Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

De Belgische weefgetouwenproducent Picanol is maandag getroffen door een aanval met ransomware. Het bedrijf bevestigt dat de systemen volledig plat liggen, wat naar eigen zeggen nogal problematisch voor de productieactiviteiten is.

Communicatiedirecteur van Picanol, Frederic Dryhoel, zegt tegen de VRT dat collega's in een Chinese vestiging van het bedrijf als eerste melding maakten dat een aantal it-systemen niet bereikbaar waren. Dat bleek later ook het geval te zijn bij de afdeling in het Belgische Ieper en in Roemenië.

Volgens de woordvoerder liggen de it-systemen van het bedrijf inmiddels volledig plat en dat is nogal problematisch, omdat de gehele productie computergestuurd is. Daardoor ligt een groot deel van de productie stil en dat zal in ieder geval nog tot en met dinsdag het geval zijn, meldt Dryhoel. Wel is het bedrijf bezig om back-upsystemen in te schakelen.

Het is onduidelijk om wat voor ransomware het gaat. De Standaard meldt dat Picanol van de hackers al de vraag heeft gekregen om met hen in contact te treden. Het Belgische bedrijf stelt dat het niet zal meewerken met de hackers en heeft de politie ingelicht. Het is onbekend hoeveel losgeld de criminelen vragen voor het ongedaan maken van de cryptomalware.

De website van het bedrijf is op het moment van schrijven te benaderen. Picanol heeft 2300 medewerkers in dienst, waarvan er 1600 werken in de vestiging in Ieper. Wereldwijd heeft de producent van weefgetouwen veertien vestigingen.

Door Joris Jansen

Nieuwsredacteur

13-01-2020 • 18:07

92 Linkedin Google+

Submitter: white modder

Reacties (92)

Wijzig sortering
Grappig , in 2017 sprak Picanol nog over de gevaren op een cybercrime conventie

On 25 October, expert Eward Driehuis first revealed the main lessons from his cybercrime research, then companies Acerta and Picanol shared their perceptions and experiences of the threats. Presentations from the event are available exclusively for Beltug members (after login):

Beltug: Ransomware, phishing and more: how to cope with cybercrime threats
SecureLink: Scraping the bottom of the barrel
Picanol: How does a company like Picanol handle the risk?*
Acerta: Phishing? Not in our pond, please!


Some well-known prevention tools include:
Blocking suspicious websites and emails
Patching
Limitation of admin rights
Encryption of a laptop's HDD and of the external drives.

https://www.beltug.be/eve...crime_threats._Takeaways/

*(not so good, apparently)

[Reactie gewijzigd door OxWax op 13 januari 2020 18:49]

Wellicht is men juist daarom doelwit geworden?
In de praktijk is het aantal gerichte aanvallen zeer klein tegenover wat er gehackt wordt via automatische scans. Je kan een uur met wat nmaps en andere scans bezig zijn op 1 target en niks vinden, terwijl je met automatische scans al je tijd kan besteden aan servers die al gecomprimeerd zijn.

[Reactie gewijzigd door kuurtjes op 13 januari 2020 19:52]

Comprimeren is heul wat anders dan compromitteren. ;)
Dat was voorheen zo, maar dat lijkt me nu niet meer het geval. Ik heb de indruk dat ze gericht zoeken, temeer omdat onmiddelijk contact was gelegd om ransom te betalen.
In de Belgische pers wordt er geen melding gemaakt van een onmiddellijk contact.
Hier wordt er gemeld dat Picanol een boodschap heeft terug gevonden op hun servers met de melding om de hackers te contacteren als ze hun zaken terug willen.

Kun dus perfect mogelijk zijn dat het nog steeds via een automatische scan gebeurd is.
Interessante theorie.
Kan u die onderbouwen?

[Reactie gewijzigd door OxWax op 13 januari 2020 19:16]

Nog niet het boek: Het is oorlog en niemand die het ziet gelezen.
Het is wel heel bijzonder dat we de laatste tijd allemaal nieuws horen over zulke aanvallen dat gelijk het bedrijf plat legt. Wij hebben ook een ransom virus gehad op een pc. Die pc en de shares waar die bij kon waren encrypted. Verder niks in het netwerk. Dus als een bedrijf plat ligt door zo een virus dan lijkt het mij gericht. Helemaal als ze niet zo maar even een backup kunnen terug zetten omdat deze ook aangetast is. En omdat de groep die er achter zit ook al contact heeft opgenomen.
Wie zegt dat ze geen backup kunnen terugzetten? Het feit dat ze nu al verklaren niet met de hackers mee te willen werken toont bij mij aan dat ze wel degelijk gaan herstellen vanuit backup. Maar als vele systemen zijn aangetast dan doe je dat niet op enkele uurtjes, dat wordt al snel een werk van dagen. Herinner je je Maersk nog enkele jaren terug? Dat heeft ook meer dan een week geduurd voordat zij opnieuw up and running waren.
En wie zegt dat de backup niet is geinfecteerd. Misschien zit de malware al jaren in het systeem en komt het deze week actief
Geen idee hoe de situatie in Picanol is, maar toen Maersk geïnfecteerd was door Notpetya, waren ze de back-ups van hun domainservers kwijt, omdat ook de back-up servers waren geïnfecteerd. Behalve 1 server in Ghana, die toevallig net offline was door een stroompanne...
Storage snapshot terugzetten? Duurt enkele seconden.
"Zo even een backup terugzetten"?
Ooit al een backup van 30 TB van 30 servers teruggezet en 200 clients terug gezet? Economisch is het misschien rendabeler om gewoon te betalen...

