Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Universiteit Maastricht betaalde 197.000 euro losgeld voor ransomwareaanval

De Universiteit Maastricht bevestigt dat het 197.000 euro aan losgeld betaalde na de ransomwareaanval waar de instelling vorig jaar door werd getroffen. Dat werd gedaan om de continuïteit van het onderwijs te garanderen.

Dat bevestigt Nick Bos, vicepresident van de universiteit tijdens een symposium over de aanval. Er gingen al langer geruchten dat de onderwijsinstelling het losgeld betaalde nadat het op kerstavond werd getroffen door ransomware. Het bedrag bedroeg 30 bitcoin. Die werden 'tegen de koers van 30 december' gekocht. "Het was een duivelse keuze", zegt Bos. "We hebben lang overlegd met veel partijen en zijn niet over één nacht ijs gegaan, maar uiteindelijk de keus gemaakt. Als we alle systemen en computers opnieuw hadden moeten installeren waren we weken, zo niet maanden verder. De schade daarvan is nauwelijks te overzien."

Hoewel het betalen van losgeld niet illegaal is, was een belangrijke afweging dat de universiteit met belastinggeld wordt gefinancierd, zegt Bos. De universiteit maakte alle back-ups alleen online. Ook die waren versleuteld. Offline back-ups waren er niet. "Voor ons was het belangrijk dat we in het geval van storingen zo snel mogelijk onze studenten en academici weer aan het werk konden krijgen", zegt cio Michiel Borgers.

De universiteit onderhandelde niet met de criminelen over de hoogte van het losgeldbedrag. Dat was een bewuste keus, zegt vicepresident Bos. "We hebben na twee of drie dagen contact met de criminelen opgenomen. Die hebben ons de hoogte van het losgeld verteld. Op basis daarvan hebben we afgewogen wat onze beste keus was." De universiteit vroeg wel verificatie dat de ontsleuteling wel werkte, door een versleuteld bestand te laten ontsleutelen. Ook werd er een aanbetaling met bitcoins gedaan om te verifiëren dat het betaalproces werkte. "We verkozen een rustig proces met weinig irritatie en geen zijbewegingen. We hadden een één-op-één-verhouding met de hackers, en op basis daarvan hebben we een inschatting gemaakt."

De universiteit was niet verzekerd tegen cyberaanvallen, of tegen discontinuïteit. "We overwegen dat op dit moment, we kijken naar de opties", zegt Bos.

Infiltratie

De aanvallers kwamen binnen met een phishinglink, zegt de universiteit. Ze wisten vervolgens 267 servers van de universiteit te infecteren met de Clop-ransomware. De infectie vond op 15 oktober plaats, blijkt uit onderzoek van Fox-IT. Het onderzoeksbedrijf werd ingeschakeld nadat de ransomware toesloeg. Op 20 november hadden de aanvallers volgens Fox-IT volledige controle over het netwerk. De aanvallers begaven zich handmatig door dat netwerk heen. Volgens de universiteit draaiden er op '5 of 6 van de 1650 servers op de universiteit' verouderde software. De besmette servers draaiden op Windows, waarop onder andere mailservers draaiden. De onderzoeksdata van de universiteit stond op Linux-servers die niet waren besmet.

De operatie werd hoogstwaarschijnlijk uitgevoerd door een bekende hackersgroep genaamd Grace-RAT, zegt Fox-IT. Onderzoeker Frank Groenewegen merkt daarbij op dat het om attributie gaat en dat het niet zeker is. Maar, zegt hij, kenmerken van de groep kwamen bekend voor. "We houden die kenmerken in de gaten. Deze groep had ook veel van die kenmerken. Het is verder aan de politie om daders definitief aan te wijzen."

Grace-RAT is een bekende hackersgroep die ook wel bekend staat als TA505. De groep wordt verantwoordelijk gehouden voor het ontwikkelen van de Clop-ransomware. De groep valt doorgaans financiële instellingen aan, en recenter ook onderwijsinstellingen.

De universiteit en Fox-IT zeggen dat er geen sporen zijn dat er gegevens zijn gestolen. Daarbij merkt Groenewegen van Fox-IT wel op dat er bij dat onderzoek een beperkte scope was.

Leerpunten

De universiteit noemt een paar leerpunten door de aanval. Zo wil het meer bewustwording creëeren rondom phishingmails. Twee studenten hadden zich gemeld bij de servicedesk met een verdachte e-mail. "Helaas stonden daar verschillende url's in waardoor één wel maar de ander niet werd gedetecteerd", zegt cio Michiel Borgers. Een ander probleem is dat software beter moet worden bijgehouden, al zegt de universiteit dat dat een lastige opgave is. "We hebben 1650 servers en 8000 werkplekken op de universiteit die 100.000 updates per jaar krijgen. Op slechts een paar servers was verouderde software aanwezig." De universiteit wil ook de netwerken beter segmenteren. De universiteit wil 'overwegen of al die servers wel verbonden moeten zijn', maar benadrukt dat het ook belangrijk is dat studenten en medewerkers hun werk kunnen blijven doen.

Een belangrijk ander punt was dat er geen goed loggingbeleid aanwezig was. Borgers: "We constateerden dat we afwijkend gedrag onvoldoende detecteerden." De universiteit was al van plan om in 2020 een eigen security operations center op te zetten. Daarvoor was ook al budget vrijgemaakt. "Helaas kwam dat voor ons te laat."

De Universiteit Maastricht maakt de details woensdagmiddag bekend op een eigen symposium. De organisatie geeft ook inhoudelijke uitleg over de aanval. Het symposium werd live uitgezonden en is op YouTube terug te kijken.

Door Tijs Hofmans

Redacteur privacy & security

05-02-2020 • 15:12

281 Linkedin

Reacties (281)

Wijzig sortering
Namens mijn vriendin zeg ik alvast: bedankt, UM!
Ze had een moorddadig moeilijk essay en een reeks toetsen af, net voor de kerstvakantie, welke waarschijnlijk allemaal opnieuw gemaakt hadden moeten worden in het geval van een data loss. Ze heeft de resultaten nu allemaal teruggekregen. Ik hoorde van haar dat er onder studenten best wel veel angst hierover leefde.

Zelf heb ik ook een (klein) onderzoeksverleden binnen het UM/MUMC+ (het ziekenhuis dat aan het UM is verbonden), en ik kan alvast vertellen dat de hoeveelheid data die op die manier verloren had kunnen gaan werkelijk enorm is. Studiegegevens van duizenden patiënten, wezenlijke onderzoeken die in de toekomst een positieve verbetering in de behandeling van o.a. darmkanker gaan geven, dat zou allemaal verloren zijn gegaan.
Gelukkig voor je vriendin! ik kan mij voorstellen dat dit rampzalig had geweest.

Wat ik niet snap of verkeerd interpreteer, waarom heeft je vriendin alles op de schoolservers opgeslagen? Tijdens het afstuderen heb ik alles of op mijn eigen laptop, hardeschijf of op iCloud opgeslagen.
Het gaat over de resultaten die de school zelf heeft opgeslagen. Daar kan een student zelf niks aan doen.

Qua privacy en dataveiligheid lijkt het me ook beter om patient/onderzoeksdata op het universiteitsnetwerk op te slaan, in plaats van dat iedereen die los op een laptop heeft slingeren.
Qua privacy en dataveiligheid lijkt het me ook beter om patient/onderzoeksdata op het universiteitsnetwerk op te slaan
Duidelijk niet in het geval van de UM... ;-)
Dat de bestanden versleutelde zijn betekend niet dat alles op straat ligt. Kan gewoon omdat een persoon met genoeg rechten een verkeerd/geïnfecteerd bestand heeft gedownload.
omdat een persoon met genoeg rechten een verkeerd/geïnfecteerd bestand heeft gedownload
Mjah, als ze niet merken dat hun volledige digitale infrastructuur en storage gecompromitteerd is omdat iemand met teveel rechten een tijd terug een cryptolocker heeft afgetrapt, hadden ze vast het ook niet gemerkt als eerst alle data op een laag pitje naar (bv) een oostblok land zou zijn geupload.

