Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wetenschappelijk instituut Wetsus betaalde losgeld om van ransomware af te komen

Wetsus, een in Leeuwarden gevestigd wetenschappelijk instituut voor watertechnologie, is acht dagen gegijzeld geweest door ransomware. Het bedrijf heeft losgeld betaald aan de hacker, waardoor de netwerkproblemen inmiddels weer voorbij zijn.

Algemeen directeur Johannes Boonstra zegt tegen de Leeuwarder Courant dat hij met een team specialisten sinds vorige week maandag bezig is geweest om het netwerk weer werkend te krijgen. De 150 medewerkers, 60 onderzoekers en 50 studenten kunnen sinds dinsdagmiddag weer zonder problemen gebruik maken van het computernetwerk. Op de eigen website meldt de organisatie dat ruim een week last had van een 'groot serverincident', veroorzaakt door een derde partij, waardoor het netwerk niet toegankelijk was en het instituut niet bereikbaar was voor e-mail of telefoon.

Gedurende de acht dagen is er de nodige keren onderhandeld met de onbekende afperser die het netwerk had gegijzeld. Er is betaald in bitcoins, maar om hoeveel geld het gaat wil Boonstra niet zeggen. Volgens hem was het bedrag in ieder geval 'een fractie' van de 197.000 euro die de Universiteit van Maastricht onlangs betaalde. De universiteit, die eind vorig jaar te maken kreeg met een ransomware-infectie, heeft volgens de directeur van Wetsus ook geholpen bij het oplossen van de problemen. Wetsus deed aangifte, maakte een melding bij de Autoriteit Persoonsgegevens en zocht verder contact met bijvoorbeeld het Nationaal Cyber Security Centrum en Fox-IT.

Het instituut besloot al snel om toch maar te voldoen aan de eisen van de hacker, al verliep dat proces van onderhandelen en betalen niet helemaal vlekkeloos. Vorige week dinsdag betaalde Wetsus het gevraagde bedrag. Een paar uur later arriveerde een sleutel, maar dat was onvoldoende om alle servers weer aan de praat te krijgen. Volgens Boonstra is er wel 50 a 70 keer mailcontact geweest met de hacker en kwam de 'finale code' maar niet.

Op vrijdag gaf de hacker aan meer geld te willen, al ging het volgens Boonstra niet om een groot bedrag. Vervolgens ging Wetsus opnieuw onderhandelen met de anonieme afperser. "Wij hebben gezegd: stuur eerst de codes, daarna betalen we, dan stuur jij de laatste codes. Zo niet, dan vallen we terug op de backups. Dan verliezen wij, maar jij ook. Toen gaf hij rap toe", aldus de de directeur van het instituut. Hij zegt dat de hacker niet erg communicatief was en 'waarschijnlijk ook niet erg deskundig'.

Volgens de directeur had zijn instituut het geluk dat er op stand-alone computers nog vrij goed kon worden doorgewerkt, zodat het onderzoek in ieder geval door kon gaan. Boonstra zegt dat er, voor zover bekend, geen data is gelekt. Het instituut had wel back-ups, maar de directeur geeft aan dat men dan dagen bezig zou zijn geweest en dat niet alles was terug te halen. In feite zouden dan de onderzoeksgegevens van een paar dagen verloren zijn gegaan, waardoor er gekozen is voor het betalen van losgeld.

Door Joris Jansen

Nieuwsredacteur

12-02-2020 • 10:25

148 Linkedin Google+

Reacties (148)

Wijzig sortering
Klinkt allemaal erg stoer van de directeur maar het feit blijft dat we steeds maar toegeven aan de hackers en het zo een steeds lucratievere business wordt omdat iedereen blijft betalen. Op deze manier zal deze vorm van gijzeling steeds frequenter worden. De enige manier om dit te stoppen is met zijn allen nee zeggen of de hackers kunnen opsporen naar aanleiding van het contact dat je moet hebben met ze.

Ik snap dat dit erg conflicterend is wanneer er mensenlevens op het spel staan zoals bij een ziekenhuis infectie maar dat geeft maar aan dat kritieke systemen in zijn geheel afgesloten moeten zijn van het internet om infectiekansen te verlagen.

Iemand moet met een briljant idee komen om deze hacks te kunnen tegengaan!
Telkens ik zo een reactie zie vraag ik me af in welke utopische wereld jij leeft?

Je bedrijf is getroffen. Er kunnen vele oorzaken zijn, daar ga ik me niet onmiddelijk over uitspreken. Je backups zijn ook geïnfecteerd omdat de malware al maanden bezig is geweest alles te infecteren en nu pas toeslaat. Jij wil dan dat men niet betaald en nog liever het bedrijf failliet laat gaan dan dat men probeerd de schade voor het bedrijf te beperken en het bedrijf boven water te houden.

En een ziekenhuis afsluiten van het internet kan ook niet in deze moderne tijden. Om te beginnen is er geen enkele garantie dat een airgap in zo een publieke omgeving gaat werken. Infecties kunnen ook op andere manieren binnenkomen. Denk bijvoorbeeld maar aan USB sticks, die je veel meer gaat gebruiken in een geïsoleerde omgeving odmat er nu eenmaal data moet uitgewisseld worden. Of het nu gaat om het delen van data met collega's om hun mening te vragen, het opvragen van resultaten van externe labo's, het afhandellen van administratie met verzekeraars, ... . Er is zoveel communicatie die vandaag via het internet verloopt dat je gewoon niet meer offline kunt werken in zo een omgeving.

En er bestaat geen mirakeloplossing om dit soort dingen tegen te gaan. Het zal altijd een gevecht blijven.
Bij ons op het bedrijf bestaat een ''just print clause''. Alles wat belangrijk is moet geprint worden en opgeslagen worden in een dossierkast. En bij ons is iets belangrijk wanneer het om een document gaat dat de zakengang in gevaar kan brengen.

Het bedrijf kan in principe geraakt worden door een Randsomeware zonder dat er belangrijke gegevens verloren gaan. Diefstal is natuurlijk nog wel een probleempje.

Zo zie je maar dat sommige ouderwetse oplossingen soms ook de beste oplossingen zijn.
Da's leuk, maar in ziekenhuizen (om even het voorbeeld van bovenstaande discussie te volgen) is vaak genoeg data nodig die juist niet uit te printen valt.

Ten eerste, simpelweg omdat het geen documenten zijn. Denk aan MRI scans, onderzoeken, microscopie-afbeeldingen, etc.
Ten tweede, omdat dit ontzettend gevoelige informatie is die je niet zo maar mag laten rondslingeren.

Ik ben het absoluut met je eens dat een "just print clause" voor sommige bedrijven goed kan werken, maar het is zeker geen universele oplossing.
Vervolgens ging Wetsus opnieuw onderhandelen met de anonieme afperser. "Wij hebben gezegd: stuur eerst de codes, daarna betalen we, dan stuur jij de laatste codes. Zo niet, dan vallen we terug op de backups. Dan verliezen wij, maar jij ook. Toen gaf hij rap toe", aldus de de directeur van het instituut. Hij zegt dat de hacker niet erg communicatief was en 'waarschijnlijk ook niet erg deskundig'.

Volgens de directeur had zijn instituut het geluk dat er op stand-alone computers nog vrij goed kon worden doorgewerkt, zodat het onderzoek in ieder geval door kon gaan. Boonstra zegt dat er, voor zover bekend, geen data is gelekt. Het instituut had wel back-ups, maar de directeur geeft aan dat men dan dagen bezig zou zijn geweest en dat niet alles was terug te halen. In feite zouden dan de onderzoeksgegevens van een paar dagen verloren zijn gegaan, waardoor er gekozen is voor het betalen van losgeld.
Wat een opschepper. Wedden dat die stand-alone computers op de nominatie stonden om opgeruimd te worden.
voor bepaalde problemen wel ja. Voor fysieke issues niet. Want wat is je strategie bij brand, lekkage van sanitair of gas? Kan best zo zijn dat er dan een hoop nog steeds verloren gaat.

Ik denk dat het een combinatie is van meerdere strategieën die het beste werkt. Dus wat jij zegt, fysiek uitprinten, maar ook on- en offsite digitale back-ups.
Tja, dan hebben we de gegevens nog op de server staan, en de server is off-site. Ik denk dat de sterren wel heel verkeerd moeten staan dat we zowel brand krijgen als een randsome.
Wat ook kan gebeuren is dat je te maken krijgt met ransomware en vervolgens moet vaststellen dat je "papieren backup" is aangetast door bijvoorbeeld een waterlek of een schimmel. Onrealistisch misschien, maar je zal zien dat je zoiets voorhebt.

[Reactie gewijzigd door ejabberd op 13 februari 2020 09:34]

Ik vind een zogenoemde 'just print clause' niet echt de beste oplossing. Er zijn genoeg mogelijkheden te bedenken waardoor je papiertjes ineens niet meer bruikbaar zijn, vooral in een dossierkast.
Ja dat niet alleen maar als het terug halen van alle gegevens drie keer zo duur is als de hacker betalen dan zal ook jouw bedrijf met alles uitgeprint kiezen om de hacker te betalen zodat je goedkoper en sneller weer aan de slag bent, uit eindelijk draaid alles weer om geld en operationeel zijn om zo de verliezen te beperken.
In de digitale wereld van vandaag is een papieren backup zelden een goede oplossing. Je hebt een backup om in noodgevallen op terug te kunnen vallen, maar het terugzetten naar een digitale versies kost "eeuwen".
Bij een klant van me heb ik dat voor definitieve digitale documenten opgelost door een mappenstructuur te voorzien waar ze enkel nieuwe bestanden naartoe mogen schrijven, maar waar ze geen bestanden of mappen kunnen wijzigen of verwijderen. Dit alles wordt natuurlijk nog beschermd door snapshots en backup (on- en offsite) met versiebeheer.
Ja, het is een gevecht maar keer op keer blijkt dat de gegijzelde kansloos is omdat men de zaken niet goed voor elkaar heeft. Hopelijk zijn er nu wat bedrijven die opletten en zaken gaan regelen zodat je uberhaupt zonder te betalen verder kunt zonder dataverlies.
Hoe moet jij je zaken voor elkaar hebben als je met bv virusscanners en andere beveiligingen/updates afhankelijk bent van andere bedrijven? En natuurlijk kan je als je al je backups hebt geheel opnieuw beginnen met verse installaties, maar wat voor een tijd gaat er overheen en welke kosten zijn daar mee gemoeid gezien het geen standaard werk voor de ICT dienstverlener is maar een apart betaald project.
Ik geloof graag dat het betalen van gijzelaar voor een sleutel een goede overweging is om snel van de ellende af te komen. Dan moet de gijzelnemer wel eerlijk zijn en een sleutel geven en hopelijk niets opnieuw achterlaten maar tot zover lijkt het betalen wel te werken.
Als we deze lijn doorzetten en het dus steeds lucratief blijkt er op een gegeven moment meer mensen bezig zijn met computers gijzelen dan met werk verrichten. Als een bank overvallen steeds lukt en de pakkans 0 is, dan zouden banken ook steeds overvallen worden. M.a.w. pakkans moet omhoog en de maatregelen moeten beter. Een backup terugzetten moet geen project zijn maar jaarlijkse praktijk (een drill). Berusten en betalen is geen oplossing voor de langere termijn.
Het is niet dat ze niet weten hoe een back-up terug te zetten, het is dat die back-up ook de lul is. Als dat niet zo zou zijn dan bestond dit hele probleem namelijk niet. Dus waarom je daarop zou willen drillen is mij een groot raadsel.
Je backup is pas de lul als je ge-encrypte bestanden op tape zet. Als je bestanden ge-encrypt zijn heb je dat door voordat je backup'ed. Als men een deel van de bestanden die niet vaak benaderd worden ge-encrypt heeft (die niet vaak gebruikte bestanden) dan is dat geen probleem. Want met een fatsoenlijke backup kun je met minimale middelen zo 6 maanden terug reizen. Als de hackers nog langer op je netwerk zaten (jaren) en dus alle backups onbruikbaar zijn dan verdien je het als bedrijf om per direkt gesloten te worden.
De drill doe je om zeker te stellen dat je nog weet hoe je een backup terug moet zetten. Dat uitzoeken onder druk is geen pretje.
Ik weet niet waar het idee van onbruikbare backups vandaan komt. Maar ik heb het nog niet meegemaakt (behalve dus als je 1 tape hebt en die steeds overschrijft, maar dat is geen backup).
Een back-up van een half jaar oud terugzetten.....

Bespaar je die moeite en ga gewoon gelijk failliet.
Er zijn zat bedrijven te bedeken waarvan je zelf jaren terug de backups wilt hebben.

Z'n beetje alle bedrijven de ontwerpen doen is dit noodzakelijk.

Ik nap ook nog niet waarom er aan de server kant nog geen detectie software geschreven is die kan detecteren dat een wile ge-encryot wordt.

En ja... off-site tape backups.... DOEN`!!!!
Lezen is lastig blijkbaar. Ik zeg nergens dat je van alle bestanden een backup van 6 maanden terug moet inlezen. En dat het een +2 krijgt is ook vrij zorgelijk. Mensen roeptoeteren hier dat alle files in de backup ook ge-encrypt zijn. Ik zeg: dat is onzin, want dan had je het allang gemerkt. Er is wel een optie dat nauwelijks gebruikte bestanden al 6 maanden lang versleuteld op de server staan (bijv. oude boekhoudingen). Die zouden dan ge-encrypt op tape staan. Die bestanden terughalen (ook al zijn ze 6 maanden oud) maakt dus helemaal niet uit, want ze zijn al die tijd niet veranderd. Verder goede trol reactie, dat dan wel.
Als een file encrypted is door ransomware, hoef je dat niet meteen te merken. Sommige ransomware kan alles al encrypten en als je een file opvraagt, deze nog decrypten, zodat je niet merkt tot dat alles, inclusief je backups, besmet zijn.
Als je naar backups van een half jaar terug moet grijpen kan je dus een half jaar werk kwijt zijn van je organisatie. Dat is voor velen al genoeg om dan het bijltje er maar bij neer te gooien. Zelfs een maand kan al vele miljoenen of zelfs miljarden kosten.

Als je specifiek getarget wordt door hackers, is geen oplossing meer heilig en dan houdt het heel erg snel weer op.

Iedere organisatie kan de sjaak zijn, ondanks alle mogelijke oplossingen. De meest infecties komen door social engineering binnen. Maar een paar zero days in je gebruikte OS(en) kunnen afdoende zijn. En geen OS is daar veilig voor.
Ik zeg nergens dat je _alle_ bestanden van 6 maanden terug moet pakken. Mensen op het forum roepen dat je backup ge-encrypt is, dus daar heb je niets aan. Ik zeg: dat is niet waar want dan had je het direkt gemerkt. Het enige wat ik me voor kan stellen is dat hackers de map "oude files-nog uitzoeken" al eerder versleuteld hadden en die staat dan, helaas, corrupt op je backup. Maar dat geeft helemaal niet, want die map kun je dus ook van 6 maanden terug herstellen: je hebt er toch niets mee gedaan. De backup van 6 maanden terug is dus geen enkel probleem.

Dus, resume: backups zijn op bestandsniveau. Je kunt er voor kiezen per bestand welke versie je wilt hebben. Die van gisteren of die van 6 maanden terug. Als blijkt dat een bestand gisteren al ge-encrypt was pak je die van eergisteren. Het argument: maar dan werk ik met oude data gaat niet op. Als de data eergisteren al ge-encrypt was kon je er toen ook niet mee werken.

oh, btw: ik heb dit bij een klant zo aan de orde gehad. Dus ik spreek uit ervaring.
Als iemand een pistool onder zijn neus krijgt en hij hoort "Je geld of je leven !" Hoe vaak denk jij dat die persoon dan zal antwoorden: "Neem dan mijn leven maar, want als ik je mijn geld geef dan blijft dit soort overvallen een veel te lucratieve business voor rovers !"

Dat zul je never-nooit-niet horen.

Niet betalen (en dan maar failliet gaan) gaat niet gebeuren: Dus heb je volkomen gelijk: de pakkans moet omhoog.

De vraag is dan weer hoe je dát voor elkaar gaat krijgen zonder van allerlei draconische privacy schendende maatregelen te nemen.

Straks is gijzelsoftware het nieuwe 'kinderporno' en gaat de politiek dit gebruiken om beperkende maatregelen door te voeren. Vervolgens staan alle tweakers weer op hun achterste benen (want: privacy en vrijheid)

Ik denk: Dit is niet op korte termijn opgelost. Er moet geld komen voor onderzoek. Onderzoek naar sporen die daders achterlaten. Gewoon ouderwets (digitaal) recherchewerk.
Maar óók onderzoek naar een goed beveiligingsconcept. Alles is te kraken, ja, maar het één is makkelijker te kraken dan het ander. Onderzoek kan naar een gouden idee leiden, best practices opstellen e.d.