En dat bedrijf is vast nog veel groter met nog meer servers.
Economisch is het misschien rendabeler om gewoon te betalen...
  • Welke garantie heb je dat je niet opnieuw wordt gechanteerd?
  • Je leert niets bij om je in de toekomst beter te beschermen.
  • Je sponsort nieuwe aanvallen.
* Er is 100% garantie dat het eenmalig is. Al die crypto aanvallen zijn geautomatiseerd en het is hun verdienmodel. Anders betaalt niemand nog...
* Er valt niks te leren, crypto's gaan binnen via gebruikers die doodleuk een executable openen.
* Tja, dat wel.
Dat geloof ik niet. Als je ingaat op spammails of phishing, dan beland je op lijsten met interessante doelwitten. Waarom zou dat bij ransomware anders zijn?

Daarnaast is het ook goed mogelijk dat de criminelen een achterdeur inbouwen en je binnen 2-3 jaar opnieuw slachtoffer wordt waarbij dezelfde criminelen zich voordoen als andere criminelen. Ze weten al dat je een bereidwillige betaler bent, men bespaart kosten om niet opnieuw te hoeven inbreken en de kans op succes is groot. Waarom zouden de criminelen die lucratieve business links laten liggen?

Toch wel: hoe zijn de criminelen exact te werk gegaan, op welke vlakken moeten we het personeel beter opleiden, hoe kunnen we sneller herstellen van back-ups, zijn er toch nog lekken die we moeten of kunnen dichttimmeren,...?
Lees het nieuwsartikel eens, het staat er letterlijk in dat de politie toegeeft dat de gijzelnemers altijd netjes de code geven. Als ze dat niet zouden doen, dan zou het nogal vlug gedaan zijn met losgeld vragen... Al die zaken gebeuren automatisch, er wordt niet "opnieuw" ingebroken. En nogmaals: er worden exe'tjes gestuurd die domme medewerkers gewoon openen. Niks hacker. Stel je ook voor dat het je een tweede keer overkomt. Zou je dan nog eens betalen? Natuurlijk niet. Dus is een tweede aanval niet rendabel, so why bother.
Nooit alles geloven wat op een podium gepresenteerd wordt. Ik heb mensen presentaties zien geven van producten die ze nog nooit gezien hebben, projecten waar ze niet aan mee hebben gedaan en beloftes die ze nooit waar kunnen maken. Lang leve sales consultants...
dat hebben we allemaal al gezien. En ik kan u ook verhalen daarover vertellen. Alleen Picanol, Tessenderlo, zijn zowat voorbeeld bedrijven. Als maatstaf 100% is in nederland is zitten zij op 150% en dat is wat me zorgen maakt>
*(not so good, apparently)
Als ik het goed lees beweert het bedrijf goede backups te hebben en gaat het niet meewerken met de criminelen. Het lijkt me net dat ze op een goede manier omgaan met het risico.
I werkte tot voor kort in de Textielindustrie, ik kan je met zekerheid melden dat Picanol het meest fysiek beveiligde bedrijf is (in die sector) dat ik ooit bezocht (ik bezocht zeker een 10-tal bedrijven wekelijks gedurende 2 jaar in NL/DE/FR en BE).

Ik kan me moeilijk voorstellen dat er een achterpoort is gevonden, ik vermoed eerder een personeelsfout.

In vergelijking met andere bedrijven zou het mij verwonderen moest het blijken dat er een infra/IT-fout werd gemaakt. Ik denk eerder dat een (waarschijnlijk hoger geplaatste) werknemer een of meerdere regels niet heeft gevolgd.

[Reactie gewijzigd door niley op 13 januari 2020 20:30]

De vestiging in China zou aan de basis liggen. Misschien was men daar wat minder strict.
Dat kan ik alleen maar beamen niley. @Oogappel het enige wat bevestigd is, is dat China de eerste was die het opmerkte. Ik nog jij kennen de structuur binnen Picanol, waar bepaalde servers staan, waar de originele infectie zat, voor hetzelfde geld zit dit al een paar maand in hun systemen. Laten we even afwachten en dan conclusies trekken.

En tot nu toe zijn de geinfecteerde bedrijven/instanties vrij onschuldig. (Niet voor hen natuurlijk, het kost massa's geld). Maar stel een chemiebedrijf waar bepaalde processen niet meer opgevolgd kunnen worden. Ik hoop echt dat in die processen geen enkele link zit naar de buitenwereld.

[Reactie gewijzigd door redzebrax op 13 januari 2020 22:43]

Waar leest u : "De vestiging in China zou aan de basis liggen" ?

[Reactie gewijzigd door OxWax op 14 januari 2020 00:23]

Dat is wat in de belgische pers wordt gezegd. Maar lijkt mij persoonlijk ook wat kort door de bocht.
welke pers zegt dat ? (ik ben B)
Een simpelere verklaring is dat men in China vroeger beginnen te werken door het uurverschil... :+
Uitgerekend weefgetouwen... De allereerste machinale vorm van "programmeren" was met ponskaarten voor een weefgetouw. Zo ben je de voorloper van de computer, en zo lig je plat omdat alles computergestuurd is en programma's als stroom door de ether vliegen.

[Reactie gewijzigd door MneoreJ op 13 januari 2020 19:12]

Het gaat niet om de weefgetouwen zelf, maar om de servers die die productie infrastructuur runnen.
Bij Picanol gebruiken we bv agv robots om de stukken te brengen naar de montage afdeling. zonder servers data kunnen deze natuurlijk niet werken.
Dacht dat jacquard weefgetouwen pas na de dobby weefgetouwen kwamen (met een soort blokjesketting waarbij her en der houtjes werden geklikt als programmering van de schachten). En dat daarmee de dobby weefgetouwen de eersten waren van machinaal programmeren. Even gechecked, is dus niet zo. Het jacquard weefgetouw is in 1804 uitgevonden en het dobby getouw pas zo'n 40 jaar later. En inderdaad heeft het jacquard ponskaartsysteem model gestaan voor mechanische computers zoals de analytische machine van Babbage, een programmeerbare digitale mechanische computer - de eerste beschrijving van dit apparaat was in 1837. Veel oudere tweakers zullen nog de tijd kennen dat ponskaarten werden gebruikt om te programmeren of de ponsbanden om teksten te replayen op een telex. Dat begon allemaal met dat jacquard weefgetouw.
Tot hoe diep is ransomware terug te vinden en te volgen naar de zender?
Vroeger kon je bij irritantjes, zo`n leuke mailbom sturen, kunnen ze dat niet bij dit soort makers van deze software doen? Want die hebben dit ontwikkeld, val hun dus maar goed lastig, maak internet onhoudbaar voor ze, zodat men wel 2 x nadenkt (naïeve gedachte natuurlijk, maar toch)
Dat is een ding wat ik me afvraag, wat mag je legaal doen om ze op te sporen?
Je mag aangifte doen.

Verder mag je niks; want nagenoeg alles wat je zou doen zou inbreuk op privacy of uitlokking etc betekenen en als je er op die manier achter komt wie er achter zou zitten is het geen bewijs want het is niet “legaal” verkregen...
Illegaal verkregen bewijsmateriaal... is meer een ding in het strafrecht. Maar als een bedrijf of instelling schade wil verhalen, dan is dat toch civiel recht, en daar is illegaal verkregen bewijsmateriaal toch niet echt een ding?
Zelfs binnen het strafrecht is het doorgaans ook alleen maar een probleem als het justitie zelf is geweest die de data verkregen heeft.

Kijk bijv. maar naar datadiefstallen van banken uit belastingparadijzen. Die data kom hier ‘gewoon’ gebruikt worden. Maar alleen maar omdat justitie de data niet zelf gestolen heeft of opdracht heeft gegeven tot.

[Reactie gewijzigd door Glashelder op 13 januari 2020 23:09]

Maar eh, bewijsmateriaal en de manier van opsporen zijn twee dingen toch?
Offline mag je gepast en proportioneel geweld toepassen om jezelf en je eigendom te beschermen. Wellicht dat dit ook opgaat in de digitale wereld?
Is data een “eigendom” wat je als zodanig mag beschermen met al dan niet gepast of proportioneel “geweld”
ik zou me niet inhouden, ze zijn illegaal bezig. Bewijs zoeken en via via onrechtstreeks melden.
Langs de andere kant, ik heb het al eens gedaan in een ander geval en wat ik wou vinden was niet hetgeen wat ik verwachte. Is zaak van gekomen waarbij uiteindelijk de verkeerde beschuldigd is omdat ik de verkeerde wou beschermen. Uiteindelijk is wel alles correct verlopen, maar ik heb mijn lesje daar geleerd.

[Reactie gewijzigd door redzebrax op 13 januari 2020 23:20]

Hier kijk ik echt naar uit :

De Universiteit Maastricht zal de lessen die het naar aanleiding van de ransomware-infectie heeft geleerd over enkele weken openbaar maken. Dat laat de universiteit, waarvan systemen op 24 december door de Clop-ransomware werden versleuteld, vandaag weten.

https://www.security.nl/p...ransomwarelessen+openbaar
Lucratieve business die ransomware aanvallen.
Ja, op een gegeven moment is het kosten en baten afwegen, als een ton betalen goedkoper is dan een paar dagen langer plat liggen en ict hulp inhuren dan zijn bedrijven nog al geneigd om de randsom te betalen.

Met dit soort dingen ben ik wel een voorstander van annonieme betaal methodes zoals bitcoin te verbieden, maar ja, dan zullen ze wel weer iets anders bedenken om het geld binnen te halen.
Kosten en baten inderdaad :

Een luchthaven in New York die op eerste kerstdag door ransomware werd getroffen heeft criminelen het gevraagde losgeld betaald. De servers van de Albany County Airport Authority raakten met de Sodinokibi-ransomware besmet. De aanvallers wisten binnen te komen via de it-dienstverlener die eerst werd gecompromitteerd. Vervolgens werden de servers en back-ups van de autoriteit, die eigenaar van de luchthaven is, versleuteld.

https://www.security.nl/p...ld+na+ransomware-infectie
Is het financieren van criminelen niet strafbaar? ;)
De verzekering betaalt en gaat de vrijstelling verhalen op het ingehuurde IT-bedrijf }>
Ten eerste is Bitcoin niet anoniem, wordt knap lastig om die Bitcoin te liquideren. Ten tweede is Bitcoin niet te verbieden.
Tip, lees het boek 'The Bitcoin Standard'
Naja niet te verbieden, dat misschien niet maar als je het als overheid enorm lastig maakt voor Bitcoin zal de waarde vanzelf snel dalen. Stel dat platformen als coinbase hun deuren moeten sluiten en consumenten kunne niet meer op een makkelijke manier aan crypto komen dan is het toch wel heel erg snel gedaan.
Je kunt als overheid miisschien moeilijk cryptomunten verbieden maar bijvoorbeeld wel betalingen aan ransomware criminelen via cryptocoins verbieden en ook verzekeringsvoorwaarden verbieden die dergelijk betalingen vergoeden.
niet anoniem is natuurlijk niet helemaal waar. Ja, je kan geld volgen. Maar dan heb je weer diensten die je geld aannemen en dat bedrag, gespreid in de tijd en minus wat commisie, op andere rekeningen en soms ook andere coins terug uitbetalen. Probeer het dan nog maar eens te volgen.
Betreffen dit trouwens altijd Windows-systemen?
Ik kan met zekerheid zeggen van wel, de meeste crypto is voor Windows geschreven, 99% van de bedrijven draait Windows Server.

Vaak worden ook bedrijven gepakt die achterlopen met updates, of die gewoon alle executables toestaan op hun systemen.
Linux servers worden ook al jaren bedreigd door dit soort aanvallen (bv Lilocked ). En dat komt omdat aanvallers donders goed weten dat het beter is om de backend aan te pakken dan wat losse computers. Er is gewoonweg teveel geld met te verdienen. En zowel met Linux als Windows blijkt vooral menselijke fouten een probleem te zijn. Het zijn veelal ook heel specifieke aanvallen, en dan maakt het minder uit dan een generieke crypto ransomware.
Verder is het aandeel Windows Server behoorlijk overdreven.

[Reactie gewijzigd door white modder op 14 januari 2020 10:28]

Een foutje - een gebruiker die fout klikt kan volstaan. Want eens men binnen is kan men ongekende exploits gaan uitbuiten. De hacker loopt altijd voor. Ik hoop dat de backup-systemen onbereikbaar waren voor die encryptor-schoften.
Vroeger bestond er geen virusscanner tot de eerste computervirussen opdoken. Inmiddels is een virusscanner standaard. Nu duikt ransomware op met veel kwalijkere gevolgen, volledige bedrijven worden platgelegd ... zoek het gat in de markt.
Virusscanners helpen niet tegen crypters die virussen zo camoufleren dat ze niet herkend worden
Het blijft me enorm verbazen dat infectie van Windows servers meteen een impact heeft op productie... zijn al die processen dan gewoon file based ? Ik zou verwachten dat deftige software louter een database connectie heeft naar een server en deze alzo niet encrypted kan worden.

Het lijkt wel alsof iedereen al z'n Windows servers gewoon open en bloot heeft staan via klassieke file serving waar dan ook nog eens iedereen volledige rechten op blijkt te hebben 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True