[Reactie gewijzigd door SirNobax op 5 februari 2020 17:53]

Daar doe je wel een flinke aanname. Ze deden X niet goed, dus zal Y ook wel niet goed zijn.
Patientdata =/= onderzoeksdata. Onderzoeksdata kent meestal alleen (geanonimiseerde) patientnummers, die alleen met een key zijn te koppelen aan patienten.
Het UM is verbonden met het MUMC+ ziekenhuis, en ze hebben grotendeels separate netwerken en dataopslag.
Qua privacy en dataveiligheid lijkt het me ook beter om patient/onderzoeksdata op het universiteitsnetwerk op te slaan, in plaats van dat iedereen die los op een laptop heeft slingeren.
Mja, dan moet IT betrokken worden bij iedere onderzoeksgroep en iedere onderzoeker moet
dan regels volgen (eg geen dropbox, google documents, ...). Ik heb 9 jaar plots gestorven externe harde schijven mogen recoveren die "gouden data" bleken te hebben van een of andere sub-sub-sub onderzoeksgroep. Bleek dat ze die usb schijven sneakerden onderling en daar dan wel strikte regels hadden voor gemaakt betreffende bestandsnaming en directoryindeling 8)7 En hoe leuk dat idee ook klinkt van nauwere samenwerking ... ik zie het niet echt gebeuren. Het vereist meer werk van de promotoren, onderzoekers, IT, financiele diensten, ...
Beetje nas draait op raid 10,dus weinig kans dat je je data kwijt raakt.
Ook raar dat hun niet een losse(niet continu connected met internet)backup op universiteit hebben.
Zeker bij zulke belangrijke informatie.
Tuurlijk is dat er wel, maar dat kost budget boven de tafel. Je kunt makkelijker onder de tafel schijfjes scharrelen bij de Mediamarkt of soortgelijk en het lekker vlot zelf regelen. UM is echt niet de enige waar het hardnekkig zo gaat. Heb het zelf jarenlang mogen aanschouwen bij de TU/e, en die mensen zouden echt beter moeten weten want ze doen er nota bene zelf onderzoek naar.
Niet alleen beter, het is ook niet zomaar toegestaan dat dergelijke privacy gevoelige data gewoon mee naar huis genomen wordt met alle risico's van dien... Het staat een stuk veiliger op een universiteits server. EN nee, zoals gebleken is ook dat dus niet 100% veilig. Maar alsnog: er is hier geen sprake geweest van een datalek. De gegevens zijn enkel geïnfecteerd geraakt.
Het probleem zit hem er meer in dat je die toetsen opnieuw moet maken, want ondertussen hebben de studenten onderling antwoorden uitgewisseld. Kwalijker nog zijn essays, daar geldt hetzelfde voor. Het wordt pas echt enorm problematisch bij een "thuismaaktoets", waarbij je in de ochtend een toetsopdracht krijgt, en die moet in de avond digitaal ingeleverd worden. Mocht die verloren gaan, dan kun je zelf wel mooi een kopie hebben gemaakt, maar die mag je nooit meer inleveren omdat ondertussen iedereen die bestanden heeft uitgewisseld.
Onderzoeksdata mag denk ik vaak niet zomaar op eigen devices worden gezet. Daarnaast worden netwerkschijven juist vaak als veilig alternatief tov lokale data (gezien automatische backups en file history) aangeboden.
Waarom bewaar je alles op school op een server en niet ook zelf?
Zie mijn reactie hier vlak boven. Heeft niks te maken met zelf bewaren, maar of het gemaakte essay of toets nog geldig is. Het antwoord is nee.
Dit klinkt leuk, maar is imo alleen maar overdreven streng beleid van de UNI (waar studenten nog slachtoffer van kunnen worden ook). Waar slaat de ongeldigheids verklaring als je het niet op de door hun aangewezen plek opslaat precies op? T lijkt me dat ze hier juist naar een single point of failure toewerken. En dan in 2019 nog geen offline tape backups hebben..
Nee, dat is het probleem ook niet.

Ze hebben een toetsvorm (waar ik overigens tegen ben, is een uitputtingsslag), waar je thuis 12 uur de tijd hebt om een soorty hybride examen/essay te maken. Omdat het zo veel werk is, kun je toch niet uitgebreid met medestudenten overleggen.
Als je die vervolgens inlevert en een of ander stuk vreten van een hackersgroep legt je hele systeem plat, dan heb je zelf je eigen essay nog wel, maar die kun je nooit meer volgens de toetsvoorschriften inlezen. Want zou jij dan niet uitgebreid antwoorden overleggen met je medestudenten zodat je zo'n goed mogelijk essay "opnieuw" inlevert?

Uiteindelijk is het een enorme rotdag die je dan maar 1x hoeft te beleven, heeft ze wel een paar euro's gekost :)
Bedankt voor je uitleg, maar kan weinig anders zeggen dan dat ik het met je eens bent dat dit soort toetsvormen fout zijn. Helaas lijkt het wel steeds meer de norm. .
Daar zijn veel redenen voor, lees maar andere reacties.
Waar bedank je nu voor? Dat de gegevens uiteindelijk niet verloren waren, of dat de gegevens bijna verloren waren? Want het een lijkt niet zonder het ander te hebben bestaan.
Ik bedank ze omdat ze geen gegevens van studenten verloren hebben laten gegaan, wat gewoon allround een nare grap was geworden voor veel studenten, maar met name ook dat ze al hun onderzoeksgegevens terug hebben. Veel waardevoller dan die data kan data bijna niet worden.
Ik snap heel goed dat je blij bent dat toen het eenmaal verloren leek het alsnog weer beschikbaar is geworden. Als je alleen daar naar kijkt is het volledig op zijn plaats. Dat je nu kan bedanken is niet zomaar ontstaan. Dat is waarom ik er naar vraag. Het lijkt een beetje op iemand bedanken voor het redden van je leven terwijl die persoon mede verantwoordelijk is dat je leven gered moest worden. Ik vraag me af of bedanken hier wel op zijn plaats is als je het geheel bekijkt.
Da's een interessante vraag als je die naar een bredere context trekt. Hypothetisch voorbeeld: ik zou die piloot bedanken die ons met deftig vliegwerk van een crash heeft gered, ook al zou duidelijk zijn dat hij zelf de crash bijna veroorzaakt had door in slaap te vallen.
Er is niet één persoon binnen het UM verantwoordelijk voor het debacle dat hun beveiliging genoemd werd. We kunnen niet alleen naar de UM wijzen, ik heb een sterk voorgevoel dat dit voor zo'n beetje alle uni's wel geldt.
Waar we wel een select aantal personen voor kunnen aanwijzen, dat zijn de mensen die achter de schermen de nare keuze hebben gemaakt om dit te betalen, ten behoeve van de academici, de studies, en de studenten.
Van een vlucht kan je niet veilig offline een backup bewaren ;)
Je zou de OER moeten nalezen, maar volgens mij moet de school in zo'n geval iedereen een voldoende geven ipv herhalen.

Cyberaanvallen zullen niet specifiek genoemd worden, je zou moeten kijken naar ongevallen
Misdaad loont klaarblijkelijk. En als er één gaat....
Universiteiten betalen, banken betalen, iedereen die veel te verliezen heeft betaalt dit soort sommen gewoon. Kosten/baten betekent dat zelfs als het je 1x/jaar zou gebeuren, je nog goedkoper uit bent door gewoon netjes te betalen.
Zie ook: beschermingsgeld zoals de mafia het al tientallen jaren toegeschoven krijgt.
Maar hiermee houdt je dus ook het verdienmodel in stand.
Indirect financier je deze criminelen om het in de toekomst nog eens te doen.
Sterker, het is een aanmoediging voor criminelen.
Nu vroeger ze “maar” €200.000, daar maken ze volgende keer €500.000 of nog meer.
De klant betaalt toch wel hè?
of de 'klant' leest mee en investeert in offline back-up? :Y)
of de 'klant' leest mee en investeert in offline back-up? :Y)
Ik kan je wat leukers vertellen: Maak maar eens een offline backup van een database van 1.2TB, en die moet ook op dezelfde moment zijn gesnapshot als alle andere servers (oa. financien), en elke avond moet de backup draaien. Gezien de tijd die je bezig bent met het draaien van de backup zetten ze liever alles in de cloud. Geen gezeik meer met backups, want dat doet de leverancier toch wel voor je...

[Reactie gewijzigd door mr_seeker op 5 februari 2020 16:48]

1,2TB zet je binnen een uur op een LTO8 tape als je het snel genoeg kunt aanleveren. Het is nu net of 1,2TB zo bijzonder groot is maar tape backup is gewoon een volwassen techniek die nog veel gebruikt wordt en met hoge snelheid kan wegschrijven. LTO8 doet 360 tot 900 megabyte per seconde, zo traag is dat niet en met 12 tot 30TB op 1 tape is die 1,2 ook niet zo spannend.
Desnoods backup je eerst naar disk en vervolgens naar tape.
Ik kijk even op ons netwerk hier en zie een network share die 1,1 petabyte data bevat. Is dat nog steeds te doen? Ik schat dat ongeveer 10% daarvan aktief wordt gewijzigd elke maand.
1.2TB is niets. Dat kan ook prima naar een HDD geschreven worden. En vergeet niet dat je ook om andere reden graag backups wil maken. Hardware die dood gaat bijvoorbeeld, RAID is ook niet een panacee. Of gewoon mensen die per ongeluk een map weggooien.
Nah, dat kost geld, en de kans dat je geraakt wordt is nog klein... Echt waar, volgend jaar zetten we een security-divisie op, maar helaas is er nu even geen budget, dus fingers crossed dat het goed gaat...

