Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Criminelen stelen data van universiteiten en stichtingen na ransomware-aanval

Cybercriminelen hebben Blackbaud aangevallen, een bedrijf dat cloud- en administratiediensten levert aan universiteiten en stichtingen. Blackbaud wist de aanval te stoppen, maar betaalde losgeld om te voorkomen dat de criminelen gestolen data naar buiten zouden brengen.

De aanval dateert van mei 2020, maar Blackbaud wilde nooit erkennen van welke partijen de data was gestolen. De BBC schrijft nu dat het om minimaal tien universiteiten gaat in het Verenigd Koninkrijk, de Verenigde Staten en Canada en om twee stichtingen, waaronder Human Rights Watch. In het geval van sommige universiteiten is er alleen data gelekt van voormalige studenten. Bij andere universiteiten is er ook data buitgemaakt van huidige studenten, medewerkers en anderen.

Volgens Blackbaud hadden de hackers geen toegang tot creditcardinformatie, bankaccountinformatie of bsn-achtige nummers. De BBC zegt wel dat 'in bepaalde gevallen' telefoonnummers, donatiegeschiedenis en informatie over bijgewoonde evenementen is gestolen.

De Britse publieke omroep schrijft dat Blackbaud pas afgelopen weekend het Britse Information Commissioner's Office inlichtte. ICO is het Britse equivalent van de Autoriteit Persoonsgegevens, volgens de GDPR moeten bedrijven binnen 72 uur ICO inlichten als er persoonlijke data is gestolen of gelekt. Blackbaud deed dit pas zes weken later. Mogelijk staat Blackbaud nu een boete te wachten.

Human Rights Watch zegt dat zij donderdag 16 juli werden ingelicht over de ransomware-aanval. Volgens de stichting is onder andere informatie van donateurs gestolen. Ook de gegevens van mogelijke toekomstige donateurs zijn buitgemaakt. De stichting zegt te stoppen met het gebruik van Blackbaud-diensten om creditcard- en donateursinformatie te verwerken. Partijen waarvan de informatie is gestolen, zijn ingelicht door de stichting.

Bij de University of York gaat het om data als naam, geslacht, geboortedatum en studentnummer. Adressen en contactinformatie als telefoonnummer, e-mailadres en LinkedIn-url's zijn eveneens gestolen. Meer persoonlijke informatie als hobby's en interesses die studenten bij bijvoorbeeld enquêtes hebben ingevuld, zijn ook buitgemaakt, net als waar ze werken, wie hun baas is en wat voor activiteiten en studies ze bij de universiteit hebben gevolgd.

Tijdens de aanval van afgelopen mei probeerden criminelen met ransomware de computersystemen van Blackbaud te versleutelen. Het bedrijf wist dit te voorkomen, maar voordat de aanvallers buitengesloten konden worden, wisten ze een deel van de data die op een door Blackbaud zelf gehoste server staat te kopiëren.

Om te voorkomen dat de criminelen de data zouden uitlekken, betaalde Blackbaud een onbekend bedrag aan losgeld. Daarna zou het bedrijf bevestiging hebben gekregen dat de bestanden zijn verwijderd. Om wat voor bevestiging het gaat, schrijft Blackbaud niet. Het bedrijf wil niet aangeven van welke instanties data is gestolen, om 'de privacy van deze partijen te kunnen waarborgen'.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsredacteur

24-07-2020 • 11:14

36 Linkedin

Lees meer

Reacties (36)

Wijzig sortering
Hoe kunnen ze nu garanderen dat die bestanden inderdaad zijn verwijderd. Iemand die losgeld vraagt heeft toch aantoonbaar onjuiste intenties? En kan over een week weer op de stoep staan om een aanvullend bedrag te eisen?
Dat kunnen ze niet garanderen. Maar als ze volgende week alsnog de bestanden laten uitlekken of terugkomen voor meer losgeld dan schieten ze wel hun eigen glazen in en werkt het business model niet meer. Immers, de reden dat mensen nu betalen om hun bestanden weer te ontsleutelen is dat er heel veel voorbeelden zijn van bedrijven die daarmee daadwerkelijk hun gegevens ontsleuteld kregen. Zodra men daarmee zou stoppen, zou ook niemand meer gek genoeg zijn om dat geld over te maken.

Overigens zijn dit geen scriptkiddies die dit vanaf een zolderkamer er even bij doen. Het zijn tegenwoordig professionele organisaties met een helpdesk en alles er bij. Professionele misdaad die loont dus.
Professionele misdaad die loont dus.
Dat is wel erg kort door de bocht, voorlopig zijn dergelijke operaties alleen levensvatbaar en stabiel in dictatoriaal geleide landen waar de scheiding tussen georganiseerde misdaad en de overheid praktisch afwezig is zoals China en Rusland.
Juist 'witte boord criminelen' kunnen in Nederland prima een hele tijd hun gang gaan.
Als voorbeeld: bedrijfjes die gestart worden en 'failliet gaan' maar wel even flink wat cash hebben gegenereerd.
Dat gebeurd open en bloot en is in de praktijk lastig te stoppen. Pas na héél wat aangiftes en jaren van onderzoek kan iemand opgepakt worden. Rapper JayJay is een recent voorbeeld hiervan. En dat is dan nog met 'kinderachtige' bedragen.
Zo zijn er nog meer witte boorden te verzinnen die juist in Nederland (in mijn ogen) goed werken. In andere landen kost het je echt je leven of wordt er begonnen met een paar vingers.
Bij een faillissement wordt een curator aangewezen die altijd onderzoek doet. Bij (vermeende)
faillissementsfraude zal de curator aangifte doen. Daar zijn vrijwel nooit meerdere aangiftes of jaren van onderzoek voor nodig.

Daarnaast zijn de straffen voor economische delicten c.q. bestuurdersaansprakelijkheid niet kinderachtig, dus zo aantrekkelijk als jij het stelt is het in Nederland echt niet.
en hoe denk jij dat de curator zijn geld verdiend?
er zijn net zoveel foute curatoren als foute bv's, geloof het maar.
Er zullen best rotte eieren tussen zitten, maar je moet het niet overdrijven. In weinig branches is het toezicht zo scherp als in de advocatuur.

1. Een curator wordt aangesteld door de rechtbank. Als een curator de boel belazert, dan wordt hij nooit meer aangesteld --> einde loopbaan als curator.

2. Een curator is een advocaat. Bij wangedrag kan hij geroyeerd worden en komt hij nooit meer aan de bak als jurist --> einde loopbaan als jurist.

3. Veel curatoren zijn primair advocaat (daar zit het grote geld) en klussen parttime bij curator (als ze benoemd worden). De boel flessen als curator betekent dat je je primaire inkomstenbron op het spel zet, want geen enkel advocatenkantoor wil jou nog hebben als jij als 'foute curator' bekend staat.

4. Een curator wordt betaald uit de opbrengst van de boedel. Hij kan dat niet zelf regelen maar moet bij de rechtbank de gemaakte uren/kosten verantwoorden. Kan hij dat niet of niet goed, dan krijgt hij zijn geld niet en staat hij vanaf dat moment onder verscherpt toezicht.

Het is niet onmogelijk voor een curator om de boel te flessen, maar eenvoudig is het zeker niet. Ik ben daarom wel benieuwd waar jij al die 'foute curatoren' vandaan haalt.
heb misschien ietwat overdreven idd :)
Dat doe ik nooit 😇
Waar baseer je dat op? Zolang dergelijke operaties tamelijk anoniem worden uitgevoerd, lijkt me dit 'business model' niet regio-gebonden?
Nog nooit van die Indische oplichter-bedrijven gehoord?
Gelukkig hebben we in Nederland nog geen vergelijkbare cases gehad. /s
Ontsleutelen snap ik. Dan kan je daarna ook maatregelen nemen om je ontsleutelde bestanden veilig te stellen, te beveiligen, backuppen etc. Maar hier gaat het om de dreiging gevoelige informatie naar buiten te brengen. Die garantie kan je nooit helemaal afkopen lijkt me.
Professionele misdaad die loont dus.
Natuurlijk, niemand gaat de wet overtreden om er verlies op te maken. Alle criminelen geloven dat misdaad loont. Natuurlijk is dat in praktijk niet altijd zo, maar ook niet ieder legale snackbar is een financieel succes. Het "ondernemersrisico" voor criminelen is nogal hoog, dus daar moeten forse winstmarges (of grote wanhoop) tegenover staan.
Dat kunnen ze niet garanderen. Maar als ze volgende week alsnog de bestanden laten uitlekken of terugkomen voor meer losgeld dan schieten ze wel hun eigen glazen in en werkt het business model niet meer.
Hele dikke onzin en zéker geen +2 waardig:

1) Als het business model verouderd (en dat doet het langzaam aan al) dan hebben ze nog altijd een laatste troef om nét dat laatste beetje geld uit te persen.

2) Niemand garandeert dat je geen tweede keer wordt aangevallen, je betaald ze tenslotte geld om andere mooie zero-days te kopen en met een beetje pech ben je gewoon wéér aan de beurt (productverbetering is dan ook onderdeel van het business model).

3) Als dezelfde hackers je niet aanvallen, dan doet een andere groepering het wel. Je hebt tenslotte laten zien dat je bereid bent tot betalen en de verantwoording van andere groeperingen liggen niet bij de partij die je al had betaald.

4) Niet iedere ransomware is daadwerkelijk een cryptolocker, sommige bedrijven worden puur om politieke redenen aangevallen en blijkt de decryption key helemaal niet te werken en dat dit nooit mogelijk was. Dan ben je je bestanden én je geld kwijt.

5) Je doet het net lijken alsof bedrijven onderling recensies uitdelen van hoe goed de dienstverlening van de hackers wel niet was, en dat is ook niet waar. Als een bedrijf betaald en daar niks voor terug krijgt dan houdt iedereen netjes z'n mond op straffe van ontslag want o wee als je de vuile was buiten hangt. Daar komt bij dat de betrouwbaarheid van ransomware groeperingen zelden tot niet wordt nagegaan.

6) Juist voor hackers is het weinig tot geen moeite om een andere naam en (ogenschijnlijk) andere werkwijze te nemen. Als de 'goodwill' niet meer wordt vertrouwd is het bij lange na geen game over, maar begint men opnieuw. Er zijn zoveel spelers in dit spel dat je dat verschil toch niet ziet.

Als kikker moet je gewoon niet die schorpioen op je rug nemen, punt.
Bijvoorbeeld door een deel van het losgeld pas na een bepaalde periode te betalen. Stel ze vroegen 100K dan zou je prima kunnen onderhandelen dat ze 50K direct krijgen en de rest verspreid over 5 jaar.
je denkt dat zo'n crimineel daarmee akkoord gaat? Die zal ongetwijfeld in bitcoins betaald willen worden, dan ga je niet willen speculeren met je halve opbrengst. En daarbij is het ook snel geld, daar gaan ze niet op zitten wachten
Het is maar hoe je het presenteert. De meeste bedrijven hebben liever een langlopend abonnement dan een eenmalige verkoop. Ik kan me wel voorstellen dat er deals worden gesloten waarbij bedrijven iedere maand een (relatief) klein bedrag betalen om de publicatie van gestolen documenten te voorkomen. Kleine bedragen zijn ook makkelijker te verbergen en wit te wassen.
Ja bedrijven ja. Snel in en uit boeven niet
De echte boeven handelen net als een bedrijf, gaan ook gewoon voor de lange termijn
Och "we" vertrouwen Rutte toch ook nog steeds? :)
Dit soort clouddiensten werken naar mijn idee als een magneet op hackers. Waarom zou je een individueel bedrijf hacken als je een cloudprovider kan hacken die je in één keer toegang kan geven tot tientallen bedrijven. Bovendien zijn die providers makkelijker te chanteren want ze hebben er baat bij dat er geen informatie uitlekt.
Dit is ook gelijk het gevaar van het gebruik van cloud providers.
Het goed beveiligen van een (grote) clouddienst is niet gemakkelijk. Er zijn daar met zeer grote regelmaat hackers die bezig zijn om te proberen om binnen te komen. Monitoring en zo nodig aanpassing van de beveiliging is dan 24/7 nodig.
Het gebruik maken van de public cloud maakt het goed beveiligen juist veel makkelijker. Je hebt het voordeel dat de grote cloud providers voor honderden miljoenen in beveiliging investeren, iets dat jij als individu of normaal bedrijf natuurlijk nooit zou kunnen. Daarnaast zijn er dagelijks enorm veel mensen binnen die cloud providers bezig alles te monitoren en continu verbeteren. Binnen de cloud ook overal encryptie toepassen en automatische off-site/write-only backups implementeren is ook kinderlijk eenvoudig.

Wat wel zo is dat het binnen de public cloud ook enorm makkelijk is om als gebruiker een kritieke fout te maken waardoor het kinderlijk eenvoudig is om bij gevoelige data te komen. Echter is dit niet het probleem van de "cloud", maar van de gebruiker. De public cloud biedt je namelijk alle tools om dit soort fouten te voorkomen, echter moet je wel weten hoe je dit goed moet toepassen. Helaas zie je dat er tegenwoordig veel beunhazen bezig zijn op de cloud, juist omdat het zo makkelijk is. Vroeger een on-prem omgeving opzetten vereiste wat meer kennis, en werd dus gedaan door mensen die meestal ook meer kennis hadden op gebied van beveiligen en best-practices.

Dit probleem is dus niet neer te leggen bij de cloud providers, maar toch echt bij de gebruikers. In alle jaren dat ik de public cloud gebruik als cloud engineer en architect ben ik nog geen enkele keer een security incident tegengekomen welke veroorzaakt werd door de onderliggende cloud provider. Het was altijd een beunhaas die er niks van snapte, en zelfs dan werd het risico enorm verkleind door alle cloud tools, of zelfs geheel automatisch gemitigeerd.
In principe heb je gelijk maar het overdragen van beveiligings bevoegdheden aan een externe partij betekent een grondige review van die partij, kijken waar je data wordt opgeslagen, kijken waar de backup wordt opgeslagen onder welke wetgeving. Auditing van de partij, ze kunnen immers bij je data al dan niet encrypted, etc.
Zo'n audit kan je ook op je eigen systeem doen, waarschijnlijk voor een lagere prijs, je kunt ook gewoon domweg de cloudprivider op zijn blauwe ogen vertrouwen zoals de meeste doen en ja dan is het lekker goedkoop en redelijk safe.

De partij waar we het hier over hebben was duidelijk niet capabel en een groter risico dan alles op je eigen server parkeren. De gebruiker kon hier duidelijk niets aan doen welke tools ook beschikbaar waren.
Dat ligt in principe niet aan de cloud an sich maar de cloud vormde hier wel een groot single point of failure waardoor het ineens bij een heleboel bedrijven tegelijk fout ging en dat waren echt niet allemaal beunhazen.
Ik ben niet bekend met de partij welke de cloud diensten leverde aan de getroffen instellingen. Mijn reactie op WillySis ging vooral over de public cloud (en dan bedoel ik eigenlijk enkel AWS, Azure en Google). Tuurlijk zijn er genoeg kleine cloud providers, maar deze zou ik veel minder vertrouwen dan 1 van de 3 grote jongens.

Het is ook met de public cloud niet zo dat je de beveiliging compleet uit handen geeft aan de cloud provider. Deze is verantwoordelijk tot waar jouw werk begint. De eerder genoemde cloud providers bieden je genoeg mogelijkheden om je omgeving (erg gemakkelijk) goed te beveiligen, maar dan moet je het wel doen. Bij het gebruik van een kleine provider (of zelfbouw) moet je zo enorm veel meer zelf bouwen, wat vaak uiteindelijk door gebruik aan tijd, geld, wilskracht of een combinatie van die 3 niet gebeurt.

Wat betreft audits en dergelijke, dit heeft AWS goed voor elkaar: https://aws.amazon.com/compliance/soc-faqs/. Dus in het geval van AWS is het niet enkel AWS geloven op haar woord, maar ook alle onafhankelijke auditing partijen die AWS controleert en certificeert. De andere 2 hebben het waarschijnlijk ook wel goed voor elkaar, maar daar heb ik zelf geen ervaring mee als AWS Architect zijnde.

Dat bij de desbetreffende cloud provider een boel dingen mis gegaan zijn is duidelijk, gezien de impact. Zoals ik het begrepen heb leverde zij een eigen gemaakte cloud platform, en maakte geen gebruik van een grotere provider.
Cloud gebruik heeft een aantal gevaren:
  • De cloud providers werken als een magneet op de hackers
  • Het maakt gebruikers (bedrijven) gemakkelijk laks omdat ze op de beveiliging van de cloud provider vertrouwen
  • Er zijn beunhazen in de cloud-markt actief
  • Bij financiële problemen is het voor de cloud provider aanlokkelijk om op de beveiliging te bezuinigen
  • Als klant zie je niets van de beveiliging, of veranderingen daarin
Natuurlijk heeft een cloud provider meer kennis en mogelijkheden om de beveiliging op peil te houden. Zeker voor kleine tot middelgrote bedrijven is het nauwelijks op te brengen om de beveiliging continu goed op peil te houden. Een goede cloud provider is dan gewoon een prima keuze. Voor grote, internationale, bedrijven en instellingen (zoals de universiteiten) vraag ik me af of het gebruik van een cloud provider wel een goede keuze is. Zeker als een cloud provider zich op een specifieke markt richt (zoals hier de universiteiten en non profit organisaties), kan zo'n provider wel heel aantrekkelijk worden voor (staats)hackers. Uiteindelijk heeft elke beveiliging een aantal zwakke punten, desnoods met hulp van binnenuit. De buit is dan gigantisch. Dat kan ook voor de losgelden gelden.
Zie mijn reactie hierboven op caipirinha. Met mijn reactie doelde ik vooral op de 3 grote providers (AWS, Azure en Google) en niet de kleinere zoals hier het geval was.

Bij kleine partijen is er per definitie ook minder budget en manuren beschikbaar om de beveiliging goed op orde te brengen. Daarnaast wordt vaak gebruik gemaakt van security tooling die niet 100% aansluit op het platform, omdat het ingekocht wordt.

In het geval van de 3 grote eerder genoemde jongens is praktisch alles zelfbouw, waardoor deze diensten 100% geïntegreerd zijn in het platform. In het geval van AWS is het kinderlijk eenvoudig en tevens praktisch gratis om een ijzersterke omgeving neer te zetten welke nagenoeg, zonder de cloud provider zelf te hacken, niet op in te breken valt.

Dus in dat geval is tijd of geld geen excuus om je beveiliging niet op orde te hebben. Alle noemenswaardige incidenten die ik tot nu toe heb gezien op grote cloud providers was uiteindelijk te fout van de gebruiker, door onkunde of laksheid.

Platformen als AWS, Azure en Google zijn natuurlijk enorm grote doelen voor hackers, als ze binnenkomen bij AWS dan hebben ze meteen zo'n beetje alle grote bedrijven en sites te pakken. Maar uiteraard weet AWS dit ook, en zullen ze er dus alles dat binnen hun macht ligt doen om dat te voorkomen. Het hoeft op AWS maar 1x fout te gaan en ze kunnen er mee stoppen.

In het geval van een hack op AWS is het ergste dat kan gebeuren dat je omgevingen plat gaan of je data verwijderd wordt. Gezien hoe AWS onderwater werkt is het voor hackers onmogelijk om bij je data te komen, dit kan AWS zelf namelijk ook niet. Hiervoor moet je uiteraard wel encryptie aan hebben staan (wat op heel veel diensten de default is).
Dat is waar, maar aan de andere kant zouden zij wel de expertise moeten hebben om dit soort aanvallen zoveel mogelijk tegen te gaan en wanneer ze worden aangevallen de schade zoveel mogelijk te beperken. Dat je bedrijf gehackt wordt is een kwestie van tijd, het gaat er daarom ook om hoe je reageert op zo'n aanval en nog belangrijker: hoe snel je hem ontdekt.
Het is natuurlijk een onderbuikgevoel maar ik twijfel ten zeerste aan de expertise op het gebied van beveiliging van deze middelgrote cloudproviders. Ik schat ook in dat hackers graag dit soort bedrijven aanvallen. Bij Google en Microsoft maken ze veel minder kans op succes en bij kleinere bedrijven is de opbrengst lager. Alles wat daar tussenin zit is dus interessant. Voldoende data om uit te buiten en een grotere kans om lekken te vinden.
Dat mes snijdt langs twee kanten.

Een (voldoende grote) clouddienst heeft de schaalgrootte en incentive om de nodige competenties in huis te halen.


Om te voorkomen dat de criminelen de data zouden uitlekken, betaalde Blackbaud een onbekend bedrag aan losgeld. Daarna zou het bedrijf bevestiging hebben gekregen dat de bestanden zijn verwijderd.

Er is sprake van een vertrouwensrelatie. ;)
Het blijft altijd een lastige afweging. Aan de ene kant kan een clouddienst vaak een veel hoger beveiligingsniveau bieden dan je lokaal kan realiseren met dezelfde applicatie open naar het internet. De clouddienst kan met de programmeurs van de applicatie overleggen bij twijfels over de beveiliging, kan de combinatie van hosting en software regelmatig laten testen door externe partijen zonder dat de kosten per klant uit de klauwen lopen en heeft vaak een security team specifiek voor die applicatie. Dat zijn zaken die je met een lokale installatie vaak maar beperkt kan evenaren.

Aan de andere kant heeft de clouddienst ook een extra risico doordat er gegevens van veel klanten centraal opgeslagen zijn. Dit heeft inderdaad een aantrekkende werking op hackers, wat extra beveiligingsmaatregelen vereist.

In mijn ervaring zijn steeds meer bedrijven kritisch op de beveiliging van hun clouddiensten en vragen ze regelmatig audit rapporten open laten ze zelf audits of pentests uitvoeren. Het blijft natuurlijk een probleem dat een hacker slechts 1 gat in die beveiliging hoeft te vinden...
Niet alleen BlackBaud is traag. Tweakers loopt ook een week achter met het nieuws. Stond een week geleden al in de krant: https://www.thenonprofitt...kbaud-hacked-ransom-paid/
Daarna zou het bedrijf bevestiging hebben gekregen dat de bestanden zijn verwijderd. Om wat voor bevestiging het gaat, schrijft Blackbaud niet.

Lijkt mij derhalve een garantie van 0,0.
om 'de privacy van deze partijen te kunnen waarborgen'

Ik denk dat ze woorden als 'waarborgen' beter kunnen vermijden

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True