Hopelijk helpt dat om de criminelen te stopen.
Alleen signed software toelaten op je netwerk (en dan dus signed door je eigen IT afdeling). Alleen filesystemen met history functie. Het kan eenvoudig, maar het is ingrijpend.
Zo eenvoudig is het natuurlijk ook weer niet.
Wat te denken aan de executables van Microsoft die Windows draait?
Die moeten ook kunnen draaien, maar die ga je niet zelf zitten signen.
Daarnaast heb je ook built-in executables die andere zaken kunnen starten, zoals Office, diverse scripting zaken en google voor de grap eens naar 'lolbins'.
Bovendien zit er een berg beheer aan vast, niet ieder bedrijf kan dit doen.
Vaak is er al te kort aan personeel en budget krijg je pas als het kalf verdronken is.

History function is ook op zicht goed, alleen als er domain admin wordt verkregen waardoor alle domain joined systemen op slot gaan. Dan heb je wel je data nog, maar 0 Windows-systemen. Leuk in een ecosystemen van honderden Windows-servers.

Iedere maatregel dekt een kwetsbaarheid af maar geen enkele is een heilige graal (tm).

Zo zie je maar dat security niet zwart-wit is, maar behoorlijk grijs. Security is een soort van verzekering, investeer meer geld en het kost je minder als er iets fout gaat. En daar moet je een balans in zien te vinden.
Het is wel eenvoudig. Maar MS signed zijn eigen executables nog niet eens. Notepad++ is bijv. gewoon signed. Notepad.exe niet. Verder zal MS er meer werk in moeten steken om niet zo maar non-signed binaries te starten via zo'n lolbin. En idd. niet ieder bedrijf kan dit doen. Maar veel bedrijven besteden dit uit en je zou als IT dienstverlener hier wellicht iets kunnen betekenen.

Maar het klopt: er is niet 1 magic bulllet die alles dekt. Alleen zijn er momenteel al voldoende mogelijkheden die nauwelijks ingezet worden omdat ze moeilijk zijn.
Ik denk dat de overheid het betalen van losheid voor gijzelsoftware moet verbieden, tenzij er mensenlevens of de nationale veiligheid op het spel staan.
Je moet zorgen dat je dienstverlener het nodige doet om de schade in dergelijke gevallen te beperken. Als basis moeten er backups zijn van de data en voor een snel herstel ook systeembackups. Als je dat mooi voor elkaar hebt, kan je als organisatie redelijk snel terug bezig zijn, zeker als je ziet dat het hier ook 8 dagen geduurd heeft voor ze terug up and running waren.

Ik vraag me af of in die 8 dagen ook het herstel van alle systemen in het netwerk inbegrepen is (of op zijn minst ondezocht is of dit nodig is), want eigenlijk kan je op zo'n moment niets meer vertrouwen zonder grondige controles. Je hebt dan misschien wel betaald, maar welk achterpoortje hebben ze nog achtergelaten?
Het probleem van de ransomware die dezer dagen actief is, is dat het zich soms al maanden op je netwerk verbergt. Voor een bedrijf is het ook niet realistisch om een back-up van 3 maanden geleden terug te plaatsen. Wat met alle werk / data van die laatste maanden? Dat kan je niet zomaar opgeven omdat manuele reconstructie daarvan nooit volledig zal zijn.

Als je tot die conclusie komt is volgens mij betalen de enige optie. Anders komt bovenop de tijd dat je machines geblokkeerd zijn nog eens maanden van reconstructie en verlies aan gegevens.

Bij ons zijn we sterk bezig met segmenteren op alle niveaus, als er dan eens iets gebeurd zal dit hopelijk niet het hele bedrijf raken. Updates en AV's zijn natuurlijk ook belangrijk, maar lekken zullen altijd eerst ontdekt worden alvorens ze gedicht zijn..
Stap 1 alle bedrijfs apparaten en connecties vereisen MFA,

dit is duer sluiter Nr 1 waar waarschijnlijk nog geen 5% van de NL it aan voldoet.

Stap 2 Admin account kan maar een 1 ding ipv 1 god admin

ook hier zijn maar heel laag % bedrijven dat dit doen.

als je die 2 hebt dan zijn meeste cryptos buiten te houden of hebben heel weinig impact als ze toch binnen komen.
Engeland betaald geen losgeld voor gijzelaars en het is strafbaar. Dan wordt er inderdaad iemand onthoofd maar dat accepteren ze gewoon.
Je kan gewoon principieel zijn in deze dingen.
Oh really? :Y)

"The UK's biggest provider of forensic services has paid a ransom to criminals after its IT systems were disrupted in a cyber-attack, BBC News has learned."

https://www.bbc.com/news/uk-48881959

[Reactie gewijzigd door OxWax op 12 februari 2020 13:10]

Beter nog: wie weet wat voor investeringen er gedaan kunnen worden met dat geld. Ik kan me voorstellen dat je als ransomware exploitant best wel leuk kan shoppen in het zeroday gangpad van je lokale darknet winkel. Zo breidt het probleem zich steeds verder uit van systemen die laks worden onderhouden naar netwerken waar men wél alles in orde heeft.

Betalen getuigt ook van gebrek aan verantwoordelijkheidsgevoel naar de maatschappij , alleen vindt men het doorgaans belangrijker om een lokaal en korte termijn oplossing toe te passen. Dat sentiment leeft ook hier op Tweakers. "Wat als mensen hun scriptie opnieuw moeten doen?". Ja, dat is lullig, en mijn inziens echt een probleemstuk die de school mag gaan oplossen. Die tegemoetkoming moet naar de studenten (in de vorm van collegegeld, capaciteit voor opnieuw nakijken, etc) en niet de hackers. Wat vergeten wordt is dat het sponsoren van hackers tot gevolg heeft dat straks meerdere scholen en universiteiten dat vraagstuk mogen gaan invullen.
Betalen getuigt ook van gebrek aan verantwoordelijkheidsgevoel naar de maatschappij , alleen vindt men het doorgaans belangrijker om een lokaal en korte termijn oplossing toe te passen. Dat sentiment leeft ook hier op Tweakers.
In een markt waarin jij de enige bent die niet betaalt, heeft het geen zin. Net als met alle klimaatmaatregelen heeft dit pas zin als het wettelijk afgedwongen wordt. Dan zijn de spelregels van het hele spel anders en het voor- en nadeel voor iedereen namelijk gelijk.

Anders heb je een paar brave bedrijven die niet betalen wat vrijwel geen impact heeft op het probleem. Net als een paar klimaatschaamte-vliegers die niet vliegen, wat misschien zelfs merkbaar is voor vliegmaatschappijen, maar wat ook vrijwel geen impact heeft op het probleem in totaal. Terwijl de losse individuen of bedrijven die dit doen er wel een groot nadeel van ondervinden.

Om die reden hebben we daadkrachtige leiders nodig die hier iets mee doen en bijvoorbeeld verbieden om betalingen aan dit soort partijen te verrichten. Daar gaat ook een preventieve werking van uit trouwens. Helaas hebben we geen daadkrachtig leiderschap in Nederland (Rutte: "visie is als een olifant die het uitzicht belemmert", I do not kid, dit heeft hij echt gezegd).
Zero-day? Die ransomware-hackers maken toch gebruik van gaten op ongepatchte systemen? Universiteit Maastricht bevestigt dat. Geen zero-day dus.
Je hebt niet gelezen.

Als je als ransomware hacker een vangst van €200k doet, kan je voor dat geld een aantal mooie zero days kopen, en daarmee je ransomware campagne nog veel lucratiever maken. Dat heet investeren, en de uni in Maastricht heeft dat zojuist gedaan.
Wat als bedrijven failliet gaan door ransomware omdat ze niet betalen? Honderden, duizenden mensen die hun baan verliezen. En dat allemaal omdat er mensen zijn die vinden dat je principes moet hebben. Hackers ga je niet tegenhouden, als het terug interessanter is om te dreigen met het publiceren van interne documenten, dan gaan ze dat gewoon opnieuw doen. Mag je je eigen documenten gaan terugkopen zonder enige zekerheid dat de hackers ze niet alsnog publiceren. Ook ransomware zal nooit verdwijnen. Al was het maar voor de lol, maar men gaat dat blijven proberen.
Het grappige is natuurlijk dat een oproep om niet meer te betalen nooit gaat werken. bedrijven/individuen kiezen voor hun directe eigenbelang.

Een wettelijk verbod. Waarbij er degelijke straffen zijn zou dit probleem in 1 klap oplossen.
Na twee keer proberen is het voor de hackers duidelijk dat bedrijven simpelweg niet kunnen betalen en dat een aanval dus niks oplevert.
Een wettelijk verbod hierop zou wellicht helpen. Bedrijven moeten van de accountant dit soort uitgaven al expliciet vermelden dus het stiekem doen kan dan nog meer gevolgen hebben.
Dit is inderdaad het enige dat zou werken. Maar zelfs dan is er mogelijk een zeer grote (maatschappelijke) impact als sommige bedrijven het niet betalen.

Meer verantwoordelijkheid bij techbedrijven zoals Microsoft leggen om haar software virusvrij te houden is wellicht nog de effectiefste methode. Aansprakelijkheid bij dit soort partijen leggen zal erg effectief zijn, maar je moet nooit denken dat het een totaaloplossing is in deze imperfecte wereld :)
Hoe meer aansprakelijkheid Microsoft moet dragen hoe duurder hun product wordt.
Qua totale kosten zal dit nog wel meevallen denk ik, en volgens mij is het het maatschappelijk gezien ook waard.
Maar je veranderd daarmee wel het hele speelveld. Opeens kunnen software leveranciers zich niet meer vrijwaren van vervolgschade, en die schade kan rustig zo hoog zijn dat niemand nog software aan een energiecentrale of een ziekenhuis wil leveren of alleen nog tegen een flinke meerprijs. Uiteindelijk is een verkoopprijs heel simpel: Alle kosten + verwachte toekomstige lasten + winstmarge = prijs.
Tegen het uitsluiten van specifieke (soorten) partijen is ook wel wat te verzinnen. Maar het zou zomaar noodzakelijk kunnen zijn om het speelveld ook daadwerkelijk te veranderen om een deel van deze problemen op te lossen.
Er is denk ik een gerechtvaardigd belang voor getroffen bedrijven om dit op een redelijk snelle manier af te kunnen handelen, maar je zou ook aan extra maatregelen kunnen denken in het betalingsverkeer door banken te verbieden transacties uit te laten voeren met cryptocoins die geen deugdelijke audittrail hebben (wat ze geen van allen hebben.....voor zover ik kan overzien).

Daarmee los je het probleem ook niet direct op, maar je neemt wel de keuze om over te gaan op dit soort transacties bij een individueel bedrijf weg en dat maakt ze dus minder kwetsbaar en daarmee onaantrekkelijker. De verantwoordelijkheid voor een afhandeling leg je vervolgens bij bedrijven met meer kennis en middelen om hier een vuist tegen te maken.
verbieden transacties uit te laten voeren met cryptocoins die geen deugdelijke audittrail hebben
Criminals are gonna criminal. Je raakt er iedereen mee, en de criminals are nog steeds gonna criminal.

De Autoriteit Persoonsgegevens zou een anoniem wettig digitaal betaalmiddel juist moeten aanbevelen nu steeds meer tentjes, openbaar vervoer en bioscopen weigeren cash geld te accepteren. Het moet niet mogelijk zijn dat achteraf door middel van profilering wordt achterhaald waar je zoal je geld aan uitgeeft. Het recht op privacy van 17 miljoen mensen zou zwaarder moeten wegen dan het recht van bedrijven en instellingen om buitengewoon nonchalant met hun beveiliging om te gaan.
Weinig van deze 'hacks' gebeuren via Zero Day exploits. Bij gekende bugs is er praktisch altijd al een update beschikbaar en in bijna alle gevallen is die update gewoon niet uitgevoerd op het getroffen systeem. Moeten we dan ook tech bedrijven aansprakelijk houden wanneer eindgebruikers niet patchen?

Om maar even te duiden dat dergelijke maatregel een pak minder effect zal hebben dan je denkt.

[Reactie gewijzigd door nstubbe op 13 februari 2020 10:10]

Wellicht zou het uitvoeren van een update dus sneller, minder invasief, zonder dat een reboot nodig is, etc. moeten kunnen. Dat zou al heel veel helpen en vaak zou dat ook gewoon moeten kunnen.
Steunen van terroristische organisaties is al verboden

iemand die je netwerk terroriseert zou daar opzich ook onder kunnen vallen

[Reactie gewijzigd door scribly3 op 12 februari 2020 18:23]

Ok, maar hoe zie je dat dan voor je?
Directeur/bedrijf/instelling een fikse boete, bovenop de kosten om de omgeving vanaf de grond op opnieuw te bouwen. Ziekenhuis/instituut maar een paar weken dicht gooien, Spoedeisendehulp dicht en alle patiënten verhuizen / opnieuw beginnen met onderzoek (in het geval van wetsus)? Het is een leuk idee, maar weinig praktisch.

[Reactie gewijzigd door Lampiz op 12 februari 2020 10:55]

Het grappige is natuurlijk dat een oproep om niet meer te betalen nooit gaat werken. bedrijven/individuen kiezen voor hun directe eigenbelang.

Een wettelijk verbod. Waarbij er degelijke straffen zijn zou dit probleem in 1 klap oplossen.
Na twee keer proberen is het voor de hackers duidelijk dat bedrijven simpelweg niet kunnen betalen en dat een aanval dus niks oplevert.
Geniaal !!

Dan gaat bedrijf B de boel saboteren bij bedrijf A
Ze kunnen niet betalen, want verboden ...
De malware stuurt het proces in de war, dus geen productie
Gaat bedrijf A wel betalen - weer profit, bedrijf B wordt bedrijf a
Repeat ....
Klinkt als de handgranaten voor de deur van cafes in amsterdam. Dat werkt overigens wel want de toko waar de granaat voor ligt wordt gesloten.
Laten we zo'n wet maar gelijk aannemen. Kunnen bedrijven de deuren openzetten, want hackers verdienen er niks meer aan toch?

anlyway...zo;n wet gaat natuurlijk nooit helpen. Dan kan je nog eerder een wet implementeren die erop toeziet dat er genoeg aan security wordt gedaan, en dat je daar op gaat straffen. Hackers vinden altijd wel een business model. Desnoods ransomware op bestelling, of data versprijden ipv versleutelen.

Het is een utopie om te zeggen dat hackers werkeloos worden en hiermee stoppen door een degelijke wet.
Oh je wil niet betalen? Dan gooien we toch gewoon bestanden online.
Waarom zouden criminelen dat doen?

Die doen het ook voor de centen, niet omdat ze er goed gevoel uit halen. Het zijn professionals, geen Disney-slechterikken. Als het zoveel moeilijker is om uit NL doelwitten centen te halen want de doelwitten hebben de wettelijke plicht niet te betalen, dan gaan de criminelen wel ergens anders te werk
Uit wraak? Weken of misschien wel maanden werk voor niets geweest. Het kost niet eens moeite om gegevens op straat te gooien.

Professionals zijn het vaak niet. Het gaat vaak om social engineering, phishing en ze zijn binnen. Zoals je in het artikel kunt lezen zijn ze ook niet communicatief vaardig geweest.
Professioneel = geld verdienen met wat je doet.
Waarschijnlijk verdienen ze een stuk meer dan ik. Dat noem ik echt wel professioneel.
Welke techniek ze gebruiken doet er niet toe. Doel, middelen, resultaat. Waarbij de klant geen kant op kan (ook knap).
Als het bedrijf niet wil betalen en het gaat failliet doordat de bestanden op het internet gegooid worden, dat is wel een signaal naar de volgende slachtoffers: betalen of je gaat eraan.
Misschien om te tonen dat het hen echt menens is zodat een volgende slachtoffer misschien wel bereid is om te betalen?
Eigenlijk is betalen voor ransomware een soort belasting/boete op het niet op orde hebben van je beveiliging |:(

Hoe vaker dit voorkomt, hoe duidelijker het wordt dat het loont om je security en backups goed geregeld te hebben.

Komt vanzelf goed dus door de economische druk :Y)
En hoe wil je precies nee zeggen als je bedrijf op het spel staat? Het kost vele malen meer om alles opnieuw op te bouwen, als je niet al failliet gaat door niet te betalen voor de key(s).
Stoer of niet, men zoekt gewoon naar de snelste/goedkoopste oplossing.
Zolang de losgeld bedragen niet hoger zijn dan de kosten voor het herstel via een andere methode (als die al werkt) zal men blijven betalen. Herstel via een back-up houdt meestal ook een verlies van data in. Ook dat is een kostenpost.
Vergeet niet dat de besmetting soms al maanden tevoren kunnen zijn gebeurd en dat het terugzetten van een recente back-up daardoor niet heel zinvol is.

De hackers zullen ongetwijfeld sporen nalaten en het opsporen en berechten van de daders lijkt de beste oplossing. Wanneer de pakkans groot genoeg is zal het aantal gijzelingen wel afnemen. Het zijn echter professionele mensen die dat doen en ze weten alle digitale sporen en de sporen van het losgeld goed te verbergen.

Het beste idee is voor het voorkomen van een gijzeling is het up-to-date houden van de beveiliging en het aantal externe contacten zo veel mogelijk te beperken. Helaas is de mens vaak de zwakste schakel die je slecht onder controle kan houden.
Ik denk dat je wat inlevingsvermogen mist om hier iets van te vinden. Behalve dat er helemaal niks stoers is aan zijn opmerking (waar moet hij in hemelsnaam trots op zijn?), is het ook de meest logische keuze om er vanaf te komen.

De enige reden dat het vaker gebeurd is omdat het KAN, slechte updates, slecht informatiebeveiliging beleid en processen etc etc. Bedrijven moeten fors meer investeren in security, dus in het preventief zorgen dat dit niet meer gaan plaatsvinden. Geen losgeld is geen optie, de volgende optie is dat ze je data stelen of gewoon puur uit lol je bedrijf kapot maken.
Het valt wel op dat staats instellingen rapper betalen dan privé instellingen. Maar ja bij die staatsbedrijven betaalt de burger als he. En dan is het wel iets makkelijker, het volk betaalt toch belastingen.
Het begint mij toch wel te ergeren dat veel bedrijven geen actie onder nemen tot het te laat is, die paar duizend euro aan extra veiligheid is niet alleen voor je zelf maar ook voor je klanten. Toch willen ze allemaal zo veel mogelijk besparen tot het dan maar eens mis gaat.
Mee eens - en het ergste van alles, goede beveiliging is vaak goedkoper dan het gevraagde losgeld.

Wij hebben in het bedrijf in de begin dagen van “cryptolockers” ongeveer 15-20 keer problemen gehad met dergelijke ransomware. Geen enkele keer hebben wij losgeld betaald, altijd terug gevallen op backups.

Het enige probleem; het kost tijd, en je verliest altijd we iets van data.

Sinds een jaar of twee is de software mbt ransomware verbeterd en is er een combi van software geïmplementeerd om de risico’s zo klein mogelijk te maken, te weten:

LAPS
Tool van Microsoft om de admin passwords van lokale machines op een interval te laten veranderen. Hierdoor heeft niemand meer admin rechten op de machine, en niemand die het password heeft welke toegang geeft op alle machines.

Cybereason
Tool welke verdachte activiteit opspoort, blokkeert en rapporteerd. Volgens de firma zelf een van de beste oplossingen tegen ransom ware

2FA
Er is een tijd geweest dat phishing leidde tot inlogt op de webmails van collega’s om zo ransomware te verspreiden. Sinds enige tijd gebruiken we 2FA om dit te voorkomen.

Niets is waterdicht, maar sommige stappen zijn natuurlijk logisch om te zetten om het in de toekomst te voorkomen, het is een investering, maar snel terug verdiend als ze blijken te werken (wat ze tot nu toe doen).
"goede beveiliging is vaak goedkoper dan het gevraagde losgeld."

Heb je cijfers die dat onderbouwen?

De Universiteit Maastricht heeft 200.000 euro betaald. Dat is weinig geld voor "1.647 Linux en Windows-servers en 7.307 werkplekken.". De aanbeveling die in het Fox-IT-rapport staan gaan wel meer kosten dan 200.000 euro.
Ja, goedkoper als je maar 1x te maken hebt met ransomware. Maar als je het een 2e, 3e, 4e keer gebeurt omdat je niet goed beveiligd bent? Dagen offline, niet kunnen werken (verdienen), etc... Kom maar op met je rekensom.
Als je gelijk betaald heb je natuurlijk weinig downtime. Maar je hebt wel gelijk dat je in principe elke 2 weken door dezelfde of andere ransomware bende geraakt kunt worden. Dan wordt het 4 ton per maand en dan gaat het hele kosten/baten verhaal de mist in.
Elke stap die je doet in het kader van verbeteren van de beveiliging is al beter als niks. En begint al bij de simpele/kleine dingen. Dingen die je zonder professionele kennis ook al kunt doen (regelmatig ww aanpassen, vermijden van onbekende USB-sticks, etc..).
Ga je mij nu melden dat voor het gebruik van LAPS de gebruikers gewoon admin waren? Want dat is een zeer grote fout. LAPS is niet de tool om admin rechten van je gebruikers weg te nemen, maar wel om op elke PC een admin account met uniek, veranderend wachtwoord te hebben zodat het lekken van 1 enkel wachtwoord slechts beperkte gevolgen heeft.

En hoe kan malware inloggen op de webmail van een ander? Dan lijkt het mij dat er ofwel zonder wachtwoorden werd gewerkt danwel iedereen met hetzelfde wachtwoord. Begrijp me niet verkeerd, 2FA is daar een goede zet, maar het feit dat je voor de 2FA gewoon kon inloggen op een ander zijn mail is toch ook beangstigend.
Wij hebben SentinelOne uitgerold de afgelopen maanden.
Ondertussen toch al 14x ransomware aanvallen geblokkeerd .. gelukkig maar
En de hackers verdienen er lekker aan. Crimineel gedrag word zo gestimuleerd want betalen doen ze toch wel.
Zo lang betalen goedkoper is dan 1) niet betalen (en je gegevens niet meer hebben) en 2) je zaken preventief op orde hebben, is dat bedrijfseconomisch inderdaad het beste.
Het zal nooit goedkoper worden dan de in punt 2 genoemde zaak. Je verliest niet alleen uptime, maar ook tijd. Als het langer duurt kan je klanten, partners en je reputatie verliezen.
Precies. Dit gebeurt nu de laatste tijd vaker en de hackers worden hierdoor extra gemotiveerd.
shortterm winst ('besparingen') tov longterm winst, we kiezen veelal voor de korte termijn. Op deze manier blijft men ook die troep lonend houden voor anderen -_-
Ok, wat moet ik volgens jouw nu doen om volgens jaar geen problemen te krijgen? Geld is even geen probleem in deze discussie.
Een audit laten uitvoeren door een gespecialiseerd bedrijf?
De ICT afdeling opdracht geven om alles eens goed door te lichten? (laatste FW, laatste updates, vervanging oude systemen, geen onnodige admin rechten, etc)
De ICT afdeling de opdracht geven om het backup mechanisme goed door te lichten? (offline backups, test of terug zetten werkt, etc).
Een bewustwordingen campagne naar de gebruikers toe?

Er zijn zat stappen die gezet kunnen worden. Garanties heb je niet, maar de kans verkleinen zou prima haalbaar moeten zijn.

[Reactie gewijzigd door Bas_B op 12 februari 2020 10:44]

En dan krijg je een werkgerelateerde email, met word/excel bestanden.
Van een afzender waar je het van kan verwachten ( of een klant/zakenpartner )

sta je dan met je dichtgetimmerde schutting en achterdeur, komt vriend Emotet via de voordeur binnen, met alle andere post.

Er van uitgaan dat die bedrijven hun beveiliging niet op orde hebben is puur speculatie.
Als jij het beter kan, moet je je daarin specialiseren, zit veel inkomen in momenteel.

Beste stuurlui staan aan wal, altijd al zo geweest !
Beste stuurlui zijn de eigen medewerkers.
En laat het daar nou zo vaak mis gaan.

Het begint van boven naar beneden. Management zorgt er voor dat er voldoende budget is en dat er niet te veel legacy-software in en om de ict blijft hangen,

werknemers blijven beseffen dat die spullen bedrijfseigendommen zijn en waar je met terughoudendheid prive gebruik van maakt.


Functie van ICT is zo ingeburgerd dat we allang vergeten zijn wat er achter dat doosje plaatsvind en welke waarde het heeft.
En dan denk ik dat je laatste zin nog het belangrijkste is: je hebt nooit garanties. Je mag de beste technieken toepassen, alle best practices implementeren maar op het einde van de rit heb je 0 garantie dat je nooit getroffen zult worden.
zorgen dat je virus scanners uptodate zijn.
een roll-back op je file systeem is ook erg handig, zodat je files kunt terugzetten naar een datum voor de encryptie.
een backup maken, niet alleen elke dag je oude files overschrijven, maar een systeem waar mee je dagen of zelfs weken terug kunt gaan naar de volledige files van die datum.
een goed rechte management voor de gebruikers, dat beperkt de schade dit soort aanvallen werken nog gewoon op gebruikers niveau, dus kan de gebruiker er niet bij kan het ook niet ge-encript worden.

zo dat is theorie, nu praktijk. (helaas mee gemaakt)
ze doelen niet je hoofd zaken op het netwerk, maar net de kleine zaken er om heen.
denk aan documenten van word en excel, en laten vaak de database ongemoeid ook het os of server blijft onaangetast.
virus scanners hebben best veel moeite dit te registreren, het valt eigenlijk niet het os aan.
maar het pakt de data file's en encript die, daar door lijkt het programma niet erg op een virus.
ook neemt het eerst de oude lang niet gebruikte datafile's op de computer's/netwerk en encript die.
hier door zijn er zoveel veranderingen op de harde schijven dat de roll-back op het file systeem plaats moet maken en die vrij zinloos is geworden.
door dat het niet in eens alles encript, worden uit eindelijk ook backup's overschreven met de foute file's.
en zijn ook de backups soms waardeloos geworden (of je moet erg ver terug in de tijd gaan.).
en op een 1 of andere manier komt dit altijd binnen via een gebruiker die net veel rechten heeft op het netwerk. (wet van Murphy?)

dit gebeurd vaak ook nog zo dat het in het begin lijkt op dat er iets kleins fout is gegaan, waardoor een paar onbelangrijke files niet te lezen zijn.
maar langzaam kom je er achter dat het dieper zit, en dan ben je eigenlijk al te laat.
grote bedrijven kunnen zich nog wel wapenen er tegen, maar kleine bedrijven dan word het toch erg lastig. dan begint geld toch wel het lastigste te worden.

een bescherming die echt afdoende werkt?
geen idee of die bestaat, en als die bestaat dan vinden ze daar waarschijnlijk ook wel iets op om te omzeilen.
het lijkt meer op een wapenwedloop als een beveiligings-zaak. ;)

[Reactie gewijzigd door migjes op 12 februari 2020 11:41]

Wanneer je backup-systeem je waarschuwt wanneer er onverwacht veel bestanden wijzigen bijvoorbeeld, dan kan dat al helpen bij het in een vroeg stadium ontdekken van een ransomware attack. Je haalt dan je systemen uit het netwerk waar nodig, identificeert dan de schuldige, pakt het probleem aan en eens dat gebeurd is, zet je de vorige versie van de bestanden terug.

Als alles goed geregeld is, kan je vrij snel terug verder werken, en ben je nauwelijks gegevens kwijt (minder dan een dag).
die hebben ze al door, ze wijzigen in het begin dus expres niet te veel.
en doen dat ook nog in mappen/files die ouder zijn of lang niet geweizicht, zodat je het niet snel door hebt en het lekker diep in je backup's gaat zitten.

het beginnen echt lastige boefjes te worden. ;)
Ik spreek dan even voor mijn eigen situatie, maar hoe diep het ook in mijn backups zit, de goede versie komt wel naar boven (backup-versies gaan momenteel tot ongeveer 2 jaar terug zonder beperking in aantal). Hoe langer het duurt, hoe vervelender het wordt natuurlijk.

In mijn geval zit ik met redelijk weinig veranderende bestanden, dus dat maakt herstel normaal gezien makkelijker, maar dat zal zeker niet voor iedereen het geval zijn.

Hoe groter het bedrijf, hoe moeilijker automatische detectie wordt natuurlijk, maar hoe meer mensen er zullen zijn die ineens merken dat bepaalde bestanden niet meer geopend kunnen worden, ook al kan dat vanop de computer die het geëncrypteerd heeft nog wel.
probleem is niet dat je het niet uit de backup krijgt, dat lukt wel.
maar die bestanden zijn dan ook al oud, het werk van al die tijd is dus verloren gegaan.
en soms niet meer te achterhalen, hoeveel je dan verloren bent.
(het is geen database maar vaak zijn het de excel file's, die wekelijks worden geupdate b.v.)
erg vervelend.

en dan de vraag: kleine kosten voor de randsomware, of grote kosten aan personeel om uit te zoeken wat er allemaal bijgewerkt moet worden.
(voor mijn geval 500€ vs 5xFTE werk van 2 weken. lastige beslissing)
Wanneer die bestanden door 1 persoon op 1 computer bewerkt worden, kan dat inderdaad zeer vervelend worden. Wanneer die persoon of personen meerdere computers gebruiken, zal het snel opvallen.

Misschien toch eens zien of ik mijn NAS automatisch kan laten controleren of de extensie van een bestand overeenkomt met het bestandstype voor de meest gangbare document- en beeldformaten. Wanneer daar afwijkingen in zijn die er eerder niet waren, is dat al een goede indicatie.
waarom zou de extensie geweizicht moeten worden als de file ge-encript word?
dat is niet nodig van uit de hacker zijn standpunt.
dus of dat gaat helpen?
Nee, maar als je een tool gebruikt die controleert of de inhoud van het bestand overeenkomt met de extensie, dan spot je wel snel dat er iets mis is. Alleen het bestandstype identificeren op basis van de extensie is natuurlijk niet genoeg.
In het bestand staat ook nog eens wat het is. Linux gebruikt daarom ook geen extensies. Ik vind de check een geniaal idee van Gorby, als er meer dan een paar mismatches zijn (kapot word bestand kan altijd gebeuren) is er wat mis.
ik vind @GORby zijn plan ook zeker niet dom of onsuccesvol. ;)

maar de boefjes zijn niet dom, en zullen dan straks alleen het einde van de file encripten.
dan blijft de header intact en loopt de check dus mis.

hier mee win je de slag, maar niet de oorlog.

(elke keer als ik het weer zie langs komen zie ik ze slimmer worden.
eerst was het het OS vast zetten, toen snel zo veel mogenlijk data encripten, nu langzaam de data pakken zodat het ook in de backup komt te zitten.
dit gaat de komende jaren niet stoppen en zal slimmer en slimmer worden ben ik bang.
het lijkt wel of die boefjes professioneler worden.)
Verrekt ja.... Headers heel laten zou weer werken. Ik had hier ook al het idee gezien "honeypot"-files (word ofzo) te maken en regelmatig te kijken of die nog naar PDF geconverteerd kunnen worden. Alleen begint dat erg omslachtig te worden...
Even het artikel lezen. Het instituut HAD back-ups !!
je kunt heel veel doen. For starters: niet betalen. Het probleem met losgeld betalen is dat je iets lonend maakt, dus het is misschien zelfs wel veel beter om maar in eigen vlees te snijden.

Men maakte hier een economische afweging: wat is goedkoper, een paar dagen onderzoek opnieuw doen of het losgeld betalen. Het resultaat is dat je het signaal geeft dat zolang je losgeldeis maar lager is dan wat grofweg de geschatte kosten zijn, dat er wel betaald zal worden. Op die manier stijgen uiteindelijk je kosten voor helemaal niets, want nu zal er uiteindelijk alsnog een hele checkup moeten worden gedaan van je it-omgeving, zaken vervangen worden, aangepast enz. De beveiligingskosten / it-kosten die je eerder had uitgespaard krijg je dus alsnog voor de kiezen, samen met het losgeld.
Zorg voor een fatsoenlijk, getest disaster recovery plan, mét offline back-ups. Zoals elders al gezegd: het gaat er niet om óf het je overkomt, maar wanneer. En op het moment dat het je overkomt wil je graag met zo min mogelijk kosten en tijdsverlies, en bij voorkeur zonder de culprits te lonen, weer up and running zijn. Daarna kun je gaan kijken naar preventieve maatregelen om ervoor te zorgen dat je je back-ups en disaster recovery plannen zo min mogelijk nodig hebt.
Hoezo, dit gebeurt echt al vanaf het begin van het ontstaan van computers. Een update wil niet meteen zeggen dat het veilig is. Het kan er juist voor zorgen dat andere software niet werkt, of dat er duizenden andere bugs verschijnen.

Leuk youtube kanaal dat laat zien wat virussen o.a. doet: https://www.youtube.com/user/danooct1/videos
Het gaat niet eens om updates. Ja, updates helpen, maar dat gaat nooit alles tegen houden.

Het gaat over een degelijk backup plan. Alles moet gewoon vanzelf automatisch gebackupt worden. En dan niet gewoon naar een netwerk schijf (want die wordt gewoon mee ge-encrypt). Er moeten automatische backups naar offline storage en/of de cloud gaan (met history).

Je zou in principe elke computer in je bedrijf in de zee moeten kunnen smijten, en ervoor kunnen zorgen dat die medewerker een paar uurtjes later weer verder kan met een nieuwe.

Dat is allemaal niet eenvoudig, en het kost ook allemaal geld. Maar het is nodig. Je runt ook geen serieus bedrijf zonder goede boekhouder, of contact met een goede advocaat. Dit zijn gewoon diensten die deel van je overhead moeten zijn en je lange termijn tijd en geld uitsparen.
Dat is er van uitgaande dat zo'n besmetting gisteren is gebeurt, en vandaag ingezet.

Zou zo'n malwaremaker daar ook niet aan denken ?
malware plaatsen in december, dormant op de achtergrond in een service die je niet zomaar opvalt ( chrome heeft soms tientallen processen lopende.
en nu in februari wordt het actief.

Bij de gemiddelde backup wordt het dagelijks, wekelijks en maandelijks gedaan.
In dit geval zou de 'schone' backup dan november moeten zijn.
Maar wat nu als het al in juni'19 geplaatst is ?
Incrementele backups. Je houdt elke versie van alles bij. Zo kan je gewoon altijd terug. Trouwens ook enorm handig zelfs zonder ransomware aanval. Als je een document hebt aangepast en je wilt wat later het origineel terug, dan kan je gewoon de versie van een bepaalde dag gaan terug halen.

Dit kost natuurlijk extra opslag, maar voor documenten is dit eigenlijk nooit een probleem. Op 10GB storage krijg je al heel wat Excel tabellen...
jep, dat gebeurd dus.
je dagelijkse back-up kun je vrijwel weg gooien.
en wekelijks soms ook.
het maakt verder geen bal uit of dat een online of offline back-up is, zelfs een offside back-up helpt niet.
die hebben allemaal het zelfde probleem, de encryptie zit ook daar in.

en dan moet je zover terug en is de prijs van het losgeld niet hoog.
dat je voor een groot dilemma staat: "wat doe je nu". ;)

[Reactie gewijzigd door migjes op 12 februari 2020 11:34]

Hier kun je je ook prima tegen verdedigen, al kost het wel wat extra moeite.

Je kunt bij iedere backup die je maakt vergelijken hoeveel data er verandert is t.o.v. de vorige backup(s). Op het moment dat de ransomware begint met versleutelen (maar in het geheugen actief blijft om on-the-fly bestanden weer te ontsleutelen), zullen er opeens veel verschillen zijn tussen vorige backups en de huidige versie van de data. Dan moet er een alarmbel afgaan en moet het verwijderen van oude backups worden stopgezet totdat de boel volledig is onderzocht.

Of als alternatief maak je een set honeypot-bestanden in allerlei gangbare formaten die voor ransomware interessant zijn (documenten, spreadsheets, afbeeldingen, enz...). Van deze bestanden weet je exact hoe ze er uit moeten zien en deze zouden bij normaal gebruik nooit moeten veranderen. Na het maken van een backup controleer je op een geisoleerd systeem of de honeypot bestanden nog steeds ongewijzigd zijn. Zodra er een wijziging gevonden wordt, alarm slaan en onderzoek starten.
Wellicht denken veel bedrijven dat het wel goed geregeld is, maar blijkt pas dat dat niet zo is als het te laat is.
Inderdaad, voorkomen is beter dan "genezen" ook in dit geval. Daarnaast ergert het mij eigenlijk nog meer dat deze hackers zo makkelijk wegkomen met afpersing en diefstal. Blijkbaar zijn e-mail en bitcoin sporen lang niet voldoende. Wat is er voor nodig om deze criminelen op te pakken?
Even een korte vraag aan de mede Tweakers: Wat is momenteel de beste Anti Ransomware voor computers? Zowel prive als zakelijk? Ik heb zelf Bitdefender en lees veel goeds daar over, maar weet niet of dit voldoende is om alleen te draaien.
Welke methoden zijn er nog meer?
Tevens in hoeverre kan Ransomware zichzelf nesten op Linux based servers/clients?
Back-ups op een plek waar de ransomware niet bij kan, zoals tape, cloud storage of een externe harde schijf die niet aan een computer hangt, zijn de enige effectieve methoden om tegen ransomware te beschermen. Als je dat eenmaal hebt, kun je sommige infecties (maar niet alle) voorkomen door alert te zijn, en een anti-virus te draaien.
Back-ups maken doe ik al, zowel cloud als externe HDD. Maar ik las dat als je slapende malware/ransomware hebt in je bestanden (dus ook je backup), je alsnog geïnfecteerd kan raken.
Dus vandaar de vraag welke software het beste resultaat heeft zakelijk en privé. En dan vooral de namen van de Software pakketten.
Zelf heb ik nog niet gehoord van ransomware op Linux based server/clients en ook niet van andere aanvallen die ook maar in de buurt komen van dit soort aanvallen op Windows servers/clients. Dat wil niet zeggen dat de Linux kernel inherent veilig is, maar door gebruik te maken van W^X en home partities als noexec te markeren kom je al een heel eind.

Ik ben ook steeds meer aan het kijken naar op microkernels gebaseerde besturingssystemen. Zo heb ik een paar dagen geleden Debian GNU/Hurd in Virtualbox geïnstalleerd. Maar ook seL4, Redox en Helenos zijn interessant.

Soms is het beter met een schone lei te beginnen en over 10 jaar een bruikbaar product te hebben dan op dezelfde voet verder te gaan met dezelfde bekende resultaten.
Vooral betreft server oplossingen vind ik Linux interessant. En mensen kunnen dan alsnog Win 10 als client draaien. kan hooguit de client infected raken en natuurlijk bestanden op de data server. Maar die moet je dan maar met regelmaat scannen. En backups.
Ik kan zo geen namen noemen, maar je moet kijken naar software wat je processen in de gaten houd. Als een proces toegang gebruikt tot teveel verschillende bestanden zou zo'n proces wel eens malware kunnen zijn.
Is het niet van maatschappelijk belang dit soort berichten -> bepaald crimineel gedrag werkt, gewoon niet te publiceren?
Nee, censuur is nagenoeg nooit de oplossing.
Nee, censuur is nagenoeg nooit de oplossing.
Maar informatie hierover kan ook anderen op ideën brengen.
Zo werden een paar jaar geleden de berichten over steen van viaduct op auto niet 'nauwkeurig' meer geplaatst.
In plaats van headliners "STEEN OP AUTO IN XXX" kwamen de berichten verder weg in het nieuws, met minder details 'eenzijdig ongeluk zonder gewonden'

Effect was dat het ook werkelijk minder werd gedaan.
Vandalen kicken op die berichten, die laten aan hun maten zien dat ze de krant gehaald hebben.
Met een minuscuul berichtje moet je niet aankomen.

Een werkgever uit een ver verleden heeft zo met juridische stappen gedreigd als de overval zou gepubliceerd worden, zijn reden - het werd een draaiboek, overvallers wachten tot sluiting, bedreiging met mes en vuurwapen, bedekte gezichten - geen verdachten.
Wat denk je dat een groot aantal dan kan verzinnen ?
Hey, Shell kan me niet vinden als ik dit zo opvolg ....
Inderdaad, als het als sensatie wordt gebracht, krijg je copycats, maar zoals Michiel aangeeft, om het helemaal niet te publiceren is ten eerste niet in publiek belang, en ten 2de zijn de stappen om steen over viaduct versus breek in IT omgeving en encrypt bestanden qua moeilijkheidsgraad verschillend.

leuk dat je trouwens eerst je (ex-)werkgever wil beschermen en dan toch de naam laat vallen.
Inderdaad, als het als sensatie wordt gebracht, krijg je copycats, maar zoals Michiel aangeeft, om het helemaal niet te publiceren is ten eerste niet in publiek belang, en ten 2de zijn de stappen om steen over viaduct versus breek in IT omgeving en encrypt bestanden qua moeilijkheidsgraad verschillend.

leuk dat je trouwens eerst je (ex-)werkgever wil beschermen en dan toch de naam laat vallen.
Akkefietje uit 1996 lijkt me niet de moeite om te beschermen ;)
De wereld is ondertussen wel aan het veranderen, dus die M.O is wel bekend, en achterhaald :+
Leuk weetje : berichtgeving van vondsten vertragen , doet men bij grote drugsmokkel
Dan worden de Columbians nerveus en de transporteur nog meer want die kan niet bewijzen dat de lading werd geconfisceerd }>
Waarom hier stoppen dan? Deel gewoon gelijk de software van de hacker. Doe er gelijk een bitcoin wallet tutorial bij etc. etc.

Klinkt belachelijk natuurlijk maar weten we dit nog?
https://www.bright.nl/nie...arty-hack-je-ov-chipkaart

Zoals ik al in een andere comment heb gezet lijkt het überhaupt plaatsen me niet de meest slimme manier, de oplossing heb ik nog niet.


ps: voor de Tweaker die nu met een NFC app zijn Ovchipkaart aan het inlezen is, dit is precies wat ik bedoel.
Omdat de call to action niet aan copycats moet gericht zijn, maar aan bedrijven, breng je boel op orde. Of had je liever gehad dat China helemaal niks naar buiten bracht van het Coronavirus.

Of had je helemaal niet willen weten wat de NSA had geaan wat Snowden naar buiten bracht,
Of Facebook/Cambridge/... of ...
De artikels zijn om kenbaar te maken wat er is gebeurd, niet in detail te gaan over hoe.
Daarnaast heeft bright volgens mij gelijk. Translink had maar ook aan security moeten denken, ipv hoe snel geld uit te knijpen op een bagger manier.

En geweldige manier om van het ransomware onderwerp af te gaan.
ps: voor de Tweaker die nu met een NFC app zijn Ovchipkaart aan het inlezen is, dit is precies wat ik bedoel.
Ach er zijn er nog steeds die niet geloven dat ctrl-w een effectieve manier is om Chrome te versnellen
Wie bepaalt wat wel wat niet mag gepubliceerd worden?
Ik zag dit commentaar al aankomen en ben ook absoluut niet voor censuur, maar een soort van baseline waarbij er een groot maatschappelijk probleem is (grote instituten worden succesvol geld afgetroggeld) waarvoor nog geen oplossing is nog even niet in het nieuws komen totdat we ze succesvol wel kunnen oplossen.

Net zoals de plofkraken op de pinautomaten etc. Een stap verder zou zijn dat je laat zien dat zon hacker succesvol is opgespoord. Als je dat groot in het nieuws plaatst schrikt het nog af ook.

Ik kan mijn eigen idee eenvoudig onderuit halen, want ik snap dat je dan weer kan stellen wie bepaald de grens etc. etc. dus ik zeg ook niet dat dit DE oplossing is. Het enige wat ik me afvraag is, of er niet een slimmere manier moet zijn om de huistuinenkeuken crimineel niet op ideeën te brengen.

Naast dat de instituten zelf natuurlijk meer moeten investeren in voorkomen.
Een plofkraak niet rapporteren?
De hele straat wordt wakker geknald dus dat staat gelijk op social media.

Ik snap je punt maar blijkbaar is de school er mee naar buiten gekomen + sensatiepers (HLN)
Ik heb dit trouwens aan Tweakers gemeld O-)

Zo'n hacker zit hoog en droog in het buitenland, onvindbaar laat staan uitleverbaar.

[Reactie gewijzigd door OxWax op 12 februari 2020 11:42]

Zolang er geen details gepubliceerd wordt zie ik geen probleem, dit is niet het niveau van een huis-tuin-keuken-crimineel.
Ik ken Wetsus als onderzoekslaboratorium en ken genoeg mensen die er hebben gewerkt of stage hebben gelopen. Het is niet zo dat er geen back-ups worden gemaakt, in dit geval vermoed ik dat de backups ook geïnfecteerd zijn, aangezien er veel data van het lab komt, kun je niet zo 1, 2, 3 een back-up terug halen van vòòr dat er een infectie was.

Zelf zit ik (niet ICT'er) momenteel bij een semi-overheidslaboratorium, een aantal jaar geleden schijnt hier ook ransomware in het systeem te zijn geweest. In dit geval zou er een mail zijn gestuurd van de postbezorging dat ze iets niet hebben kunnen leveren, iets wat hier vaker voorkomt. Twee medewerkers hebben de geïnfecteerde bijlage geopend. Aangezien beide medewerkers sowieso al veel mails krijgen, en alle 'verdachte' mails (lees mails met veel spelfouten) al doorsturen naar de ICT, dachten ze hier een echte mail te hebben.
's Nachts zijn alle bestanden ge-encrypt, gelukkig worden de bronnen van data langere tijd ingevroren en konden de analyses opnieuw worden uitgevoerd. De back-ups van een dag eerder konden terug gezet worden aangezien deze niet waren geïnfecteerd, en niet waren aangesloten op het systeem ten tijden van de infectie (ik ken de precieze protocollen hiervan niet, dus ik kan niet uitleggen hoe en waarom dit zo is/was)

Aangezien ik hier nog niet weg wil, ben ik schaars met data waardoor te achterhalen is bij welke semi-overheidslaboratorium ik zit, ik ga er niet van uit dat het bestuur er zo blij van wordt als dit volledig uitlekt. Overigens heb ik dit verhaal gehoord van een van de twee medewerkers die de mail bijlage had geopend.
n dit geval vermoed ik dat de backups ook geïnfecteerd zijn,
Merkwaardig vermoeden aangezien het tegengesteld in het artikel staat.
Worden die eigenlijk gelezen?
Het staat inderdaad haaks op de reactie van de directeur.

[Reactie gewijzigd door Bram_H67 op 12 februari 2020 13:28]

Het staat inderdaad haaks op de reactie van de directeur.
Het artikel is het verhaal van de directeur, ik heb bronnen die het er niet helemaal mee eens zijn.
Waar kan ik die bronnen raadplegen?
niet, daar was ik zelf ook al achter en heb mijn opmerking al aangepast voor ik je reactie kreeg.
Waarom wordt de "host" van email niet gechecked, m.a.w. een ping/tracert of zo naar de host zou toch voldoende kunnen zijn?
Misschien een domme vraag, maar is het nou zo moeilijk om te achterhalen wie de daders zijn?
Ze moeten immers communiceren.
TOR is een manier om je te verschuilen
U denkt dat die achter de hoek in een internetcafé(bestaat dat nog?) zitten of eerder in een ver land zonder uitleveringsverdrag? :z

[Reactie gewijzigd door OxWax op 12 februari 2020 13:30]

Wat ik jammer vindt is dat er wordt betaald waarmee dit ongewenste gedrag beloond wordt en ze het geld kunnen inzetten voor betere (ransom)software: Mooie vicieuze cirkel.
Ik snap dat er een financiële afweging wordt gemaakt maar zo wordt het wel erg aantrekkelijk om te doen. Dit blijkt mogelijk ook uit het feit dat de contactpersoon volgens de woordvoerder niet erg sterk was in communicatie.
In dit geval ben ik akkoord , vooral omdat Wetsus wél backups hadden !!! 8)7
et instituut had wel back-ups, maar de directeur geeft aan dat men dan dagen bezig zou zijn geweest en dat niet alles was terug te halen. In feite zouden dan de onderzoeksgegevens van een paar dagen verloren zijn gegaan,
Echt ongelooflijk hoeveel bedrijven dus hun backup en restore procedures niet op orde hebben. Hoe moeilijk kan het zijn om een backup te hebben op een locatie waar niet direct naartoe kan worden geconnect vanaf het geïnfecteerde netwerk. Alleen als iets simpels als snapshotting kan je veel ellende voorkomen.
Die hadden ze wel op orde, staat in de laatste allinea van het artikel. Ze hadden backups van dagen geleden die teruggezet hadden kunnen worden. Waarom hier niet voor is gekozen weet ik niet, die paar dagen zullen al wel teveel kosten vergeleken met het losgeld.
Investeren in beveiliging is een lastige business-case.
Het is lastig te achtehalen of de beveiliging gewerkt heeft en daarmee aantonen wat de opbrengst van de investering is.
Daarbij is beveiliging vaak ook vervelend voor de gebruikers.

Ik geef vaak het voorbeeld van de deur van je huis.
Iedere dag doe je die op slot en ook weer open.
Dat kost je elke dag tijd, en dat jaren lang.
Gedurende die jaren, weet je eigenlijk niet of jouw huis is overgeslagen door inbrekers omdat de deur zo goed dicht zat, of omdat inbrekers gewoon geen interesse in jouw huis hebben gehad.
Investeren in beveiliging is een lastige business-case.
Hûh? En daarom doen bedrijven hun deur niet op slot en hangen ze geen camera's op en patrouilleren er geen beveiligers?
Als je een risicoafweging maakt, zien een organisaties dat betalen de snelste optie is om de bedrijfsprocessen en systemen weer up and running te krijgen, dus dit is geen verrassing..

Nou vraag ik mij wel af, in de ogen van een aanvaller ben je nu toch extra aantrekkelijk geworden? Toch maar 'even' beter hardenen en iets meer doen aan awareness, want met backups alleen kom je er niet.
"Even" hardenen. Tsja, als alles zo simpel was....
Vandaar ook dat ik het tussen aanhalingstekens had staan. Hardening is technisch gezien geen rocket science, er zijn vaak politieke of financiële redenen om iets wel of niet te doen. Ik kan mij voorstellen dat onderwijs- en zorginstellingen niet veel budget hebben voor security, in een tijd waarin ze zelfs gekort worden op de primaire processen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True