De beste manier om dit te voorkomen is het losgeld direct inhouden op het salaris van het management. Dan gebeurt het nooit weer.
die vertrekken dan, en gaan ergens anders hetzelfde doen. Koste baten valt het allemaal wel mee. Maar eens dat dit niet een sjieke actie. Maar in geen enkel geval zou het handig zijn geweest. Hadware back-ups kost ook enorm veel tijd/geld om dit terug te zetten. Enige waar ik mij meer druk zou maken... wat als ze wat achter hebben gelaten?

[Reactie gewijzigd door gitaarwerk op 5 februari 2020 19:34]

Mijn vraag was dus ook.

1. Hoe kan je hier tegen beschermen, nu heeft de UM BETAALD. Maar het kan dus weer gebeuren, ze hadden al toegang. Kunnen als ze willen trackers in laten bouwen etc. Hoe veilig kan je nu voelen ? kunnen ze de documenten alsnog monitoren noem maar op.

Kan het bedrijf of instituut zich hier een tweede maal wel tegen weren?
Dat blijft lastig als je weet dat hackers weken of maanden in je infrastructuur hebben kunnen rondkijken en wellicht data hebben gedownload voor “later gebruik”.
Wat ook kan dat ze nog een tweede lading ransomware hebben achtergelaten die nu niets doen maar pas over een half jaar of zo actief wordt.
Een variant maar niet gelijk uiteraard aan degene die ze hebben gebruikt.
Je kunt hacker echt niet op hun woord vertrouwen ook niet omdat ze de sleutel hebben gegeven na betaling.
Wat de UM nu gaat doen is alles proberen dicht te timmeren en dan te hopen dat er niets is achtergelaten.
Hackers hebben er wel baat bij om als 'betrouwbaar' te worden gezien en na betaling niet nogmaals losgeld vragen of later alsnog gegevens lekken. Zodra ze hieraan beginnen zullen andere bedrijven zich nog een keertje (extra) achter de oren krabben of ze het initiële losgeld gaan betalen. En dan gaat het verdienmodel van de hackers eraan.
Dit is onzin, totaal geen +2 waardig ook.

- Slachtoffers praten niet met elkaar, er zijn geen review sites waar betrouwbaarheid wordt besproken.
- Er zijn al gevallen van ransomware geweest waar de sleutel nooit heeft bestaan/onbekend was. Vanuit het oogpunt van de crimineel is dit zelfs veiliger omdat geen behoefte aan eigen infrastructuur.
- Als een slachtoffer geen vertrouwen heeft in de crimineel, heeft dit alleen betrekking op het bedrag. Iets wat een crimineel zelf wel recht kan trekken door grote volumes en high value targets.
Universiteit Maastricht deelt hun ervaringen in het nieuws en er zal ongetwijfeld op andere niveaus nog meer info uitgewisseld worden. Aan de hand van de kenmerken van de ransomware aanval zou je toch aardig een inschatting kunnen maken met welke vorm en mogelijke groep je te maken hebt, ook al stelt de groep zich niet netjes bij naam voor. Dat dit geen perfecte wereld is snap ik ook.

Er zullen ongetwijfeld gevallen bekend zijn waarin mijn aanname niet klopt en de hackers de deal niet nakomen. Maar als ik jouw zin goed interpreteer ("gevallen" sugereert een klein aantal) dan blijft het bij lage aantallen juist omdat hackers die ransomware met die kenmerken gebruiken niet meer losgeld betaald worden.

Dat vertrouwen (verwachte kans op succes) en bedrag gekoppeld zijn lijken mij logisch. Bij grotere kans op succes zijn we bereid meer te investeren dan een kleine kans. Hoe sterk die relatie is hangt samen met je risico-aversie. En met wat je te verliezen hebt inderdaad (high value targets). Of grote volumes op lange termijn helpt vraag ik me af. Immers zal dan ook sneller duidelijk worden dat je probleem niet opgelost wordt als je losgeld betaald voor ransomware met overeenkomstige kenmerken. Voor quick-wins en korte termijn voor een hacker geen probleem, maar een verstandig businessmodel is het niet. En volgens mij doe je (in ieder geval deze) hackers tekort als je ze allemaal onverstandig noemt, getuige hoe minutieus ze te werk gaan.
Dat is wel zo maar je weet niet of ze nog data hebben gestolen en dit later nog tegen je zullen gaan gebruiken. Een fijn vooruitzicht is dat niet zeker als er gevoelige data opgeslagen is.
Precies dit. Noem het honor among thieves, Robin Hood syndroom of iets anders, maar deze hackers zijn zich heel erg bewust van hun Vraag&Aanbod 5-sterren beoordeling 8)7
Er zou dus eigenlijk een wet moeten komen die het verbiedt om enige vorm van losgeld te betalen.
Dat maakt het voor criminelen dan ineens totaal oninteressant om Nederland te targetten.
Dat is exact wat ik bedoel.
Ik denk eigenlijk dat dit soort bedragen een stuk angst bij andere bedrijven oproept, zodat zij eindelijk wat aan security gaan doen. Als het alleen beperkt blijft bij leed van in dit geval studenten en medewerkers, dan doet dat vrees ik weinig voor andere bedrijven. Nu is het heel duidelijk: ICT niet op orde > risico op ransomware wat je 2 ton kost.
De werkelijke kosten liggen nog veel hoger dan alleen het losgeld.
Weken aan manuren en inhuur van externe consultants komt daar nog bij.
Dan is er nog de imagoschade wat niet in geld uit te drukken is.
We hebben niet veel keus dan dit te accepteren, totdat beveiliging het gouden ei vindt en het onmogelijk wordt.
Al duizenden jaren wordt er illegaal geld verdiend met het tegenhouden van vooruitgang, en dit is gewoon de nieuwste vorm daarvan. Het tegenhouden is zo'n beetje onmogelijk (nou ja, het kan wel, zie mijn rant onderaan), dus we moeten er vrede mee hebben en accepteren dat dit het wetenschappelijke of financiele equivalent is van het geld dat aan de strijkstok blijft hangen als jij een tientje aan War Child doneert.

[rant]Wat ik onmogelijk te begrijpen vind, is dat we nog altijd in NL niet een gecentraliseerd netwerk voor ziekenhuizen / medische onderzoekscentra hebben. Niet zozeer omdat dit inhoudelijk makkelijker is, en ik wil het ook niet hebben over beschermen persoonsgegevens, maar simpelweg omdat je dan al die beveiligingsbudgetjes kunt samenvoegen tot een kanjer van een beveiligingssysteem.[/rant]
Maar hiermee houdt je dus ook het verdienmodel de afpersingsstrategie in stand.
Wat criminelen verdienen nadat ze geld hebben buitgemaakt is straf.
Wat stel je voor als werkbaar alternatief? Zoals recent in een ander artikel nog aangehaald in de comments zie je hier altijd maar mensen commentaar geven dat het toch oh zo eenvoudig is om dit soort situaties te voorkomen en als het toch geberud om jezelf eruit te redden. Dat is theorie. In de praktijk is alles net iets minder goed geregeld. En als je dan moet gaan kiezen tussen miljoenen investeren en je IT infra van de grond heropbouwen waarbij je enorm veel data verliest of losgeld betalen zodat iedereen verder kan werken, waar kies jij dan voor?
Ga over op public en private cloud met thin clients of Chromebooks, dan is phishing onmogelijk.
Thin clients is geprobeerd en werkt ook goed voor studenten. Voor medewerkers levert het in de praktijk te veel problemen op.
Ik neem aan dat deze thin clients werkte op de eigen servers. Klopt dat?
Inmiddels is er Windows Virtual Desktop. https://docs.microsoft.co.../virtual-desktop/overview

Zou een interessante optie kunnen zijn. Mijn eigen bedrijf met honderden users in 10 landen werkt al jaren met G Suite, App Engine en BigQuery en andere online tools in combinatie met Chromebooks. We zijn hiermee gevrijwaard van phising, ransomware en daarmee samenhangende. datalekken.
Hoe kom je daar nou weer bij? Thin clients suggereert dat je op RDS doelt. Die RDS omgeving kan toch ook gewoon besmet worden...
Preventie loont meer denk ik dan. Zorgen dat je spullen op orde zijn (up-to-date) en de juiste anti-virus/malware draaien. En natuurlijk een fatsoenlijke backup strategie. Alles in de cloud is dus ook niet altijd goed.
Uiteraard is alles te kraken (mooie dooddoener) maar als ze bij jou meer moeite moeten doen, gaan ze naar de buurman die het minder goed voor elkaar heeft. Ook in dit geval hebben ze bv de Linux servers met rust gelaten. Zo te zien hebben ze zich alleen geconcentreerd op de servers die ze makkelijk konder pakken, dus de slecht/niet gepatchte Windows servers.
Een geslaagde misdaad, loont idd. Daar hoef je verder niet moeilijk over te doen.
Het alternatief was winnen op moraal en verliezen op werkkapitaal.

Hiermee is wel duidelijk waar en dat er een rode lijn ligt, handig ook voor de criminelen die voor de verdere toekomst van hun business woord hebben gehouden.

Ik ga verder benieuwd of en wanneer de slapende virussen hier of elders wakker worden geschud.
Wat één keer kan, zal wellicht vast een tweede keer kunnen.
Je kunt het ook zien als een dienst. Dus volgende jaar via een hackprijzenpot ofzo: 1 ton prijzengeld per 2 jaar. Laat de russische hackers dan mooi losgaan en degene met de beste hacks krijgt dan gegarandeerd 1 ton aan euro's krijgen, fuck die bitcoins.
Ja, goede universitaire opleidingen zijn inderdaad achterhaald. Met je eens.
Als u mij wil excuseren, ga ik terug naar het veld van mijn feodale pachtheer, ik moet nog een paar kubieke meter mest met mijn hooivork omscheppen.
Precies, als je die toetsen/tentamens al eerder hebt gemaakt dan zou het toch geen probleem moeten zijn om ze nog een keer te halen?

Ik kan me wel voorstellen dat een essay of scriptie overnieuw schrijven wat overdreven is maar het lijkt mij vanzelfsprekend dat je je scriptie niet alleen opslaat op het universiteitsnetwerk. Dan zou ik als aankomend werkgever vragen gaan stellen of het denkniveau daadwerkelijk wetenschappelijk onderwijs is.
Dat is een grap hoop ik? Het is niet alsof je geheugen iets is dat vaststaat en je een tentamen op een later tijdstip net zo goed kan doen
De vraag die ik dan heb is welke waarde een diploma dan zou toevoegen, de bedoeling is dat men de stof beheerst en dus later in de praktijk kan toepassen.

Om maar een cru voorbeeld te geven, een chirurg die tijdens een operatie toch nog even in het boekje moet kijken of het nou een ader of slagader was.

En nee, om terug te komen op jou vraag. Het is geen grap. Indien men echt voor iets leert dan slaat men dit op in het langetermijngeheugen wat dus inhoud dat de netwerken gemaakt door synapsen tussen neuronen niet verloren gaan.

( edit: typfoutje)

[Reactie gewijzigd door blackmilo op 5 februari 2020 17:36]

Hey, ik ben arts, en ik kijk regelmatig in mijn boekje iets na hoor :) Kwestie van precies weten wat je moet doen enzo. Zoals ik zie, is dat juist een pluspunt, je weet namelijk precies wat je niet weet. Bewust onbekwaam zijn is veel, veel minder gevaarlijk dan onbewust onbekwaam zijn.

Ik begrijp je punt helemaal, maar het komt erg denigrerend over zoals je het hier verwoord. Als universitair student beheers je voor toetsen een bepaald niveau dat in de praktijk nooit meer in een zodanige vorm terugkomt. Dat niveau behoud je alleen als je precies in dat vak gaat werken later. Met andere woorden, ja, het is best naar om de moeilijkste examens opnieuw te maken, want je moet een hele hoop opnieuw leren. En nee, dit is in de praktijk vrijwel nooit een probleem.
Denigrerend zou ik niet zeggen, derhalve heb ik het woord cru gebruikt. Verder omdat je dat woord snel kan typen.

Het behouden van kennis over jaren is inderdaad een ding, sommige connecties in de hersenen worden wellicht niet zo stevig aangelegd vergeleken met anderen wat natuurlijk talloze redenen kan hebben. En om soms even alle kennis weer op te rakelen is nooit verkeerd.

Ik blijf er in iedergeval bij dat de waarde van een diploma betwistbaar is in sommige vakgebieden. Ik betwist het zeker niet dat er op medisch vlak beter 2 keer gekeken kan worden, dat waardeer ik.

edit: link toegevoegd

[Reactie gewijzigd door blackmilo op 6 februari 2020 01:33]

Oke, die twijfel kun je hebben, maar dat is weer een hele andere discussie
197.000 ist dat goedkoper dan opnieuw opzetten? Want belasting afrek kan er ook nog bij.

Of heeft het puur met kosten/baten te maken? De configuratie weer op orde krijgen etc.

Daarnaast hoe wilt de universiteit zich dan nu stand houden? Want de hackers weten nu wel dat er betaald wordt. Dus mochten ze geld nodig hebben? Kunnen ze het weer doen.

[Reactie gewijzigd door tdlaccount op 5 februari 2020 15:16]

Tel ook mee dat je dan alle onderzoeken kwijt bent, en dat bijvoorbeeld studenten niet meer kunnen afstuderen doordat ze hun scripties kwijt zijn.
Als een student een scriptie verliest door een gebrek aan backup dan ligt het toch echt aan de student en niet aan de universiteit. Tenminste, studenten worden er dan op aangekeken. Hetzelfde met onderzoeken. In een professionele bureaucratie draagt iedereen (een deel) verantwoording voor zijn eigen werk.

Dat maakt de keuze voor wel of niet betalen overigens niet makkelijker, want bijna 200.000 EUR is niets ten opzichte van de hoeveelheid werk dat men zou verliezen. Een belangrijkere vraag is wat de Universiteit Maastricht doet om dit te voorkomen in de toekomst, en een maatschappelijke vraag is hoe in het geheel voorkomen kan worden dat belastinggeld besteed wordt aan het ondersteunen van criminele activiteiten.

[Reactie gewijzigd door The Zep Man op 5 februari 2020 15:25]

Ik mag toch hopen dat studenten niet zelf kopieën gaan/mogen maken van hun onderzoeken op USB sticks en dergelijke. Er zullen ook vertrouwelijke gegevens tussen zitten. De kans op datalekken is dan enorm. Backups zijn de verantwoordelijkheid van de universiteit. Dat geldt voor elke "professionele bureaucratie".
Je kan als bedrijf toch gewoon verplichten om USB sticks standaard te versleutelen? Als hij dan kwijt raakt is er niks aan de hand.
Ik zou als individu wel altijd een eigen backup willen hebben.
Grapjas, hebben ze bij ons geprobeerd. Heeft niet lang geduurd voor het werd teruggedraaid omdat er veel te veel klachten kwamen vanwege USB sticks die vanuit externe clienten kwamen die niet encrypted waren. Ja, in de basis zijn er snel en simpel oplossingen te bedenken. Totdat je in de praktijk gaat kijken wat de echte impact is.
Het is bij ons heel simpel.
Steek je een USB in de laptop heb je de keuze. Je mag de USB uitlezen, maar niet beschrijven.
Als je de USB wil beschrijven, dan MOET je deze versleutelen.
Ik vind het een prima oplossing en ervaar er zelf geen problemen mee.
Die maatregel werkt maar deels. Je houdt het binnenkomen van ongewenste zaken niet tegen. Het naar buiten lekken deels want iemand die wil zoekt wel een ander medium.
Binnenkomen van ongewenste zaken hou je inderdaad niet binnen op die manier, maar dat was ook niet de insteek (en moet je sowieso ook nog op een andere manier afvangen zoals op een beveiligde desktop); het ging nu vooral om het feit dat medewerkers al dan niet een eigen backup op USB zouden moeten kunnen maken. En als dan die USB kwijt zou raken, dan moet deze wel beveiligd zijn, anders heb je een datalek.
Ik had een collega en zijn vriendin was aan het promoveren. De opslag waar ze het onderzoek had opgeslagen raakte corrupt en toen kon het bestand niet meer worden geopend. Gevolg was ook dat ze niet kon promoveren. Dus ja, het wordt opgeslagen op eigen opslag.
Backups zijn de verantwoordelijkheid van de universiteit. Dat geldt voor elke "professionele bureaucratie".
Je verwart professionele bureaucratie met machinebureaucratie. Zie de verschillen. Universiteiten zijn professionele bureaucratie.
Ik mag toch hopen dat studenten niet zelf kopieën gaan/mogen maken van hun onderzoeken op USB sticks en dergelijke. Er zullen ook vertrouwelijke gegevens tussen zitten. De kans op datalekken is dan enorm.
Een balans moet gevonden worden tussen beschikbaarheid, integriteit en vertrouwelijkheid. Aan vertrouwelijkheid heb je niets als de gegevens niet meer beschikbaar zijn voor de partijen die het wel in moeten zien.

Verder bestaat er ook encryptie, zoals @psy aangeeft. De universiteit kan daar ook eisen aan stellen. Het is dan aan studenten om zich eraan te houden (en de gevolgen te dragen wanneer zij dat niet doen).

[Reactie gewijzigd door The Zep Man op 5 februari 2020 15:48]

Zeker studenten mogen dat absoluut niet. Ik ben zelf een neurologie masterstudent en voor vakken waar wij leren om met breindata (fMRI/EEG/etc.) te werken mag die data enkel op het netwerk van de universiteit staan en met computers op de universiteit verwerkt worden.
Dit soort topics zijn altijd interessant. In dit geval is iedereen boos dat de universiteit het niet toestaat om kopieën te maken. Als de universiteit het wel zou toestaan, en er dus honderden/duizenden USB-sticks met gevoelige data ontstaan (alle vakken waar met dit soort data gewerkt wordt x het aantal studenten x het aantal jaren dat die vakken lopen), dan is iedereen boos dat de universiteit het heeft toegestaan om zo met dit soort gevoelige data om te gaan.
Dat is een van de dingen, maar een snelle blik op de reacties laat gewoon zien dat er genoeg mensen het hebben over eigen back-ups.
Zeg je dat ook tegen de bank waar je je geld bewaard? Of tegen de belastingdienst die je aangifte kwijt is?
Ik denk zomaar dat als de belastingdienst je aangifte kwijt is jij inderdaad de pineut bent.
(en dan maar hopen dat je de boete terugkrijgt als je bezwaar doet.)
Ik denk zomaar dat als de belastingdienst je aangifte kwijt is jij inderdaad de pineut bent.
Je krijgt een afschrift, wat het bewijs is dat de Belastingdienst het heeft ontvangen. Als de Belastingdienst het kwijt is en geen backup heeft dan zullen ze (hopelijk... ;)) vragen of je het opnieuw wilt aanleveren en je daarvoor extra tijd geven.

Als de Belastingdienst dat niet doet schakel je rechtsbijstand in. Die zaak is zo gewonnen omdat je bewijs hebt en het probleem niet bij jou ligt.

[Reactie gewijzigd door The Zep Man op 5 februari 2020 16:09]

Als de bank mijn geld verliest dan is de bank aansprakelijk door wetgeving. Als de Belastingdienst mijn aangifte verliest dan is de Belastingdienst aansprakelijk door wetgeving.

Zulke wetgeving bestaat niet voor universiteiten. Die bieden een IT omgeving aan gebaseerd op 'best effort' waar je geen rechten aan kan ontlenen.

Natuurlijk kan een onderzoeker niet ontslagen worden omdat de universiteit zijn IT niet op orde heeft. Studenten moeten echter vechten voor alles wat hen kan helpen om uit een benarde situatie te komen. De standaardhouding van universiteiten naar studenten is: "Pech? Pech voor jou."

[edit]
Gefrustreerde tweakers kunnen dit wel omlaag modereren, maar het is zoals het gaat in de praktijk. Ben er zelf ook niet tevreden over.

[Reactie gewijzigd door The Zep Man op 5 februari 2020 15:40]

"Als een student een scriptie verliest door een gebrek aan backup dan ligt het toch echt aan de student en niet aan de universiteit. Tenminste, studenten worden er dan op aangekeken. Hetzelfde met onderzoeken. In een professionele bureaucratie draagt iedereen (een deel) verantwoording voor zijn eigen werk."

Er zijn natuurlijk gevallen waarbij confidentiele informatie een rol speelt, waarbij de student (of onderzoeker) zijn/haar gegevens, en dus scriptie op de servers moet opslaan, en niet ergens anders. Dan kan je er toch echt weinig aan doen en ga je er vanuit dat de backups vanuit de Uni goed geregeld zijn.
jah? vind maar raar uitgangspunt; de student/leerling betaald (grof) om gebruik te kunnen maken van de diensten. De onderwijsinstelling betaald daar ook flink voor (veelal met SLA) en biedt deze tools ook aan om 'veilig en verantwoord' te kunnen werken. Om te voorkomen dat men 1001 verschillende systemen of procedures hanteerd. Lijkt me als instelling ook niet wenselijk dat het onderwijs materiaal of huiswerk / scripties etc. op was usb-stickjes door de school zwervern. Praktisch heel onderwijs nederland is over op o365 of google cloud.
Er zijn natuurlijk gevallen waarbij confidentiele informatie een rol speelt, waarbij de student (of onderzoeker) zijn/haar gegevens, en dus scriptie op de servers moet opslaan, en niet ergens anders. Dan kan je er toch echt weinig aan doen en ga je er vanuit dat de backups vanuit de Uni goed geregeld zijn.
Er is altijd een uitzondering. Echter denk ik dat de situatie dat iets per se op de servers van de universiteit moet staan niet vaak voorkomt. In de praktijk zijn binnen universiteiten geheimhoudingsverklaringen meer gericht op het afschrikwekkend effect van de gevolgen van informatie uit laten lekken en minder op hoe informatie beveiligd moet zijn/waar het opgeslagen moet zijn.

[Reactie gewijzigd door The Zep Man op 5 februari 2020 15:44]

Bij ons aan de TUDelft is het beleid dat je zoveel mogelijk van je gegevens op de netwerkschijven zet, onder meer omdat dat wordt geback-upt. Alleen als die back-ups ook worden geëncrypt en er geen off-site back-ups zijn, dan ben je je gegevens wel kwijt terwijl je je netjes aan het beleid hebt gehouden. ;)

En ingeleverde scripties opnieuw inleveren gaat ook niet altijd zomaar, omdat je in de tussentijd nog wijzigingen zou kunnen aanbrengen na de deadline. En tentamenresultaten staan meestal ook online.

[Reactie gewijzigd door Coffeemonster op 5 februari 2020 15:39]

De thesis die je inlevert is dan vaak al in meervoudige hardcopy naar alle leden van je commisie gegaan. Net als dat alle tentamens (hardcopy) bewaard worden. Dus men zou het altijd na kunnen gaan. En opnieuw inleveren is er dan ook niet echt aan de orde.

[Reactie gewijzigd door EraYaN op 5 februari 2020 16:07]

Uhm nee, niet alle vakken worden met een tentamen afgesloten. Bijvoorbeeld voor mijn vak over Matlab moest je gewoon aan het einde van het vak jouw code mailen. Dat werd door de docent echt niet geprint en in een map gedaan.
Zie mijn eerdere reactie voor een casus waar ik als student met patiëntendata werk: ythehunter in 'nieuws: Universiteit Maastricht betaalde 197.000 euro losgeld ...

[Reactie gewijzigd door ythehunter op 5 februari 2020 18:56]

Netwerkschijven worden juist vaak aangeboden vanwege de goede databescherming, tov onbekend beheer bij bijvoorbeeld google of dropbox, en tov lokale data vanwege vergeten/niet doen van backups.

Daarnaast kan het in maastricht ook nog goed over medische data gaan, die je natuurlijk al helemaal niet zomaar overal op wilt slaan.
Welkom in de moderne wereld.
De onderzoeksdata stond voornamelijk op Linux servers die grotendeels niet geraakt waren:
https://twitter.com/danielverlaan/status/1225066646466912259
De hackers hebben ook alle USB-sticks gestolen van de studenten?
Welke USB-sticks? Je bedoelt degene waar het verboden is patiëntendata op te zetten?
Patienten? Welke patienten?
Univ Maastricht is een hospitaal?
Ja, Maastricht Universiteit heeft ook een academisch ziekenhuis eraan vast liggen (of misschien beter het ziekenhuis heeft ook een medische faculteit). Daarnaast is dat niet eens noodzakelijk, want er zijn ook universiteiten waar je bijvoorbeeld onderzoeken doet aan de hand van fMRI-data van participanten. Deze data wordt ook aangemerkt als medische data zelfs als het niet direct gebruikt wordt voor de gezondheid van de betreffende participant.
Faculteit FHML en MUMC+ werken idd samen, maar zover mij bekend gaat het om verschillende netwerken / domeinen, dus volgens mij is MUMC+ niet getroffen door deze ransomware aanval bij de UM.
FPN werkt ook samen met MUMC voor patiënten, voornamelijk mensen met een hersenziekte of depressie. Maastricht heeft een van de beste neurologie-afdelingen van Europa wat zowel anatomisch (meer FHML) als toegepast (meer FPN) gebruikt wordt.
Bij onderzoek dat gedaan wordt door medewerkers/studenten van deze faculteiten komt de data gewoon op de server van de universiteit te staan.

[Reactie gewijzigd door ythehunter op 6 februari 2020 02:34]

Je moet andere kosten ook meenemen in deze analyse, je hebt namelijk niet alleen de kosten van het netwerk opnieuw opzetten.

Hoe lang kunnen docenten en studenten niet aan het werk? hoeveel van de informatie is terug te halen middels een back-up? Moeten studenten opnieuw tentamens gaan doen als er cijfers verloren zijn gegaan? En ga zo maar door..

Dus tenzij ze een hele recente back-up terug kunnen halen.. snap ik dat je betaalt.
Je moet er natuurlijk wel vertrouwen in hebben dat het betalen van het losgeld er toe leidt dat alle systemen succesvol weer hersteld worden. De downtime heeft sowieso ook allerlei problemen en kosten opgeleverd dus het losgeld is ook niet de enige kostenpost voor die oplossingsrichting.
Hebben ze gedaan, stuk is bijgewerkt. Ze hebben een test gedaan met een paar decrypted files.
Toch grappig dat gros van de vragen in de live uitzending beantwoord zijn. Vind het eigenlijk wel tenenkrommend. Security was duidelijk ondergeschoven kind. Zoals bij zoveel organisaties.
Vind het totaal niet tenenkrommend om te zien, maar juist een zeer te waarderen presentatie en q&a van de UM. Hulde voor het delen van deze informatie, van de tijdlijnschets van Fox-IT tot de verschillende afwegingen die gemaakt moesten worden door het bestuur/crisisteam om uiteindelijk te besluiten tot betaling over te gaan. Ik kijk uit naar het rapport van Fox-IT, en misschien een soortgelijk symposium over een jaar om een afgerond onderzoek te kunnen analyseren. Juist het delen van de dilemma’s over technische uitdagingen, morele aspecten en de balans tussen veiligheid en gemak leiden hopelijk tot meer bewustzijn en kennis binnen organisaties en bedrijven. En hopelijk dan tot minder impact van soortgelijke aanvallen.
Tsja, het is een universiteit, geen bedrijf. Overigens hadden ze geld gekregen voor het opzetten van een SoC later dit jaar.
Ook veel bedrijven is security een ondergeschoven kindje tot de bom barst. Net als ICT trouwens, altijd een kostenpost tot dat iets niet meer werkt :) Maar dit heeft veel ogen geopend.
Als je echt volledig wilt zijn moet je ook in de analyse meenemen dat dit NL’se Universiteiten en andere instellingen gefinancierd met belastinggeld een interessanter doelwit maakt in de toekomst. Als hackers duidelijk was geworden dat met Nederlands belastinggeld geen hackers worden betaald was het snel gedaan met dit soort gerichte aanvallen. Nu kiest Maastricht de gemakkelijke weg maar veroorzaakt daarmee wel nadeel voor anderen.
Ik snap het standpunt van de UM wel. Als je voet bij stuk blijft houden en niet gaat betalen is dat heel goed voor je principes, maar daardoor worden wel duizenden studenten en medewerkers gedupeerd. Op een gegeven moment moet je wel kiezen voor de oplossing waar de meeste mensen bij zijn gebaat. Vooral voor het relatief kleine bedrag dat het nu gekost heeft.

En ik denk dat andere (overheids)instellingen door dit nieuws echt wel wakker zijn geschud, waardoor een nieuwe hack mogelijk voorkomen wordt.

Wat je in dit soort gevallen ook niet moet vergeten is dat die hackers de bad guys zijn en niet degene die besluit te betalen. Hoop ook dat er serieus opsporingswerk wordt gedaan naar de daders, zodat ze gestraft kunnen worden.
€ 197.000 is relatief goedkoop te noemen gezien het aantal servers en de omvang van het netwerk. De investeringen die men nu waarschijnlijk wel doet (tenslotte het kalf is verdronken) zullen aanzienlijk groter zijn.
Dat was ik ook aan het denken. Ik vroeg mij af of aan dat bedrag nog wat onderhandelingen vooraf zijn gegaan. Mogelijk is de initiele eis van de aanvallers hoger geweest.

Met onderhandelen is dan nog wel de vraag wat de onderhandelingsruimte van de universiteit is geweest. Een insteek kan zijn om te beargumenteren hoeveel een alternatieve benadering zou kosten. Dan moet die benadering er natuurlijk wel zijn :/

[Reactie gewijzigd door teacup op 5 februari 2020 22:03]

Gelukkig kan er van geleerd worden en kan een toekomstige aanval afgewend worden. Er kan in ieder geval een offline backup bijgehouden worden, het verbaast me dat dit niet het geval was hier.
Er was wel een offline backup, maar die was van de zomer 2019.
Het is natuurlijk ook afhankelijk in hoeverre ze alles digitaal doen.

Als de volledige administratie / historische gegevens digitaal zijn, dan kan je waarschijnlijk niet eens opnieuw opbouwen.
Dat is in het gehele plaatje veel goedkoper dan opnieuw opzetten.
Naast de enorme hoeveelheid tijd die erin gaat zitten om 267 servers volledig opnieuw op te zetten in het netwerk, alles testen en dan ook nog is al die verloren informatie en dergelijke.

De universiteit heeft met meer te maken qua kosten:
1 Jaar studie vertraing kan zo'n 10-20k per student kosten. Nou is dit geen jaar, maar je kan er van uit gaan dat iets op deze schaal enorm veel effect heeft op de universiteit en dat er hoogst waarschijnlijk heel veel studievertraging en andere problemen zouden ontstaan.

https://profielen.hr.nl/2...htszaak-studievertraging/
https://profielen.hr.nl/2...l-47-miljoen-euro-schade/
https://profielen.hr.nl/2...rtraging-door-nakijkfout/
https://www.telegraaf.nl/...-van-hogeschool-rotterdam
Vanaf of naar welk bitcoin-adres is de betaling verricht?
Ik hoop dat dit in het rapport staat, wordt straks openbaar.
Oh ja, dat gaat zeker nog uitgezocht worden, een transactie van 30 bitcoin eind december, dat moet toch wel te vinden zijn.

Edit: Of niet, ik had nog nooit een bitcoin transactie opgezocht maar er zijn nog verbazingwekkend veel transacties van zulke hoge bedragen op 1 dag:
https://blockchair.com/bi...(2019-12-29..2019-12-31)#

[Reactie gewijzigd door SanderBos op 5 februari 2020 16:09]

Het is niet gezegd dat de 30 bitcoin in een keer zijn betaald. In het artikel wordt al gesproken over een aanbetaling
Ook werd er een aanbetaling met bitcoins gedaan om te verifiëren dat het betaalproces werkte.
Nu zal die aanbetaling geen hele bitcoins hebben betroffen, maar ook het hoofdbedrag kan gefaseerd zijn betaald. Zoals je zelf al zegt, een dergelijk grote transactie valt op. Niet het belang van de ontvanger lijkt mij.
Wat ik niet snap is als je een hd wil encrypten duurt het eeuwen :)
hoe kunnen die zo snel 200 servers en TB's aan data omzetten naar crypted files?
Aangezien backups ook encrypted zijn vermoed ik eerder iets zoals wat bitlocker ook doet, alle filesystem requests onderscheppen en netjes teruggeven totdat files en backups encrypted zijn en dan op bepaald moment de requests stoppen met melding betaal maar bitcoins voordat je er weer bij mag ?
Los daarvan is dit in tegenstelling tot kidnapping een heel moeilijke situatie.
Dat wordt de nieuwe manier om rijk te worden voor jonge criminelen.

Kidnappers worden bijna nooit betaald, dat is wereldwijd een gegeven en daarom zijn er ook bijna geen met losgeld. Randsomware wordt tegenwoordig bijna altijd betaald.
En risico op vervolg request, oja we hebben al je data en gaan die op het internet zetten tenzij je 100 bitcoins overmaakt.
Of gewoon nogmaals encrypten.
Kidnappers worden net vaak uitbetaald. Trap aub niet in het hollywoodverhaal van dat men nooit zou onderhandellen en er wel een swat team zal binnenvallen. De snelste manier om iemand terug te krijgen is gewoon betalen.
Heb je daar een bron voor dat kidnappers bijna nooit betaald krijgen? Landen betalen inderdaad meestal niet zelf, maar er zijn genoeg mensen die wel gewoon betaald hebben voor ontvoeringen.
Kidnappers worden bijna nooit betaald, dat is wereldwijd een gegeven
Dan denk ik : makkelijk te staven met cijfers.
Ik ben benieuwd. :)
Behalve in Nederland?
https://www.volkskrant.nl...oor-arjan-erkel~b7c8a49d/
Vrij bekend deze betaling en er zijn er vrij eenvoudig (veel) meer te vinden, ook in buitenland.
https://abcnews.go.com/In...-ordeal/story?id=62217724

[Reactie gewijzigd door ninjazx9r98 op 5 februari 2020 21:13]

Wat ik heb onthouden van de vorige keer dat ik over die CLOP-ransomware las:
- Alle Windows shadow copies worden met wat commando's gedeactiveerd, dus dat level 'backup' raak je gewoon kwijt.
- De centrale Active Directory (AD) server wordt gehackt, en die stuurt een group policy uit naar alle servers die onder die AD vallen, met het commando om alle lokaal staande files op dat moment te encrypten. En bij UM vielen die backup servers ook onder de gehackte AD.

Dus er zijn in theorie spannende dingen mogelijk, maar in deze UM casus is er een moment geweest dat alle servers inclusief backup servers de opdracht kregen wat ze lokaal hadden staan aan files te gaan encrypten

(geen idee hoe lang dat dan duurt).
Maar mogelijk hebben de hackers nog wel sleepers installed over één van de 200 servers.
Wie zegt dat het zelfs niet op timer werkt en binnen 5 maanden weer alles encrypt.

moeilijk deze vertrouwensband.
Dat probleem is op zich onderkent. Dus hebben iets van 270 (zo'n soort getal) servers als gecompromitteerd beschouwd, en die hebben ze allemaal opnieuw geinstalleerd.
Ik vraag me dan alleen meteen af:
- Vertrouw je de hardware (moederbord firmware bijvoorbeeld) dan nog wel, je kunt er wel opnieuw Windows opzetten maar is het dan wel goed.
- Hoe concludeer je dat de andere machines dan wel in orde zijn, en niet zo'n sleep als jij noemt hebben.

Laten we hopen dat FOX-IT daar veel verstand van heeft (maar hun presentatie vanmiddag was echt mega-oppervlakkig).
Hardware is op afstand niet te hacken, firmware is met een een simpele checksum al redelijk betrouwbaar te valideren.

En wat die 'sleepers' betreft: criminele hackers hebben ook hun verdienmodel. Laten weten dat betalen niet helpt is slecht voor de omzet.
Volgens mij is het zo dat ze niet het gehele bestand encrypten maar alleen een klein stukje. Daardoor is het bestand zelf onklaar gemaakt en kan niet worden gebruikt of teruggezet.
Een serieuze vraag aan de systeembeheerders, de cloud engineers.

Je merkt dat veel bedrijven tegenwoordig afhankelijk van Azure en AWS willen zijn.

Betekend dit meteen dat hackers absoluut geen kans hebben omdat dit richting AWS of Azure gaat. Of kan het alsnog gebeuren als bijvoorbeeld een employee een fout maakt, en de hackers toegang krijgen tot de ad-ds. En hoe diep gaat dat bijvoorbeeld in Azure of AWS? Hey zijn denk ik allemaal gescheiden VM's?
geen drol; als ze jouw wachtwoord/account of sessie (van de beheerder overnmen, wat hier is gebeurd) maakt het niet zo veel uit of die data locaal of in de cloud staat; beide gevallen ben je de lul

zweer al +20jr bij offline en offside offsite backups

[Reactie gewijzigd door himlims_ op 5 februari 2020 17:01]

Maar het backup systeem in de cloud is een stuk beter geregeld dan wat ze nu hadden.
Dat betwijfel ik ten zeerste. Goede backupsystemen in de cloud zijn dusdanig kostbaar dat je wel link uitkijkt om grote hoeveelheden data in de cloud te backupen. De diensten die normaal worden afgenomen hebben vaak een vrij beperkte backup. Een cloudaanbieder maakt doorgaans wel backups om zich te beschermen tegen eigen falen, maar systemen waarbij je zomaar terug kunt naar de situatie van enkele dagen geleden zijn relatief zeldzaam.
En laat dat nu met niet mogelihk zijn als je paw beheer goed inricht.

Dit is wederom weer een voorbeeld qaarom we al bijna 1,5 jaar aanmoedigen om paws in te zetten.
Heb er op gegoogled maar teveel opties : PAW = ?
Password Admission ??
ahaaaaa, kijk eens aan. Very interesting _/-\o_

Maar ..."A PAW will not protect an environment from an adversary that has already gained administrative access over an Active Directory Forest. "
Haalt niet veel uit, helaas...

https://docs.microsoft.co...leged-access-workstations

[Reactie gewijzigd door OxWax op 5 februari 2020 22:12]

en waar worden alle beheer rollen gebruikt die rechten hebben in AD,

juist op een PAW only en only there.

Tuurlijk maakt geen enkele beveiliging uit als je het activeert NA dat de attacker al binnen is. Nog haalt het uit als een server side exploit gebruikt wordt.

Wat PAW doet is zorgen dat je Clean source Principle gebruikt, Of te wel geen enkele mogelijkheid om account credentials van een beheer statoin te ontfrutselen, Daarnaast kun je een PAW gewoon elke maand herinstaleren (duurt +- 5 min) en als je het goed hebt gedaan met je admin account kun je ook je admin account recyclen .

DIt zorgt er voor dat je entry point altijd zuiver is en dat phishing etc geen enkel impact heeft op beheer accounts , Verijst natuurlijk wel dat je geen domme beheerders moet hebben die ook op zijn PAW draaiende VM alsnog gaat aanloggen op servers.

PAW`s zijn de nummer 1 countermeasure tegen het beveiligen van credential teft van high priv accounts.
jouw backups staan buitenspel? Of staan ze op een andere locatie? (off-site)
Er is een vrij goede analyse gedaan door een security bedrijf m.b.t. ransomware en s3 (AWS cloud opslag). Men heeft een ransomware variant voor de cloud gemaakt. De tips die in het artikel staan ter voorkoming zijn erg interessant voor mensen die hiermee werken, zoals mijzelf: https://rhinosecuritylabs...are-part-1-attack-vector/
Blijft de hamvraag hoe voorkom je zoiets, klikkers zullen er altijd blijven. Als 1 klik al voldoende is dit aan te richten tot maanden terug in de backups krijg ik het idee Dat het onmogelijk te stoppen is als ze gebruik maken van exploits en gecrypte virussen die door virusscanners heen kunnen komen als ik dat tv programma van vpro over remote Trojans moet geloven.
Het gaat wel verder dan één klik, de aanvallers zaten weken in het systeem en bewogen zich door het netwerk (weet niet precies hoe). Dan is er wel meer aan de hand - slecht updatebeleid, geen logging, netwerksegmentatie...
Maar begrijp ik nou goed dat het een student is geweest die fout heeft geklikt, waardoor ze binnen konden komen? Want ik zou het eigenlijk vrij onbegrijpelijk vinden als mijn studentenaccount daarvoor genoeg bevoegdheden zou hebben
Het is niet bekend of het een student was. Het ging om 'een laptop'. Ze wilden bewust niet zeggen wie het was om niet te shamen. Kan dus zijn dat het een medewerker was.
Ik vermoed dat de hackers achteraan begonnen zijn met het encrypteren van de backups. Bij een goed backup systeem is het van belang dat het backup systeem ook zelf test of de backup terug gezet kan worden. Ik weet dat er systemen zijn die dat standaard doen. (russische software overigens) :(
Het bewegen door het netwerk daar zijn diverse tooltjes voor ter beschikking, een mooi voorbeeld hiervan is ADRecon, puur om de gehele infrastructuur in kaart te brengen van je complete domein. Probeer het voor de gein eens uit (als domain admin en/of domain user) en je ziet hoeveel informatie je eigenlijk kan bemachtigen door 1 simpel tooltje.

[Reactie gewijzigd door Enforcer op 5 februari 2020 16:26]

Mijn antwoord (niet een systeembeheerder): Je moet in ieder geval offline (of in ieder geval niet overschrijfbare) en recente backups hebben. De UM had die niet niet, die hadden alleen online (overschrijfbare) backups. Zelf zien ze dat dus nu vandaag ook als 1 van hun drie grootste fouten.

Ik ben zelf van mening dat de focus op logging en up to date zijn met patches uiteindelijk niet goed dekkend is. In deze casus was het dus zo dat de hackers heel lang actief zijn geweest voordat ze de ransomware hebben geactiveerd, maar voor hetzelfde wordt je geraakt door een zero-day waar nog helemaal geen patch voor beschikbaar is en waarbij het versleutelen van de bestanden 100ms na het 'klikken' op de phishing link aanvangt.
Ik vind het nogal een koopje voor 200.000 euro. Ze hadden in 2017 3.668 fte, 200.000 euro is +- 5 fte een jaar lang. Ik had als universiteit het geld er tegenaan gegooid en had met het geld wat ik "bespaard" had snel mijn ICT-afdeling uitgebreid.

[Reactie gewijzigd door Frozen op 5 februari 2020 15:21]

Als jij voor 200.000 5 man aan het werk hebt, dan zijn het waarschijnlijk het type dat zo'n aanval de volgende keer ook doorlaat. 40k voor een werkgever is volgens mij rond de 30k bruto voor de werknemer.
En 30k is een vrij normaal salaris. Universiteiten hebben niet alleen hoogopgeleide onderzoekers in dienst, maar daarnaast ook gewoon schoonmakers/student-assistenten/etc. die het gemiddeld loon vrij hard omlaag halen
Maar niet voor mensen die zulke problemen voorkomen en oplossen.
Die 3668 fte is de totale hoeveelheid fte, daar zitten ook schoonmakers en servicemedewerkers bij. Dus dan is de 200.000 wel ongeveer 5 fte.
Ik denk dat je onderschat wat één FTE kost. Ik reken meestal met twee keer het brutoloon. Dat zou dan betekenen dat deze personen ongeveer 20k verdienen, wat niet bijster veel is :)
Ik vind dit zo interessant. Maar ben wel een noob.

Er wordt steeds geschetst dat met één bepaald mailtje dat een malafide link bevat, er ingang kan worden geschaft tot het netwerk, en vandaar steeds verder.

Men heeft het hier over 8000+ studenten en andere medewerkers die toegang hebben tot het netwerk. Stel dat één van die 8000+ studenten kwaadwillend is (of wellicht stuurt een hackersbende wel iemand naar de Uni).

Dan kun je die mail met 'dat linkje' toch al overslaan? Waarom wordt daar zoveel aandacht aan besteed?
"Men heeft het hier over 8000+ studenten en andere medewerkers die toegang hebben tot het netwerk. Stel dat één van die 8000+ studenten kwaadwillend is (of wellicht stuurt een hackersbende wel iemand naar de Uni).
Dan kun je die mail met 'dat linkje' toch al overslaan? Waarom wordt daar zoveel aandacht aan besteed?"


Je moet op een andere manier van schaal denken.

Er zijn heel universiteiten in de wereld, en nog veel meer bedrijven en organisaties. Het is voor hackers-groepen niet te doen om naar al die plekken een hacker te sturen om te kijken of ze er toevallig lokaal wat kunnen hacken.
Maar het is heel goedkoop om een mailing te doen uitgaan naar allerlei willekeurige mensen van willekeurige organisaties met phishing content en kijken wat er zoal opengaat.

Dit is in beginsel geen gerichte actie op Maastricht geweest, die hackers leerden pas af van het bestaan van de Universiteit van Maastricht toen een van hun miljoenen random gestuurde phishing mailtjes tot hacking succes leidde.
Zo simpel gaat het vast niet.
Dit zou betekenen dat hackers volop phishing e-mails versturen en dan achterover gaan leunen om te zien of ze beet hebben.
Ik vermoed dat ze wel degelijk gericht te werk gaan en zwakke plekken opzoeken.
De bakker om de hoek een phishing e-mail sturen heeft immers nul effect en levert ze niets op.
Hier staat nog een mooie omschrijving van hoe de eerste 2 maanden van de hack eruit zagen:
https://nos.nl/artikel/23...iversiteit-platlegde.html

Dus ja, na het eerste phishing succes is er gericht werk geweest van enkele maanden.

Maar voor het phishing succes blijf ik van mening dat het massaal mailen en achterover leunen is.

Dus ze sturen de mails ook naar de bakkers, nadat die dan gehackt zijn kun je daarna wel met een simpele netwerk scan al zien dat er geen interessant netwerk aanhangt (en dan voeg je je die ene Windows XP PC van die bakker toch nog even toe aan je botnet, je moet immers als hacker-groep veel mails versturen).

[Reactie gewijzigd door SanderBos op 6 februari 2020 08:12]

Hackers zouden zelfs een student onder druk hebben kunnen zetten of een beloning hebben kunnen geven als hij/zij geheel “per ongeluk” even op een fishing e-mailtje zou klikken.
Wat ook kan is een buitenlandse student die zich bij de UM heeft ingeschreven maar in werkelijkheid een lid was van een hackersgroep.
Mogelijkheden genoeg voor kwaadwillenden om toegang te krijgen tot servers van de UM.
Slechte beveiliging van de servers en infrastructuur hebben het verder infiltreren alleen maar makkelijker voor de hackers gemaakt.
Nee, niet geschetst... er wordt beweerd. En waarom moeilijk doen door iemand te sturen (met alle risico's van dien) als phishing ook keer op keer weer effectief blijkt. De zwakste schakel is de mens :)
De aanvallers kwamen binnen met een phishinglink, zegt de universiteit.
Ik hoop dat binnen de certs nog een stuk technisch komt want ik vond het als techneut redelijk tenenkrommend om naar te kijken/luisteren. Ben dan ook uiteindelijk maar afgehaakt. Ben veel meer geïntereseerd naar de methodiek etc die gebruikt is om de organisatie te penetreren.
Hoe het begon? Iemand klikte op de link in deze mail:
https://twitter.com/danielverlaan/status/1225046537467781122
(het is volgens mij niet duidelijk of dat nu een sysadmin met meer rechten is geweest, of wat de payload precies was, maar goed op zich worden er natuurlijk elke eerste dinsdag van de maand door Microsoft veel gaten gedicht, die daarvoor interessante toegang gaven voor hackers).

Meer lezen over CLOP ransomware?:
https://www.mcafee.com/bl...fee-labs/clop-ransomware/
(bij eerste scan lijken er allemaal rare hexdump screenshots in dat artikel te staan, maar het meeste is juist heel goed leesbaar als je maar iets van technische aanleg hebt).
Het hoeft niet eens een gebruiker te zijn met meer dan normale rechten. Zodra ze een systeem overgenomen hebben kan je die met 2 simpele tools elevaten tot domain admin. Dat is het nare. Maar ik zou gewoon de feiten willen zien en niet al het gespeculeer wat men wel/niet had/heeft. Dan kun je je eigen omgeving ermee vergelijken en waar nodig nog meer aanscherpen. Helemaal veilig wordt het nooit.
Over de methodieken die aanvallers gebruiken om binnen komen en steeds meer rechten te bemachtigen zijn vele boekwerken vol geschreven. Het zou wat anders zijn als er bijvoorbeeld nieuwe methodes zouden zijn toegepast.
Op zich snap ik de positie van universiteit Maastricht, ze willen hun systemen zo snel mogelijk draaiend hebben.
Wat wel echt heel erg vervelend is dat de criminele bende dus betaald krijgt en dus loont het.
Als meer bedrijven betalen dan kan je ervan uit gaan dat het nog veel zal gaan gebeuren.
Enige hoop is dat de criminele bende op een dag opgepakt zal worden en achter slot en grendel mag gaan bivakkeren.
Wordt tijd dat er een afdoende bescherming ontwikkeld gaat worden tegen dit soort aanvallen.
Lekken blijven bestaan dat is niet te voorkomen.
Je moet als organisatie of bedrijf er gewoon voor zorgen dat je zaakjes op orde zijn.
Dit verkleint de kans op grote schade.
Backups moeten dus in orde zijn online en offline backups.
Verder moet er een disaster recovery plan zijn welke ook getest wordt.
Gaat het in de toekomst dan toch mis dan is de impact gewoon veel kleiner.
Daarbij loop je ook geen kans op imago schade en dat jouw organisatie uitgebreid in het nieuws komt zoals nu bij de UM gebeurd is.
Gewoon op orde hebben lijkt keer op keer complexer te zijn dan het even opschrijven als een mening. De vraag is wat genoeg was geweest om deze situatie te voorkomen. Het zijn altijd afwegingen tussen beveiligen, gemak, kunde en geld. Gewoon op orde bestaat niet.
Op orde bestaat wel.
Er zijn een aantal best practices binnen de ICT waarbij duidelijk wordt wat de minimale eisen zijn.
Dit hangt uiteraard af van de grootte van de organisatie of het bedrijf en hoeveel ICT er beheerd moet worden.
Het wiel hoeft dus niet opnieuw uitgevonden te worden.
Het wiel opnieuw uitvinden is inderdaad niet nodig. Maar best practices zijn helaas ook niet zomaar een op een op de praktijk van toepassing. Gevolg is dat je dus alsnog afhankelijk bent van de situatie om tot oplossingen te komen om je beveiliging op orde te krijgen. Dat wil dus ook zeggen dat er keuzes gemaakt moeten worden. De beveiliging is nooit af en denken dat het op orde is werkt slechts tot het tegendeel is bewezen. Je kan er dus maar beter vanuit gaan dat het altijd beter zou moeten.
Klopt, 100% veilig ben je nooit.
Echter door een stukje consultancy in huis te halen valt er vaak al genoeg te verbeteren.
Daar is de UM wel een goed voorbeeld van.
Iedereen kan van deze case leren.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True