericht hierover. Durven we te stellen dat deze wel degelijk getroffen was?
Scriptkid
@RobbieB2 januari 2020 19:40
Probleem is alleen wanneer houd het op,

Vandaag gijzelen ze een digitaal asset morgen gijzelen ze een aantal bezoekers van een park. Moeten we dat dan ook maar gewoon weer toe gaan staan en betalen nadat er een paar mensen geexcuteerd zijn. ??
alaineman
@wildhagen2 januari 2020 16:21
En wie zegt dat ze de lock er uberhaupt afhalen als ze geld binnen hebben, het zijn immers criminelen 8)7
Als je eenmaal betaalt hebt zouden ze net zo goed om nog een betaling kunnen vrage nu ze weten dat je erintuint.

[Reactie gewijzigd door alaineman op 2 januari 2020 16:21]

poktor
@alaineman2 januari 2020 18:18
dit. en dat gebeurt dus ook vaak. een deel geven ze vrij en wil je meer, dan moet je weer betalen. kassa! 8)7
Cergorach
@alaineman2 januari 2020 18:38
Het issue daarmee is dat als ze niet doen wat ze zeggen, niemand anders nog gaat betalen als dit bekend wordt.
Scriptkid
@Cergorach2 januari 2020 19:42
Ja alleen is er niet 1 partij.

er zijn honderden hacker groeperingen en als de een klaar is heb jij een bullseye op je rug voor alle andere groeperingen. Deze zullen niet direct toeslaan maar een jaartje wachten en dan toeslaan immers heb jij nog nooit "Zaken" gedaan met die andere groeperingen.
lex0r
@wildhagen2 januari 2020 16:29
Nee het is juist slim om gelijk te betalen. Het is juist dom om dit te laten gebeuren (90% komt door een phishing mailtje). Des te langer zij stil liggen des te meer geld het uiteindelijk komt...
Zorg dat alle 7 layers van beveiliging opgezet zijn en regel security awareness training voor je personeel zodat zij die mails makkelijk kunnen herkennen.

Als je overigens NIET betaald, ben je behoorlijk zuur met de kosten die je gaat maken om het weg te krijgen (veel hoger dan het bedrag).
Cergorach
@lex0r2 januari 2020 18:41
Als je overigens NIET betaald, ben je behoorlijk zuur met de kosten die je gaat maken om het weg te krijgen (veel hoger dan het bedrag).
Das een hoop onzin! Tenzij je er een al een puinhoop van heb gemaakt en de kosten die je maakt om dat op te ruimen mee gaat rekenen. Maar losgeld betalen lost niet de onderliggende issues op. Met losgeld krijg je alleen weer toegang tot je data, daarna moet je alsnog alle kosten maken om de troep op te ruimen. Als je dat niet doet krijg je dit gewoon weer, alleen van een andere crimineel.
TwiekertBOB
@lex0r2 januari 2020 18:42
Kortzichtig. Als je betaalt, gaan ze steeds vaker aanvallen en steeds meer vragen.

Gewoon je verlies direct nemen, dat is altijd goed: verlies direct nemen. Winst zo lang mogelijk vooruitschuiven, vraag maar aan je financiële specialist.
poktor
@lex0r2 januari 2020 18:19
tja dat krijg je als je je servers onbeveiligd laat draaien. prutsers. 8)7
sympa
@lex0r2 januari 2020 20:36
Het ligt niet aan de &^#* gebruikers. Echt niet,
Als een systeem deugdelijk is opgezet is die zijn eigen bestanden kwijt (maar niet zijn backups).
Het is de algemene incompetentie van IT-infrastructuur, verscholen achter PRINCE2, TOGAF en andere knip-het-probleem-in-stukjes-voor-mensen-die-het-niet-begrijpen methodes die dit mogelijk maken.
1 klik op een mail en een hele organisatie plat?
lex0r
@sympa3 januari 2020 10:38
Er komen altijd phishing mails door je security heen...maakt niet uit welke gateway/filters etc je gebruikt. Maak het elke dag weer mee, kun je helaas "nog" niets aan doen.
sympa
@lex0r3 januari 2020 18:13
Het gaat om de schade die een mail aan kan richten. Waarom kunnen uberhaupt executables op deze weg binnenkomen? (Ik weet het, omdat IT een puinhoop is, "oh wat handig/krachtig" gaat voor "is het wel veilig").
Dan de tweede zet, waarom is de schade niet beperkt tot het account van die gebruiker?
De derde: waarom gaat dit over systemen heen werken?

Als iets makkelijk fout te bedienen is, zit de fout in het systeem. "Iedereen is dood, de piloot drukte op de self destruct knop, dat is de knop naast de verlichtingsknop". "Waarom is er zo'n knop?" "Ja dat is handig voor het militaire gebruik van dit toestel. En in het boekje staat dat je er niet op moet drukken. Dus onze schuld is het niet."
elmuerte
@wildhagen2 januari 2020 15:53
Ik snap wel waarom ze het doen (data terugkrijgen)
Geen garantie voor dat na het betalen van (de 1e ronde) losgeld.
wildhagen
@elmuerte2 januari 2020 15:56
Dat klopt. Er bestaat ook ransomware (niet Clop iirc) waarvan na betalen een x aantal bestanden decrypted worden. En daarna laten ze je opnieuw betalen voor de volgende batch. Bij grote hoeveelheden data wordt dat al snel een heel lucratieve business natuurlijk.

Ja, de data zal nu ongetwijfeld terug zijn. De kans op nieuwe attacks (met deze of andere malware) is natuurlijk evenredig toegenomen. Nu men ziet dat de universiteit prima wil betalen, zullen er ongetwijfeld nog meer kwaadwillende groeperingen een poging willen wagen. Wie niet waagt, die niet wint, immers.

En dát is het bezwaar wat tegen betalen geldt: je geeft een verkeerd signaal af, en nodigt toekomstige verdere aanvallers uit om het ook eens op je organisatie te proberen.
Epidemias
@wildhagen2 januari 2020 16:44
ASCO is deze zomer ook gehacked van wat ik weet, hebben zij niet betaald. Na 3 maanden moesten ze nog altijd 180 systemen opnieuw opzetten.

Het personeel (buiten de IT dienst), ongeveer 1500, is minstens 14 dagen technisch werkloos geweest. Dit kost heel wat meer dan een paar ton betalen.

Ondanks dat het het beste zou zijn als geen enkel bedrijf ooit betaald, is het verschil in kostprijs tussen niet betalen en betalen zo gigantisch dat het eigenlijk geen keuze is.
Cergorach
@Epidemias2 januari 2020 18:48
Die kosten komen niet door het niet/wel beschikbaar zijn van de data, maar het opruimen van de onderliggende issues. Dat gaat niet veranderen als je wel/niet betaald, tenzij je heel onverantwoord bezig bent. Alsof je het kapotte raam waardoor is ingebroken niet gaat repareren.

Uit ervaring kan ik zeggen, dat je waarschijnlijk de meeste tijd kwijt bent aan alles 100x opnieuw uitleggen aan allerlei mensen, verwachtingen managen, etc. Daarna is het uitzoeken hoe iets binnen is gekomen en hoe het zijn 'ding' heeft gedaan, daarna hoe je met de beschikbare resources dit niet meer mogelijk maakt en de backups terugzetten is eigenlijk relatief weinig werk. Hoe snel het daadwerkelijk gaat ligt meer aan de betreffende hardware.

Hoeveel impact dit geheel heeft, ligt eigenlijk geheel aan hoe je iets heb ingericht, waar, etc.
KSU4reqY
@wildhagen2 januari 2020 16:39
Het loont ook. Gijzelen van personen of belangrijke goederen is erg lucratief, zolang je maar opereert vanuit een bananenrepubliek.

Piraten doen het veel, en groepen in zuid amerika ook, en digitaal is gewoon de volgende stap hierin.
Bedrijven die in die gebieden werken hebben gewoon standaard losgeld verzekering tegenwoordig, en dat zie je nu dus ook gebeuren voor digitaal.

Publiekelijk zeggen ze dan "we onderhandelen niet met terroristen", maar in de praktijk word er veel losgeld betaald want de marine/commandos/MIVD zijn echt niet altijd beschikbaar of de meest effectieve oplossing.
RedHeroDude
@wildhagen2 januari 2020 17:27
De wereld draait op leugens. Als kind leren ze je misschien dat eerlijkheid het langst duurt, maar de meest successvolle mensen (qua geld en macht) zijn nog altijd degenen die de boel bij elkaar liegen en over lijken gaan. Ze zeggen dat misdaad niet loont... maar het loont juist uiterst goed, mits je niet gepakt word.
dakka
@wildhagen2 januari 2020 21:48
dat staat al lang al..

de hele strategie achter ransomware is niet gericht iemand afpersen, maar met hagel schieten, zoveel mogelijk doelen proberen te raken, en net als phishing, als er maar 1% financieel op in gaat heeft het al waarde, en je zal nooit onder die 1% komen.

De kans dat iemand gericht de uni weer probeert lam te leggen acht ik dan ook extreem klein

[Reactie gewijzigd door dakka op 2 januari 2020 21:49]

jpsch
@wildhagen2 januari 2020 15:53
Die verzekeringen zullen steeds duurder worden en meer eisen stellen en dus niet meer de moeite waard worden. Vergelijk het met gewasschade bij boeren en arbeidsongeschiktheidsverzekeringen voor ZZP'ers.
memphis
@wildhagen2 januari 2020 19:12
Als je een hele machinepark opnieuw moet installeren, configureren en een backup terugzetten moet je de kosten daarvan tegenover de aankoop van een key zetten. Zeker als je IT gebeuren is uitbesteed kunnen die kosten aardig oplopen.....
Scriptkid
@memphis2 januari 2020 19:46
en kun je meteen vanaf 0 met een beter security beleid beginnen.

als je betaald moet je alle systeemen alsnog na gaan lopen issues fixen, gaten proberen te vinden en waarschijnlijk alsnog veel opnieuwed installeren omdat niets meer te vertrouwen is.

kortom ook betalen kosten meer dan niet betalen.
Vlizzjeffrey
@wildhagen3 januari 2020 01:41
Of het zorgt ervoor dat bedrijven zich beter gaan beveiligen, want de aanvallers zullen zoeken naar de slechts beveiligde instanties om daar toe te slaan.
Opa73
@wildhagen3 januari 2020 09:58
Het is juist heel slim van de verzekeraar.

Meer randsomware, meer schade, meer angst, meer verkochte verzekeringen waar zij hun winst op maken. De kosten van het uitbetalen berekenen zij samen met een mooie winstopslag in de premie door. Waarom denk je dat de verzekeraars zo enthousiast "betaal maar" roepen?

Let op: verzekeren kost geld!

[Reactie gewijzigd door Opa73 op 3 januari 2020 09:59]

Adinias
@wildhagen3 januari 2020 12:01
Het is ook een erg lastige kwestie, gezien het soms te verhelpen is door specialisten maar dit voor bedrijven vaak duurder is dan simpelweg het losgeld te betalen.

In principe zouden de verzekeringsmaatschappijen juist niet moeten uitkeren voor het betalen van het losgeld en de bedrijven moeten stimuleren om specialisten de problemen te laten verhelpen door enkel en alleen het laatste te vergoeden.

Daardoor krijgen de makers van de ransomware geen geld meer en wordt het vanzelf minder aantrekkelijk om door te zetten, net als je gemiddelde virus niet heel ernstig meer toeslaat tegenwoordig.
Exorcist
@wildhagen4 januari 2020 13:21
Tsja, je auto is ook verzekerd tegen diefstal en je huis bij inbraak. Criminaliteit is er helaas nu eenmaal en daar spelen verzekeraars handig op in.
Frankster
2 januari 2020 15:31
Wat een kortzichtige actie! Dit schept een precedent voor nieuwe aanvallen en maakt IT in het algemeen weer een stukje onveiliger (mensen/instellingen betalen toch wel)
Mania-92
@Frankster2 januari 2020 15:40
Ik vind het eerder kortzichtig om bij voorbaat niet te betalen. Waarschijnlijk is ingeschat dat bij het niet betalen van het losgeld de universiteit nog een x tijd plat had gelegen wat veel duurder had uitgepakt. Dan is het in alle opzichten gewoon verstandig om te betalen. Je kunt wel heel principieel niet betalen, maar als je dat vervolgens veel meer kost heb je daar alleen jezelf, je werknemers en je studenten mee.
wildhagen
@Mania-922 januari 2020 15:45
En wat denk je dat het risico nu is? Als andere groeperingen zien dat de universiteit rustig tonnen wil betalen, denk je dan niet dat zij dan ook wel eens een poging willen wagen met een eigen aanval?

Dat is namelijk wel het risico wat de universiteit nu over zich heeft afgeroepen, door aan te tonen dat misdaad in ieder geval bij deze instelling wel degelijk beloond wordt.

Vanuit hun standpunt om de data terug te halen snap ik het wel, maar toch is het met het oog op de precendentwerking en toekomstige aanvallen geen slim idee. Je opent hiermee de dam, zodat er een stortvloed aan nieuwe attacks kan volgen...
Mania-92
@wildhagen2 januari 2020 15:53
De universiteit maastricht heeft 3200 werknemers en 16000 studenten. Als die een maand extra thuis zitten kost je dat aan loonkosten alleen al miljoenen euro's. Als je dat met een fractie daarvan kan afkopen is dat gewoon een verstandige beslissing.

Natuurlijk is er een risico dat men het nu nog een keer probeert, maar als je moet kiezen 3 ton of 3 miljoen (dit fictieve bedragen, maar het gaat om het punt) dan moet risico wel héél groot zijn wil je voor die 3 miljoen kiezen.
kodak
@Mania-922 januari 2020 17:29
Dat bepaalde systemen niet helemaal beschikbaar zijn wil niet zeggen dat personeel of studenten niets kunnen doen.
OxWax
@kodak2 januari 2020 18:12
Others refused to pay

Paying the ransom is not something that every ransomware victim considers. And sadly, data recovery costs for some organizations that decline the payment end up being much higher than the actual ransom. For instance, back in March 2018, the City of Atlanta was infected with the SamSam ransomware variant. Cybercriminals demanded a $52,000 ransom payment, however, Atlanta refused to pay and they had to spend $2.6 million to recover from the attack. So, since it has been proven that paying the ransom can be a lot cheaper than dealing with an attack’s aftermath, local governments are increasingly choosing to pay.

https://heimdalsecurity.com/blog/ransomware-payouts/
kodak
@OxWax2 januari 2020 18:37
Dat het goedkoper kan lijken is wat anders dan dat je geld kwijt bent aan andere zaken als je niet wenst te betalen. Waarbij de nadruk mag liggen op dat het goedkoper lijkt, gezien het belonen van criminelen duidelijk aangeeft dat het proberen te gijzelen lucratief is en de schade alleen maar toe neemt.
OxWax
@kodak2 januari 2020 18:43
de schade kan alleen maar toenemen als je niets leert van de fouten ...
dutchgio
@OxWax2 januari 2020 18:42
Maar betalen is ook geen volledige oplossing, enkel de encryptie van data wordt ongedaan gemaakt.
Je moet dan alsnog onderzoeken hoe ze zijn zijn binnen gekomen, of ze er nog steeds zitten en maatregelen treffen om ze voortaan buiten te houden.
Dat gaat je echt wel meer kosten dan enkel het ransom bedrag.
OxWax
@dutchgio2 januari 2020 18:46
betalen ga je hoedanook ...maar 52k of 2,6 million...dat is maal 50 8)7
Scriptkid
@OxWax2 januari 2020 19:51
Vraag is alleen was de ransom ware wel de primaire infectie?

meschien was het wel een decoy en nu jij betaald hebt en druk bezig bent met de ransomware hebben zijn full controle over jouw systemen en procedures die je gebruikt om de ransomware te combatten. en in tussen tijd lepelen ze je hele netwerk leeg en verkopen ze al je data via een meer geavanceerd stukje malware.
Radboudg
@wildhagen2 januari 2020 15:59
Tja hoe graag ik het met je eens wil zijn dat misdaad niet lonend mag zijn is dit in dit soort gevallen gewoon niet reëel. Data die er op de servers stond was waarschijnlijk van dusdanige waarde dat ze het ter harte namen om dit in sommige gevallen te betalen. Dat ze niet rücksichtslos gehandeld hebben lijkt mij door 2 zaken;
1. Het betreft een universitair bestuur, niet dat ze heilig zijn en geen verkeerde beslissingen maken, maar over het algemeen is er wel over nagedacht door bovengemiddeld slimme mensen.
2. De netwerken zijn nog steeds niet allemaal up and running dus ze hebben duidelijk een deel wel zelf op z'n minst proberen te fixen.

En inderdaad als het een paar ton kost, staan aan de andere kant oa publiek geld dat opgaat aan het niet werken van de universiteit, onderzoekers en studenten.
En dat hier een precedent uitwerking vanuit gaat? Tja... Volgens mij is het al langer bekend dat de Nederlandse overheidsinstanties en (hoge)scholen en universiteiten hier een verhoogd risico op lopen dus dat zal wel loslopen als ze de beveiliging aanscherpen.
resma
@Radboudg2 januari 2020 22:07
Data die er op de servers stond was waarschijnlijk van dusdanige waarde
Wanneer wordt data van dergelijke waarde bij bedrijven en (semi-)overheidsinstellingen eens op waarde geschat voordat een dergelijk 'probleem' optreedt en op een afdoende manier beveiligd? Als de bovengemiddeld slimme mensen bereid zijn om afpersers te betalen, zouden ze minstens zoveel bereidheid moeten tonen om dergelijke bedragen uit te geven aan data security.
Radboudg
@resma3 januari 2020 01:17
Helemaal met je eens natuurlijk :). Maar ik denk dat ze in de veronderstelling waren dat het goed genoeg beveiligd was. Dit is natuurlijk ook het probleem van veel grote organisaties. Hier zijn gewoon veel potentiële gaten in je beveiliging.

Dit was dan ook niet bepaald een huis tuin en keuken hackertje dat even in een middagje dit geregeld heeft. En ja er moet veel meer worden geïnvesteerd in goede digitale beveiliging en ik denk dat dat ook gebeurd als het telkens duidelijk gemaakt wordt wat de chaos is als je dit niet op orde hebt. Daarnaast kan het geld niet 2x worden uitgegeven en zijn er natuurlijk altijd mensen die claimen dat het geld meer naar hun moet gaan omdat ze niet genoeg hebben. Dus dat beveiliging niet top notch is heeft ook met de mindset te maken dat je niet eerder slachtoffer bent geworden.

Zelfde geld voor jezelf als persoon. Als je net slachtoffer bent geworden van een misdrijf vind je beveiliging en politie waarschijnlijker van groter belang dan als je er nooit mee te maken hebt gehad. Als voorbeeld dan ook de fysieke beveiliging bijvoorbeeld op Amerikaanse universiteiten is van een heel ander soort dan bij ons, terwijl als er op een campus in Nederland een idioot met pistool een aantal mensen neerschiet zal hier ook een ander soort beveiliging geclaimd worden. Laten we hopen dat dat nooit nodig is.

Als laatste trouwens nog de toevoeging dat als je een crimineel betaald dat je wellicht de geldstromen nog kan tracken waardoor je misschien meer kans hebt om de daders ooooooooit te pakken :).
biglia
@wildhagen2 januari 2020 15:51
En wat denk je dat het risico nu is? Als andere groeperingen zien dat de universiteit rustig tonnen wil betalen, denk je dan niet dat zij dan ook wel eens een poging willen wagen met een eigen aanval?
Je kan ook betalen en geen officiële verklaringen geven dat je effectief betaald hebt. Dat was ook hun bedoeling. Maar blijkbaar zitten ze daar ook met een informatielek in de vorm van een natuurlijke persoon.
kodak
@biglia2 januari 2020 17:27
Kan je dat onderbouwen dat ze het niet van plan waren te melde ? Want het nu niet willen melden is heel wat anders dan het helemaal niet bekend willen maken.
Scriptkid
@biglia2 januari 2020 19:49
dan gooit de hackers groep dat wel naar buiten zij willen immers wel eer van hun werk en de repurtatie dat betalen loont !!
DJMaze
@Frankster2 januari 2020 15:34
Draai het eens om: de computers met verlopen APK krijgen nu een boetje van N bitcoins.
Het enige zure is, is dat de boete naar de verkeerde wordt overgemaakt.
wildhagen
@DJMaze2 januari 2020 15:38
En het andere zure is, is het feit dat de universiteit nu het risico loopt op nog meer ransomware-attacks. Het is nu natuurlijk een extra aantrekkelijk doelwit voor andere ransomware-groeperingen, nu ze zien dat ze bereid zijn om enkele tonnen te betalen denk ik dat er meer groeperingen wel trek hebben om ook een poging te wagen.

Dit geeft een heel verkeerd signaal af op deze manier, en dat kan de universiteit (gezien bovenstaande) nog wel eens heel duur (no pun intended) komen te staan...
OxWax
@wildhagen2 januari 2020 15:47
En het andere zure is, is het feit dat de universiteit nu het risico loopt op nog meer ransomware-attacks. Het is nu natuurlijk een extra aantrekkelijk doelwit voor andere ransomware-groeperingen, nu ze zien dat ze bereid zijn om enkele tonnen te betalen denk ik dat er meer groeperingen wel trek hebben om ook een poging te wagen.
Ofwel beseft men dat ze nu wel een goed veiligheidsbeleid + back-up procedure gaan implementeren waardoor dit niet meer kan voorvallen in de toekomst.
tweaknico
@OxWax2 januari 2020 16:14
Blijf hopen... Volgende keer gewoon weer betalen, dan hoef je ook geen extra maatregelen meer te nemen, systemen te vervangen/ herinrichten etc.
Backup processen opnieuw inrichten is een hoop werk. Idem voor een goed veiligheids beleid.

[Reactie gewijzigd door tweaknico op 2 januari 2020 16:14]

OxWax
@tweaknico2 januari 2020 17:53
https://heimdalsecurity.com/blog/ransomware-payouts/
tweaknico
@OxWax2 januari 2020 18:10
Ik ben het met je eens betalen schaalt niet... mijn reactie was cynisch bedoeld. Het losgeld is alleen maar een druppel in de emmer die alsnog behandeld moet worden.
OCU-Macs
@Ralph582 januari 2020 22:25
Precies! In de echte wereld van de aanvallers betekent dit: RansomWare Attack: Successfull...!!!

Ze hebben succes geboekt! Hun plan is geslaagd!! Ze hebben ‘knaken’ verdiend!!! En nu? Op hun lauweren rusten? Of... een nieuw doelwit aanvallen? zeg jij het maar...
belastingdizzle
@DJMaze2 januari 2020 15:42
Niet helemaal, APK is er om te zorgen dat auto's veilig zijn. In de zin van een gevaar voor anderen op de weg. PvE zegmaar. Een hacker is geen natuurwet ofzo, dat is een kwaadwillend persoon. PvP. Een auto die tegen een muur knalt kan je de muur niet kwalijk nemen maar een hacker die een PC hackt is 100% schuldig.
CivLord
@belastingdizzle3 januari 2020 13:45
Bij een auto die tegen een muur knalt omdat en rammel in de stuurinrichting te lang genegeerd is, is de bestuurder van de auto verantwoordelijk. Veel ransomware kan zijn werk doen door slechte beveiliging en ongepatchte systemen. In dat geval zijn diegenen die (eind)verantwoordelijk zijn voor de (financiering van) het ICT-beleid verantwoordelijk voor de schade die door de aanval van de hacker is veroorzaakt.

Financiering van ICT-beleid wordt vaak als de keuze tussen twee kwaden gebracht: er is een ton te verdelen en die kan 'f gaan naar de hoognodige vervanging van ICT-systemen óf naar de hoognodige aanschaf van opleidingsmateriaal. Aangezien het een opleidingsinstituut is lijkt de keuze voor het opleidingsmateriaal voor de hand liggend. Wat ze er alleen bij vergeten te zeggen is dat diegenen die die keuze maken, die weinig anders doen dan continu over at soort keuzes te vergaderen, stuk voor stuk minstens twee ton per jaar kosten aan loonkosten, onkosten, huisvesting etc. en vaak de besluitvorming beginnen met het verruimen van hun eigen budget voor al die kosten. (In de zorg gaat et precies zo.)
dez11de
@Frankster2 januari 2020 18:55
Inderdaad, vandaar dat ransomware dus ook een businessmodel is.
Wim-Bart
@Frankster2 januari 2020 17:34
Lekker, ik weet nu in ieder geval wie het slachtoffer is van de volgende aanval, want ze betalen toch wel.
belastingdizzle
@Wim-Bart2 januari 2020 19:05
En de volgende mag jou op straat gewoon neerhoeken. Want hoewel die vent de dader is, had jij ook wel even wat beveiligers in mogen huren. Althans dat haal ik hier uit de comments. Want kennelijk als je je deur neit op slot hebt mag je ook niet klagen over inbrekers.
Wim-Bart
@belastingdizzle2 januari 2020 23:54
Huh, dat snap ik niet. Dat heeft uitleg nodig. Want ik snap niet wat de relatie is tussen inbreken, neerhoeken, deur open laten staan en betalen voor chantage wat hier is gebeurd.

Sterker nog, de Uni werkt gewoon mee aan het in stand houden van een criminele organisatie en vind ik persoonlijk laakbaar.
RoccoS
2 januari 2020 15:32
Jammer dat het zo moet lopen helaas, zat afgelopen week toevallig op de site van Microsoft deze case te lezen waar het bedrijf (Hydro in Noorwegen) dat slachtoffer geworden was toch principieel een ander standpunt ingenomen heeft: https://news.microsoft.co...y-responded-transparency/

[Reactie gewijzigd door RoccoS op 2 januari 2020 15:33]

Anoniem: 599181
@RoccoS2 januari 2020 15:39
Hadden ze betaald waren ze een paar 10 000€ kwijt ipv miljoenen. Ze waren ook verzekerd hier tegen.


https://www.newsinenglish...ost-the-company-millions/

[Reactie gewijzigd door Anoniem: 599181 op 2 januari 2020 15:41]

RoccoS
@Anoniem: 5991812 januari 2020 15:46
Alleen de ransom betalen en denken dat je het opgelost hebt is natuurlijk een illusie. Je moet daarna nog steeds alle investeringen doen om ervoor te zorgen dat alles weer clean is, vervanging van hard- en software en aanvullende beveiligingsmaatregelen etc. En dacht je dat die jongens van Fox-IT vrijwilligerswerk doen? Schade loopt sowieso in de miljoenen, hoe dan ook.
HoppyF
@RoccoS2 januari 2020 15:51
En dan is er ook nog imago schade.
Iedereen binnen de ICT wereld en daarbuiten is nu op de hoogte van de universiteit Maastricht.
Wat de oorzaak ook moge zijn en of de ICT afdeling wat te verwijten valt moet nog blijken maar zo groot in het nieuws komen is niet bepaald positief te noemen.
Anoniem: 599181
@RoccoS2 januari 2020 16:00
Dat zeg ik ook niet, maar niet betalen heeft ook gevolgen, dat is alles wat ik zei.

https://www.hydro.com/en-...on-lower-realized-prices/
Anoniem: 310408
@RoccoS2 januari 2020 17:00
Een duur standpunt, de schade wordt nu geschat op 50 miljoen dollar.
RoccoS
@Anoniem: 3104082 januari 2020 18:11
Daar zitten ook de productieverliezen in verrekend die het bedrijf geleden heeft doordat diverse locaties plat lagen. Dat kan natuurlijk per bedrijf of instelling enorm verschillen, en die loop je sowieso op wanneer je je hele IT infra plat moet leggen, ongeacht of je gaat betalen of niet.
TwiekertBOB
@RoccoS2 januari 2020 18:36
Geweldig stuk. Dank daarvoor.

Dat bedrijf heeft het slim aangepakt, al hadden ze minder geld kwijt geweest als ze hadden betaald.

De vraag is echter of die 50 miljoen kwijt erger is voor norsk als die paar ton voor de hackers... Al dat werk voor niets. Wat als niemand zou betalen? Dan zouden ze snel iets anders gaan doen.

Respect voor de visie van dat bedrijf.
Pierre
2 januari 2020 15:31
Schijnbaar loont misdaad.
RobbieB
@Pierre2 januari 2020 15:41
Dit is geen nieuws. Misdaad loont al sinds het bestaat, het probleem verplaatst zich gewoon steeds. Daarbij zijn o.a. deze 2 variabelen belangrijk:
- Hoe groot is het threat-surface dat ik eenvoudig kan bereiken?
- Hoe groot is de pakkans?

En laat nu net bij digitale criminaliteit die eerste gigantisch zijn door het internet en die tweede minimaal omdat je dit vanuit iedere plek ter wereld kan doen. Ook in landen waar nauwelijks tot niet gehandhaafd wordt.
kodak
@RobbieB2 januari 2020 17:40
Misdaad loont in dit geval als een slachtoffer tot betaling over gaat. Geen betaling is verlies.
vinkjb
@Pierre2 januari 2020 15:33
blijkbaar
fastbikkel
2 januari 2020 16:03
Ik kan me wel iets voorstellen hierbij. Gewoon je verlies nemen en er hopelijk van leren om het te voorkomen.
Is niet makkelijk dit, maar wel erg zuur.
TunefulDJ_Mike
@fastbikkel2 januari 2020 17:13
Er zal wel een afweging inzitten. Wat kost het om de hackers te betalen vs wat kost het als we de data kwijt zijn.
luwei
2 januari 2020 16:12
Ik las bij de Telegraaf dat het losgeld vermoedelijk betaald zou zijn in Bitcoin.

Maar als je in BTC betaald, dan kun je toch altijd tracken waar dat geld blijft? Van die laatste Ethereum hack krijg ik steeds een bericht als dat geld verplaatst wordt en in de blockchain is dat toch altijd terug te halen, of niet?
freekvandeven
@luwei2 januari 2020 16:42
er zijn genoeg bitcoindiensten(mixers) die ervoor kunnen zorgen dat de bitcoins snel ontraceerbaar zijn.
dj_ryow
@luwei2 januari 2020 16:24
Ja en nee. Als de criminelen hun opsec op orde hebben dan kunnen ze er mee wegkomen. Maar één opsec foutje kan al fataal zijn dus riskant is het wel. Sowieso zullen de bitcoins gemixt moeten worden.
HoppyF
@luwei2 januari 2020 16:59
Het te betalen bedrag in Bitcoins is inderdaad te volgen maar niet naar WIE het geld toe gaat.
Je kunt dus zien dat er een X bedrag van A naar B gaat maar niet wat een persoon bij B ermee gaat doen.
Omzetten in Euro’s of Dollars wellicht maar het kan ook wat anders zijn.
DannyXP1600
2 januari 2020 15:37
Volgende week nog eens opnieuw doen dan?

Criminelen betalen en hopen dat ze je dan voortaan met rust laten, omdat criminelen erom bekend staan dat ze eerlijk zijn, is nogal naïef
OxWax
@DannyXP16002 januari 2020 15:42
Besturen = afwegen.
Wat zou de kost zijn van het dataverlies?
theobril
@DannyXP16002 januari 2020 16:50
Niemand insinueert dat criminele eerlijk zijn. Criminelen zijn berekenend. Ze weten zelf ook wel, dat als ze volgende week weer op de stoep staan, de betaalkans veel kleiner is geworden. Ze zullen eerder een andere onderwijsinstelling proberen te scoren.
theobril
@kodak2 januari 2020 18:31
Beste Kodak, ja dat snap ik ook wel. Ik reageerde enkel op Danny "Criminelen betalen en hopen dat ze je dan voortaan met rust laten, omdat criminelen erom bekend staan dat ze eerlijk zijn, is nogal naïef ". Hij stelt dat betalen gelijk staat aan naïef zijn. En dat is volgens mij onjuist. Dat betalen een zeker aanmoedigingselement in zich heeft, ontken ik nergens. Ik snap je post dan ook eigenlijk niet.
Stacheldraht
2 januari 2020 15:44
Betalen kan een valide optie zijn net als niet betalen een valide optie kan zijn :

https://www.theregister.c...nsomware_coping_strategy/
kodak
@Stacheldraht2 januari 2020 17:50
Het valide zijn hangt wel behoorlijk af hoe ethisch en wettelijk verantwoord een slachtoffer is dat die criminelen zou ondersteunen en stimuleren. En juist dat komt daarin niet als valide punt aan de orde.
HoppyF
2 januari 2020 15:45
Dit was wel te verwachten.
Eerdere berichtgeving over de universiteit liet zien dat men met de hackers in gesprek was.
Via de e-mail dan, dit geeft al te denken want als je gewoon bezig bent met backups terugzetten of op een andere manier aan het herstellen bent, ga je niet met hackers in gesprek.
Misdaad loont, een veel gehoorde kreet.
Dat is dus ook zo en zal de hackers nog meer motiveren nieuwe ransomware en nog meer geavanceerde aanvallen te gaan uitvoeren.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee