Garmin bevestigt getroffen te zijn door ransomwareaanval

Garmin bevestigt dat het enkele dagen geleden is getroffen door een ransomwareaanval. Daardoor waren bijvoorbeeld Garmin Connect en andere diensten zo'n vier dagen offline. Er waren eerder al sterke aanwijzingen over een ransomwareaanval.

In de verklaring, die Garmin ook op zijn eigen website heeft gepubliceerd, staat dat het bedrijf op 23 juli werd getroffen door een cyberaanval. Garmin schrijft dat het gevolg daarvan was dat veel van de onlinesystemen werden onderbroken, zoals bepaalde websitefuncties, klantenondersteuning en bedrijfscommunicaties.

Volgens Garmin zijn er geen indicaties dat er klantendata is ingezien, buitgemaakt of verloren is gegaan. Dat zou ook gelden voor betaalinformatie gerelateerd aan Garmin Pay. Garmin stelt dat de activiteits- en gezondheidsgegevens die tijdens de storing werden verzameld, op de Garmin-apparaten werden opgeslagen. Het bedrijf denkt dan ook dat alle data weer zal verschijnen in Garmin Connect, zodra gebruikers hun apparaat weer synchroniseren.

Onder meer Garmin Connect functioneert nog niet probleemloos, waardoor het synchroniseren van een Garmin-apparaat met deze dienst wellicht nog aan beperkingen onderhevig is, zoals ook blijkt uit de statuspagina. Het herstelproces van Garmin Connect is volgens het bedrijf al begonnen en eerder bleek al dat de Garmin-diensten deels weer online zijn, waaronder ook ConnectIQ en vivofit Jr. Garmin benadrukt dat zijn dienst voor satellietcommunicatie, inReach, volledig werkt en ook niet getroffen was door de aanval. Ook Garmin Pilot Apps, flyGarmin, Connext Services en FltPlan.com zijn volledig operationeel.

Het bedrijf zegt dat de functionaliteit van Garmin-producten niet is getroffen en dat de aanval alleen negatieve gevolgen had voor de mogelijkheid om onlinediensten te raadplegen of gebruiken. Systemen die getroffen waren, worden hersteld en Garmin zegt dat het verwacht dat het over een paar dagen weer normaal zal opereren. Tijdens het proces om getroffen systemen te herstellen, kunnen er wel vertragingen optreden; dat hangt samen het verwerken van een achterstand aan informatie.

Garmin maakt geen melding van het type ransomware waar het mee te maken kreeg en geeft ook geen andere, nadere details. Bronnen van BleepingComputer gaven eerder aan dat er sprake was van een ransomwareaanval, waarbij het zou gaan om de WastedLocker-ransomware. De website toonde ook foto's van vermeende versleutelde bestanden. De aanval zou zijn begonnen bij Garmin Taiwan en de aanvallers hebben naar verluidt 10 miljoen dollar losgeld geëist, al zegt Garmin verder niets over daarover. Daardoor is nog onbekend of er losgeld is betaald.

Reacties (191)

edwinjm 28 juli 2020 00:10

Dit artikel van Sky.com is ook interessant.

Het geeft aan de Garmin de decryptiesleutel heeft weten te bemachtigen, maar niet (zelf) heeft betaald. Blijkbaar bestaan er in de USA sancties op het betalen van cybercriminelen.

Het lijkt er dus op dat een derde partij de criminelen heeft betaald, maar als dit op aanwijzing van Garmin is gebeurd (wat mij waarschijnlijk lijkt), dan is Garmin ook schuldig. Waarschijnlijk krijgt dit verhaal nog een vervolg.

Garmin obtains decryption key after ransomware attack

GrooV @edwinjm • 28 juli 2020 00:43

Wel een erg summier artikel van Sky

latka @edwinjm • 28 juli 2020 00:50

Er zijn ook verhalen van gemeentes in de usa die betaalt hebben. Over vervolging heb ik daar niets van gehoord. Heb je een bron?

twiFight @latka • 28 juli 2020 02:19

Puur onderbuik van mezelf hoor, maar het zou me niet verbazen dat daadwerkelijke vervolging alleen plaatsvindt bij partijen waar de VS een strategisch voordeel te halen heeft.

badflower @edwinjm • 28 juli 2020 07:24

Het is kiezen tussen 2 kwaden:

Of je bedrijf is disfunctioneel / kapot
Of je betaald en krijgt misschien in een later stadium straf van de US

Maar die sancties schieten volgens mij ook niet echt op. Als je bedrijf kapot wordt gemaakt door een ransomware attack, heb je volgens mij weinig keus. Het is niet dat je er iets te onderhandelen valt. Voorbeeld, bij een ontvoering van de CEO draait je bedrijf door, en kun je onderhandelen over vrijlaten en wel of niet betalen - maar bedrijf draait door.

Als je hele bedrijf lam wordt gelegd heb je geen keus behalve betalen. Sancties of niet.

Enige nut van sancties is dan nog dat ze misschien een klein beetje afschrikwekkend werken voor groeperingen om ransomware attacks uit te voeren.

CH4OS @badflower • 28 juli 2020 08:35

Of je zorgt ervoor dat je een goede beveiliging en backups hebt, waarbij servers gemakkelijk opnieuw geïnstalleerd kunnen worden, dan kan normaal herstellen nog best eens goedkoper zijn ook dan losgeld te betalen.

fretnn @CH4OS • 28 juli 2020 09:54

Bij een bedrijf hier in de buurt werden ze getroffen door ransomware.
De hackers waren al maanden lang binnen in het systeem, éénmaal ze de volledige werking in kaart hadden gebracht zijn ze begonnen met de nieuwe backups (ze hadden zich een toegang naar de backup omgeving gehackt) 1 voor 1 te encrypteren en 6 maand later (toen alle backups kapot gemaakt waren) zijn ze begonnen met de servers en de clients.

Alles was encrypted, ze zijn van nul moeten opnieuw beginnen

Die hackers hebben een heel goeie strategie die je het leven heel zuur maakt.

Denk maar eens na over een goeie beveiliging en backup strategie die feilloos werkt terwijl er iemand met alle permissies op elk moment dan kapot maken of je backup-check-scripts kan aanpassen zodat je de indruk hebt dat die backups ok zijn

Het.Draakje @fretnn • 28 juli 2020 11:34

Een goede beveiliging houdt op bij "iemand met alle permissies".

Geef mij één goede reden waarom een OS beheerder toegang nodig zou moeten hebben op een database server, een applicatie server, webserver of fileserver. Ook in een klein bedrijf kan je die rollen (OS Beheer, DB Beheer, Applicatie Beheer) gewoon scheiden met aparte ID's.

Fatsoenlijke password manager (die automatisch na gebruik het password reset) geeft je accountability (ik heb het password geleend van 28/07/20 - 12:00 - 14:50) en dwingt unieke wachtwoorden af.

Backup's pull je vanaf jouw backup-server, die uiteraard geen remote-login accepteert en in jouw server-ruimte staat. Geen toegang => niet te hacken. (Tenzij men een OS bug vindt).

fretnn @Het.Draakje • 28 juli 2020 11:41

met 'iemand met alle permissie' doelde ik niet op een admin die alle permissie heeft, maar een hacker die er in geslaagd is om toegang te krijgen tot alles

kan je meer info geven over het 'lenen van paswoorden', hoe zet je dit in de praktijk (windows, mac, linux clients en window, linux en bsd servers + verschillende merken storage servers) op ?

backups pullen vanaf je backup server lost niets op, als die backup server ge-encrypteerde data pullt sta je even ver

Het.Draakje @fretnn • 28 juli 2020 13:10

Iedere server heeft zijn eigen ServerAdmin account en mag alleen met een remote logon vanaf je beheer-domein/server gebruikt worden. Beheer domein is (uiteraard) niet publiek benaderbaar. De standaard Admin / Root etc. zet je gewoon op 'inactief' en 'geen remote logon' (en in de password-vault).

Leuk dat meneer de hacker weet dat WebSrv1Beh bestaat, maar die geldt alleen voor de server die hij gehacked heeft. En wellicht kan hij ontdekken dat er ergens een database staat met de naam Fly_Web. Maar waar die staat en hoe die te benaderen is (connectie ligt op db-niveau, niet op OS niveau), laat staan de rest van het netwerk kan vinden (wel even alle user-administratie en netwerk-tools weggooien of na renamen alleen toegankelijk maken voor WebSrv1Beh). Grote kans dat meneer de hacker geen zin heeft om al je servers individueel te hacken, als er geen logica in servernamen en beheer-accounts is. Als verbindingen ook nog eens lastig te ontdekken zijn, eenzijdig zijn (push of pull van één bepaalde server) of in applicatie's gedefinieerd zijn. Dan gaat meneer de hacker gewoon rammelen aan de deur van een ander die zijn zaakjes minder goed op orde heeft.

Password lenen; kijk eens naar CyberArk. Die kan op meerdere OS systemen het password beheren.

Aangezien men niet bij de historische backups kunnen, heb je altijd een schone versie. Al kan dat wellicht van enige tijd terug zijn. En aangezien de historische backups niet te encrypten zijn, heeft ransomware nauwelijks impact. Zodra de encryption begint gaan (hopelijk wel) de alarmbellen af. En restore je dag-1.

fretnn @Het.Draakje • 28 juli 2020 14:53

Password lenen; kijk eens naar CyberArk. Die kan op meerdere OS systemen het password beheren.

thx !

Iedere server heeft zijn eigen ServerAdmin account en mag alleen met een remote logon vanaf je beheer-domein/server gebruikt worden. Beheer domein is (uiteraard) niet publiek benaderbaar. De standaard Admin / Root etc. zet je gewoon op 'inactief' en 'geen remote logon' (en in de password-vault).

Welke computers steek je in dit beheer domein, ik vermoed de IT computers ? Maar hoe beveilig je die, want meerdere niet IT mensen hebben toegang tot deze ruimte (bvb mensen die komen kuisen)

Het.Draakje @fretnn • 28 juli 2020 16:42

In principe wil je een beheerder niet tussen medewerkers zonder beheer functie hebben zitten. (Dus ook niet tussen developers). Als je daarvoor geen apart gebouw hebt, dan toch minimaal de beheerders achter slot en grendel. Een aparte kamertje is altijd wel te regelen. Codeslot o.i.d. op de deur.

De non-formele communicatie doe je maar bij de koffieautomaat, in het rookhok, etc. Of via een chat programma.

Scriptkid @fretnn • 28 juli 2020 10:18

Cloud services.

Office 365

Allways on

Juist dingen als backup werken niet omdat je zo ver terug moet en files netjes mee encrypted de backup in gaan zonder dat jij het ziet.

Bij cloud technieken gebruiken we versioning dus kun je terug naar precies de versie voor dat encryptie gebeurd.

Ook is het als attacker veel moeilijker om root access te krijgen dan wanneer je onprem bent en met halve beveiliging te maken hebt.

fretnn @Scriptkid • 28 juli 2020 11:43

hoever in de tijd kan je teruggaan op cloud services ? (heb hier geen ervaring mee).
Wil je even verder in detail gaan over hoe cloud services je omgeving veiliger maken ?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Scriptkid • 28 juli 2020 12:13

Bij cloud technieken gebruiken we versioning dus kun je terug naar precies de versie voor dat encryptie gebeurd.

Ja, totdat de version die jij nodig hebt niet meer beschikbaar is (er is hier vrijwel altijd een limiet) of ook deze files worden geencrypt.

Scriptkid @Bor • 28 juli 2020 21:58

nee hoor Office 365 support unlimited versioning.

voor EXO is er geen limiet

Voor Sharepoint hosted betaal je gewoon de storage verder ook geen limiet. Tevens kan van belangrijke data een record worden gemaakt dan kan zelfs crypto het niet meer veranderen / encrypte

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Scriptkid • 28 juli 2020 23:45

Versioning is niet unlimited maar o.a. afhankelijk van de beschikbare opslag. Daarbij werkt versioning net even wat anders dan een backup.

Scriptkid @Bor • 29 juli 2020 14:34

Idd versioning is veel beter dan een backup.

Backup kan alleen terug naar een datum, version terug kan naar elke versie.

Versioning is gewoon unlimited , je betaald per storage unit. Maar er is geen limiet atm.

CH4OS @fretnn • 28 juli 2020 12:03

Sorry, maar als een aanvaller zes maanden lang ongemerkt heeft kunnen huishouden in de infrastructuur, zegt dat wat over de IT-afdeling van dat bedrijf, danwel het bedrijf die ervoor ingehuurd was en het beveiligingsniveau dat gehanteerd werd, inclusief beveiligingsbeleid.

[Reactie gewijzigd door CH4OS op 26 juli 2024 13:02]

xbeam @CH4OS • 28 juli 2020 17:46

Zoek vacature bij Garmin
Sind 3 weken willen ze daar een cyber security expert snel in dienst nemen.
https://tweakers.net/i/Gb...5UoFRojB.png?f=user_large

xbeam @edwinjm • 28 juli 2020 09:41

Waarschijnlijk kon Maksim de weg naar huis niet meer vinden omdat dat de navigatie in zijn Lamborghini het niet meer deed en een uur rondjes rijden en ruzie met chick dat hij de weg niet weet.
Heeft hij de key naar Garmin gemaild.

Verwijderd 27 juli 2020 21:18

Ik ben heel benieuwd of Garmin de ransomware heeft kunnen isoleren, wipen, en backups terug heeft kunnen zetten, of dat ze gewoon het losgeld maar betaald hebben om van de ellende af te zijn.

Als het het laatste is geweest, erg jammer. geeft dat soort gasten weer meer incentive om verder te gaan met dit soort praktijken.

t link @Verwijderd • 27 juli 2020 22:48

Eigenlijk zou het ook verboden moeten worden om te doen, losgeld betalen. netzoals die idiote ransomware verzekeringen. nee, dat is precies NIET wat we nodig hebben. je wilt preventie, niet juridische en economische indekking.

Blokker_1999

Ransomware
Beveiliging en antivirus

@t link • 28 juli 2020 08:21

Stel, even puur hypotetisch, je hebt een kind en dat kind wordt ontvoerd. De ontvoerders vragen losgeld, een bedrag dat je in principe zo van de spaarrekening kunt halen. Ga jij, puur uit principe, zeggen dat je niet gaat betalen?

Een bedrijf is bij voorbaat een organisatie die zich zo goed mogelijk economisch wil indekken. Als het moet kiezen tussen een bedrag betalen als losgeld of elke dag datzelfde bedrag verliezen doordat het bedrijf voor een groot deel stil ligt, dan is de keuze snel gemaakt. Heb je een verzekering, net hetzelfde. De verzekering zal kijken welke oplossing de minste kosten met zich meebrengt en voor die oplossing kiezen.

[Reactie gewijzigd door Blokker_1999 op 26 juli 2024 13:02]

84hannes @Blokker_1999 • 28 juli 2020 09:47

Ga jij, puur uit principe, zeggen dat je niet gaat betalen?

Nee, natuurlijk niet. Daarom moet het wettelijk strafbaar worden om te betalen: het is in het individueel belang dat er wel betaald wordt maar in het maatschappelijk belang dat er niet betaald wordt. Net zoals het in jouw persoonlijk belang is om geld te stelen maar het in het maatschappelijk belang is dat niemand steelt: daarom is het verboden!

[Reactie gewijzigd door 84hannes op 26 juli 2024 13:02]

berndvv @84hannes • 28 juli 2020 14:04

Ik betaal met alle plezier een boete of ga wel een tijdje brommen in de cel als ik illegaal losgeld betaald heb hoor. Als ik daarmee mijn kind terug heb...

84hannes @berndvv • 28 juli 2020 14:16

Dat snap ik zeker. Die vraag is dan ook heel complex, mensenlevens redden of de wet volgen. Maar zo complex hoeft het bij commerciële bedrijven niet te zijn want dat draait maar om één ding.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:50

Maar zo complex hoeft het bij commerciële bedrijven niet te zijn want dat draait maar om één ding.

En wat als dat commerciële bedrijf de verwerking doet van gegevens voor een bedrijf in de kritieke infrastructuur of bijvoorbeeld medicijnen ontwikkeld of specialistische medische of militaire toepassingen? De wereld zit niet zo simpel in elkaar. De scheiding commercieel vs niet commercieel is niet altijd zwart wit wanneer je naar de keten kijkt. Ook een commercieel bedrijf kan een grote maatschappelijk doel dienen.

[Reactie gewijzigd door Bor op 26 juli 2024 13:02]

84hannes @Bor • 28 juli 2020 14:53

Daar heb je een goed punt. Criminelen belonen voor het niet vernietigen van mensenlevens zou je kunnen gedogen. Maar dan gaan criminelen alleen nog maar vitale infrastructuur aanvallen, wil je dat veroorzaken?

[Reactie gewijzigd door 84hannes op 26 juli 2024 13:02]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:23

Maar zo complex hoeft het bij commerciële bedrijven niet te zijn want dat draait maar om één ding.

Is dat zo? Het kan draaien om voortbestaan van een bedrijf maar ook om grotere belangen. Wat bijvoorbeeld wanneer een ziekenhuis het slachtoffer is of een hulpdienst? Het komt zelden tot niet voor dat een ransomware aanval geen negatieve invloed heeft buiten het getroffen bedrijf.

84hannes @Bor • 28 juli 2020 14:31

Een ziekenhuis is geen commercieel bedrijf.

Het komt zelden tot niet voor dat een ransomware aanval geen negatieve invloed heeft buiten het getroffen bedrijf.

Niet relevant, een bedrijf moet winst maken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:46

Een ziekenhuis is geen commercieel bedrijf.

Jammer maar dit klopt niet. Ziekenhuizen zijn eigenlijk vreemde organisaties. Ze kunnen commercieel zijn maar ook non-profit. In sommige ziekenhuizen is alle personeel in loondienst maar in andere ziekenhuizen werken veel mensen als zelfstandige of in een maatschap.

Niet relevant, een bedrijf moet winst maken.

Waarom is de impact buiten het bedrijf niet relevant?

84hannes @Bor • 28 juli 2020 14:52

Waarom is de impact buiten het bedrijf niet relevant?

Omdat een bedrijf zijn rekeningen moet betalen, anders maakt het niet uit wat hij doet.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 12:21

Wat zou zo'n verbod opleveren behalve dat je het de illegaliteit indrukt en bedrijven justitie waarschijnlijk niet meer inschakelen waardoor de pakkans nog verder afneemt?

84hannes @Bor • 28 juli 2020 14:03

Jij denkt dat bedrijven miljoenen euro’s aan criminelen betalen zonder dat dat opvalt in de boekhouding? Jij denkt dat heling gelegaliseerd moet worden omdat dat goedkoper is dan op reguliere wijze aan producten komen?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:08

Jij denkt dat bedrijven miljoenen euro’s aan criminelen betalen zonder dat dat opvalt in de boekhouding?

Nee dat denk ik niet. Het gaat ook lang niet altijd om miljoenen overigens.

Jij denkt dat heling gelegaliseerd moet worden omdat dat goedkoper is dan op reguliere wijze aan producten komen?

Nee en niet relevant. Heb je al eens iemand veroordeeld zien worden voor heling die een ransomware fee heeft betaald?

84hannes @Bor • 28 juli 2020 14:19

Heb je al eens iemand veroordeeld zien worden voor heling die een ransomware fee heeft betaald?

Nee en niet relevant. Ik heb nog nooit iemand veroordeeld zien worden. Maar ik weet dat mensen veroordeeld worden voor heling omdat ze daarmee criminaliteit stimuleren en ik zie niet in waarom er voor losgeld een uitzondering op die filosofie gemaakt zou moeten worden. Verlicht me alsjeblieft.

[Reactie gewijzigd door 84hannes op 26 juli 2024 13:02]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:22

Nee en niet relevant.

Wanneer de pakkans of kans op straf nihil is lijkt mij dit wel degelijk een relevant punt. Wat is jouw alternatief? Zie je liever bedrijven op de fles gaan na een ransomware aanval?

84hannes @Bor • 28 juli 2020 14:24

Ik zie liever een afschrikwekkend effect met een tweesnijdend zwaard:

Betere IT-beveiliging omdat een aanval niet zomaar af te kopen is
Geen ransomware omdat het niet loont

Was ik daar echt niet duidelijk in?

[Reactie gewijzigd door 84hannes op 26 juli 2024 13:02]

t link @Blokker_1999 • 28 juli 2020 09:05

een kind vergelijken met een bedrijf is wel echt compleet van de zotte. een is een levend mens met dromen en idealen. de ander een computer systeem met informatie die beschermd had kunnen worden met de juiste handelingen. dit is nou echt een false equivalence.

het zal me worst wezen wat een bedrijf wil, het is onwenselijk en het is geen mens en heeft ook geen mensenrechten. als bedrijven dingen doen die actief criminelen beloond moet daar een stokje voor gestoken worden, ze schieten dan hun economisch belang voorbij. mensen denken steeds vaker dat de economische doelen van bedrijven het doel moeten zijn van een land, ipv dat bedrijven de middelen tot het doel van het land moeten zijn, en als ze dat niet doen reguleer je ze.

[Reactie gewijzigd door t link op 26 juli 2024 13:02]

Blokker_1999

Ransomware
Beveiliging en antivirus

@t link • 28 juli 2020 09:45

Nee, maar losgeld is losgeld. Het principe is hetzelfde. En 1 bedrijf betekend soms een inkomen voor tienduizenden of honderdduizenden mensen. Daar zit wel degelijk ook een sociale kant aan. Stel je even voor dat Garmin zijn systemen niet kon herstellen en dat dit de ondergang van het bedrijf zou betekenen. Een deel van de werknemers verliest zijn baan in economisch moeilijke tijden. Enig idee wat voor een invloed dat op die mensen gaat hebben?

Vayra @Blokker_1999 • 28 juli 2020 11:14

Ach hou toch op man. Er lopen 2 miljard dagloners rond op de wereld die elke dag geen enkele bestaanszekerheid hebben, en dan gaan we treurig doen over goed opgeleid personeel met goede arbeidsvoorwaarden dat even ontslagen wordt? En dat zelfs vergelijken met de levens van kinderen??

Sociaal is het vangnet dat daarachter zit.Bedrijven die omvallen hoort gewoon bij het leven net als ontslag en een nieuwe job. Alsjeblieft zeg. De groepen volwassenen waar het hier om gaat zijn niet zielig, die hebben kansen genoeg. Tegelijkertijd werken in deze bedrijven ook talloze mensen met tijdelijke en nul-uren contracten. Maar dat is dikke prima toch, ook al kunnen ze morgen zonder enige reden op straat staan - ook als het bedrijf vette winst maakt.

Alleen al het vergelijk kind versus volwassene maakt het compleet scheef. Volgens mij moet je even nagaan wat er nu werkelijk op de weegschaal ligt hier. Los van het gelijk dat losgeld betalen nooit verstandig is, overigens. Want dát is uiteindelijk de crux. Je gaat met het betalen van losgeld steeds een stapje verder richting een nieuw normaal waarin je al een voorbehoud neemt dat je weleens losgeld gaat betalen,en daarmee wordt ransomware alleen maar groter. Dat mechanisme zie je overal ook buiten criminaliteit.

Zachte heelmeesters, heet dat, en het gezegde is er niet voor niets. We passen dat principe veel te vaak toe om maar een status quo te behouden die helemaal niet houdbaar is en niet gaat worden.

[Reactie gewijzigd door Vayra op 26 juli 2024 13:02]

t link @Blokker_1999 • 28 juli 2020 17:58

Daar is geen direct verband tussen, dat is het verschil. bij gijzeling van je kind is het heel zwart wit, of betalen of je kind nooit meer zien. bij gijzeling van gegevens is dat een COMPLEET ander verhaal, dat is waarom je vergelijking ook zo idioot is, het mist elke nuance om goedkoop te kunnen scoren.

SunnieNL

@t link • 28 juli 2020 09:50

Ja, laat vooral het menselijke buiten een bedrijf.

Bij Garmin werken ook mensen. Mensen die op straat komen te staan als het bedrijf failliet gaat. Hoe langer het bedrijf niet kan werken, hoe meer kans dat het kopje onder gaat. En als het kopje onder gaat, dan staat iedereen op straat. Stel dat jij bij dat bedrijf werkt, dan vind je het OK dat je baas niet het losgeld heeft betaald terwijl ze dat wel konden en jij dan nog gewoon werk had gehad?

Je vond het zeker ook niet OK dat de Uni van Maastricht 2k aan ransom-losgeld betaald heeft zodat ze weer door konden? Want ja, dat is ook een bedrijf. En het had voorkomen kunnen worden. Dus *** de docenten en studenten.

Uiteraard moet altijd gekeken worden of het zonder ransom-losgeld opgelost kan worden. Echter, tegenwoordig gaat het allemaal wat subtieler. Backups worden gewist nadat ze gemaakt zijn of worden corrupt gemaakt. Aanvallers zweven weken stilletjes door het netwerk en slaan dan ineens toe, zodat zo veel mogelijk systemen tegelijk op zwart gaan.
Als dat gebeurd, en je backups zijn corrupt of gewist, dan is het kiezen.. Of kapot gaan met alle gevolgen van dien voor de mensen die voor je werken, of betalen en redden wat er te redden valt. Er van leren en meer geld vrijmaken voor security en onderwijs van je personeel.
Want hoe dan ook, de meeste ransomware komt binnen omdat er iemand per ongeluk op een linkje klikt.

t link @SunnieNL • 28 juli 2020 18:00

Ja dat vond ik ook niet OK. en ik ontken niet dat er menselijkheid is bij een bedrijf. het is alleen van de zotte om het te vergelijken met een leven of dood situatie. dat is het namelijk niet. het is een compleet andere situatie met een hele andere werking. dat het bijde gijzeling is maakt het nog niet vergelijkbaar voor de drijfkrachten erachter en de oplossingen. of moeten we de oplossingen voor fietsers ook gaan toepassen op auto's?

Gomez12 @t link • 28 juli 2020 23:06

Ja dat vond ik ook niet OK. en ik ontken niet dat er menselijkheid is bij een bedrijf. het is alleen van de zotte om het te vergelijken met een leven of dood situatie. dat is het namelijk niet.

Wie heeft het over een leven of dood situatie, jij krijgt je kind niet terug dat betekent niet dat het kind ook maar gelijk gedood moet worden, ze kunnen het altijd nog verkopen als adoptiekind, of tewerkstellen als kindarbeider...

De vergelijking is in wezen niet zo verkeerd, alleen jij maakt hem verkeerd door het ene door te trekken naar het absurde.

t link @Gomez12 • 29 juli 2020 13:47

Dat maakt allemaal geen zak uit. dan is het geen leven of dood ook prima (ookal weten we allebij best dat het voor onvoerders altijd beter is losse einden op te ruimen ipv te verkopen oid). het gaat erom dat het direct over mensenrechten gaat. niet over een bedrijf wat 0 recht heeft op die dingen. de individueen in dat bedrijf uiteraard wel. een bedrijf is geen mens en een mens is geen bedrijf. dat is wat de hele vergelijking absurd maakt, het is een compleet andere situatie met andere overwegingen en andere motivaties. Als je niet ziet hoe DAT mijn punt was weet ik niet of verder argumenteren uberhaupt zin heeft, want of je argumenteerd met niet de bedoeling eerlijk en oprecht te argumenteren maar met de ambiguiteit van taal te spelen tot je gelijk hebt, of je snapte mn punt gewoon oprecht niet wat kan gebeuren.

xbeam @t link • 28 juli 2020 09:59

De politie zal bij je kind ook strikt afraden los geld te betalen. Omdat uit verleden/ervaring blijk dat het niet betalen van los geld de overlevingskansen van je kind vergroot. Meestal word na het ontvangen van los geld het kind als nog vermoord omdat het een getuigen is.

Zo lang er nog niet betaald heeft iemand die ontvoerd is waarde om in leven te houden.

[Reactie gewijzigd door xbeam op 26 juli 2024 13:02]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@xbeam • 28 juli 2020 12:18

De politie zal bij je kind verbieden los geld te betalen.

Dat kan de politie helemaal niet verbieden; evenmin kan er verboden worden om ransom fees bij ransomware te betalen.

hawke84 @Blokker_1999 • 28 juli 2020 18:35

Kromme vergelijking. Een bedrijf is geen mensenleven. Ik snap je idee, maar de onderliggende ethische waarden zijn anders.

Als bedrijf kun je opnieuw starten met verse software, versiebeheer kopie terugzetten, backups terugzetten of wat dan ook. Een mensenleven is weg zodra het weg is (en onbetaalbaar, lijkt me).

Daarnaast is het als individu misschien beter om te kiezen voor losgeld omdat je anders bankroet bent, maar voor de maatschappij betekent dat, dat er meerdere randsomware aanvallen komen. Maatschappelijk gezien zou een verbod dan nut hebben.

dez11de @t link • 28 juli 2020 00:03

Losgeld vragen en uitgeven is ook verboden en dat lijkt ook niet echt te werken.

t link @dez11de • 28 juli 2020 09:03

dat is omdat criminelen anoniem proberen te blijven, als je bedrijf door ransomware is getroffen is dat heel vaak vrij moeilijk te verbergen.

dez11de @t link • 28 juli 2020 09:30

In landen/Staten waar zowel verkrachting als abortus illegaal is gaat niet het aantal verkrachtingen omlaag maar het aantal illegale abortussen omhoog.

t link @dez11de • 28 juli 2020 17:56

Wat is je punt? dat we verkrachtingen legaal moeten maken? misschien moet je geen dingen met elkaar vergelijken die een compleet andere drijfveer achter de 'vraag' hebben? dat heet namelijk een false equivalence, dat is een logica fout.

[Reactie gewijzigd door t link op 26 juli 2024 13:02]

dez11de @t link • 28 juli 2020 18:24

Mijn punt is dat je van een slachtoffer van een ransomware aanval niet ook een dader van fraude moet proberen te maken.

t link @dez11de • 28 juli 2020 21:49

Dat doe ik toch ook niet? wat is je punt dan?

dez11de @t link • 29 juli 2020 09:10

Als je het verboden maakt om losgeld te betalen zal je slachtoffers dwingen om fraudeur te worden.

t link @dez11de • 29 juli 2020 13:48

Dan maak ik toch geen fraudeur? en er wordt niemand gedwongen. je kan ook (schokerend ik weet het) niet losgeld betalen! er krijgt dan niet iemand een kogel door zn kop ofzo. ja je bedrijf gaat misschien over de kop, maar dat is prima op te vangen en voorkomt dat criminelen er winst op maken.

Groningerkoek @t link • 28 juli 2020 00:25

Kort door de bocht, aangezien bedrijven moeten vertrouwen op hun software waar zij veelal geen invloed op hebben (Want ze schrijven niet hun eigen OS voor de servers bijvoorbeeld), kunnen bedrijven nooit vertrouwen op 100% veiligheid. En ja dan ontstaat er een risico en dat is precies waar verzekeringen voor zijn bedoelt.

t link @Groningerkoek • 28 juli 2020 09:01

Dat risico is miniem als je je aan de aanbevelingen houdt en je systemen proper implementeerd. en het risico zal ook verdwijnen zodra niemand meer kan uitbetalen, dat is ook het hele punt van verbieden.het risico neemt juist toe door de verzekeringen. dus wat eigenlijk eerder kort door de bocht is is jou reactie omdat die het hele effect van betalen negeert op de lange termijn

[Reactie gewijzigd door t link op 26 juli 2024 13:02]

xbeam @t link • 28 juli 2020 09:55

Kijk rats and slaves en je begrijpt dat het up to date zijn software geen bescherming is tegen de gebruiker die een trojan binnen haalt.

https://youtu.be/BGsw_l0tT10

Ze laten daar ook zien hoe makkelijke je een virus scanner omzeilt en een maal toegang tot een bedrijfs pc..... maar hoef ik je denk ik hier op Tweakers niet uit te leggen wat dat betekend.

[Reactie gewijzigd door xbeam op 26 juli 2024 13:02]

BertS @xbeam • 28 juli 2020 11:08

Wow, dit waren 35 minuten, maar zeer nuttig en leerzaam besteed...

t link @xbeam • 28 juli 2020 18:03

ik weet dat virusscanners niet zoveel doen als je direct getarget wordt. ik zeg ook nergens dat je het doet door up to date te zijn. ik zeg dat het risico miniem is als je je aan de aanbevelingen houdt en je systemen proper implementeerd (dus containerizing, risk assessments, etc etc etc.). zeggen dat het makkelijk is op een bedrijfs pc te komen is weet ik ook wel, je kan gewoon op het darkweb toegang kopen tot alle fortune 500 bedrijven. het gaat erom dat er ENORM veel stappen zitten voordat iemand uberhaupt zover kan komen. met 1 bedrijfs PC moet niet je hele netwerk aan ransomeware kunnen bezwijken.

[Reactie gewijzigd door t link op 26 juli 2024 13:02]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@t link • 28 juli 2020 12:23

Dat risico is miniem als je je aan de aanbevelingen houdt en je systemen proper implementeerd.

Herinner je ook het Citrix Netscaler lek van onlangs? Een van de vele voorbeelden waar het erg fout kan gaan ook al houdt je je aan aanbevelingen van de leverancier.

en het risico zal ook verdwijnen zodra niemand meer kan uitbetalen, dat is ook het hele punt van verbieden

Een verbod maakt uitbetaling niet onmogelijk; het maakt goede controle hierop echter wel onmogelijk.

t link @Bor • 28 juli 2020 18:06

Ik herinner me Citrix prima. als citrix alles was wat nodig was om je hele netwerk vol ransomware te krijgen deed je uberhaupt wat mis.

Een verbod maakt uitbetaling veel onwaarschijnlijker omdat het veel moeilijker is de deksel op dat soort grote transacties te houden. denk even wat langer na, hoe ga jij 10 miljoen anoniem betalen zonder dat er ergens bellen gaan rinkelen? hoe ga je uberhaupt als bedrijf slachtoffer zijn van ransomware zonder dat het opvalt? kijk hier bij garmin bijvoorbeeld, we wisten het voordat het bevestigd was. het maakt uitbetaling VEEL lastiger. verbieden stopt iets niet 100% ,dat heb ik ook nergens beweerd. het maakt uitbetalen alleen HEEL veel lastiger.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@t link • 28 juli 2020 18:25

Met als keerzijde het omvallen van bedrijven, image schade (er rust nog steeds een taboe op een malware besmetting helaas) etc.

t link @Bor • 28 juli 2020 21:48

Het is niet erg dat bedrijven omvallen, dat is om te voorkomen dat op den duur meer bedrijven omvallen omdat ransomeware zo lucratief is en opeens hele rijke bedrijven alleen voor de bescherming kunnen betalen. twee vliegen in een klap, MKB kan makkelijker overleven en criminelen hebben niet de luceratieve business. het is gewoon zo korte termijn denken om te denken dat ransomware betalen slim is. ja als je als een kapitalist en individualist denkt is het slim. maar als maatschapij en als vrije markt? nee, absoluut niet. het verstoord de hele markt behoorlijk en concentreerd de macht nog meer.

SuperSiggy @t link • 28 juli 2020 13:52

Het is nog altijd werk van mensen en mensen maken fouten. Duizenden phisingmails worden onderschept of direct door de gebruikers verwijderd maar er hoeft maar één te worden geopend en ze zijn binnen, De wereld, ook de IT wereld is niet zo maakbaar als als we soms doen willen geloven.

t link @SuperSiggy • 28 juli 2020 18:06

Als er 1 phishing mail geopend word en je hele netwerk zit onder de ransomware was het niet een menselijke fout maar een ruk ICT'er die je systeem verkeerd ontworpen heeft. onder geen enkele omstandigheid mag dat kunnen plaatsvinden.

Verwijderd @t link • 28 juli 2020 09:29

Eigenlijk zou het ook verboden moeten worden om te doen, losgeld betalen. netzoals die idiote ransomware verzekeringen. nee, dat is precies NIET wat we nodig hebben. je wilt preventie, niet juridische en economische indekking.

Maar dat gaat net zo sterk op voor diefstalverzekering. En niemand die zegt dat die criminelen uitnodigen om meer te gaan inbreken.

mac1987 @Verwijderd • 28 juli 2020 10:28

Bij diefstalverzekering gaat het geld niet naar de crimineel.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@mac1987 • 28 juli 2020 14:27

Bij diefstalverzekering gaat het geld niet naar de crimineel.

De gestolen spullen worden verkocht wat ook in het geval van ransomware een mogelijkheid is. We zien nu al bedrijven die worden gechanteerd met verkoop of lekken van gegevens wanneer men niet wil betalen. De pressie is groot.

t link @Verwijderd • 28 juli 2020 17:54

Omdat dat niet hetzelfde is? dat heet nou een false equivalence. De een is gijzeling, met als doel geld ontrekken en daarna hetgene terug geven. bij de ander is het doel al behaald, namelijk spullen ontvreemden en die doorverkopen. met een diefstal verzekering faciliteer je niet direct in het process van geld winnen op criminele manieren. met een ransomware verzekering wel, daar gaan criminelen er zelfs vanuit dat je betaalt en die kans neemt toe met een ransomware verzkereing. dat geld precies NIET voor een diefstalverzekering, en is dus ook waarom niemand het zegt bij een diefstalverzekering.

flowerp @t link • 27 juli 2020 23:13

Nou ja, als je de dekking echt volledig kunt automatiseren is het wel makkelijk.

Een verzekeringsmaatschappij zou een API kunnen aanbieden, waarmee de randsomware dan contact mee kan opnemen. Als een systeem getroffen is door randsomware, kan de getroffen een verzekeringscode invoeren in de UI van de randsomware en daarmee automatisch de boel unlocken en het geld (via bitcoins) meteen naar de personen achter de randsomware sturen.

/s

84hannes @flowerp • 27 juli 2020 23:40

Dat maakt de ransomwareindustrie wel heel lucratief. Als er al een verzekering nodig is hoop ik dat die gericht is op het vergoeden van de opgelopen schade, niet om het uitbetalen aan criminelen te automatiseren.

Groningerkoek @84hannes • 28 juli 2020 00:17

Even verzekeraar wil ook de uitkering laag houden en zal dus in deel van de gevallen maar graag het losgeld betalen om ervan af te zijn.

84hannes @Groningerkoek • 28 juli 2020 09:43

Ik snap het doel van de verzekeraar wel, maar dit voorstel is als een fietsdiefstalverzekering die fietsen van junks terug koopt. Dat is op geen enkele manier een oplossing van het probleem en gelukkig strafbaar.

Groningerkoek @84hannes • 28 juli 2020 22:59

Het is helemaal niet strafbaar voor een verzekeraar om te onderhandelen met een dief over terugkoop van de gestolen goederen, nu is een fiets bijna altijd te goedkoop om daar die tijd in te steken en de meeste fietsendieven hebben ook helemaal geen zin in zulks gedoe, maar bij kunst is het helemaal niet vreemd om na onderhandelingen losgeld te betalen om de goederen terug te verkrijgen.

84hannes @Groningerkoek • 29 juli 2020 07:59

Interessant, hoe is het niet heling om een gestolen schilderij (terug) te kopen van de dief?

Groningerkoek @84hannes • 29 juli 2020 16:28

Sinds wanneer is het heling als jij spullen koopt waarvan jij reeds de eigenaar bent? (of optreed uit naam van de eigenaar)

84hannes @Groningerkoek • 29 juli 2020 21:47

Ik dacth dat de definitie van heling was "het kopen van een gestolen voorwerp". Als een schilderij gestolen is en jij koopt het, dan zou dat heling zijn. Wellicht zat ik er naast en gaat het om het in je bezit hebben van een gestolen voorwerp: dan ben je als originele eigenaar inderdaad per definitie nooit een heler.

Zynth @Groningerkoek • 28 juli 2020 11:08

Nee, een verzekeraar wil een bepaalde winst behalen.

Het maakt ze niet uit of ze veel moeten uitkeren of weinig, zolang klanten de premie maar willen betalen.
Pas als de premie zo hoog wordt dat het klanten kost, komt er een daadwerkelijke motivatie om de premie naar beneden te krijgen, en daaropvolgend dus om de uitgaven te beperken.

Groningerkoek @Zynth • 28 juli 2020 23:02

Natuurlijk maakt het ze wel heel veel uit hoeveel ze moeten uitkeren, naast premies innen en vermogensbeleg is premies uitbetalen de 3e factor die winstbepalend is. En als een verzekeraar met 3 ton uitkeren kan voorkomen dat er 3 miljoen schade vergoed moet worden dan zit een verzekeraar diezelfde dag nog aan de onderhandelingstafel.

BuZZem @84hannes • 28 juli 2020 08:24

Los van de aanzuigende werking die je uit alle macht moet vermijden en bestrijden:

Ik denk niet dat dat gaat werken: criminelen zoeken in no time de rand van de weiger limiet op. Das makkelijker als je met 1 of een paar (verzekerings)bedrijven te maken hebt.

Belangrijker: dan maak je je bedrijf afhankelijk van de beslissingen van een ander bedrijf dat als doel heeft zo min mogelijk uit te betalen.
Ik kan me niet voorstellen dat een gemiddeld 'groot' bedrijf dat als acceptabele bedrijfsvoering ziet. Of anders de raad van commissarissen en aandeelhouders.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 12:16

Als er al een verzekering nodig is hoop ik dat die gericht is op het vergoeden van de opgelopen schade, niet om het uitbetalen aan criminelen te automatiseren.

Je begrijpt ook dat het vergoeden van opgelopen schade in veel gevallen vele malen duurder is dan het uitbetalen? Denk niet alleen aan bestanden die niet meer gebruikt kunnen worden maar ook aan verloren productie / imago schade etc.

84hannes @Bor • 28 juli 2020 14:02

Ik weet dat het terugkopen van een fiets van een junk ook veel goedkoper is dan een nieuwe fiets, maar

Ik ga niet het loon betalen van criminelen
Dat is heling en dus strafbaar

Als je denkt dat het betalen van criminelen een goed idee is heb je toch echt andere ethische waarden dan ik.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:06

Een scheve vergelijking wanneer je weet wie de dief is die jouw spullen heeft gestolen (je praat over terugkopen van een junk). Dat is bij ransomware vrijwel nooit het geval.

Ik zeg nergens dat betalen aan criminelen een goed idee is maar ik begrijp wel dat hiervoor soms toch wordt gekozen. De realiteit is niet altijd zo idealistisch als sommige mensen hier doen overkomen.

84hannes @Bor • 28 juli 2020 14:17

wanneer je weet wie de dief is die jouw spullen heeft gestolen (je praat over terugkopen van een junk). Dat is bij ransomware vrijwel nooit het geval.

Bij ransomware weet je zeker dat je de crimineel die jou heeft aangevallen beloont voor zijn werk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:19

Bij ransomware weet je zeker dat je de crimineel die jou heeft aangevallen beloont voor zijn werk.

Dat klopt maar wat is in sommige gevallen het alternatief? Wie ga je aangeven wanneer je geen enkel idee hebt wie er achter de aanval zit (wat echt anders is wanneer een junk jou je eigen fiets laat terugkopen)?

84hannes @Bor • 28 juli 2020 14:22

Dus jij vind dat crimineel gedrag alleen beloond mag worden als die crimineel anoniem blijft? Ik heb steeds meer moeite jouw redenaties te volgen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:25

Nee, ik vind dat crimineel gedrag idealiter niet beloond mag worden. De realiteit is echter complexer dan een simpel en scheef voorbeeld waarbij een junk gestolen goederen terug laat kopen. In de praktijk zijn de daders vrijwel altijd onbekend of alleen bekend middels een algemene duiding / codenaam. Dat maakt wel degelijk een verschil. Je ziet nu al dat ook justitie de grootste moeite heeft daders te vinden. Ransomware bestaat niet alleen omdat mensen betalen maar ook omdat de pakkans klein is.

84hannes @Bor • 28 juli 2020 14:33

Nu verwoord je het anders: crimineel gedrag moet beloond worden als de pakkans laag is. Maar ik kan je nog steeds niet volgen.

Ransomware bestaat niet alleen omdat mensen betalen maar ook omdat de pakkans klein is.

Denk je echt dat ransomware ontwikkelen een hobby is?

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@84hannes • 28 juli 2020 14:47

Nu verwoord je het anders: crimineel gedrag moet beloond worden als de pakkans laag is. Maar ik kan je nog steeds niet volgen.

Nee dat verwoord ik niet. Misschien moet je stoppen met het proberen om anderen woorden in de mond te leggen.

Denk je echt dat ransomware ontwikkelen een hobby is?

Nee, het is een enorme industrie. Een industrie waarbij de pakkans helaas nog steeds zeer klein is zoal ik al aangaf. Dat maakt dit probleem mede zo groot. Daarbij; er zijn gewoon ransomware varianten te koop / huur waarbij je zelf niet hoeft te ontwikkelen.

84hannes @Bor • 28 juli 2020 14:55

Precies, het is een industrie. Of je het zelf ontwikkeld of koopt/huurt is niet relevant: als het niet winstgevend is verdwijnt elke industrie!

Misschien moet je stoppen met het proberen om anderen woorden in de mond te leggen.

Dat was niet mijn streven en als je zelfkritisch terug leest zie je dat dat niet mijn doel is: ik herformuleer jouw uitspraken om er achter te komen waar ik je niet begrijp. In het laatste geval heb ik het niet als een vraag verwoord; daar biedt ik mijn excuses voor aan.

[Reactie gewijzigd door 84hannes op 26 juli 2024 13:02]

AmazingDreams @flowerp • 28 juli 2020 00:17

Misschien zou je de code al in een bestand op een vaste locatie kunnen zetten. De ransomware kan dan direct deze code gebruiken. Geen tijdverspilling meer met encrypten/decrypten en de gebruiker hoeft dan niet eens iets te merken.

Aikon @flowerp • 27 juli 2020 23:26

Hoeveel zou het dan kosten om een ransomware-prijsvergelijker te verzekeren?

dec0de @t link • 27 juli 2020 23:14

Dat is het ook voor dat bedrijf (evil corp)

mkools24 @Verwijderd • 27 juli 2020 22:33

Ligt eraan, als ze 10 miljoen eisen en je kunt een deal maken voor 1 of 2 miljoen, dan is dat misschien de goedkoopste oplossing.

FireStarter @mkools24 • 27 juli 2020 22:45

Klopt, maar het geeft ze wel de investering om hierna een nog groter bedrijf aan te vallen.
Of misschien 3 soortgelijke bedrijven.

En als ze tijdens de volgende slag (over een maand of 7) weer treffers hebben dan vallen ze 9 bedrijven aan etc.

Lisadr @FireStarter • 27 juli 2020 23:48

Dat is niet het probleem van Garmin. Ze willen zo snel mogelijk schade beperken voor Garmin.

polthemol Moderator General Chat @Lisadr • 28 juli 2020 07:20

eigenlijk is dat wel het probleem van Garmin: ze maken zichzelf tot een doelwit want ze betalen toch wel.

Als ze de schade zo snel mogelijk willen beperken, dan kom je toch terug op een gedegen backupbeleid, dan heb je de personen achter de ransomware helemaal niet nodig en kun je quasi meteen van start.

Als ik zag hoe immens veel offline was van Garmin echter, heb ik een vermoeden dat er wat gaten zitten in hun architectuur

Blokker_1999

Ransomware
Beveiliging en antivirus

@polthemol • 28 juli 2020 08:24

Nee, een gedegen backup beleid is belangrijk, maar is niet de heilige graal als het aankomt op het oplossen van ransomware. Goede ransomware gaat zich ook op je backups richten, niet enkel op je actieve systemen. En als je echt alles kwijt bent, dan kan het terugzetten van die backups enorm lang duren, dat doe je niet op een uurtje of twee. Alles van de grond af aan restoren zal minstens dagen duren, in het ergeste geval zelfs weken.

afterburn @polthemol • 28 juli 2020 10:06

En hoe stel jij je dat backup beleid voor? Taperobotje hier en daar? Of online, hot en cold storage over meerdere locaties? Hoeveel data denk jij dat een bedrijf als Garmin heeft?

Backup strategieën zijn echt wel voor elkaar hoor bij bedrijven als Garmin. We hebben het niet over een uit de kluiten gewassen MKB bedrijfje. Probleem is alleen dat dergelijke bedrijven datasets hebben waar je geen offline data backup meer van kan maken. Het past gewoon niet en duurt te lang. Als je werkt met big data, dan werkt alles net een beetje anders als bij het gemiddelde bedrijfje met een handvol machines op een enkele locatie. Als je storage gebruik per site uitgedrukt wordt in PB, dan wordt je gedwongen om op een andere manier na te denken over je backup strategieën en andere mogelijk- danwel noodzakelijkheden. En tenzij je er mee te maken hebt gehad, kun je je daar vaak slecht bij inleven omdat het nogal een omschakeling is.

polthemol Moderator General Chat @afterburn • 28 juli 2020 10:17

het is niet alleen de backups, je zag dat Garmin effectief helemaal plat ging. Hun eigen site werkte niet meer, twee productielocaties waren plat, de backend voor gebruikers werkte niet meer, zelfs de helpdesk kon niets meer,de email deed het niet, enz.

Dat toont aan dat de aanvallers met hun ransomware pretty much door het hele netwerk heen zijn gestoomd van garmin en dat is kwalijk.

Het backupbeleid van Garmin zal redelijka fdoende zijn geweest (hun herstel was redelijk rap) maar de vraag was hoe je snel terug komt van een ransomware attack: het antwoord is dan een gedegen backupbeleid.

Mijn bedenkingen bij hun architectuur zijn gebaseerd op hoe diep de ransomware doorgedrongen was, niet op hoe snel garmin de boel weer up and running had. Mogelijk dat ik dat punt wat duidelijker had moeten omschrijven

Nox @polthemol • 28 juli 2020 10:55

Het uitschakelen van die systemen kan ook net zo goed gedaan zijn om de ransomware te isoleren. Iets wat al vaker voorbij kwam, dit zegt niets over wat wel/niet getroffen is door de ransomware.

BertS @polthemol • 28 juli 2020 11:10

Dat toont aan dat de aanvallers met hun ransomware pretty much door het hele netwerk heen zijn gestoomd van garmin en dat is kwalijk

Dat toont het niet perse aan, want Garmin kan na het ontdekken van het probleem best onmiddellijk zoveel mogelijk preventief hebben uitgeschakeld, om vervolgens te onderzoeken en gecontroleerd weer in te schakelen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@polthemol • 28 juli 2020 12:25

maar de vraag was hoe je snel terug komt van een ransomware attack: het antwoord is dan een gedegen backupbeleid.

Dat is slechts een gedeelte van de oplossing. De ransomware is namelijk ook binnen gekomen. Wanneer je alleen backups terugzet is de kans op herhaling (of het nog aanwezig zijn van criminelen) behoorlijk. Daarbij moet je ook denken aan een eventuele deuk in het imago, verbetertrajecten etc.

mkools24 @polthemol • 28 juli 2020 10:30

Je moet de attack surface gewoon verkleinen. Systemen van elkaar isoleren zodat één aanval niet direct heel je netwerk infecteert maar slechts dat onderdeel waar het binnenkomt. Dat is beheerstechnisch vaak wel een stuk complexer omdat je intern ook met firewalls enzo moet gaan werken maar het is wel de beste oplossing.

Ik vind het sowieso vreemd dat bijv. de website down gaat en ook Garmin Connect. Dat zijn zaken die gewoon gescheiden moeten blijven. Ik snap dat de website zijn data uit Connect haalt maar dat kan ook op een veiligere manier, bijv. data eerst uploaden naar een database waar de webserver toegang tot heeft met daartussen firewalls die enkel dat specifieke verkeer toestaan.

afterburn @polthemol • 28 juli 2020 10:31

Ik denk dat je dat ook onderschat. Als zoiets eenmaal binnen is, dan kan het heel snel uit de hand lopen. Je hebt maar 1 computer nodig die geïnfecteerd raakt, waarschijnlijk zelfs door user error van een enkele gebruiker en dan kan zo'n worm zich heel rustig door de infra vreten tot het geactiveerd wordt. Met vulnerabilities als Bluekeep, wordt het dan redelijk makkelijk gemaakt om dat soort zaken op verhoogde permissies te draaien voor maximale impact. En ja, grote bedrijven hebben nog steeds vulnerable systems in hun kritieke infra staan. Het is niet dat je even van de een op andere dag duizenden servers upgrade of uitfaseert. En dan hoef je als bedrijf verder niets echt fout te doen, maar ben je wel giganties "De Lul™".

polthemol Moderator General Chat @afterburn • 28 juli 2020 10:36

mijn onderschatting valt wel mee hoor, beetje mijn werk voor een gedeelte

Het is gewoon raar dat zaken die los zouden moeten staan (fabrieken in taiwan, garmin connect wat een user portal is, de helpdesk, hun mailsysteem, enz.) toch 1 geheel vormen en collectief plat gaan. Dan werken je compartimenten duidelijk niet.

Het upgraden/bijhouden van servers: dat is zonder meer een issue wat je veel terug ziet komen, ook vaak door een gebrek aan visie, vage budgetredenen (het is nog nooit fout gegaan dus nergens voor nodig) en een gebrek aan controle over wat er nog draait ('oh! verhipt, er draaide toch nog ietsi n dat rack')

84hannes @mkools24 • 27 juli 2020 23:43

Ligt eraan, als ze 10 miljoen eisen en je kunt een deal maken voor 1 of 2 miljoen, dan is dat misschien de goedkoopste oplossing.
Reageer

Klinkt alsof jij bij een aankoop kijkt naar wat je niet betaald (zogenaamde korting) in plaats van wat je wel betaald. Gelukkig is er een hele industrie die aan die wensen tegemoet komt: marketing.

dec0de @Verwijderd • 27 juli 2020 23:14

Nee, dat is illegaal, dus dat hebben ze zeker niet gedaan

themadone 28 juli 2020 10:04

Wel grappig dat iedereen voorbij gaat aan het feit dat dit soort hackers hier gewoon mee wegkomen. Natuurlijk dient de IT afdeling zijn zaken op orde te hebben, maar als je een keer een raam open laat staan mag er maar gewoon ingebroken worden?

De discussie is wat mij betreft verkeerd om, de hackers aanpakken zou de hoogste prioriteit moeten hebben, maar ja, dat is lastig. Dus gaan we de bedrijven maar een betweterig vingertje voor houden.

Een wet tegen het betalen, wat een grap, je laat je bedrijf toch niet klappen?

Ik zeg, internet beter screenen, landen blokkades op landelijk niveau, weg met de anonimiteit van Bitcoin en dat soort meuk. Dat zijn de snelste manieren om dit op te lossen. Hackers lopen altijd een stap voor op de patches. Hey wordt tijd voor internet 2.0 waarop je alleen na uitgebreide verificatie aangesloten kan worden en je acties permanent traceerbaar zijn, regels overtreden? Per direct verwijderen van het internet 2.0 en nooit meer terug.

Zal wel nooit gebeuren, want iedereen lijkt wel belang te hebben bij het feit dat het zo'n ongecontroleerde puinzooi is momenteel.

Freeaqingme 27 juli 2020 21:17

Er waren eerder al sterke aanwijzingen over een ransomwareaanval.

Ik lees: "Het was al bekend dat het om een ransomewareaanval ging, alleen werd dit voorheen nog niet bevestigd door Garmin"

Journalistiek lijkt soms wel beperkt te zijn tot het overnemen en herschrijven van persberichten, maar ook zonder een dergelijk bericht kan je natuurlijk al wel bepaalde feiten constateren...

BorgMan @Freeaqingme • 27 juli 2020 21:25

Nee, "het was al bekend dat" kan je alleen schrijven als het door het bedrijf bevestigd wordt. Tot die tijd is het speculatie, iets wat hier dus correct wordt vermeld. Dat wij het dénken zeker te weten wil niet zeggen dat het zo ís.

84hannes @BorgMan • 27 juli 2020 23:45

Dat wij het dénken zeker te weten wil niet zeggen dat het zo ís.

Nitpicking: dat een bedrijf iets officieel communiceert betekent helaas ook niet dat het zo is.

Otkurom 27 juli 2020 21:22

Ik moet zeggen dat ik enigszins verbaasd ben over de snelheid waarmee Garmin alles weer up en running heeft voor de users. Om binnen 4 dagen services weer beschikbaar te stellen voor de userbase vind ik echt topklasse. Als je nagaat dat je een inventarisatie moet doen welke systemen getroffen zijn, hoe ze zijn binnengekomen, alle data restoren en alle systemen weer omhoog brengen is dat echt gewoon goed. Daarnaast moet elke laptop en elke pc volledig gescand en malware vrij bevonden worden voor hij weer aan het netwerk mag, lijkt me echt een enorme klus.

Ondanks dat ze zijn getroffen leken ze dus in ieder geval wel goed voorbereid. (Of ze hebben binnen 24 uur gewoon de borg betaald en alles zonder problemen kunnen encrypten. In dat geval is het interessant om te zien of er straks bij de Q3 cijfers een dubieuze balanspost van 10mln vermeld staat

)

Bensimpel @Otkurom • 27 juli 2020 21:36

Vind ik een beetje te voorbarig, als je niet alles goed hersteld zit je morgen weer met de gebakken peren. En ik hoop dat ze niet betaalt hebben, criminelen moet je niet gaan belonen. Ik hoop tevens dat de IT industrie zich hiertegen beter gaat wapenen.

Goldwing1973 @Bensimpel • 27 juli 2020 22:53

Het zou gewoon wereldwijd strafbaar gesteld moeten worden dat je betaald.
Ja, er zullen bedrijven door om (kunnen) vallen, zeker aan het begin, maar door te betalen houdt je het hele eco systeem in stand.

8x4 @Goldwing1973 • 28 juli 2020 00:44

Zwart-wit denken is dat.

In de ideale situatie zou betalen inderdaad niet nodig hoeven te zijn. Van die situatie is alleen sprake als je je als slachtoffer goed voorbereid hebt op zulke aanvallen. Dat betekent dat je je backups geautomatiseerd, gereguleerd, en gedupliceerd hebt, èn deze correct kunt herstellen. Daarnaast dien je je beveiliging ook op een zeer hoog niveau te hebben, zowel tegen aanvallers van buitenaf als van binnen af. Echter, dit is makkelijker gezegd dan gedaan en, in het geval van extreme beveiliging, heeft ook een keerzijde wat betreft de gebruiksvriendelijkheid/toegankelijkheid.

Afhankelijk van hoe diep zo'n aanval is uitgevoerd, kan zelfs de backup server volledig om zeep geholpen zijn. Om in zo'n geval de gecompromitteerde data te herstellen middels een backup dien je eerst je hele backup server weer op gang te brengen.

Om een enige indruk van de schaal te geven:
Een backup-server voor een klein bedrijf kan in de loop der tijd vele tientallen terabytes geschreven hebben (simpel voorbeeld van een bedrijf dat veel data genereert: bijvoorbeeld een mediabedrijf, zoals een fotografie/videobureau).
Even van de worst case scenario uitgaande dat zelfs de backup-server naar de zevende hemel is: om deze backup server weer op te zetten zodat het de cold storage kan gebruiken voor het herstellen van de data kan al een heel karwei zijn (ik ga even van uit dát er hopelijk sprake is van cold storage). De backup server kan bijvoorbeeld op een andere locatie bevinden. De geografische locatie hoeft weliswaar niet een probleem te zijn, maar de configuraties herstellen wel. "Nou, er is ongetwijfeld wel in een document vastgelegd hoe de servers geconfigureerd waren, dus herstellen is simpelweg de waarden in de config-files opnieuw invoeren". Maar nee, dat document zelf blijkt ook encrypted te zijn

.
En dan de cold storage zelf: hoe oud is die? Een week? Twee weken? Stel het je lukt je om je backup server weer op te zetten, dan nog verlies je data van één of twee weken (of hoe oud je meest recente cold storage backup ook mag zijn). Of dat te permitteren is hangt sterk af van de data en van de activiteiten van het bedrijf gedurende die verloren periode.
Een ander aspect van je backup server: hoelang duurt het om die weer op te zetten? Ben je twee dagen daaraan kwijt? Twee weken?
Al goed, stel je hebt je backup server opgetuigd en wat bruikbare cold-storage kunnen vinden. Nu dien je alle computers in je organisatie te herstellen (hopelijk werkte je met VM's, maar heb je die wel kunnen herstellen van je cold storage?).

"Eigen schuld, hadden ze maar een goede backup strategy moeten hebben!". En dat is zeker zo gedaan denk je?
Hoe ga je om met je data (die continue groeit), hoe sla je het op (op welke media)? Hoe test je je backups? Hoe verifieer je je data? Heb je een strategie voor de situatie dat je hele digitale infrastructuur om zeep geholpen is en opnieuw opgetuigd moet worden? (maw: heb je een rampenplan? Werkt dat rampenplan ook? Heb je het weleens getest of het werkt?)

Probeer je nu in te beelden hoe groot een bedrijf is met een omzet van 3-4 miljard en 13.000 medewerkers heeft, en hoe groot de digitale infrastructuur daarvan is.

En dan nog niet eens te beginnen over beveiliging (tegen externe als interne aanvallen).

===========
Simpelweg

Het zou gewoon wereldwijd strafbaar gesteld moeten worden dat je betaald

roepen is dus te zwart-wit. Om dat te kunnen roepen dien je uit te gaan dat de strategieën voor backups en data-integriteit enerzijds, en beveiliging anderzijds, tip-top in orde zijn. Dit kost veel resources, of dat nu geld is of een interne afdeling die verantwoordelijk is voor die aspecten. Stel dat je dit vanaf het begin helemaal dichtgetimmerd hebt, dan lever je met zulke strenge beveiliging en/of zéér uitgebreide backup-strategieën weer in op andere resources of aspecten (beschikbaar vermogen voor ontwikkeling van je producten, mankracht, productiviteit van je developers, gebruiksviendelijkheid van je software/producten voor de end-users, etc).

Zou je, als je als bedrijf een groot deel van je resources vanaf het begin besteedt aan o.a. beveiliging en andere maatregelen ter preventie van 99% van zulke aanvallen (100% preventie bestaat niet), kunnen uitgroeien tot een bedrijf van deze omvang? Dat kan, maar maakt het wel veel moeilijker (en de kans is groter dat je niet de marktleider wordt, doordat anderen jou ingehaald hebben daar ze hun resources volop hebben gezet op groei en doorontwikkeling van het eindproduct in de levensfase van het bedrijf waarin dat het hardst nodig was).

Een vergelijking:
- stel dat wachtwoorden niet te kraken zijn indien ze over het volgende beschikken: minimaal 30 tekens lang, bestaande uit een combinatie van kleine en grote letters, minimaal 6 verschillende cijfers, en minimaal 10 verschillende, speciale tekens, en waarbij 2 eenzelfde letters niet in dezelfde case achter mekaar gebruikt mogen worden.
- stel dat je bij een dienst je aan deze wachtwoorden standaard moet houden, èn daarnaast om de 2 maanden je wachtwoord drastisch moet (verplicht) veranderen, ÈN in combinatie met 2 factor authenticatie.
- stel dat de dienst stateless is: IEDER bezoek van jou moet geauthenticeerd worden; er is geen optie om je 'te onthouden'.
Komt dit jouw gebruiksvriendelijkheid ten goede? Neen, maar "hey, het is ten minste niet te kraken!"

.

Ik ben zéker van het kamp "zeer goede beveiliging hanteren met acceptabele tot goede balans wat betreft bruikbaarheid/productiviteit/gebruiksvriendelijkheid", en in de ideale wereld zou het niet betalen van de aanvallers wellicht andere of toekomstige aanvallers kunnen ontmoedigen (er valt immers geen brood te winnen), maar in werkelijkheid is het makkelijker gezegd dan gedaan om te stellen dat "betalen verboden bij wet zou moeten zijn", want daarmee impliceer je dat beveiliging de hoogste prioriteit moet hebben, wat vaak ten koste gaat aan gebruiksvriendelijkheid en resources.

Let op: ik zeg hiermee nìet dat betalen een garantie is dat je de data probleemloos en wel terug hebt (en of decryptie uberhaupt correct zal werken).

[Reactie gewijzigd door 8x4 op 26 juli 2024 13:02]

twiFight @8x4 • 28 juli 2020 02:16

Simpelweg (...) roepen is dus te zwart-wit.

Het is al reeds lange tijd bekend dat de mensen die het minst snappen van de materie de grootste mond hebben, omdat ze simpelweg geen idee hebben hoe weinig ze er van snappen.

scholtnp @twiFight • 28 juli 2020 08:56

Bedoel je het Dunning-Kruger effect?

Goldwing1973 @twiFight • 28 juli 2020 12:14

En dat beweer je over iemand die al 30+ jaar in de IT zit, opleidingen gevolgd heeft bij HP, Microsoft, ITIL en Prince2 gecertificeerd is.

Groningerkoek @Goldwing1973 • 28 juli 2020 00:21

Tot er belangrijke infra-structuur of medische zorg platligt. Dit probleem gaat wel wat verder dan alleen een stel commerciële bedrijven met producten waar niemands leven vanaf hangt. En aangezien een systeem wat toegankelijk voor een gebruiker moet zijn nooit 100% veilig zal zijn blijft dit probleem voorlopig wel.

bussie66 @Goldwing1973 • 28 juli 2020 01:42

Ben benieuwd hoe je reageert als jezelf hierdoor je baan verliest.

Dan nog steeds voor een betaal verbod?

Zynth @bussie66 • 28 juli 2020 11:11

Ja, want ik weet dan hoe het voelt en dat wil ik anderen niet aan doen.
Criminelen "betalen" voor hun criminaliteit, houdt het ecosysteem in stand.
Daar is maar 1 permanente lange termijn oplossing voor.
Die inderdaad op de korte termijn pijn doet.

Galosh_ @Goldwing1973 • 28 juli 2020 08:23

Om een goede quote van Afred te pakken: "Some Men Just Want To Watch The World Burn"

Dus ik denk niet dat je hier het probleem van ransomware mee kapot maakt.
(misschien word de naam veranderd want die is dan niet meer correct maar het probleem blijft)

renevanh @Otkurom • 28 juli 2020 10:44

Ik moet zeggen dat ik enigszins verbaasd ben over de snelheid waarmee Garmin alles weer up en running heeft voor de users. Om binnen 4 dagen services weer beschikbaar te stellen voor de userbase vind ik echt topklasse.

Dat hangt er gewoon sterk mee samen met wat er besmet was.
In het scenario dat er niet betaald is zou het goed kunnen dat bijvoorbeeld de webservers besmet waren, maar de applicatie- en databaseservers niet.
Met een goede backup (bijvoorbeeld de vorige versie op de servers van de ontwikkelaars/programmeurs) ben je dan vrij snel weer online.

Zolang we geen details weten is het allemaal giswerk natuurlijk.

vdr01 @Otkurom • 27 juli 2020 21:27

Als je maar betaald kun je weer snel online.... Korte termijn politiek.

Goldwing1973 @vdr01 • 27 juli 2020 22:49

Nee hoor, of zou jij het risico willen lopen dat er ergens nog een ransomware onderdeel klaar staat voor over 2 maanden.
Kan je weer gaan betalen, en degene die het gedaan heeft doet gewoon of ze een andere groepering zijn.

Nee, ook na betalen zal je alles grondig moeten nakijken en dat doe je niet in een paar dagen.

Blokker_1999

Ransomware
Beveiliging en antivirus

@vdr01 • 28 juli 2020 08:29

Op korte termijn de schade beperken om op lange termijn te overleven.

Blokker_1999

Ransomware
Beveiliging en antivirus

@Verwijderd • 28 juli 2020 08:30

4 dagen valt nog mee en is eigenlijk 1 van de snellere om terug up and running te zijn in de afgelopen jaren. Andere gevallen hebben weken of maanden geduurd voordat alles hersteld was.

Timmy @Verwijderd • 27 juli 2020 22:02

Blijkbaar neemt de beurs dat wel genoegen mee. Het aandeel Garmin staat momenteel een kleine 4 procent hoger, al komt dat vooral omdat het bedrijf heeft aangegeven dat er geen impact op de financiële resultaten zal zijn.

wifikabelhuren @Timmy • 27 juli 2020 22:17

Dat kun je nu nog niet vaststellen of het impact heeft of niet.

MikeyMan @wifikabelhuren • 28 juli 2020 10:14

Sterker nog; je kunt op je klompen aanvoelen dat het impact heeft. Aannames:
- Ze zijn er de afgelopen dagen met veel mensen fulltime mee bezig geweest om de boel up and running te krijgen
- De komende dagen/weken/maanden gaan ze de beveiliging verbeteren
- Ze zijn negatief in het nieuws geweest

Maar we verwachten geen impact op de financiele resulteten

Je comment wordt gedownvote omdat het weinig toevoegt en niet onderbouwd is. Beursgenoteerd zijn heeft niets te maken met cyber security omdat het alleen iets zegt over de eigendomsstructuur.

De kans dat de criminelen data hebben gejat is reëel. Dat ze er iets mee gaan doen lijkt me minder reëel. Mocht dat uitkomen dan is dat een reden voor bedrijven om geen losgeld te betalen in de toekomst - na een eventuele decryptie zou data van het bedrijf op straat komen.

Onderschat niet hoe veel voorbereiding er vooraf ging aan deze aanval. Het netwerk binnenkomen (zonder op te vallen), back ups al dan niet infecteren, netwerken in kaart brengen (zonder op te vallen), encryptie software installeren en laten runnen (zonder op te vallen). En dan nog heb ik niet alles benoemd. Daar gingen mogelijk maanden aan voorbereiding aan vooraf. In vier dagen weer up en running zijn (sort of) vind ik best netjes, zeker gezien de omvang van het bedrijf. Dat niet alles te grazen is genomen geeft aan dat de systemen goed (genoeg) geïsoleerd waren van elkaar. Daar wil het bij grote tech bedrijven nog wel eens mis gaan - beveiliging aan de muur en deur zonder te veel intern te compartimenteren.

Er zal zeker voorbereiding aan vooraf gegaan zijn maar een bedrijf wordt ook gekozen omdat er blijkbaar al deuren op een kier stonden.

Beursgenoteerd zijn heeft niets te maken met cyber security omdat het alleen iets zegt over de eigendomsstructuur

Nope. Beursgenoteerd betekent ook dat alle processen die gebruikt worden controleerbaar en betrouwbaar zijn. Als Garmin abonnementen of rekeningen naar verbruik stuurt dan moeten ze onweerlegbaar bewijs voor de rekeningen die ze sturen hebben. Dat betekent dus ook dat je IT geaudit moet worden. Lees SOX even na.

Developer58 @Verwijderd • 28 juli 2020 00:57

Het is wel erg toevallig dat ik sinds ongeveer 23 juli heel veel spam in mijn Gmail spambox heb. Zo'n 15 per dag! Dat was daarvoor misschien 5 tot 10 in een maand.
Volgens mij zijn er wel degelijk klantgegevens gelekt.

DiedX @Developer58 • 28 juli 2020 06:12

Dat staat daar los van. Ik heb een mailadres specifiek voor Garmin Connect, en niets daarop ontvangen.

Developer58 @DiedX • 28 juli 2020 12:29

Is mogelijk, maar ik heb halverwege de dag alweer 12 spam e-mails. Dat had ik eerst niet eens in een maand. Alle adressen hoeven ook niet gelekt te zijn, het kan een gedeelte zijn natuurlijk.

DiedX @Developer58 • 28 juli 2020 13:37

Dat lijkt mij dan weer heel bijzonder. Waarom zou ik een halve database meenemen?

Ik krijg overigens zelf ook meer spam, maar niet op mijn Garmin email-adres. Vermoedelijk is een botje weer los aan het gaan...

MartijnHavinga @Developer58 • 28 juli 2020 08:02

Vreemd, bij mij is het ineens een stuk minder geworden.

mkools24 @Verwijderd • 27 juli 2020 22:36

Ligt aan de dienst, al mijn activiteitendata zit in m'n horloge, die werd direct weer gesynced, geen probleem. Mij maakte het niet uit.

no1san 27 juli 2020 22:49

Microsift onedrive detecteert en kan een restore uitvoeren.
Daarnaast hebben ze de kluis functionaliteit waarbij de klans klein is dat de ransomware erbij kan komen.

Dit allemaal nadat onedrive netjes de ransomware heeft verspreid over het gehele netwerk.
Ik was zeer tevreden met deze microsoft functionaliteit.

johncas 28 juli 2020 12:19

Eventuele betalingen worden in bitcoins of soort gelijke munt gedaan , en dat is een zwak punt om dit te traceren en om dit soort lieden te pakken .
Bitcoins en soort gelijke munt illegaal maken.
Als ze dit soort munten blijven gebruiken ,dan blijf je dit zoals bij Garmin houden.
Het kwaad geef je voeding ,want het is lonend.

jselinade 31 juli 2020 01:10

Leven zonder je geliefde is als leven in slavernij, ik ben gekomen om alle glorie terug te geven aan heer Bubuza, de toverspreider voor het herenigen van mijn man en ik, ik ben 12 jaar getrouwd en mijn huis was tot voor kort heel vredig en mooi toen mijn man begon te vrouwiseren, ik probeerde met hem te praten, maar er veranderde niets, ik wilde mijn huwelijk opgeven en een echtscheiding opgeven toen ik een vriend tegenkwam die me voorstelde aan heer Bubuza de betovergieter, ik nam contact met hem op en vertelde hem mijn problemen. Hij vertelde me dat hij me zal helpen en dat mijn man bedelend bij me terugkomt, ik voorzag in de dingen waar Heer Bubuza om vroeg en het was precies 14 uur nadat de spreuk was uitgesproken en mijn man huilend thuiskwam en me smeekte hem te vergeven, in het begin leerde ik dat hij een grapje maakte, ik vergaf hem en het geluk in mijn huis werd weer hersteld, mijn man is nu een veranderde man en ik ben erg gelukkig, allemaal dankzij Lord Bubuza. neem vandaag nog contact met hem op voor hulp via WhatsApp:: +1 505 569 0396 of e-mail::: ( lordbubuzamiraclework@hotmail.com ) ....

kodak

Beveiliging en antivirus
Ransomware

@gabba25 • 27 juli 2020 22:19

Wat wil je dat een maker van een OS, zoals microsoft, dan doet? En heb je er al eens aan gedacht dat het niet het probleem van het OS hoeft te zijn dat een bedrijf dat het OS gebruikt besmet raakt?

84hannes @gabba25 • 27 juli 2020 21:13

Dat Microsoft echt helemaal niks tegen die ransomware kan doen is toch eigenlijk van de zotte.

Kun je uitleggen wat Microsoft hiermee te maken heeft?

edit:
Een medetweaker maakt een onduidelijke opmerking en ik vraag om verduidelijking. Wil iemand mij uitleggen wat daar irrelevant of ongewenst aan is?

[Reactie gewijzigd door 84hannes op 26 juli 2024 13:02]

muppet99 @84hannes • 27 juli 2020 21:20

https://labs.sentinelone....and-ntfs-file-attributes/

Wastedlocker is gericht op ads en NTFS. Vanuit die optiek snap ik de comment wel. Echter is het iets complexer. Als je Security richtlijnen volgt, ben je redelijk goed op weg. Alleen is er altijd wel een beheerder die even een shortcuts neemt, een gebruiker die niet oplet of een systeem wat niet gepatched is. En zo nog 100 oorzaken waardoor het fout kan gaan. Wijs niet altijd de software boer als schuldige aan. Met een auto kan je ook tegen een muur rijden of een ongeluk veroorzaken. Moet ik dan ook het automerk verantwoordelijk houden?

[Reactie gewijzigd door muppet99 op 26 juli 2024 13:02]

Verwijderd @muppet99 • 27 juli 2020 21:31

Mwoah, K'heb me een klein beetje verdiept in deze ransomware gijzeling van Garmin, en het lijkt gewoon alsof ze alle systemen aan elkaar hebben gehangen zonder ook iets maar van een scheiding er tussen.

Gewoon bad practices dus. dat is meestal niet de schuld van de beheerders, maar de organisatie die "niet moeilijk wil doen" en "geld wil besparen"

Zelfde als, wanneer was dat? dat een britse FC ook ge-ransomwared was, en dat zelfs de hekken in het stadium niet meer open konden omdat de systemen die daar verantwoordelijk voor waren ook direct waren verbonden met het interne netwerk waar b.v. de secretaresse op een ouwe XP bak ook vrolijk op links in mailtjes aan het klikken was.

Bensimpel @Verwijderd • 27 juli 2020 21:38

Of een organisatie die niet echt iets doet aan een goede cyber resilience Er zou eigenlijk wetgeving moeten komen waarbij management verantwoordelijk kan worden gesteld als ze data security niet serieus nemen omdat geld. .

84hannes @Bensimpel • 27 juli 2020 21:51

Er zou eigenlijk wetgeving moeten komen waarbij management verantwoordelijk kan worden gesteld als ze data security niet serieus nemen omdat geld. .
Reageer

Dit is nou net één van de weinige dingen die de markt zelf wel op kan lossen: als je de IT-security niet goed op orde hebt kost dat vroeg of laat bakken met geld. Dat in het algemeen zou management voor verantwoordelijk moeten worden gehouden, niet elk klein detail. Helaas lees je nog te vaak dat een bedrijf (bijna) kopje onder gaat maar de manager met een flinke bonus wordt weggestuurd.

kakanox @Bensimpel • 27 juli 2020 21:55

Ehh... dat is er toch?

- op het moment dat het data van jou of mij betreft, is er de AVG en de GDPR. Dat men mijn data verliest vindt zowel de wetgever als ik geen probleem; Tenzij contractueel anders bepaald ben ik verantwoordelijk voor mijn backup. Als mijn data uitlekt is het management wel degelijk verantwoordelijk, als de schade ernstig genoeg is, is een bestuurder ook hoofdelijk aansprakelijk. Desgewenst mogen wij een claim indienen bij het bedrijf in kwestie.
- Wanneer het bedrijf schade lijdt gebeurt een bestuurder meestal weinig, behalve dat die er nog weleens een heel slechte naam aan overhoudt. Echter is er ook nog zoiets als wanbeleid, daar kan je erg veel onder schuiven. In geval van een faillissement kan een bestuurder dus óók hoofdelijk aansprakelijk gesteld worden, want het compleet verprutsen van je cybersecurity is óók onbehoorlijk bestuur.

TheBrain @Verwijderd • 28 juli 2020 07:36

Het hangt er vanaf waar ze binnen zijn gekomen. Als ze een medewerker/beheerder hebben weten te spearfishen dan is de kans groot dat ze via de achterdeur(en) zich uiteindelijk de benodigde admin privileges hebben weten toe te kennen.

Kan je nog steeds allerlei segmentatie gebruiken maar als ze op de admin jumphosts kunnen en er is geen privileged accounts management ingesteld (CyberArk bijvoorbeeld) dan kunnen ze diverse systemen platleggen die vanuit netwerk perspectief gesegmenteerd zijn.

Gezien de manier waarop Garmin nu met deze crisis is omgegaan vrees ik echter dat ze minder openheid van zaken gaan geven dan bijvoorbeeld Maersk of de Universiteit van Maastricht.

Verwijderd @Verwijderd • 27 juli 2020 23:23

Noem mij 1 ransom hack waarbij _niet_ domme fout op domme fout gestapeld is.. Het is bij allemaal hetzelfde; niet gepatchte systemen, best practices niet gevolgd, lifecycle management een puinhoop, wachtwoorden ruk, geen MFA, geen account scheiding, rechten niet op orde, etc etc..
En ik durf te wedden dat ze gehackt zijn met tooltjes van 20 jaar oud..

Maar ja, Windows he..

[Reactie gewijzigd door Verwijderd op 26 juli 2024 13:02]

TheBrain @Verwijderd • 28 juli 2020 07:19

Dat is wel een ontzettende jaren-90 opmerking. In large enterprise IT gebruikt iedereen Microsoft OSen voor zowel de werk stations als servers (en de bijbehorende end user services - file/print, directory etc.). Je hebt daar simpelweg geen Linux vs Windows discussies want het wordt allemaal gebruikt.

Garmin is overigens een Oracle Exadata klant voor o.a. de databases die achter Connect hangen. En die draaien op Oracle Linux.

Verwijderd @TheBrain • 28 juli 2020 13:36

Ik snap je reactie niet..
"Dat is wel een ontzettende jaren-90 opmerking. "

Wat is een jaren 90 opmerking?

Mijn punt is dat het "weer" op WIndows wordt gegooid. Terwijl het issue de beheerder is.

Razwer @muppet99 • 28 juli 2020 10:55

Alleen is er altijd wel een beheerder die even een shortcuts neemt, een gebruiker die niet oplet of een systeem wat niet gepatched is. En zo nog 100 oorzaken waardoor het fout kan gaan. Wijs niet altijd de software boer als schuldige aan

Dat beheerders shortcuts nemen is een gegeven. Hier kan je prima je omgeving op designen.
Daarnaast is de (security) software toch echt wel een factor. Na wat tests te hebben gedaan op de hashes van deze case kan ik je vertellen dat bijvoorbeeld BlackBerry Cylance PROTECT met een engine van oktober 2013 (niet updated daarna!) deze ransomware "gewoon" had opgepakt. Oftewel, er is echt wel verschil in software

muppet99 @Razwer • 28 juli 2020 11:12

Het ging hier dan ook meer om MS die de plank mis zou slaan. Zodoende ook mijn voorbeeld van een auto. Je weet ook niet hoeveel tijd ze hebben gehad voor reconnaissance. Wellicht zijn deze gasten al maanden binnen zonder dat ze zijn opgemerkt. Als je tijd genoeg krijgt kun een een goed plan of attack opstellen en de vulnerabilities van de software opzoeken. Want helaas zie ik ook vaak dat er wel antivirus/detectie software op de endpoints (clients) staan, maar niet op de servers. Want een server 'praat' toch niet tegen het internet? Ik ben ook zeer benieuwd of er een openbaar rapport komt.

Razwer @muppet99 • 28 juli 2020 11:17

Ik ben reuze benieuwd bij wie ze klant zijn voor hun EDR.
Ik volg deze case iig met veel interesse.

axg @84hannes • 27 juli 2020 21:18

Ik denk dat hij doelt op het besturingssysteem. Al heb ik geen idee of dat bij Garmin voor zijn diensten gebruikt wordt.

gabba25 @84hannes • 27 juli 2020 21:22

Tot nu toe zijn alle ransomeware aanvallen op Windows geweest toch? Hoezo krijgt mijn comment ook een -1? Is geen bash, ik vraag het mij gewoon af. Linux, Unix, Mac, ChromeOS, Android, iOS > volgens mij kent geen enkel ander besturingssysteem ransomeware. Vandaar de vraag.

Cheap Apps @gabba25 • 27 juli 2020 21:42

Dan heb je de afgelopen jaren toch niet al te best opgelet, want zeker voor Linux zijn er afgelopen jaren ook wat ransomware gevallen geweest.
Wat voorbeelden:
Waarschijnlijk embedded/linux-like
Mac OS
Linux

gabba25 @Cheap Apps • 27 juli 2020 21:55

Die eerste is dan wel meteen een slecht voorbeeld

Het is niet duidelijk of het bedrijf is getroffen door ransomware of dat het om een ander soort aanval gaat

anandus @gabba25 • 27 juli 2020 21:26

Ransomware is er ook voor andere OS'en. Een goed voorbeeld is bijv Synology.

Frij5fd @gabba25 • 27 juli 2020 21:28

https://www.zdnet.com/art...pcs-with-a-unique-attack/ Voor Linux beschikbaar

[Reactie gewijzigd door Frij5fd op 26 juli 2024 13:02]

sniper20 @gabba25 • 27 juli 2020 21:38

Windows wordt in bedrijfsnetwerken natuurlijk verreweg het meest gebruikt op de desktop. Dus logisch dat aanvaller daar al snel voor kiezen. En natuurlijk heeft Windows wel technologie die helpt tegen Ransomware. Denk aan Applocker, Defender, of alleen al NTFS bestandsmachtigingen wat kan helpen.

Bensimpel @gabba25 • 27 juli 2020 21:41

Android: Covidlock https://www.zscaler.com/b...ugh-and-unlocking-routine

Linux: Kildisk
https://www.bankinfosecur...mware-cant-decrypt-a-9619

IOS: Trident
https://www.zdnet.com/art...he-spyware-stayed-hidden/

Verwijderd @gabba25 • 27 juli 2020 23:28

Linux beheerders zijn net zo laks als Windows beheerders. Windows wordt alleen meer gebruikt.

84hannes @Verwijderd • 27 juli 2020 23:48

Vroeger was het zo dat linuxbeheerders veel langer op dezelfde plek bleven werken dus ik denk dat ze meer passie hadden/minder laks waren. Windowsbeheerders hopten makkelijker van baan dus ik vermoed dat ze het meer als een inkomen zagen. Of dat met de stijging van de populariteit van Linux zo gebleven is weet ik niet.

Skywalker27 @gabba25 • 27 juli 2020 21:24

Je hebt blijkbaar verstand van information security vertel eens wat zou Microsoft er tegen moeten doen.

psychicist @gabba25 • 27 juli 2020 22:55

Microsoft kan er niets tegen doen, dus het is gewoon een kwestie van dokken, totdat je erbij neervalt en failliet gaat

latka @psychicist • 28 juli 2020 01:05

Ja hoor. Alleen signed binaries starten. Doet je favo applicatie het misschien ook niet, maar het is wel veilig.

computerjunky @gabba25 • 27 juli 2020 23:07

linux en mac hebben ook last van randsomware dus dit is echt niet een microsoft probleem.
Het is waarschijnlijk een gebruiker probleem want 99% van alle malware en randsomware word door gebruikers geactiveerd.

beezjeh @KaiTak • 27 juli 2020 23:59

Wat weet jij wat wij niet weten?

KaiTak @beezjeh • 28 juli 2020 09:14

Niet meer. Maar betalen van losgeld lijdt alleen maar tot meer pogingen. Straks lig je op de ok van een ziekenhuis en stopt de beademing door zulke idioten. Of denk leuk veilig te wonen op het platteland en smelt de kerncentrale net over de grens door zulke idioten. Of crashed een vliegtuig door zoiets. Het gaat een keer gebeuren.

Garmin is voor de luchtvaart een zeer belangrijk hulpmiddel.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (191)

Sorteer op:

Weergave: