Netwerk van Universiteit Maastricht deels operationeel na grote ransomwareaanval

De eerste onderwijsdag aan de Universiteit Maastricht sinds de ransomwareaanval is goed verlopen. Webmail en verschillende netwerkschijven zijn weer te gebruiken, en er zijn geen noemenswaardige problemen voorgekomen.

Dat schrijft de universiteit in een update op de website. Maandag was de eerste dag dat het onderwijs werd hervat sinds de universiteit vlak voor kerst werd getroffen door ransomware. Op 2 januari was de universiteit al open voor medewerkers en studenten. Er waren toen nog geen lessen. Volgens de universiteit begonnen de lessen volgens het rooster, en konden studenten goed werken in de bibliotheek. De universiteit zegt dat de meeste studenten en werknemers begrip tonen voor de situatie.

Eén van de belangrijkste dingen van het netwerk dat weer is opgestart is e-mail. Outlook werkt vanaf dinsdag weer volledig voor zowel email als agenda's. Emails die na 23 december zijn gestuurd komen dan ook binnen. Ook hebben systeembeheerders een deel van de netwerkschijven weer aan de gang gekregen. Die zijn net als Outlook vanaf dinsdag weer helemaal te gebruiken. Bestanden kunnen worden geopend, bewerkt en opgeslagen vanaf de schijf. "Dat is belangrijk voor ons onderzoek, onderwijs en organisatie als geheel", schrijft de UM. Of dat betekent dat al het wetenschappelijk onderzoek en alle scripties weer beschikbaar zijn is niet bekend.

Nog niet alle software en systemen zijn weer aan de gang. Programma's waarmee onderzoekers werken zijn op het moment nog niet te gebruiken. De universiteit vroeg studenten en medewerkers ook hun wachtwoord te resetten. Dat heeft niet direct verband met de aanval, maar is standaard protocol bij een dergelijke infectie. Inmiddels heeft het merendeel van de studenten zijn wachtwoord gewijzigd.

Een woordvoerder van de universiteit zegt tegen de NOS dat er maatregelen zijn genomen om het systeem beter te beveiligen. Details daarover zijn niet bekend. De universiteit geeft op dit moment weinig informatie vrij over het voorval omdat het onderzoek nog loopt. Zodra dat voorbij is belooft de UM 'openheid te geven over de geleerde lessen'. Andere scholen en bedrijven kunnen daar dan van leren.

Reacties (168)

bigbuddha 7 januari 2020 07:52

Ik vraag me af wat een klein bedrijf met beperkte middelen kan doen om zich hier tegen te beveiligen. Ik veronderstel dat deze technieken binnen termijn redelijk mainstream beschikbaar zullen zijn voor de huis en tuin hacker die zich niet zozeer op instelling gaan richten dan op kleine minder beschermde slachtoffers.

kw_nl

@bigbuddha • 7 januari 2020 08:01

Als je bestanden in Sharepoint Online staan en je mail in Exchange Online. Je applicaties cloudbased zijn, dan heb je een vrij lage kans om getroffen, dan wel veel last te hebben van een aanval.

Huugje @kw_nl • 7 januari 2020 08:16

Dat vraag ik mij dus af. Het lijkt mij dat dat soort bestanden ook gewoon geëncrypt kunnen worden of ze nu in de cloud staan of niet. Je hebt tenslotte maar een PC nodig die besmet wordt en op dat moment toegang heeft tot (een deel van) die data.

Christoxz @Huugje • 7 januari 2020 08:43

Met Sharepoint heb je gewoon backups. Bestanden worden dan wel geencrypt en opnieuw geupload, maar de vorige versie van het bestand blijft beschikbaar.

Orangelights23 @Christoxz • 7 januari 2020 08:54

Totdat je met malware te maken heeft dat onder de radar oude back-ups al heeft versleuteld, en niemand binnen IT de back-ups periodiek test.

Canaria @Orangelights23 • 7 januari 2020 09:01

Dat kan niet. SharePoint heeft versiebeheer op bestandsniveau. Je kunt dus altijd terug naar een vorige versie van vóór de infectie.

Huugje @Canaria • 7 januari 2020 09:22

Maar als je te ver terug moet, zal het je uiteindelijk toch data kosten.

vanrijn @Huugje • 7 januari 2020 09:26

Ja inderdaad. Als de laatste niet-geïnfecteerde versie van mijn bestanden een maand oud is, dan kan ik in veel gevallen beter vanaf 0 beginnen.

Canaria @vanrijn • 7 januari 2020 09:43

Een individueel bestand is niet geïnfecteerd, een bestand is versleuteld of niet. Je ziet dat doordat de ransomware de titel en/of extensie verandert. Dat is dan de recentste versie en daarmee eindigt dus ook de versiegeschiedenis. Ook als de ransomware de titel en extensie niet aanpast, zal de encrypted versie altijd de laatste versie zijn.

Wanneer je de versie daarvóór herstelt, dus de op een na recentste, heb je dus per definitie altijd de laatste versie te pakken die je zelf (of iemand anders, in het geval van gedeelde bestanden) het laatst hebt gewijzigd. Je verliest dus nooit data.

Je moet dit wel op bestandsniveau doen. De ransomware versleutelt niet alle bestanden op hetzelfde tijdstip, dus door "alle bestanden terugzetten naar de situatie van tijdstip X" bestaat wel het risico dat wijzigingen tussen dat tijdstip en het moment van versleuteling verloren gaan.

n00bs @Canaria • 7 januari 2020 22:00

True en daarom snap ik niet wat nu werkelijk het probleem is.
In geval van infectie van kantoor PC's, gewoon nieuwe uitrols doen. In geval van encrypted shares (geloof me dat merkt een medewerker meteen), backup van de dag ervoor restoren. Betekent wel dat er op diverse servers nog malafide services draaien, dus die servers zal je echt opnieuw moeten deployen, want van de servers zelf is zeer lastig te achterhalen hoe ver in de tijd terug infectie heeft plaatsgevonden. Zeker bij geavanceerde malware e.d. dat zich een tijd lang stil houdt.

Canaria @vanrijn • 7 januari 2020 10:21

Die versie van een maand oud is in dat geval per definitie de recentste versie, het bestand is dan de laatste maand niet gewijzigd.
Er is altijd maar één versleutelde versie van een bestand online. Infectie bevindt zich op het niveau van de pc (client).

MikeN @Orangelights23 • 7 januari 2020 09:04

SPO zal je een warning sturen als er grote hoeveelheden bestanden ineens bewerkt worden, dus als het goed is heb je dat dan gewoon op tijd door.

rammes @Christoxz • 7 januari 2020 09:09

Versiebeheer is geen backup!!

kw_nl

@rammes • 7 januari 2020 10:47

Idd, maar in geval van SharePoint Online is dat je enige backup. En bij een aanval voldoende. Immers de infrastructuur waar je sharepoint op draait, kan niet worden geïnfecteerd.

begintmeta @kw_nl • 7 januari 2020 12:13

Immers de infrastructuur waar je sharepoint op draait, kan niet worden geïnfecteerd.

Waarom zou dat eigenlijk niet kunnen? Ik kan me voorstellen dat het een stuk lastiger is, maar ik zie niet dat het onmogelijk zou zijn.

[Reactie gewijzigd door begintmeta op 27 juli 2024 07:46]

rammes @kw_nl • 7 januari 2020 12:58

als je netjes een Cloud-backup oplossing naast je O365 omgeving zet is dat een prima oplossing.

Mr_Light @rammes • 7 januari 2020 09:35

Klopt

Versie beheer is versie beheer, en kan je een versie mee terug. Dat lost in dit geval het probleem tenzij het onderliggende systeem word aangetast, maar dat ligt buiten het beheer van de thuisgebruiker. Het beschikbaar houden van de service - waar het doen van backups een onderdeel van is, is in dit geval iemand anders z'n probleem.

(gegeven dat oude versies bruikbaar zijn, maar dan gaan andere kopieën ook niet helpen)

[Reactie gewijzigd door Mr_Light op 27 juli 2024 07:46]

Anoniem: 1322 @Huugje • 7 januari 2020 10:12

Dan neem je een Chromebook of Mac.. Of je werkt gewoon enkel in de browser. Momenteel is er geen crypto slim genoeg om via de browser alle bestanden te openen en te versleutelen. Dat komt ook heus wel, het gaat hier immers om veel geld, maar op slow-slow sharepoint wil ik dat wel eerst zien.

PageFault @Anoniem: 1322 • 7 januari 2020 11:57

Op macOS heb je ook al jaren ransomware, voor de Chromebooks heb ik het nog niet gezien.

Jantje2000 @kw_nl • 7 januari 2020 08:33

Ligt eraan hoe Sharepoint Online is ingericht. Als bestanden lokaal staan gesynchroniseerd (wat vaak gebeurd) heeft de ransomware daar gewoon toegang tot, waardoor ook dat gewoon geencrypt raakt.

Vaak heeft SO trouwens wel netjes backups, dus dan is het al minder een probleem.

Canaria @Jantje2000 • 7 januari 2020 09:05

Synchronisatie met lokale bestanden betekent in SharePoint dat er bij wijzigingen een nieuwe versie wordt geüpload. Het is dus mogelijk om van een encrypted bestand het origineel terug te halen.

Cergorach

Beveiliging en antivirus

@Canaria • 7 januari 2020 18:54

Totdat er zoveel nieuwe versies worden aangemaakt dat deze uit versie beheer vallen (je stelt namelijk een max aantal versies in).

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@kw_nl • 7 januari 2020 09:00

Tsjah, maar kleine ondernemingen en alle applicaties cloud based gaan ook niet vaak samen denk ik dan. En dan heb je alsnog veel werk om je computers in orde te krijgen.

kw_nl

@Blokker_1999 • 7 januari 2020 10:14

Het is idd niet altijd mogelijk. Maar ik zie het in de praktijk wel steeds vaker. Meeste boekhoud software heeft wel een cloud versie, idem voor crm. Dan heb je al een groot gedeelte te pakken.

nickyhaan @kw_nl • 7 januari 2020 14:35

ik werk voor een kleine onderneming (naja .. onderhand 150 man) en wij draaien alles in de cloud (O365, Slack, SF, YT, Git, etc) en hebben op een handje vol kleine machines voor wat testen (helaas bij industriele toepassingen nog wel nodig) niets physical

Metalfreak @kw_nl • 7 januari 2020 09:25

Ja, alles naar Sharepoint... Dat is hetzelfde als dat je bestanden versleuteld worden met een cryptolocker. In beide gevallen kun je ze zeker niet meer terugvinden

kw_nl

@Metalfreak • 7 januari 2020 10:15

Haha, inrichting is key he

Metalfreak @kw_nl • 7 januari 2020 10:21

De grootste dooddoener in elke Sharepoint discussie en het standaard antwoord dat iedereen maar lijkt te moeten geven... Waarom is er dan nog geen 1 Sharepoint omgeving waar gebruikers wél blij van worden? Ja, Sharepoint consultants worden er blij van omdat die 150 euro per uur kunnen vragen, maar verder helemaal niemand. Heel Sharepoint is gebaseerd op een grote denkfout.

kw_nl

@Metalfreak • 7 januari 2020 10:37

Sorry, ik heb toch echt andere ervaringen. Vooral nu OneDrive een sync kan maken met SharePoint waardoor gebruikers gewoon via de vertrouwde verkenner bij hun bestanden kunnen.

Metalfreak @kw_nl • 7 januari 2020 10:47

Gelukkig werkt dat altijd feilloos... Ahum...

Cergorach

Beveiliging en antivirus

@Metalfreak • 7 januari 2020 18:52

De oude OneDrive for Business Sync client was een ENORME puinhoop, dat heeft jaren geduurd voordat MS dat heeft opgelost. De huidige sync client is uitstekend te noemen! En alle sync clients hebben op een gegeven moment wel eens issues, dit is echter incidenteel tegenwoordig met OneDrive for Business en Sharepoint Online.

Jij werkt toch ook niet altijd feilloos? Geen enkel filesysteem werkt altijd feilloos, anders waren er geen ITers meer nodig... ;-)

Het issue met SP inrichting is dat externen met alleen kennis van de organisatie vanuit een theoretische businessprocessen oogpunt een nieuw geoptimaliseerde workflow maken zonder te kijken naar de praktijk en de mensen die het gebruiken. Management wil van 0 naar 100 in 3 seconden, dat maakt het pakket niet van nature slecht (of goed), dat maakt dat de beslissers niet een realistisch beeld hebben van hun organisatie. Hetzelfde issue speelt bij Teams implementaties waarbij je naar zes maanden zo een enorme wildgroei hebt van verschillende teams waarbij niemand meer bestanden kan vinden omdat ondertussen iedereen het team heeft verlaten waarin de bestanden stonden... *facepalm*

De meeste IT issues zijn herleiden aan ontwerp keuzes en processen die in theorie perfect werken maar in de praktijk niet.

ijdod

@kw_nl • 7 januari 2020 12:41

Als je je bestanden opslaat in sharepoint kan je ze sowieso al niet terugvinden, of ze nu encrypted zijn of niet

Cergorach

Beveiliging en antivirus

@ijdod • 7 januari 2020 18:43

Hmm... Zegt dat niet meer over je eigen IT vaardigheden... ;-)

Ik geef toe dat SP niet het meest 'intuïtieve' pakket is als je het gaat inrichten, maar als je dat redelijk doet en de verwachtingen van gebruikers goed managed en begeleid, dan werkt SPO best goed.

ijdod

@Cergorach • 7 januari 2020 21:17

SP kan best goed werken, als het goed is ingericht en gebruikt wordt waar het voor bedoeld is. Ik heb geen hekel aan SP, per se. (wel aan de support die MS op o365 in het algemeen levert. Holy crap wat slecht voor een cloud oplossing die afhankelijk is van network connectivity)

Wel observeer ik dat dit ideaalmodel best zeldzaam is. Meestal wordt het geforceerd door de strot geduwd als 1-op-1 vervanging van een traditionele network share. ("Dit is sharepoint. Volgende week moet de G-schijf leeg zijn"). De beste implementatie is dat vaak een simpele copy/paste, dan vindt men dingen nog terug omdat men de oude lokaties nog weet. De magische woorden 'metadata' die magisch al je documentatie-issues op zouden lossen (letterlijke salespitch).... Zonder zorgvuldig ontwerp, beheer en instructie wordt dat geen succes. Heb een keer meegemaakt dat metadata ("Gij zult metadata gebruiken. En gij zult geen moeilijk vragen stellen zoals 'hoe'") geforceerd werd. Iedereen had daar een ander beeld bij.

Dat was in de zorg. De running-gag daar was dat SP geschikt was voor medisch vertrouwelijke documentaten (serieus: is het niet! gebeurde ook niet) want als het er eenmaal opstond was het zo kwijt dat niemand het ooit zou vinden.

Cergorach

Beveiliging en antivirus

@kw_nl • 7 januari 2020 18:40

Ook hier heb je ECHT een backup voor nodig! Maar inderdaad, de kans dat Office 365 aan een cryptolocker lijd, is zeer klein. Het issue is alles wat daar mee communiceert, als je dus doodleuk alle bestanden toegankelijk heb via je PC (via OneDrive for Business Sync client) dan zou die ze dus meerdere keren kunnen encrypten zodat version control niet meer relevant is.

Als klein bedrijf met beperkte middelen zou ik je IT uitbesteden aan een GOEDE IT leverancier. En dat betekend niet direct super duur, prijs bepaald zeker ook niet in de IT direct kwaliteit. Het allemaal zelf doen is wellicht leuk en lekker goedkoop, maar je doet ook niet je eigen hersenoperaties... ;-) Doe waar je zelf goed in bent en besteed uit aan anderen waar je niet goed in bent. Kosten moet je meenemen in je begroting en als dat niet uitkomt moet je zelf vragen gaan stellen of je niet te goedkoop bent of dat de business wel levensvatbaar is (velen zijn dat uiteindelijk immers niet).

GoBieN-Be @kw_nl • 7 januari 2020 22:40

Met Office365 ben je wel veel gevoeliger aan phishing aanvallen. Het grootste deel van die phishing aanvallen zijn immers met Office365 login schermen.
In sommige hybride scenario's kan je met die login gegevens ook on-premise aanloggen.
Je dient dus best 2FA verplicht te maken als je Office365 gebruikt.

Dus zeker niet zomaar de oplossing, zonder ook zelf weer aan de beveiliging te denken.

kw_nl

@GoBieN-Be • 8 januari 2020 00:30

Helemaal waar.

Al heb je voor het MKB voor niet al teveel geld een redelijk sterke oplossing in huis. Een Microsoft 365 licentie is iets van 17 euro per maand per gebruiker. Krijg je MFA, conditional access, etc erbij.

Alles bij elkaar heb je het dan voor een MKB’er redelijk voor elkaar.

Annihilism @bigbuddha • 7 januari 2020 08:53

Een blu-ray brander kopen en eens in de maand (of vaker) een backup maken van alle belangrijke bestanden. Daarnaast wekelijks of dagelijks een backup op een NAS.

Een blu-ray kun je niet veranderen en is Read only nadat het gebrand is. Het is dus onmogelijk om dit aan te passen na het schrijven (inherent aan het format).

En zoals hier al is genoemd geen macro's toestaan, mailing naar medewerkers om van onbekende bronnen geen bijlages te openen.

edit: dit is dus in het kader van een klein bedrijf en als aanvulling op al aanwezige back-up methoden. Gebruik nooit een optische media als enige backup methode, dat is inderdaad vragen om problemen. Ik benoemde het enkel als middel tegen ransomware omdat een blu-ray na beschreven te zijn niet meer aangepast kan worden (Read only). En een backup maken gaat natuurlijk verder als alleen een paar bestanden over zetten. Ook het juist bewaren en niet laten rondslingeren van tapes/schijven/hdds (diefstal/brand) moet in acht genomen worden.

[Reactie gewijzigd door Annihilism op 27 juli 2024 07:46]

m3gA @Annihilism • 7 januari 2020 09:13

Sorry maar dit is echt ouderwets denken. Misschien toereikend voor het klein bedrijf maar niet voor grotere bedrijven. Blurays is echt niet te doen met de hoeveelheid data die zij hebben. Macro's worden enorm veel gebruikt. Beperken is prima maar uitschakelen krijg je het halve bedrijf over je heen. Geen bijlages openen? Hoe moeten ze dan werken? .exe blokkeren is prima maar dan gebruiken ze wel een zero day in je java of browser. Dit soort gerichte aanvallen pakken het wel een stuk grondiger aan dan het gemiddelde virusje. IT ingewikkeld maken is geen security.

Je moet eerder naar fatsoenlijke oplossingen kijken. Zoals Sentinel One, Microsoft ATP. Programma's die scannen op basis van gedrag, niet op een signature (een gerecompilde mimikatz hou je zo niet tegen). Je netwerk segmenteren. SIEM oplossing (exabeam). Privileged access managed. (PAM). Hardening van je servers.

En dan nog een stukje gedragsverandering. Domain admins die op werkplekken inloggen. UAC uitzetten. Windows firewalls uitschakelen. Service accounts met domain admin rechten en ga zo maar door. (want lastig)

[Reactie gewijzigd door m3gA op 27 juli 2024 07:46]

Annihilism @m3gA • 7 januari 2020 09:18

Sorry maar dit is echt ouderwets denken. Misschien toereikend voor het klein bedrijf maar niet voor grotere bedrijven.

Bigbuddha vroeg toch ook om oplossingen voor een klein bedrijf?

bigbuddha:

Ik vraag me af wat een klein bedrijf met beperkte middelen kan doen om zich hier tegen te beveiligen.

Voor een groot bedrijf is dit inderdaad geen optie. Daar werd dan ook niet om gevraagd. Je trekt mijn reactie trouwens wel heel erg uit verband...

[Reactie gewijzigd door Annihilism op 27 juli 2024 07:46]

m3gA @Annihilism • 7 januari 2020 09:26

Het is acceptabel maar zou zelfs dan andere oplossingen doen. Zelfs voor kleine bedrijven.
Eerder de boven genoemde oplossingen zoals Office365 / sharepoint etc.

nst6ldr @m3gA • 7 januari 2020 09:27

De initiele vraag was dan ook:

"Ik vraag me af wat een klein bedrijf met beperkte middelen kan doen om zich hier tegen te beveiligen."

En dan ga je inderdaad dat soort oplossingen krijgen, want zonder tijd, geld en mankracht ga je geen van de bovenstaande dingen kunnen doen aangezien het gros van je oplossingen zijn niet te doen voor kleine bedrijven. Als iemand op nu.nl onder een artikel over geweldpleging vraagt hoe je kan voorkomen slachtoffer te worden, ga je ook niet zeggen dat ze 3 CPO's moeten inhuren en gepantserde auto kopen.

Vanuit praktisch oogpunt klopt het antwoord van Annihilism redelijk, echter, optische media hebben de nare gewoonte om erg kwetsbaar te zijn en een houdbaarheidsdatum te hebben. Daarbij introduceer je nieuwe risico's, waaronder het eenvoudig kunnen laten stelen door de gelegenheidsdief, laten slingeren van je backups en alsnog alles kwijt zijn na een brand.

Er zijn echt wel maatwerk oplossingen te verzinnen, daarom is er lastig antwoord te geven op de bovenstaande vraag. Hoeveel geld kan er geinvesteerd worden, hoeveel beheerders zijn er, heeft het bedrijf een domein, welke dingen draaien on-premise en op een server ergens aan het internet, etc? Ieder bedrijf is anders, en daarom is ieder bedrijf op z'n eigen manier kwetsbaar.

[Reactie gewijzigd door nst6ldr op 27 juli 2024 07:46]

m3gA @nst6ldr • 7 januari 2020 09:46

Kleine bedrijfjes komen in de regel bij de handig harry om de hoek terecht die geen goede oplossing zal aanbieden omdat hij niet weet wat er op de markt is en als 20j hetzelfde trucje doet. Ben het wel met je eens dat het overal maatwerk is maar voor een groot deel kun je wel standaard oplossingen doen.

Kain_niaK @Annihilism • 7 januari 2020 09:16

+2 voor een gigantische slechte oplossing? Bluray's branden. Kom op zeg. Zelfs op een klein netwerk gebruik je toch gewoon een NAS? Je kunt je al gemaakte backups op only read zetten beveiligt met een admin wachtwoord dat de ransomware dan te pakken moet krijgen.

Bluray's zijn gewoon echt niet practisch. Je moet het labellen, een foute backup kost je weer een disk want overschrijven kan niet.

Backups beheer je. Dat wil zeggen dat je de nutteloze data er ook uit verwijdert zodat alleen overblijft wat belangrijk is. Daarnaast test je een backup. Om dat met schijfjes te doen waar je maar een keer naar kunt schrijven is gewoon absoluut niet praktisch.

[Reactie gewijzigd door Kain_niaK op 27 juli 2024 07:46]

Annihilism @Kain_niaK • 7 januari 2020 09:21

Waarom is dat slecht? M-discs gaan tot 1000 jaar mee als je de marketing moet geloven. In veel gevallen zal een levensduur van 2 jaar al toereikend zijn.

Het gaat hier om een klein bedrijf hè? Ik snap dat dit voor een groot bedrijf geen optie is. Daarnaast geef ik zelfs in mijn reactie al aan dat de meeste kleine bedrijven een nas hebben, de blu ray dient dan dus als extra failsafe. En we hebben het hier ook niet over de beste oplossing voor een backup, in dat geval ben ik 100% met je eens dat branden op een bluray niet praktisch is, maar we hebben het hier over bescherming tegen ransomware en in dat geval is een Read only format gewoon een goede oplossing (of wil je beweren dat die nas niet geïnfecteerd kan raken met ransomware)?

Een harde schijf kan ook gewoon crashen. En je gebruikt de blu-ray ook als extra backup. Als enige backup gebruiken is idd vragen om problemen (maar is dat niet altijd zo als je maar een backup hebt)?

[Reactie gewijzigd door Annihilism op 27 juli 2024 07:46]

goats @Annihilism • 7 januari 2020 09:56

De kans dat een harde schijf crasht is kleiner dan dat de optische media niet meer leesbaar is.
Optische media is een grote bron van ellende, maar 1 feit blijft: als je write once hebt, dan kan daar eigenlijk niet omheen gewerkt worden. Kan natuurlijk wel, maar dan moet je ook de firmware van de brander fixen, en dat gebeurt alleen bij een niet ge-automatiseerde aanval.
Mijn ervaring is dat het een wonder is als je optische media na 10 jaar nog kan lezen.
Ook zijn de kosten van optische media vele malen hoger dan die van een harddisk.
Een harddisk is prijs/performance zo goedkoop dat ik zou zeggen: koop een paar cradles en een paar harddisks.
En respin je harddisks elk jaar voor 24 uur ongeveer zodat hij een surface test kan doen.
Ik heb wel op verschillende manieren naar het backup probleem gekeken, maar je hebt altijd 2 problemen:
1) blijft de data leesbaar.
2) Kan de apparatuur de data nog wel lezen
Ik heb LTO gehad. Heel duur. DVD carousel, zet geen zoden aan de dijk. Het enige wat aan beide punten voldoet is een volledige sata harddisk.

Maar dat zal de Universiteit niet veel helpen, aangezien ze al kwa software keuze heel vaag bezig zijn. Ze vragen gewoon om ransomware.

Annihilism @goats • 7 januari 2020 10:15

Maar ja. Wie gaat er met gezond verstand een optische disc als enig back-up media gebruiken? Ik benadruk nu al in een aantal reacties dat je het als aanvulling moet gebruiken.

Toch vind iedereen het nodig om mijn reactie totaal uit context te brengen (dit is niet op jou persoonlijk gericht hoor) door grote bedrijven als voorbeeld te nemen en net te doen alsof ik zeg dat iedereen maar blu rays moet gaan kopen en dat als enige backup middel moet gebruiken.

Stel dat je geen geld hebt voor peperdure cloud oplossingen (beginnend bedrijf met 1-2 man op kantoor) en jou NASje, HDD, wat dan ook geïnfecteerd raakt (en je hebt al meerder back-up oplossingen die ook met de ransomware besmet zijn). Dan kan zon blu Ray van 2-5 euro je nog mooi uit de penarie helpen. Er zijn maar weinig andere oplossing die voor een klein bedrijf betaalbaar zijn die niet aantast maar zijn door ransomware). Zelfs al zou je voor veel zaken al cloud hebben (bij veel boekhoudprogrammas al standaard) dan kan het nooit kwaad om nog een extra schijfje te hebben met een backup.

[Reactie gewijzigd door Annihilism op 27 juli 2024 07:46]

Palo Alto @Kain_niaK • 7 januari 2020 09:35

> Kom op zeg. CD/DVD/Bluray is zo een beetje het allerslechtste media for storage

Kan je dit onderbouwen in de context van ransomware binnen kleine bedrijven? Daar was de reactie op gericht toch?

Volgens mij is het juist een min of meer onfeilbaar medium om het effect van ransomware tegen te gaan. Welke andere gegevensdragers zijn volgens jou zeker beschermd?

Door out-of-the-box oplossingen in de genoemde context zonder argumentatie af te doen als “onzinnig“ (ik parafraseer) help je de gedachtevorming m.i. niet echt verder om dit probleem (gedeeltelijk) te voorkomen.

anandus @Annihilism • 7 januari 2020 09:14

Maar is dat genoeg? Dienen ook niet gewoon de systemen opnieuw geïnstalleerd te worden om zeker te zijn van desinfectie?

Annihilism @anandus • 7 januari 2020 18:21

Persoonlijk als het mij zou overkomen zou ik dban over de schijven heen halen (minimaal 3x overschrijven) zodat alles gewist is, daarna alles vers opnieuw installeren. Ik zou echt geen risico willen lopen dat het terugkomt.

Maar mijn situatie is natuurlijk niet vanzelfsprekend toepasbaar op die van jou

kw_nl

@Annihilism • 7 januari 2020 18:44

Maar wat als de crypto al een paar maanden op je netwerk zit? Zet je de bestanden terug, begint de encryptie weer opnieuw.

OxWax @bigbuddha • 7 januari 2020 07:55

Personeel briefen, macro's niet toestaan, update policy, ...
maar uiteraard zijn kleine bedrijven niet echt het doelwit want weinig opbrengst (tonnen in dit geval)

ArchNemeziz @OxWax • 7 januari 2020 09:22

Zoals ook eerder genoemd is het niet toestaan van macro's onmogelijk. Het beperkt toestaan daarentegen is wel goed en zorgen voor goede updates van het OS en de virusscanners iig. De medewerkers van tijd tot tijd informeren om niet op bijlages en linkjes te klikken hoort hier ook bij. Er zijn zat mensen die op alle linkjes klikken die in een mail staan. Maar wat nog het vreemde is, is dat ransomware vaak installatie-rechten nodig heeft en dat hoort niet te mogen. Ik kan me wel voorstellen dat onderzoekers vaak wat extra rechten hebben vanwege hun privileges (zoals artsen in ziekenhuizen hebben).
Verder zou elke mkb/ bedrijf een backup en restore plan moeten hebben die ze elk jaar testen.

[Reactie gewijzigd door ArchNemeziz op 27 juli 2024 07:46]

mphilipp @ArchNemeziz • 7 januari 2020 09:59

Ja, dat vind ik ook zo raar. Ik kan als gebruiker toch niet bij de backups of bestanden van een ander?
Dat mijn eigen spullen worden aangetast snap ik, maar hoe werkt dat spul dan zodat het hele bedrijf stil komt te liggen?

OxWax @mphilipp • 7 januari 2020 11:10

Beetje inlezen en je weet meer

https://www.malwarebytes....omware-affect-my-business

mphilipp @OxWax • 7 januari 2020 13:06

En daar staat precies niet het antwoord op mijn vraag. Ik weet wat die ransomware doet, maar ik snap niet dat het door een 'simpele' useractie het hele bedrijf lam kan leggen. Dát is mijn vraag. Niet dát het kan en dat ik goede malwarebescherming moet hebben, backups moet maken en braaf moet patchen.

OxWax @mphilipp • 7 januari 2020 13:11

Dan mag jij dat zelf eens uitzoeken , kan ik eens iets leren, deal?

mphilipp @OxWax • 7 januari 2020 13:17

Mij teveel werk. Als iemand anders alles erover weet, mag ie zijn kennis spuien. Mag in shorthand; ik ben niet heel dom. Een paar steekwoorden zou denk ik al genoeg zijn.

OxWax @mphilipp • 7 januari 2020 13:41

Mij teveel werk. Als iemand anders alles erover weet, mag ie zijn kennis spuien. Mag in shorthand; ik ben niet heel dom. Een paar steekwoorden zou denk ik al genoeg zijn.

eerder lui?

Zo leer je dus niks ...de weg naar kennis is even belangrijk als de kennis zelf

[Reactie gewijzigd door OxWax op 27 juli 2024 07:46]

mphilipp @OxWax • 7 januari 2020 13:42

...dan moe

ArchNemeziz @mphilipp • 7 januari 2020 11:02

Normaliter zou dat inderdaad zo geconfigureerd moeten zijn, maar het kan zijn dat veel mensen meer rechten hebben, waardoor dit uiteindelijk zo erg heeft kunnen uitpakken. Ransomware kan voor zover ik weet alleen onder de gebruiker worden uitgevoerd die het heeft aangeklikt/ uitgevoerd en de data versleutelen die hij kan lezen/ schrijven.

OxWax @ArchNemeziz • 7 januari 2020 11:09

Dus volgens jou heeft in Maastricht een beheerder geklikt?

ArchNemeziz @OxWax • 7 januari 2020 11:12

Dat hoeft niet, zoals je kan lezen in mijn eerdere reactie, kan het een gebruiker zijn met beheer of soortgelijke rechten. Vaak hebben wetenschappers/ onderzoekers/ artsen veel meer rechten dan een student (normale gebruiker), omdat die vaak "andere privileges" hebben.

Glashelder

@ArchNemeziz • 7 januari 2020 12:05

Waarom is dat onmogelijk?

Bij mijn oud-werkgever hadden we dat 'gewoon' geblokkeerd. En dat leverde wel eens discussies op, maar als je ziet dat vrijwel al deze troep via macro's binnen komt is de keuze mijns inziens heel makkelijk.

Begrijp trouwens eigenlijk niet waarom het verspreiden van deze ellende nog steeds mogelijk is via macro's.

ArchNemeziz @Glashelder • 7 januari 2020 12:52

Het wordt vaak juist niet via macro's verspreid, maar via bijlages in e-mail of malafide linkjes waar iets gedownload en uitgevoerd wordt.

xxxneoxxx @ArchNemeziz • 7 januari 2020 14:46

Zelf wat kleine incidentjes gehad middels flash banners, via zero day flash exploits. Dan download een of ander flash geneuzel spontaan executables naar de temp internet files die proberen af te starten en proberen de boel te encrypten. Als je inderdaad zorgt dat mensen niet overal bij kunnen qua rechten, dan zou je een eind safe moeten zitten. Zaken als een homeshare daarentegen, daar mag men vaak wel lezen en schrijven.

ArchNemeziz @xxxneoxxx • 7 januari 2020 15:55

Inderdaad, maar mogelijk hadden ze dan ook geen gescheiden netwerk (compartimenten) etc.

Christoxz @OxWax • 7 januari 2020 08:15

Kleine bedrijven zijn wel interessant voor huis en tuin hackers. Althans, misschien niet interessant maar wel een perfect doelwit.
"Dan kunnen ze ook een stukje van de taart mee eten."

Bij hen gaat het niet altijd om de impact, maar om de kick. En die zullen ze krijgen, als ze een bedrijf tijdelijk plat krijgen.

OxWax @Christoxz • 7 januari 2020 08:25

Hebt u daar enige voorbeelden van("huis en tuin hackers") ?

ErikvO

@OxWax • 7 januari 2020 08:36

Zi bijvoorbeeld dit tweakers achtergrond artikel https://tweakers.net/revi...r-tegen-de-lamp-liep.html

cracking cloud @ErikvO • 7 januari 2020 08:57

Dat was geen hacker. Dat was iemand die op het knopje "bestel een ddoss attack" heeft geklikt

HenkEisDS @cracking cloud • 7 januari 2020 09:16

Dat kan ook met “bestel een ransomware aanval”. Maar je hebt gelijk, scriptkiddie zou een beter passen.

OxWax @ErikvO • 7 januari 2020 11:10

scriptkiddie /= Russian ransomware !

ErikvO

@OxWax • 8 januari 2020 08:53

Nee, maar er werd gevraagd naar een voorbeeld “huis en tuin hackers”. Die:

Bij hen gaat het niet altijd om de impact, maar om de kick. En die zullen ze krijgen, als ze een bedrijf tijdelijk plat krijgen

Daar valt die actie wel degelijk onder.

Nu ben ik er mee eens dat dat geen hacker was, maar in mijn beleving is een “huis en tuin hacker” dichter bij een script kiddie dan bij een professionele hacker.

[Reactie gewijzigd door ErikvO op 27 juli 2024 07:46]

Sharkoon @OxWax • 7 januari 2020 09:14

kleine bedrijven zijn juist erg interessant, hebben vaak veel geld. Maar niet de kennis in huis om zulke aanvallen te bestrijden of als ze aangevallen zijn om dan goed technisch personeel er op te zetten.

OxWax @Sharkoon • 7 januari 2020 11:11

Right ....

"The majority of ransomware cases as of late have been identified as GandCrab. First detected in January of 2018, GandCrab has already gone through several versions as the threat authors make their ransomware harder to defend against and strengthen its encryption. It’s been estimated GandCrab has already raked in somewhere around $300 million in paid ransoms, with individual ransoms set from $600 to $700,000.

In another notable attack happening back in March of 2018, the SamSam ransomware crippled the City of Atlanta by knocking out several essential city services—including revenue collection and the police record keeping system. All told, the SamSam attack cost Atlanta $2.6 million to remediate.

SMGGM @bigbuddha • 7 januari 2020 08:05

Outsourcen... Een bedrijf dat zijn boekhouding, details van bestellingen, klantenbestanden,... op zijn pc-tje bij zit te houden vraagt om problemen (zowel voor eigen stommiteiten als externe problemen). Best om een cloud leverancier te zoeken die betrouwbaar is en een goede backup policy kan neerleggen.
Gebeurt zoiets, format pc en backup terugzetten.

goats @SMGGM • 7 januari 2020 10:00

Inderdaad de bijna totaal juiste oplossing.
Cloud providers gebruiken, en een backup van die cloud lokaal op een meerdere disken zetten.
Want cloud betekent iemand anders zijn computer, en die iemand anders maakt ook "vaak" genoeg fouten die gevolgen heeft voor jouw data.

The GUI @bigbuddha • 7 januari 2020 07:58

Met beperkte middelen is het zaak te focussen op de belangrijkste aanvalsvectoren. Bij ransomware is dit vaak de gebruiker die getarget wordt d.m.v. (spear)phishing en dan op een link klikt die de payload binnen haalt. Awareness is dus erg belangrijk. (De grap is dat bij een kleiner bedrijf iets als bijvoorbeeld CEO fraude minder snel voorkomt omdat vaak de lijnen korter/organisatiestructuur platter is.)

Een tweede is investering in een anti-viruspakket met anti-ransomware bescherming. Deze pakketten bieden nooit 100% dekking, maar in combinatie met het verhogen van de awareness heb je het risico al aanzienlijk verkleind.

Mellow Jack @bigbuddha • 7 januari 2020 08:13

De meest basale maatregel is enerzijds zorgen dat er niet 1 persoon is die met 1 account bij alle bestanden kan en daarnaast ervoor zorgen dat je snel je omgeving kan "restoren".

In de meeste situaties gebruikt een persoon maar een klein percentage van de bestanden. In dit type situaties is het de kunst iedereen weer msnel aan het werk te hebben dus bijv laptops opnieuw installeren, die 5 % van de files restoren uit een backup en pas als iedereen operationeel is die andere 95%

Het is in feite exact hetgeen wat de universiteit nu doet behalve dat ze klaarblijkelijk geen concreet plan hadden.

Natuurlijk kan je dit vanuit de techniek voorkomen door fatsoenlijke virus/malware scanning maar het is slim om een plan te hebben wat je gaat doen als er iets goed fout gaat.

Het gaat namelijk niet perse om het versleutelen van de bestanden (Dit is een gevolg) maar om het feit dat iemand toegang heeft gekregen op een bepaalde manier en deze manieren blijven zich ontwikkelen.

Man uiteindelijk blijft het een goed idee niet zomaar iets te downloaden en ergens op te klikken

Skit3000

Nederland

@bigbuddha • 7 januari 2020 08:25

De makkelijkst manier om je hier (en tegen virussen) tegen te beschermen lijkt mij door te zorgen dat iemand anders verantwoordelijk is voor het beveiligen, backuppen en beschikbaar houden van jouw data. Het ergste wat je dan kan overkomen is dat je je besturingssysteem opnieuw moet laten installeren en je gegevens terug laten rollen naar de laatst beschikbare versie (wat ook gelijk de laatste door jou opgeslagen versie is).

The Realone @bigbuddha • 7 januari 2020 08:25

Goeie backups en vooral correcte procedures die nageleeft worden omtrent de backups en de restoretests.

Software up to date houden en dit laten inventariseren en patchen. Genoeg betaalbare software die dit kan.

Application/script whitelisting gebruiken. Dat laatste kan in bepaalde omgevingen wat intensiever zijn, maar het levert enorm veel op.

Account rechten beperken.

Medewerkers informeren en dit ook blijven doen. Dit houdt ze scherp. Denk aan simpele "leuke" plaatjes bij de koffieautomaat en zo nu en dan een mail rondsturen waarin je wijst op de gevaren. Je hoeft ze geen intensieve awareness trainingen te geven, blijven herinneren doet vaak al wonderen. Incidenten zoals deze die het landelijke nieuws halen helpen daarbij wel mee.

Het is echt niet zo ingewikkeld en kostbaar. Je moet ook niet verwachten ook 100% veilig te zijn.

kodak

Beveiliging en antivirus
Ransomware
Nederland

@bigbuddha • 7 januari 2020 09:01

Ransomware is al jaren een probleem voor consumenten en mkb. Ga ervan uit dat het mis kan gaan en je backups nodig hebt waar je verder mee kan. In de cloud werken of je windows herstek is niet genoeg dus zorg dat wat je echt nodig hebt op een losse opslag staat en je zeker weet of je die gegevens later kan gebruiken.

Annihilism @bigbuddha • 7 januari 2020 09:17

[ging iets fout met quoten]

[Reactie gewijzigd door Annihilism op 27 juli 2024 07:46]

Anoniem: 1322 @bigbuddha • 7 januari 2020 10:19

Google GSuite. Alles in de cloud en geen lokale toegang nodig (het kan maar dat is slechts een verwijzing naar je browser). Daarom kiezen de meeste startups voor gSuite, geen legacy problemen meer.

Voor de thuisgebruiker: Docs, sheets, slides en gmail zijn gratis te gebruiken. Als je er Google backup naast installeert zijn de meeste thuisgebruikers klaar. Er kunnen onbeperkt foto's worden gebackupt (in beperkte resolutie) en deze zijn direct overal beschikbaar zodat ze ook (klein) kinder foto's op te telefoon kunnen zien. Uiteraard is niets gratis. Als je niet betaald, betaal je met je privacy.

draadhaai @bigbuddha • 7 januari 2020 10:57

Meeste is te ondervangen met Fileserver Resource Manager met bestand patronen en backups.
Heb er 4 jaar geleden eens een pakket voor geschreven waarbij definities centraal te beheren waren en ingreep als er x aantal bestanden versleuteld waren waarna de gebruiker van het netwerk werd gekicked

BvdW1978 @bigbuddha • 7 januari 2020 14:55

Een klein bedrijf met beperkte middelen zou zich eens heel zorgvuldig moeten beraden op IT-keuzes en bekijken of een stap buiten de gebaande paden van de monocultuur mogelijk is. Zet je spulletjes in de cloud, met goede disaster recovery en zorg voor een client-OS dat niet zo'n grote bulls-eye op de rug heeft. Zo ingewikkeld hoeft dat in kleine organisaties helemaal niet te zijn namelijk.

Zorro 7 januari 2020 08:30

Leuk en uiteraard belangrijk, backups. Maar als zo'n ransomwaredingetje zich installeert en vervolgens een half jaar niks doet en dan ineens actief wordt heb je ook niet meer heel veel aan backups. Hoe lang moet je terug? Wil je en kun je zolang terug?

Birdstrike @Zorro • 7 januari 2020 09:03

Is er ransomware die zich in documenten/databestanden kan nestelen? Ik zou zeggen (maar ben al tientallen jaren uit de branche) dat de databestanden van de backups niet versleuteld zijn door de malware.
Dat wil zeggen: de databestanden op de backups waren eenvoudigweg niet aanwezig of stonden al tijden versleuteld op de backup? Hoe moet ik dat zien?

Simpel gezegd: als je de server restored kan ik me voorstellen dat je de malware terugzet, maar als je alleen de docs/xls/data restored?
De software/applicaties zelf zet je dan terug van de source (leverancier/dvd/etc) toch? Of denk ik te simpel :-)

[Reactie gewijzigd door Birdstrike op 27 juli 2024 07:46]

Dracozirion @Birdstrike • 7 januari 2020 13:32

Exact wat ik ook heb aangegeven in het vorige topic, maar dat begrepen er enkele helaas niet goed.

Birdstrike @Dracozirion • 7 januari 2020 16:52

Begrijp niet waarom je nu een -1 hebt, maar ik heb me ingelezen inderdaad in een ander topic. Thanks voor de bijles. Dat spul is inmiddels al een stuk intelligenter dan ik (dacht, lol).

SanderBos @Birdstrike • 7 januari 2020 14:08

Disclaimer: Ik weet werkelijk niks van Malware.

Maar tijdens van het lezen van de comments hier bouwde ik het volgende beeld op van hoe ik het zou doen:
1) Ik infecteer de file servers
2) Ik encrypt alle bestanden op de fileserver met een random aangemaakte public+private key die bij de ransomware exploitant staat en die de geinfecteerde server via Internet kan opvragen (dus die keys worden niet op het geinfecteerde systeem opgeslagen). Als de bestanden van de fileserver worden opgevraagd worden ze simpelweg gedecrypt.
3) Dat laat ik een maand of zo lopen, zodat alle geencrypte bestanden naar de roulerende backups gaan, en ik hoop als ransomware exploitant dan maar dat niemand echt goed kijkt naar de backups (geen bestanden ervan opent).
4) Na die wachttijd deactiveer ik het extern ophalen van de keys door de geinfecteerde server (dus de keys zijn niet meer beschikbaar voor het geinfecteerde systeem, en niks kan meer gedecrypt worden), en verander ik de infectie zodanig dat voor elke opgevraagde word of excel file er een klein bestandje wordt opgestuurd met mijn bitcoin adres en wat verdere info voor de slachtofffers.

Edit Ik heb nu nog wat verder zitten lezen/ googlen, waarschijnlijk is het in Maastricht in die zin anders gegaan dat de backup servers blijkbaar ook waren geinfecteerd... En hebben ze volgens het universiteitsblad de ransomwareders gewoon betaald, daarom hebben ze nu alle data weer terug, niet omdat ze werkende backups hadden. En is de reden dat ze er zo druk mee zijn geweest de afgelopen weken omdat ze FOX-IT erbij hebben gehaald en nu hun netwerk infrastructuur veiliger aan het opzetten zijn (en dan waarschijnlijk alle geinfecteerde servers voor de zekerheid vanaf scratch moeten herinstalleren).

[Reactie gewijzigd door SanderBos op 27 juli 2024 07:46]

Cergorach

Beveiliging en antivirus

@Birdstrike • 7 januari 2020 18:19

Hoe moet ik dat zien?

Je moet dat zien als mensen die hun backups niet checken. Als jij opeens in je incremental backups enorme pieken ziet dan moet er een belletje gaan rinkelen. Iemand die enorm veel data erbij aan het plaatsen is? Of als je alleen maar dezelfde bestanden geheel opnieuw ziet backuppen bij een incremental dan is er iets mis. Maar meestal halen mensen dan hun schouders op, zal wel 'iets' zijn geweest en gaan niet even de data restoren naar een 'clean' PC...

Daarnaast heb je natuurlijk altijd nog de backups van 6+ maanden geleden, als deze tenminste niet op een zelf beheerde server staan die ook geïnfecteerd is...

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@Zorro • 7 januari 2020 11:07

Leuk en uiteraard belangrijk, backups. Maar als zo'n ransomwaredingetje zich installeert en vervolgens een half jaar niks doet en dan ineens actief wordt heb je ook niet meer heel veel aan backups. Hoe lang moet je terug? Wil je en kun je zolang terug?

En hoe lang duurt het om de backups terug te zetten? De meeste organisaties zijn zo afhankelijk van IT dat ze zonder niet meer kunnen werken. Hoewel IT alle data in theorie nog wel terug kan halen van backups kan het lang duren voor alle systemen ook weer echt draaien. Zeker als je er rekening mee houdt dat vrijwel niemand ooit een volledige recovery test en al helemaal niet onder realistische omstandigheden waarbij niet alle backups compleet en in sync zijn en er altijd nog wel ergens een systeem vergeten is.
Als je pech hebt komt er ondertussen ook nog nieuwe data binnen die niet verloren mag gaan.

Cergorach

Beveiliging en antivirus

@CAPSLOCK2000 • 7 januari 2020 18:31

Dat ligt heel erg aan hoe en wat je gebruikt. In het NT4 netwerk duurde het na een Exchange issue weken voordat alle email restored was vanaf backup tapes. Tegenwoordig kan je een zelfde hoeveelheid data in uren terug zetten mits je hard/software dat kan hebben. Alleen tegenwoordig hebben bedrijven veel meer data en afhankelijk van hoe dat draait, is gebackupped en hoeveel het is, kan dat heel kort of heel lang duren.

Als je tientallen TB moet restoren op een niet zo snelle server over een 50/50 lijntje, dan zal dat niet zo vlot gaan. Als je dat over een 10.000/10.000 lijntje kan doen zal dat veel sneller gaan. Zelfde geld voor backup tapes. Moet dat tapeje voor tapeje dan zal het niet zo vlot gaan, kan je dat parallel doen, zal het een stuk vlotter gaan.

Meestal duurt het extra lang omdat je gaat priorizeren, eerst wat ze vandaag nodig hebben, dan wat ze komende week nodig hebben, dan alles behalve archief, dan archief.

In mijn ervaring is het terugzetten van data het minste werk, maar alle rompslomp ervoor en er na kost veel meer tijd/werk. Checken hoe en wanneer het is binnen gekomen, een nieuwe (restored) omgeving dichttimmeren dat het niet weer zal gebeuren, interne en externe communicatie (100x hetzelfde uitleggen aan veel te veel mensen die zich ermee bemoeien), etc.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@Cergorach • 7 januari 2020 18:49

Als je tientallen TB moet restoren op een niet zo snelle server over een 50/50 lijntje, dan zal dat niet zo vlot gaan. Als je dat over een 10.000/10.000 lijntje kan doen zal dat veel sneller gaan. Zelfde geld voor backup tapes. Moet dat tapeje voor tapeje dan zal het niet zo vlot gaan, kan je dat parallel doen, zal het een stuk vlotter gaan.

Dat ben ik met je eens, voor deze organisatie zal dat geen probleem zijn. Universiteiten hebben uitstekend internet en bij een dergelijke partij verwacht ik dat er ook nog een mogelijkheid is dat de externe backup-toko alle data op schijven dumpt en per motorkoerier opstuurt ofzo.

In mijn ervaring is het terugzetten van data het minste werk, maar alle rompslomp ervoor en er na kost veel meer tijd/werk.

Ik maak me met name zorgen over de integratie. Alles is tegenwoordig met elkaar verbonden. Voordat je (bij wijze van spreke) op je Exhange-server kan inloggen moet je eerst Active Directory herstellen. Maar AD wordt gevoerd vanuit je IDM en de backup daarvan is een paar dagen ouder. Helaas had de beheerder net in die periode z'n wachtwoord veranderd en weet het oude niet meer. IDM wil trouwens niet starten zonder de achterliggende database-server die z'n authenticatie via AD heeft lopen. De helpdesk bellen lukt niet omdat de VOIP-server of het adresboek er uit ligt, etc.
Als je het van te voren een beetje handig hebt ingericht is het allemaal oplosbaar, maar het kost heel veel tijd.

ijdod

@CAPSLOCK2000 • 7 januari 2020 12:38

Hangt een beetje van de techniek en scope van de restore af. Een enkel bestand is niet zo'n probleem, en complete disaster recovery vanaf backup... da's niet iets wat over een uurtje wel klaar is. In mijn ervaring heb je het over dagen. Of zelfs weken....

[Reactie gewijzigd door ijdod op 27 juli 2024 07:46]

vj_slof @Zorro • 7 januari 2020 08:52

de malware activeert zich pas na een bepaalde datum. Kwestie van backup voor activering terugzetten en de klok tijdens het restoren ook naar de tijd voor de lockdown zetten.

MadEgg @Zorro • 7 januari 2020 09:17

Heel simpel: je moet je backups ook onafhankelijk van het gebackupte systeem valideren. Check of de backups de essentiele data bevatten zonder software van het systeem zelf te gebruiken en of deze leesbaar en volledig is. Geautomatiseerd en regelmatig.

Een sluitende backup-policy voorkomt 99% van het verlies van data. Je loopt altijd het risico dat je wat data sinds de laatste volledige backup kwijt raakt. Daarop moet je je policy afstemmen: hoe minder acceptabel dat is, hoe vaker je moet backuppen.

Palo Alto 7 januari 2020 09:23

De universiteit geeft op dit moment weinig informatie vrij over het voorval omdat het onderzoek nog loopt. Zodra dat voorbij is belooft de UM 'openheid te geven over de geleerde lessen'.

Ik ben wel benieuwd hoe dit beleid wordt verantwoord als morgen een andere grote (onderwijs)instelling blijkt te zijn getroffen.

Normaal gesproken kan geslotenheid zinnig zijn bij een (strafrechtelijk) onderzoek. Het wordt meestal gedaan ter voorkoming van het uitlekken van daderkennis. Maar de kans is volgens mij bijna 100% dat de daders niet in Europa zitten en nooit gepakt gaan worden, uiteraard zeker als het achteraf een state actor zou blijken te betreffen.

Kan iemand redenen bedenken waarom het slim zou zijn om geen openheid te geven? Het mag nu toch wel eens bekend zijn dat “security by obscurity” zo’n beetje de slechtste methode is die er bestaat, of zie ik iets over het hoofd? Probeert men nu bijvoorbeeld een inhaalslag van vele jaren te maken op het gebied van netwerkbeveiliging, en lukt dat (begrijpelijkerwijs) niet op korte termijn.

[Reactie gewijzigd door Palo Alto op 27 juli 2024 07:46]

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@Palo Alto • 7 januari 2020 11:49

Ik ben wel benieuwd hoe dit beleid wordt verantwoord als morgen een andere grote (onderwijs)instelling blijkt te zijn getroffen.

Er wordt wel informatie gedeeld met andere onderwijsinstellingen.
De meeste van die informatie is overigens niet geheim maar gewoon op internet te vinden als je zoekt naar CLOP en bestaat vooral uit adviezen die iedereen eigenlijk wel kent. Zorg voor backups, pas op met e-mail attachements, schakel macro's uit, etc...

Kan iemand redenen bedenken waarom het slim zou zijn om geen openheid te geven?

Ik kan me voorstellen dat ze eerst zeker willen zijn dat het gat gevonden en gedicht is voor ze een volgende aanval over zich heen krijgen. Ten tweede kan verkeerde informatie vervelende gevolgen hebben omdat mensen er ten onrechte naar gaan handelen. Je ziet regelmatig op het forum hoe mensen maar op goed geluk processen beginnen af te schieten en bestanden deleten omdat ze ergens op internet iets hebben gelezen.

Het mag nu toch wel eens bekend zijn dat “security by obscurity” zo’n beetje de slechtste methode is die er bestaat, of zie ik iets over het hoofd? Probeert men nu bijvoorbeeld een inhaalslag van vele jaren te maken op het gebied van netwerkbeveiliging, en lukt dat (begrijpelijkerwijs) niet op korte termijn.

Dat is niet hoe die term werkt. Security by Obscurity wordt gebruikt om aan te geven dat de onderliggende techniek niet afhankelijk is van geheime mechanismen, niet dat er geen geheimen mogen zijn. Je wachtwoord moet je immers ook geheim houden. Hoe je wachtwoord gebruikt wordt is geen geheim, wat het is wel.

Palo Alto @CAPSLOCK2000 • 7 januari 2020 12:07

Dat is niet hoe die term werkt. Security by Obscurity wordt gebruikt om aan te geven dat de onderliggende techniek niet afhankelijk is van geheime mechanismen, niet dat er geen geheimen mogen zijn.

Ik kan me prima vinden in je argumenten, waarvoor dank, maar dit is precies wat ik bedoelde.

Wachtwoorden moeten uiteraard wel geheim zijn, maar het publiceren van je beleid zou een hele sterke verbetering op (kunnen) leveren van dat beleid. Je kan eventueel beginnen met interne audits of het uitwisselen met vertrouwde partners zoals beheerders van andere universiteiten (zoals je in je eerste zin bedoelt geloof ik), maar het wordt uiteindelijk pas echt sterk als iedereen kennis mag nemen van je beleid toch? Geen idee of het hier speelde, maar dat maakt de urgentie voor instellingen een stuk groter om te stoppen met achterhaalde methodes (die helaas soms door (onwetende) managers en bestuurders worden verplicht), of juist ontbrekend best practice beleid toe te voegen.

[Reactie gewijzigd door Palo Alto op 27 juli 2024 07:46]

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@Palo Alto • 7 januari 2020 12:50

Wachtwoorden moeten uiteraard wel geheim zijn, maar het publiceren van je beleid zou een hele sterke verbetering op (kunnen) leveren van dat beleid.

We beginnen af te dwalen. Ik dacht dat je klacht was dat ze niet genoeg informatie geven over het lopende onderzoek. Met 3 seconde Googelen kan ik het IT beleid van de Universiteit Maastricht vinden. Dat staat gewoon online.

Je kan eventueel beginnen met interne audits of het uitwisselen met vertrouwde partners zoals beheerders van andere universiteiten (zoals je in je eerste zin bedoelt geloof ik), maar het wordt uiteindelijk pas echt sterk als iedereen kennis mag nemen van je beleid toch?

Dat kan dus het beleid staat online. Alleen actuele informatie over deze specifieke aanval wordt nog niet openbaar gemaakt, maar is wel beschikbaar voor betrokkenen.

Geen idee of het hier speelde, maar dat maakt de urgentie voor instellingen een stuk groter om te stoppen met achterhaalde methodes (die helaas soms door (onwetende) managers en bestuurders worden verplicht), of juist ontbrekend best practice beleid toe te voegen.

De informatiebeveiligers in het onderwijs werken al veel samen en wisselen een hoop informatie uit met elkaar en met beveiligers uit andere sectoren. In mijn ervaring is het opstellen van het beleid niet zo zeer het probleem maar de uitvoering. Het gaat een beetje te ver om daar hier een betoog over te schrijven.

Slavy 7 januari 2020 07:48

Een woordvoerder van de universiteit zegt tegen de NOS dat er maatregelen zijn genomen om het systeem beter te beveiligen.

Mosterd na de maaltijd welke te vaak voorkomt.

GrooV @Slavy • 7 januari 2020 07:48

Makkelijk praten wat onder ieder ransomware nieuws bericht voor komt...

rickboy333 @GrooV • 7 januari 2020 07:52

Of gewoon een harde les dat je ICT security en backups serrieus moet nemen.

mocean @rickboy333 • 7 januari 2020 07:58

Misschien doen ze dat wel? Misschien was er een (IT) medewerker betrokken, die wat wilde bijverdienen? Misschien was er een (IT) medewerker gechanteerd om zaken te installeren? Misschien zero-days in software waar geen remedie tegen was? 100% beveiliging bestaat niet en 99,99999% procent is duur. Overal worden afwegingen gemaakt tussen risico en kosten. Maar niemand weet het precies op dit moment.

Maar roepen dat ze dus zaken 'niet serieus nemen' is nogal voorbarig.

GertMenkel

Beveiliging en antivirus

@mocean • 7 januari 2020 08:29

Ze werden getroffen door een redelijk bekend stuk malware en ze konden hun systemen niet herstellen door middel van backups. Dit betekent dat er geen backups waren of dat de backups konden worden uitgeschakeld.

Veiligheid tegen cryptolockers heb je eigenlijk nooit, daarom zijn offline backups zo belangrijk. Een backuplocatie die door malware kan worden overschreven heeft dus weinig effect tegen de meeste virussen.

Deze malware logt echt niet in op het portal van je online backup provider om een wipe command te geven ofzo. Backups waren blijkbaar niet extern of offline gemaakt, want anders hadden ze op zijn minst de bestanden van eind november kunnen herstellen uit een archief.

Als ik de berichtgeving zo lees vermoed ik eerder dat men ervan uitging dat backups naar een netwerkschijf goed genoeg waren en die netwerkschijf aan dezelfde domeincontrollers hing als de rest van hun systeem.

Het kan altijd zijn dat er sprake is van een witwascomplot of een inside threat of een cyberaanval van een rivaal van de universiteit of een top secret operatie van de AIVD maar tot noch toe heb ik weinig aanleiding gezien om dat te denken. Helemaal omdat de universiteit zo schimmig doet over het hele verhaal krijg ik sterke twijfels over het IT-beleid daar.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@GertMenkel • 7 januari 2020 09:11

Een bekend stukje malware dat blijft evolueren zoals we gisteren nog in een nieuwspost hebben gezien. Tenij men dus een identieke kopie van de malware als enkele weken daarvoor gebruikt zit je telkens bijna met een nieuwe 0-day.

En offline backups zijn echt niet altijd even eenvoudig om te maken. Daarnaast moet je ook de afweging maken tussen het economisch verlies van een maand aan werk te verliezen of betalen voor de restore van je data van die maand.

rickboy333 @Blokker_1999 • 7 januari 2020 11:19

Maar als je betaald voor de gijzeling dan "steun" je de criminelen. En daardoor zullen criminelen vooral door blijven gaan en nog meer gijzelsoftware maken. De kans dat je dan nog een keer word getroffen is dan ook hoger, want "hij betaald toch wel".

Er is een reden Nederland niet onderhandeld met criminelen indien er een "echte" gijzeling gaande is. Wat mij betreft zouden bedrijven hetzelfde moeten doen. Anders maken ze het probleem alleen maar groter. Zeker als dat betekend dat ze niet willen inversteren in goede backup oplossingen.

xorpd @Blokker_1999 • 7 januari 2020 12:14

Een 0-day is toch echt iets anders, dat is een ungepatchte exploit. Wat jij bedoelt is een signature.

nst6ldr @Blokker_1999 • 7 januari 2020 12:22

Een bekend stukje malware dat blijft evolueren zoals we gisteren nog in een nieuwspost hebben gezien.

Het functionele aspect (de gevolgen van ransomware) blijft hetzelfde, dat is namelijk de moneymaker. Een goede verdeling van rolgroepen, lees/schrijfrechten en een backup procedure is juist een oplossing voor het gevolg, niet de technische implementatie van de malware.

Deze universiteit is gewoon zeer nalatig gebleken.

[Reactie gewijzigd door nst6ldr op 27 juli 2024 07:46]

BvdW1978 @Blokker_1999 • 7 januari 2020 14:57

Geversioneerde opslag i.c.m. backups van die complete opslag lossen het hele probleem op. Bestand versleuteld? Prima, dat is dan de laatste versie van dat bestand. De voorlaatste is niet versleuteld, dus die haal je terug. De backup dient ter bescherming van de volledige storage.

dikkechaap @GertMenkel • 7 januari 2020 11:22

"Dit betekent dat er geen backups waren of dat de backups konden worden uitgeschakeld."

Je vergeet de derde optie, die ransomware zo effectief maakt: de back-ups zijn gemaakt van reeds ge-encrypte bestanden. Doordat de ontsleuteling actief is (totdat de hackers hem uitzettten) heb je niks door totdat het te laat is.

De bestanden van eind november herstellen is voor een universiteit bovendien een stuk schadelijker dan een miljoen losgeld betalen.

ijdod

@GertMenkel • 7 januari 2020 12:47

Op basis van ervaring: het kan zomaar zijn dat de getroffen opslag verkocht is als goedkope mass-storage met beperkte, of geen, backups. Backup en DR kosten geld, wat $randomafdeling er (tot dit soort incidenten) niet voor overheeft.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@GertMenkel • 7 januari 2020 11:24

Ze werden getroffen door een redelijk bekend stuk malware en ze konden hun systemen niet herstellen door middel van backups. Dit betekent dat er geen backups waren of dat de backups konden worden uitgeschakeld.

Backups terugzetten kost tijd, vaak veel tijd. In de meeste gevallen die ik ken wordt het herstellen van backups alleen stukje bij beetje gedaan een los bestand hier, een enkele server daar. Ik heb nog nooit iemand een volledige "recover from tape" zien oefenen in een draaiende productie-omgeving.
Dat zou natuurlijk wel moeten maar het is vol risico en erg duur. Ik snap dat het in praktijk nauwelijks gedaan wordt.

Een organisatie als een universiteit kan z'n studenten niet 6 weken thuis laten zitten terwijl IT de systemen herstelt. De tentamens staan voor de deur (of zijn al begonnen) en het missen van een tentamen kan de studenten duizenden euro's aan extra studiekosten opleveren.
Offline zijn kan heel duur zijn.

nst6ldr @CAPSLOCK2000 • 7 januari 2020 12:24

[...]

Een organisatie als een universiteit kan z'n studenten niet 6 weken thuis laten zitten terwijl IT de systemen herstelt. De tentamens staan voor de deur (of zijn al begonnen) en het missen van een tentamen kan de studenten duizenden euro's aan extra studiekosten opleveren.
Offline zijn kan heel duur zijn.

De universiteit is nalatig, dus die zal moeten opdraaien voor de gemiste tijd en kosten. Het sponsoren van ransomware werkt hierin averechts.

Als een bedrijf klantgegevens lekt, is het ook niet aan de klanten om op te draaien voor de gedraaide uren en gemaakte kosten om de bedrijfsprocessen weer op te starten.

[Reactie gewijzigd door nst6ldr op 27 juli 2024 07:46]

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@nst6ldr • 7 januari 2020 12:56

De universiteit is nalatig, dus die zal moeten opdraaien voor de gemiste tijd en kosten. Het sponsoren van ransomware werkt hierin averechts.

Makkelijker gezegd dan gedaan, waar moet dat geld vandaan komen?
Universiteiten maken geen winst. Iedere cent die er in gaat heeft al een bestemming.
Gijzelingen werken omdat betalen goedkoper is dan een andere oplossing zoeken.
Het "sponsoren van ransomware" is, in ieder geval op korte termijn, de goedkoopste oplossing.

nst6ldr @CAPSLOCK2000 • 7 januari 2020 14:55

Ik snap niet waarom het zo ingewikkeld ligt: dat geld komt uit het potje wat anders naar de criminelen had gegaan. Het moet niet ingewikkelder gemaakt worden dan het is, en geloof me, de organisatie waar ik werk is zeer strikt en soms omslachtig met potjes, maar zelfs hier had de keuze echt niet op het sponsoren van hackers gevallen.

"Het "sponsoren van ransomware" is, in ieder geval op korte termijn, de goedkoopste oplossing."

Ik ken er nog een:

"The road to hell is paved with good intentions."

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@nst6ldr • 7 januari 2020 15:06

Het doel is niet om de hackers te sponsoren maar om de eigen organisatie te redden.

Mogelijkheid 1: je betaalt 100.000 losgeld + 1.000.000 herstelkosten en bent na 2 weken weer online
Mogelijkheid 2: je betaalt 0 losgeld + 10.000.000 herstelkosten + 5.000.000 aan rechtszaken en schadevergoedingen en bent pas na 3 maanden weer online

Ik had ook liever een andere keuze gezien, maar ik snap het wel.

"The road to hell is paved with good intentions."

Welke conclusie verbind je daar aan? Toch niet dat je geen goede bedoelingen moet hebben?

nst6ldr @CAPSLOCK2000 • 7 januari 2020 15:17

Het doel is niet om de hackers te sponsoren maar om de eigen organisatie te redden.

Mogelijkheid 1: je betaalt 100.000 losgeld + 1.000.000 herstelkosten en bent na 2 weken weer online
Mogelijkheid 2: je betaalt 0 losgeld + 10.000.000 herstelkosten + 5.000.000 aan rechtszaken en schadevergoedingen en bent pas na 3 maanden weer online

Ik had ook liever een andere keuze gezien, maar ik snap het wel.

[...]

Welke conclusie verbind je daar aan? Toch niet dat je geen goede bedoelingen moet hebben?

Je weet niet of je bestanden wel te redden zijn, het komt gewoon voor dat de sleutel niet bekend is of zelfs nooit heeft bestaan (documenten overschreven met random data).

Er is altijd kans dat er tussen je documenten nog steeds een payload ligt te wachten, dan ben je over 2 maanden wéér aan de beurt.

Je financieert doorontwikkeling van de ransomware, dus je brengt jezelf én anderen schade toe.

Hoe kan je als organisatie, met de bovenstaande kennis, dan met droge ogen geld investeren in ransomware in plaats van damage control? De schade is toch al aangericht, lijkt me dat het geld in een oplossing voor de studenten gestoken moet worden in plaats van de gok wagen met een crimineel.

Zou jij via marktplaats je eigen fiets terugkopen?

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@nst6ldr • 7 januari 2020 15:31

Hoe kan je als organisatie, met de bovenstaande kennis, dan met droge ogen geld investeren in ransomware in plaats van damage control? De schade is toch al aangericht, lijkt me dat het geld in een oplossing voor de studenten gestoken moet worden in plaats van de gok wagen met een crimineel.

De schade is doorlopend zolang de systemen niet beschikbaar zijn. Duizenden studenten, onderzoekers en andere medewerkers ondervinden ernstige schade. Als je door zo'n probleem een jaar studievertraging oploopt dan kost dat duizenden euro's en de druk op studenten om snel af te studeren is al erg hoog.

Zou jij via marktplaats je eigen fiets terugkopen?

Als ik geen geld heb voor een andere fiets en die fiets nodig heb om naar mijn werk te gaan?
Ja. Geen echte keuze.
Principes zijn mooi maar als ik dood neerval omdat ik geen geld heb voor eten dan bereik ik ook niks. Ik sta helemaal achter het principe dat je niet onderhandelt met criminelen, maar dat is niet het enige principe dat van belang is. Je moet ook rekening houden met de belangen van alle studenten en medewerkers die tegen hun wil betrokken zijn. Dat een universiteit z'n best doet om te zorgen dat alle studenten de eindstreep halen vind ik ook een belangrijk principe.

nst6ldr @CAPSLOCK2000 • 7 januari 2020 15:56

[...]

De schade is doorlopend zolang de systemen niet beschikbaar zijn. Duizenden studenten, onderzoekers en andere medewerkers ondervinden ernstige schade. Als je door zo'n probleem een jaar studievertraging oploopt dan kost dat duizenden euro's en de druk op studenten om snel af te studeren is al erg hoog.

[...]

Als ik geen geld heb voor een andere fiets en die fiets nodig heb om naar mijn werk te gaan?
Ja. Geen echte keuze.
Principes zijn mooi maar als ik dood neerval omdat ik geen geld heb voor eten dan bereik ik ook niks. Ik sta helemaal achter het principe dat je niet onderhandelt met criminelen, maar dat is niet het enige principe dat van belang is. Je moet ook rekening houden met de belangen van alle studenten en medewerkers die tegen hun wil betrokken zijn. Dat een universiteit z'n best doet om te zorgen dat alle studenten de eindstreep halen vind ik ook een belangrijk principe.

Heeft niks met principes te maken, maar risicobeheer. Je hebt geen garanties als je gaat onderhandelen met een crimineel, en al helemaal niet als die dat anoniem kunnen doen. Ze kunnen maximaal uitpersen door over een maand gewoon weer alles te versleutelen, de data online te verkopen, ga zo maar door. Het is voor een hacker totaal niet interessant of hij daarmee vertrouwen schaadt bij de slachtoffers.

Alas, risicomanagement was deze universiteit sowieso al niet sterk in blijkbaar.

CAPSLOCK2000

Beveiliging en antivirus
Nederland
Ransomware

@GertMenkel • 7 januari 2020 11:16

[Reactie gewijzigd door CAPSLOCK2000 op 27 juli 2024 07:46]

rickboy333 @mocean • 7 januari 2020 08:37

Nou, waar waren die backups dan? Hoezo kon de uni niet gewoon alles schoonvegen en een backup terugzetten ipv (vermoedelijk) het losgeld betalen?

Oh ja, de uni had geen backups op wat shadowcopy's na.

Tha als je geen fatsoenlijke backups hebt dan neem je ICT in mijn ogen niet serrieus.

[Reactie gewijzigd door rickboy333 op 27 juli 2024 07:46]

mocean @rickboy333 • 7 januari 2020 08:38

Dat kan allemaal zo zijn, maar bekend is het niet he? Als je backups hebt, maar ze zijn tig maanden oud, omdat de crypto al lang aanwezig was heb je er niks aan / of is de schade alsnog enorm.

Maar mijn punt was: er is altijd een afweging tussen risico en kosten; en 100% veilig ben je nooit. Dat is niet automatisch gelijk aan: 'zaken niet op orde hebben'.

rickboy333 @mocean • 7 januari 2020 08:57

En daarom moet je goede backups hebben gezien je nooit 100% veilig bent. Maar de uni had geen backups, alleen shadow copies.

Als ik vandaag word aangevallen door ransomeware kan ik zo de hele zooi formateren/schoonvegen en een backup terugzetten. Ik heb een fysieke backup op een ZFS pool van al mijn apperaten die ik eens in de maand update (die niet aan het netwerk hangt). Daarnaast heb ik nog een cloudbackup die elke dag worden geupdate waardoor ik belangrijke bestanden zoals word, excelsheets, foto's enz nooit kan kwijtraken.

En als ik het kan, dan kan een uni het ook. Maar dan met professionele apperatuur natuurlijk.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@rickboy333 • 7 januari 2020 09:09

Dus als ik jouw de dag voordat jij je offline backup maakt infecteer dan verlies jij onmiddelijk een maand aan werk. Mag je mij eens zeggen hoeveel bedrijven daar blij mee gaan zijn.

Zoals zovelen hier zeggen: het probleem is echt een heel stuk complexer dan je denkt. De schaduwkopies worden tegenwoordig als eerste backupmethode gebruikt omdat deze zeer eenvoudig in gebruik is en gewoon is ingebakken in Windows. Je data is daarmee snel en eenvoudig te herstellen zonder complexe oplossingen te moeten bedenken. Onze first line helpdesk kan zo al bestanden helpen terugzetten terwijl de complexere restores die niet vanuit die schaduwkopie kunnen naar een ander team moet worden doorgestuurd (= tijdverlies).

Dus als je met je malware erin slaagt die kopies te infecteren of onklaar te maken dan heb je al een eerste belangrijke stap geslagen. Dan kom je bij je offline backups. Als de ransomware erin slaagt om bestanden te encrypteren maar de ontsleuteling actief in het geheugen houdt dan merk je vaak niet eens iets op en gaan de versleutelde bestanden mee je recente backup in. Dat soort backups neem je niet elke paar uur maar misschien 1 keer per dag. Moet je daar dus naar teruggrijpen dan moet je eerst het meest recente punt zonder infectie zien te vinden en dit dan terugzetten nadat je zeker bent dat de malware van je netwerk is. En als de infectie oud genoeg is kan het zelfs zijn dat zelfs je oudere backups niet meer voldoen. Want hoe lang hou je die bij?

En dan mijn volgende vraag: hoeveel data heb jij in je backup staan? En hoeveel heeft de uni staan? Gewoon al die schaalgrootte maakt dat het een stuk complexer wordt. Zonder alle feiten te kennen kunnen wij echt geen oordeel vellen over welke fouten er gemaakt zijn of wat ze wel en wat ze niet op orde hebben.

nst6ldr @Blokker_1999 • 7 januari 2020 12:35

Onterechte +3 om meerdere redenen:

Ransomware is geen elvenmagie, maar net als ieder andere malware gewoon draaibare code, dat moet in een bepaalde user context uitgevoerd worden om iets te kunnen doen. Zorg dus dat je rechten kloppen.
Backups regel je first & foremost in met write principe. Iedere dag nieuwe data schrijven, en niet mogen aanpassen. De backups verplaats je vervolgens met een ander account buiten het netwerk als statische data.
Je past buiten het netwerk heuristics toe op je backups om te detecteren dat er iets aan de hand is. Een niet geteste backup is een nutteloze backup.

Ransomware is inmiddels al een paar jaar oud, genoeg grotere organisaties die er mee te maken krijgen en er geen of weinig schade van ondervinden. De universiteit is hier 100% fout.

[Reactie gewijzigd door nst6ldr op 27 juli 2024 07:46]

mocean @rickboy333 • 7 januari 2020 08:58

En als je nu aangevallen wordt, niks doorhebt, en over 6 maanden wordt de ransomaanval bekend? Dan kan je 6 maanden terug in de tijd; of betalen...

rickboy333 @mocean • 7 januari 2020 09:00

Dan zet ik alles terug vanuit de cloud. En tja, dan ben ik maar mijn savegames kwijt.

ASS-Ware @rickboy333 • 7 januari 2020 10:06

Dan zet ik alles terug vanuit de cloud. En tja, dan ben ik maar mijn savegames kwijt.

Dan ben je, zoals Mocea dus zegt, 6 maanden aan werk kwijt, want wat je in de cloud hebt gestopt is ook encrypted.

rickboy333 @ASS-Ware • 7 januari 2020 11:23

Nou nee, want een cloud backup is dagelijks. De bestanden die ik naar de cloud stuur zijn b.v alleen word, excel en jpeg files. Geen exe en msi files. En zonder payload kan er ook geen encryptie plaatsvinden.

mocean @rickboy333 • 7 januari 2020 12:39

Nou, die worden lokaal ge-encrypt, en dan encrypted gebackupped hoor.

ASS-Ware @rickboy333 • 7 januari 2020 15:34

Nou nee, want een cloud backup is dagelijks. De bestanden die ik naar de cloud stuur zijn b.v alleen word, excel en jpeg files. Geen exe en msi files. En zonder payload kan er ook geen encryptie plaatsvinden.

Het ging om: "omdat de crypto al lang aanwezig was heb je er niks aan / of is de schade alsnog enorm"
Je bestanden zijn al maanden versleuteld en gaan dus elke dag versleuteld de cloud backup in.
Je kan ze nog wel een tijdje openen, omdat de software dat herkent en ze gauw decrypt om ze na het opslaan weer te encrypten.

mocean @rickboy333 • 7 januari 2020 10:43

Dat is wel wat anders dan een universiteit, met bijv. (medische)onderzoeksdata he, soms ook nog zeer veel (bij rauwe data) etc. etc.

Abom @rickboy333 • 7 januari 2020 09:25

Naast het hebben van backups, hebben veel bedrijven geen recovery plan.

Ik heb het bij heel grote bedrijven gezien, dagelijks terabytes aan backups, maar totaal geen recovery plan/capaciteit.
Tijdens het opstellen van een recovery plan kom je er dan achter dat in geval van een calamiteit, je maanden nodig hebt om je omgeving te restoren.

kozue @mocean • 7 januari 2020 08:13

Aangezien het lijkt alsof *alles* getroffen is, draaien ze dus *alles* op Windows. Zo’n monocultuur is natuurlijk niet handig. Als je Windows alleen op de desktops zet en het serverpark op iets veiligers draait maakt het niet zo veel meer uit als iemand een onveilig attachment opent. In het ergste geval ben je een paar dagen bezig alle werkstations opnieuw te installeren.

Mellow Jack @kozue • 7 januari 2020 08:20

Windows is niet per definitie onveiliger t.o.v. alternatieven zoals linux of unix. Zeker niet de distros die de meeste gebruiken (Ubuntu, redhat, centos etc).

Elk OS is vanilla niet optimaal beveiligd. Draai maar eens bijv een CIS scan en bekijk de aanbevelingen.

Nee of alles outsourcen of in dienst nemen van personeel met de juiste skills is de oplossing.

Al ben ik het wel met je eens dat een monocultuur inderdaad zn risico's heeft maar liever een correct geconfigureerde monocultuur dan een aantal OS'en die allemaal niet optimaal zijn beveiligd

dmantione @Mellow Jack • 7 januari 2020 09:25

Nee, uiteraard is WIndows niet per definitie onveilig en Linux niet per definitie veilig. Maar dat je na decennia (!) aan malware op Windows en de afwezigheid ervan op Linux geen conclusies durft te trekken dan ben je om de hete brij heen aan het draaien. In een Linuxomgeving was dit niet gebeurd.

Mellow Jack @dmantione • 7 januari 2020 09:30

Dat is het hem nou net. Op werkplek gebied heb je gelijk maar op server niveau ben ik toch regelmatig malware tegengekomen en daar zijn de verhoudingen minder extreem.

Dit exacte probleem staat daarentegen los van het server OS en al hadden het Linux file servers geweest waren de bestanden alsnog versleuteld

dmantione @Mellow Jack • 7 januari 2020 09:40

Wat onder Linux veel moeilijker is, is om ongezien processen die de encryptieprocessen uitvoeren te laten draaien. Dat kan eigenlijk alleen maar met rootkittechnieken en vanwege de diversiteit aan kernels is dat voor malwareprogrammeurs een stuk lastiger. Als de processen zichtbaar zijn, het moet op zijn minst vele dagen duren, is de kans veel groter dat iemand het ziet. Dat zelfde geldt eigenlijk voor transparant decrypten terwijl de boel nog niet op slot zit, het kan alleen met rootkittechnieken, en daarvoor moet je diep ingrijpen in de kernel. Geen makkie en dat maakt dit minder waarschijnlijk, maar inderdaad niet onmogelijk, dat het op een Linuxserver gebeurd zou zijn.

[Reactie gewijzigd door dmantione op 27 juli 2024 07:46]

Uruk-Hai

@Mellow Jack • 7 januari 2020 09:15

Ik heb gezocht op ¨cis scan¨, maar ik kan niets vinden.

Het enige dat ik kan vinden via https://www.cisecurity.org zijn zogenaamde CIS Controls en CIS Benchmarks en dat zijn beide PDF bestanden en geen applicatie.

Mellow Jack @Uruk-Hai • 7 januari 2020 09:21

CIS heeft zelf een tooltje
https://www.cisecurity.org/cybersecurity-tools/cis-cat-pro/

En veel andere bieden wat mooiere tools (zoals Nessus van het bedrijf tenable) die naast CIS nog veel meer benchmarks bevatten

Als je nou iets in een public cloud gaat doen kan je zelfs door CIS geconfigureerde images gebruiken (alleen ben bang dat dit voor de leek wat rare situaties kan veroorzaken ala "op me laptop werkt het wel"

multikoe @Mellow Jack • 7 januari 2020 08:53

Een monocultuur heeft nadelen (als je een probleem hebt, dan heb je meteen een groot probleem), maar het heeft ook voordelen: continuïteit in kennis en efficiënter beheer. Bovendien noem je een goed punt: beveiliging hangt niet alleen af van het type OS, maar vooral ook van de kennis en kunde van de beheerders.
En ik denk dat je ook naar het grotere plaatje moet kijken: voor een bedrijf is continuiteit belangrijk en als je moet kiezen voor een OS, dan kies je het OS waarvoor je het grootste aanbod aan ondersteunend personeel kunt krijgen. Althans: dat is wel degelijk een belangrijke factor in de keuze.

multikoe @kozue • 7 januari 2020 08:35

Het is inderdaad veel efficiënter om je IT-personeel te laten specialiseren in verschillende OS'en, zodat je in geval van een calamiteit efficiënt kunt communiceren en als team het probleem kan tackelen.
Dat was natuurlijk sarcastisch bedoeld.

kozue @multikoe • 7 januari 2020 12:12

Als je een beetje grote omgeving hebt, hoef je natuurlijk niet 1 team te hebben dat alles doet, maar meerdere teams met hun eigen specialisatie. Bij ons is het serverpark Linux en de desktops draaien Windows. Die worden door verschillende teams beheerd, niet door hetzelfde team die meerdere specialisaties moet hebben of een gefragmenteerd team met individuele specialisaties. Als er shit uitbreekt op de desktops worden de Linux mensen er natuurlijk niet bij gehaald en vice versa.

multikoe @kozue • 7 januari 2020 13:04

Tuurlijk, hoe groter de organisatie, hoe makkelijker het wordt om verschillende OS'en te draaien. Ik wilde alleen maar aangeven dat er meer factoren meespelen in de beslissing om dat te doen en dat het opsplitsen niet uitsluitend voordelen biedt. En daarmee is er geen "goed" of "fout" , maar een advies om monocultuur te vermijden, zonder stil te staan bij alle consequenties is wat mij betreft wat kort door de bocht.
Uiteindelijk is het de taak van IT om de organisatie goede IT-ondersteuning te bieden. Onderdeel daarvan is het garanderen van continuïteit. Om die te waarborgen heb je niet alleen technische continuïteit nodig (die je misschien prima of zelfs beter kunt bieden met gesplitste systemen), maar ook menselijke continuïteit. Vakantie, ziekte, pensioen, ontslag etc in je IT-organisatie moet je kunnen opvangen en het is daarbij wel zo makkelijk als je kunt putten uit een brede pool van medewerkers. Dan helpt het niet als je teveel verschillende specialiteiten in je team hebt.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@kozue • 7 januari 2020 09:13

En die machines gebruiken fileshares die ook encrypt worden. Sta je alsnog niet veel verder want die worden als nog versleuteld.

OxWax @Slavy • 7 januari 2020 07:58

Toch ook benieuwd welke maatregelen (kwestie van bijleren)
Hier mag men wel eens forum topic aan wijden imo

kodak

Beveiliging en antivirus
Ransomware
Nederland

@Slavy • 7 januari 2020 09:09

Klopt deels. Het is niet alsof je maar een keer besmet kan raken als je nu niets doet.

Trommelrem 7 januari 2020 09:31

Eén van de belangrijkste dingen van het netwerk dat weer is opgestart is e-mail.

In Office 365 zijn afgelopen dagen geen noemenswaardige verstoringen geweest. Of is de ADFS omgeving ook besmet geraakt? ADFS heeft geen SMB1/CIFS nodig, dus zou minder vatbaar moeten zijn.

mrbamelam1 7 januari 2020 10:05

Ik vraag me toch af of de uni überhaubt iets doet met bijvoorbeeld File System Resource Manager (FSRM), AppLocker en kleine maar effectieve maatregelen als het uitschakelen van VSSAdmin.exe? Vooral FSRM is een krachtige tool. Er zijn een hoop voorgekauwde scripts te vinden die middels FSRM allerlei Ransomware extensies blokkeren en de lijst met die extensies ook nog eens automatisch updaten. Daarnaast kunnen ze , eveneens met FSRM, bijvoorbeeld honeypot shares maken. Ook daar zijn veel voorgekauwde scripts voor te vinden.

En ja back-ups maken is belangrijk natuurlijk.... als je dat anno 2020 nog niet doet ben je echt verkeerd bezig. Iemand trouwens een bron waar dat uit blijkt?

lordawesome 7 januari 2020 12:33

Voor de zzp'er, je NAS of je externe harde schijf op een stroom tijdschakelaar zetten. Dan heeft ransomware minder kans de backups te versleutelen.

Mijn externe harde schijf gaat 2 uur aan per week waarin een backup wordt gemaakt. Timer kost 7 euro op aliexpress: https://m.nl.aliexpress.c...0578f469005afdff0d0&is_c=

ErikRo 7 januari 2020 15:00

Op zich wel knap van die malware dat die blijkbaar een half jaar aanwezig is en lekker de boel besmet incl de backups en toch niet opgepikt wordt door scanners.
Geeft niet veel hoop voor de toekomst

SanderBos 7 januari 2020 15:25

Ik heb nu nog wat over die Clop-ransomware zitten lezen (bron 1, bron 2)

Het is toch allemaal minder spannend dan wat ik zelf bij elkaar zou fantaseren.

De truc is om een Active Directory server te infecteren, en dan een group policy te doen uitgaan naar alle andere machines om het virus op te starten.
En het virus script zelf is deels een batch file wat een stel processen killed, shadow volumes uitzet, en dan alle files zo snel mogelijk encrypt. Dus ook helemaal niet met een mogelijkheid om nog files te decrypten om detectie te omzeilen en backups langzaam te verslechteren met geinfecteerde files, maar gewoon boem op een bepaald moment wakker worden en go.
Dus je backups zijn dan ook alleen niet bruikbaar als je alleen een hele recente hebt, of als de backup volumes live beschikbaar zijn op servers die ook opdrachten krijgen van dezelfde AD.

Dat laatste zal dan wel het geval zijn in Maastricht, omdat ze blijkbaar hebben betaald...

Brousant 7 januari 2020 09:22

"Volgens de universiteit begonnen de lessen volgens het rooster"

Heet dat tegenwoordig zo?

Toen ik aan de universiteit studeerde (ik geef toe, dat was ruim voor het einde van de vorige eeuw en het was niet die van Maastricht) volgde ik colleges en nam ik deel aan practica, maar ik kan me niet herinneren dat ik er ooit een vorm van onderwijs heb gehad dat "les" werd genoemd.

[Reactie gewijzigd door Brousant op 27 juli 2024 07:46]

sebikola @Brousant • 7 januari 2020 11:54

UM student hier. In Maastricht maken ze gebruik van het probleemgestuurd onderwijs. Ipv het klassieke college-practicum model wordt er hier in kleine groepjes van maximaal 15 studenten onder leiding van een tutor gewerkt, waarbij de focus ligt op zelfstudie en samen, actief de stof doornemen. Per week heb je meestal vier van dit soort werkgroepen/tutorials, met eventueel een college voor de theoretische achtergrond, vandaar dat ze de term lessen gebruiken dunkt me

begintmeta @sebikola • 7 januari 2020 12:19

Juist pgo-onderwijsgroepen zou je juist niet les moeten noemen lijkt me, tenminste, het zou doorgaans minder een les moeten zijn dan bijvoorbeeld een college.

vanrijn @Brousant • 7 januari 2020 09:29

Wellicht hebben universiteitsstudenten er ook een handje van om zich te willen onderscheiden van 'de rest', maar dit is wat mij ook al opviel. Je hebt geen les, maar volgt college. Geen huiswerk, maar voorbereiding. Geen toetsen, maar tentamens. Geen leraren maar professoren, etc.

[Reactie gewijzigd door vanrijn op 27 juli 2024 07:46]

Op dit item kan niet meer gereageerd worden.

Netwerk van Universiteit Maastricht deels operationeel na grote ransomwareaanval

Lees meer

Reacties (168)

Sorteer op:

Weergave: