'Garmin heeft ransomware-losgeld betaald'

Garmin lijkt betaald te hebben voor de decryptor van de WastedLocker-ransomware waardoor het vorige maand getroffen werd. BleepingComputer heeft deze decryptor in handen weten te krijgen en aangezien er geen bekende kwetsbaarheid in het algoritme zit, is er waarschijnlijk betaald.

BleepingComputer heeft een softwarepakketje in handen gekregen dat afkomstig zou zijn van de it-afdeling van Garmin. Daarin zit de decryptor en een aantal security-toepassingen. In die eerste zitten verwijzingen naar de bedrijven Emsisoft en Coveware, respectievelijk een cybersecuritybedrijf dat decryptors maakt op basis van decryption-keys en een ransomware-onderhandelaar. Emsisoft zegt nooit betrokken te zijn bij onderhandelingen en Coveware weigert commentaar.

Hoeveel Garmin betaald heeft, weet BleepingComputer niet zeker. Wel heeft het van een werknemer vernomen dat de gijzelnemers tien miljoen dollar aan losgeld eisten.

Hoewel het betalen van losgeld op zich een vanzelfsprekende schaduwzijde heeft, komt er nog meer bij kijken dan dat. BleepingComputer schrijft dat de groep achter deze ransomware, Evil Corp, staat op de Amerikaanse sanctions list, waardoor het betalen van het losgeld kan betekenen dat Garmin boetes van de Amerikaanse overheid opgelegd kan krijgen.

Garmin, dat onder andere smartwatches en navigatiesystemen maakt, werd op 23 juli getroffen door de ransomware, waardoor veel van zijn onlinesystemen werden onderbroken. Vier dagen later, op 27 juli, begonnen de diensten weer online te komen.

Door Mark Hendrikman

Redacteur

02-08-2020 • 11:44

362 Linkedin

Reacties (362)

-13620348+1178+218+33Ongemodereerd123
Wijzig sortering
Garmin lijkt betaald te hebben voor de decryptor van de WastedLocker-ransomware waardoor het vorige maand getroffen werd.
En dit is dus precies de reden dat deze attacks blijven gebeuren, en ook steeds meer toenemen. Ransomware-attacks zijn dus financieel lonend blijkbaar.

Door te betalen bij dit soort attacks, moedig je dit soort attscks juist aan. Je kan er dan donder op zeggen dat ze je bedrijf aan blijven vallen. Immers, als het bedrijf één keer betaalt, waarom zouden ze dat een tweede, derde, vierde etc keer niet doen? Ze hebben zich immers bereid getoond om te betalen...

Ransomware-attacks stoppen vanzelf als het de daders niets oplevert.
Je hebt helemaal gelijk maar wel makkelijk geredeneerd vanuit je luie stoel. Niet betalen betekent een dermate groot probleem dat het wellicht einde oefening is.
Tja,.. wat besluit je dan?
100k investeren in een goede backup strategie. Is achteraf makkelijk praten natuurlijk
Wat is een goede stratiegie volgens jouw dan?

Goede encryptors blijven een paar maanden dormant op een systeem staan. Hierdoor is de payload waarin deze encryptor ook in de (offline) backups opgenomen. Het kan goed zijn dat deze encryptor b.v 7 maanden tot een jaar op de systemen stond voordat hij geactiveerd werd. Tja wat doe je dan? Met trial en error verschillende backups terugzetten waardoor je sws gegevensverlies hebt en ook nog tijdrovend is? Accepteren dat je AL je gegevns kwijnt bent en maar een failisiment aanvraagt?

Het enige waarmee je een backup zou kunnen redden is door uit te zoeken wat de trigger is van de payload, deze trigger uigzetten en vervolgens hopen dat een programma de ransomeware kan opsporen.
Ik heb heel wat ransomware aanvallen nagelezen, en de twee (drie) volgende zaken waren nagenoeg altijd aanwezig: achterlopen met Security updates, gebruik van buiten support software (verouderde OS e.d.), anti-malware dat ontbreekt of niet actief is.

Wanneer Security updates altijd maandelijks geïnstalleerd worden, er geen out of support systemen zijn, en een degelijke anti-malware (met ransomware bescherming) gebruikt wordt, dan is 95% van de attack-surface al weg.

Een goede backup strategie kan helpen met herstel natuurlijk, maar het begint bij detectie en preventie.

En als je dan ook nog een degelijke email Security omgeving hebt (en ieder geval niet de standaard settings in Microsoft 365), dan houdt je ook nog eens meer rommel buiten de deur. Dat is fijn, want meer dan 90% van dit soort ellende begint met email...

Maar gebrek aan consistentie is wellicht de grootste vijand van informatiebeveiliging...

[Reactie gewijzigd door Anoniem: 470811 op 2 augustus 2020 16:04]

Dat en bijv applocker gebruiken om executables te blokkeren en je bent 99.9% veilig. Maarja veel bedrijven zijn te laks, het kost teveel moeite.
Ik denk dat moeite niet de grootste rol speelt, maar het geld. Als beheerder had ik voor een MKB bedrijf gewerkt en erg veel klanten bezuinigen op de ICT. Vooral als het om de back-ups ging of security binnen het bedrijf. Daar kan eenmaal een prijskaartje aanzitten en veel klanten hadden daar wel moeite mee om dit te betalen. Alles moest zo goedkoop mogelijk voor een groot deel van onze klanten.
Dingen zoals Applocker zijn gewoon gratis dus dat kost geen geld. Alleen kost het moeite om te implementeren en daarna kunnen gebruikers geen eigen executables meer uitvoeren, gaan ze de helpdesk weer bellen die dan de executable weer moet authorizen. Die gaan vervolgens weer klagen over teveel werk dus ja laat maar zitten teveel moeite en ergernis.

Zo zie ik het meestal wel gaan eigenlijk, zeker als er nog nooit een ransomware incident geweest is, daarna kan het vaak ineens wel.
Gratis in Windows 10 Enterprise, ja.

Hoewel ik wel zou verwachten dat een bedrijf als Garmin genoeg geld heeft voor Enterprise licenties, vind ik het 'gratis' wat je benoemt wel een beetje overdreven.
Een degelijke malware kost wat geld, maar dat wordt meestal er al wel aan uitgegeven.

Security updates zijn gratis. Enige wat niet gratis is, is de tijd die het kost (hoewel het prima geautomatiseerd kan worden).

Maar goed. Een ransom betalen, schade herstellen, alle systemen nalopen, eventuele AVG boete betalen en negatieve marktreputatie is vast goedkoper dan patchen.
Anoniem: 470811
@mkools243 augustus 2020 15:26
Jep, applocker kan ook al enorm helpen! Wel wat onderhoudsgevoeliger. Maar eenmaal goed ingesteld valt het reuze mee.
110% voorkomen is niet meer mogelijk. Voorzorgsmaatregelen wel.

Uit ervaring is het enige wat goed werkt is een goede backup strategie (zowel on-site als off-site) waarbij alles gevirtualiseerd is en daarnaast de gebruikers opvoeden en dat ze zsm de IT afdeling informeren.

Virtualiseer tegenwoordig al mijn klanten, juist om in een noodsituatie een snelle recovery te kunnen uitvoeren. En dat is de meest werkbare oplossing.

Security update, support software etc is mijns inziens/ervaring een broodje aap.Detectie en preventie werkt maar in beperkte mate.
De systemen moeten wel 'werkbaar' blijven voor gebruikers, 'beheersbaar' voor de IT afdeling en betaalbaar voor het bedrijf.

Alles dichtgooien is ook niet de oplossing. Zolang gebruikers in staat zijn een ransomware injectie te initiëren blijft het een risico.

Ik heb er nu een paar meegemaakt. En het verbaasde me elke keer weer als ik dan achteraf in een 'sandbox' bekijk hoe zo'n infectie te werk gaat.

En dan is (na analyse van de oorzaak) een snelle recovery de meest optimale oplossing.
Ik en mijn collega Security Analyst hebben verschillende ransomwares getest (die van GWK, UM, Maersk, etc). Worden allemaal tegengehouden op gepatchte systemen met een uptodate antimalware.

En als je een systeem goed patcht en een degelijke anti-malware hebt zit je systeem pot dicht? Over een broodje aap gesproken.

Een goede backup strategie helpt niet tegen ransomware trouwens. Het helpt om er van te herstellen.

En ik zei ook niet dat het 100% voorkomen kon worden.

Nee sorry, positief gezegd, jij bent niet best geïnformeerd over dit onderwerp.

[Reactie gewijzigd door Anoniem: 470811 op 3 augustus 2020 17:29]

Ben wellicht niet werkzaam als security analist maar ben wel degene die de puinhopen moet herstellen.

Wellicht kan je het even breder bekijken?
Ik heb ook grote bedrijven gezien die platgegaan zijn met een prima IT afdeling.
Die worden middels 'social engineering' geïnfiltreerd en dan geïnjecteerd.
Dan kan je patchen wat je wilt het komt er via een achterdeur in.

Maar naast grote bedrijven heb je middelgrote bedrijven en MKB bedrijven.
En die zijn helaas een aantrekkelijk doelwit.
Bedrijven met een andere budget voor IT en IT ondersteuning.

Dus sorry, positief gezegd, jij bent niet best geïnformeerd over dit onderwerp.
Je bent geen Security Analist maar denkt er wel een mening over te kunnen hebben? Dat kan, maar jouw mening is nog geen feit.

Het patchen van systemen zorgt ervoor dat bekende kwetsbaarheden (waarvoor een patch is) niet misbruikt kunnen worden. WannaCry, Clop, NotPetya, Petya gebruiken allemaal kwetsbaarheden waarvoor al patches zijn. Deze ransomwares werken dus -> niet <- als je gewoon de patch hebt geïnstalleerd. Als aanvulling kan een anti-malware met ransomware bescherming je ook helpen.

Waarom? Omdat een dergelijke beveiligingsmechisme een backup maakt van een bestand voordat het vrijgeeft aan een proces (dus ook de ransomware proces). Als gaandeweg wordt ontdekt dat er ongewone acties plaatsvinden (mutaties grotere hoeveelheden van bestanden bijvoorbeeld) wordt het proces beëindigd en geblokkeerd en wordt een backup van alle bestanden automatisch teruggezet.

En ook dat mechanisme hebben we getest en het werkt fantastisch.

Dus preventie begint met gewoon updates installeren. Detectie en repressie begint met anti-malware (met ransomware bescherming) draaien. En correctie wordt gedaan door het hebben van een goede backup strategie.

Mijn laatste opmerking over dat je niet goed geïnformeerd bent is wat flauw, sorry daarvoor. Maar ik vind het onvoorstelbaar dat men het advies van security updates installeren maar blijft negeren.

Wanneer een bedrijf onder vuur ligt d.m.v. Social Engineering i.c.m. zero-days waarvoor nog geen patches zijn, dan gaat het nagenoeg zeker gewoon mis. Maar dan hebben we het al over zeer professionele en goed gefinancierde criminele bendes of nation-state (backed) hackers.

Maar het leeuwendeel aan ransomware kan echt gewoon voorkomen worden met patches installeren en anti-malware draaien. En zeker het eerste (patchen) hoeft geen/weinig geld te kosten (even los van arbeidsuren). En geen budget is geen excuus. Tenzij je als bedrijf failliet wilt gaan door een cyberaanval.
Volgens mij is een goede strategie, het offline bewaren van je backups.
Op het moment dat je getroffen bent zul je op zoek moeten naar echte professionals om deze backups te cleanen.
Misschien een joint venture van de security bedrijven in deze wereld ?

Liever het geld naar deze profs dan naar de Evil Corps (Geinspireerd door de goede serie Mr. Robot?) van deze wereld
Een offline backup strategie valt niet te automatiseren, met als gevolg dat er dingen fout gaan doordat er eens een keer een backup vergeten wordt te maken, er wordt een verkeerde handeling uitgevoerd waardoor er geen backup meer is, etc. etc. Been there, done that. Ik heb alles wat fout kan gaan op dit gebied meegemaakt in het verleden en gelukkig hebben we daar veel van geleerd van hoe het niet moet.
Natuurlijk wel. Het vergt alleen wel een doordacht systeem, en wellicht wat handwerk. De meest veilige methode is een echte airgap. Denk aan tape backups. Die gaan off-site in een kluis, en daar komt niemand aan.

Tweede optie is gebruik maken van immutable storage opties van bijvoorbeeld Amazon S3, maar anderen bieden dat ook. Daarmee schrijf je data naar een storage locatie waarna deze beschermd wordt tegen wijzigen, overschrijven en verwijderen voor een door jouw in te stellen periode.Zelfs als administrator kan je dit niet veranderen, ook niet vanaf een AWS management portal. Begin met versioning aan te zetten, zodat objects die herschreven worden, altijd via een vorige versie terug te halen zijn.

Daarnaast is het verstandig om je backup systeem dusdanig te ontwerpen dat je bij een breach niet meteen je repository kunt benaderen. Dus compartimenteren, gescheiden authenticatie, 2FA enz.

Ook kan je op je primaire storage omgeving monitors zetten die afgaan zodra er grote (her)schrijf activiteiten plaatsvinden. Kanarie-bestanden die regelmatig gechecked worden, kunnen ook helpen.

Ja, dit kost allemaal tijd en moeite en aandacht en geld. Maar als we het allemaal degelijk inrichten dan valt het business model van ransomware vanzelf uit elkaar.
Dan nog ben je potentieel heel veel data kwijt als de ransomware al een jaar meedraait in je backups en nog niet geactiveerd was. Dan is je backup dus niets waard.

Overigens brachten wij elke dag een tape backup naar d ekluis (offsite) om zo zeker mogelijk te zijn. Maar van de 100 dagen dat de backup 's nachts gemaakt werd, mislukten er wel 80, minimaal. Ideaal is het systeem zeker niet.
De Kanarie-bestanden oplossing is opzicht wel interessant, het enige is dat de meeste willekeurig encrypten, waardoor die misschien pas heel laat worden geraakt. Of begrijp ik niet goed hoe het werkt? :)

Het monitoren op grote schrijfacties werkt helaas ook niet goed. De meeste doen echt alles op het gemak, dus het kan goed zijn dat het file per file gaat. Kan je dan niet beter monitoren op processen?

Alles is beter dan niets, ik denk altijd dat version systemen inderdaad de oplossing zijn, maar misschien zie ik daarin iets over het hoofd. Verder inderdaad zoveel mogelijk dingen scheiden met rechten, 2FA, etc.

[Reactie gewijzigd door foxgamer2019 op 3 augustus 2020 08:02]

Euhm onzin! Daar hebben ze nu juist tape drives voor uitgevonden. Maakt een backup en die store je offline en als het echt belangrijk is kun je ze offsite storen En elke dag of week of maand maak je een nieuwe tape backup . Dat is prima te automatiseren en na de backup heb je een medewerker die er een nieuwe tape in doet en de oude in storage doet. Tape drives gaan tot 2x12 TB . Punt is offline backups maken kan prima alles je moet wel een systeem en tijd aan spenderen. Elke maand maak ik backups van mijn werk en store deze offline. Ik gebruik geen SSds omdat bitrot een echt iets is. En SSds... Wel ik heb als bergen dode SSds of sdds die alles kwijt zijn mee gemaakt en vindt ze niet betrouwbaar.
Het lijkt allemaal zo simpel
Bedrijven met zoveel data, hebben meestal meerdere datacenters met dito opslag (zero-loss data), waarbij volumes continue gesynchroniseerd worden tussen meerdere locaties. De on-line backupsystemen bevinden zich dan ook in twee of meer locaties en maken backups van de hele boel. Vervolgens worden die backups naar tapes geschreven. Het gaat dan om tape-robots met honderden tapes erin. De tapedrives staan doorgaans 24 uur per dag te draaien en schrijven tientallen tapes per dag. De robots moeten dan maandelijks of wekelijks leeg gehaald en weer aangevuld worden. Doorgaans worden maandbackups in kluizen of brandkasten opgeborgen.

Het is dus niet een zaak van een paar tapes van 12 TB, maar tientallen. Even terugzetten duurt lang. Doorgaans worden systemen opnieuw opgebouwd en de data wordt dan vanaf tape of online-storage gerestored. (Dus niet de OSsen enz.)

In het geval van een ransomware probleem, gaat het om maanden dat de ransomware zijn werk doet. Backups bevatten dan encrypted data. Terugzetten van die encrypted data heeft dus weinig zin.
Ik zou liever mijn acount bij Garmin opofferen met data dan ze 1 cent betalen aan Ransome ware.
Dan ben ik die tracker data maar kwijt. Geef mij de mogelijkheid dit lokaal op te bergen en groot deel is opgelost.
Maar dat doen veel bedrijven niet meer. Dit soort data moet persoonsgebonden zijn en niet bij Garmin liggen. Bij elke nieuwe tracker begin je overnieuw. Tenzij je op het zelfde platform blijft.
In je laatste zin ligt de crux.
Had er nog aan toe moeten voegen dat alles ook via Endomondo loopt. Die kan je eenvoudig koppelen met Garmin, dus echt weg is het niet.
Dus, ze kunnen mensen zoals jij aannemen. :)
Nee maar ze kunnen mij wel aannemen om zo’n aanval te voorkomen / mitigeren ;)
Geen enkel systeem is perfect. Je kan het hackers enkel moeilijk maken in de hoop dat ze een ander doelwit nemen. Het is een kwestie van tijd voordat het volgende bedrijf de pineut is.
Volgens mij is een goede strategie, het offline bewaren van je backups.
Op het moment dat je getroffen bent zul je op zoek moeten naar echte professionals om deze backups te cleanen.
Hoe zie je dit voor je dan? Dit zou alleen werken als je met 100% zekerheid kan zeggen dat je de infectie uit een backup gehaald hebt voordat deze teruggezet wordt. Zelfs dan zit je vaak met een kettingreactie van besmetting die niet alleen één PC, maar een heel netwerk treft.

Je hele bedrijfsvoering 3-4 maanden terugrollen is absoluut geen optie, en ik kan me niet voorstellen dat iemand, zelfs niet de 'experts' op dit gebied, alle mogelijke geïnfecteerde bestanden uit een backup van een aantal terabyte verspreid over verschillende soorten systemen kan halen. Er hoeft maar één mailtje of logbestand of PDFje te blijven hangen dat geïnfecteerd is en je kan weer opnieuw beginnen.
Nouja ik zal eerst nog wel willen weten hoe de hackers binnenkwamen en of ze er waarschijnlijk nogsteeds zijn. En dat wil ik meteen weten. Alles offline totdat er zekerheid is waar ze binnen zijn gekomen en wat de schade is. Dan kun je pas verder met het terugplaatsen van een offline back up.
Precies, het betalen van losgeld betekent niet dat de security van Garmin ineens sterk verbeterd is.
Alle infectie methoden/rootkits etc. zullen eerst van alle systemen gescrubbed moeten worden, daarnaast zal de beveiliging wat omhoog moeten.
Tuurlijk wil je dit weten, maar bedrijfsmatig heb je die tijd niet.

Als je 1 dag niet kunt leveren, stappen je klanten al naar de concurrent. Geen inkomsten, terwijl je onkosten gewoon doorgaan, extra onkosten (inhuren expertise) om alles weer online/uitgezocht te krijgen, na een week ben je failliet.

Ik ben ook tegen betalen, maar voor veel bedrijven is het de enige optie.
De ransomware zit in een OS, niet in data.
Als je dus een OS opnieuw installeert en de data uit de backup terugzet is in feite de ransomware weg.
Als je een volledig systeem gaat terugzetten, zet je ook de ransomware terug.
Je kunt dus tijd nemen om te zoeken naar de ransomware. Als je dit vind kun je een complete VM restoren en direct na opstarten of in safemode de ransomware verwijderen.
Wat is een goede stratiegie volgens jouw dan?
Hierdoor is de payload waarin deze encryptor ook in de (offline) backups opgenomen
Als de backup alleen data bevat en je OS en software helemaal opnieuw installeerd (dus niet vanuit de backup) dan is dat geen probleem toch?
Je maakt, zonder dat je het door hebt, een backup van versleutelde data. De backup is dus ook versleuteld.
Bij een juiste backup procedure test je ook de recovery en dat op een ander systeem. Je zou bij een juiste test dan ook de (on) bruikbaarheid van je backup ontdekken.
Nee, dan ontdek je het nog steeds niet. Stel je voor dat de besmetting zo is gemaakt dat deze pas over 6 maanden wordt geactiveerd. Dan kan je in de tussentjid continu succesvolle B&R acties doen, zonder iets te ontdekken.
Nee, dan ontdek je het nog steeds niet. Stel je voor dat de besmetting zo is gemaakt dat deze pas over 6 maanden wordt geactiveerd. Dan kan je in de tussentjid continu succesvolle B&R acties doen, zonder iets te ontdekken.
Nee, dan ontdek je het wel.
Als je backup besmet is, dwz encrypted is, dan zullen files er enkel nog 'goed' uit zien als je ze bekijkt op het originele, geinfecteerde, systeem waar de malware nog voorziet in on-the-fly decryptie.

Op een secundair, schoon, systeem blijven die files encrypted.

Deze detectie kun je zelfs vergaand automatiseren door hashes van files te berekenen op je file storage server; hashes te herberekenen op het secundaire systeem; en deze vervolgens te vergelijken. Bij een mismatch sla je dan alarm.
Oprechte vraag:

Maar vergelijken waarmee? Je weet toch niet wanneer het binnen is gehaald? Wat het schoon origineel is versus het besmette variant?
Maar vergelijken waarmee? Je weet toch niet wanneer het binnen is gehaald? Wat het schoon origineel is versus het besmette variant?
Je trekt een hash van het potentieel besmette file op de file server zelf. Als er malware actief is, dan is het file mogelijk encrypted en voorziet de malware on-the-fly in decryptie. De berekende hash is dan de originele (decrypted) hash.
Je maakt een backup van de file server en inspecteert deze op een ander systeem, in een gesloten omgeving, waar de malware niet bij kan. De malware kan hier niet in on-the-fly decryptie voorzien. Als de files door malware encrypted zijn, dan zal de hier berekende hash anders zijn dan de hash op het originele systeem.
Hierbij doe je de aanname dat je al weet welke file potentieel besmet is. Je weet niet welke file besmet is, of vanaf welke datum er een besmetting is. Je hebt al deze info niet. Succes met tientallen TB aan data, verspreid over verschillende data centers, etc.
Hierbij doe je de aanname dat je al weet welke file potentieel besmet is. Je weet niet welke file besmet is, of vanaf welke datum er een besmetting is. Je hebt al deze info niet. Succes met tientallen TB aan data, verspreid over verschillende data centers, etc.
Nee. Die aanname maak je niet. Je trekt de hash voor elk file wat onderdeel is van de backup. En je maakt de hash opnieuw op de geisoleerde machine waar je de backup controleert.

[Reactie gewijzigd door R4gnax op 3 augustus 2020 10:22]

Nog steeds zie ik aannames.

Er wordt echt te simpel gedacht over de complexiteit van de infrastructuur en de vorm van deze hack. Dit is niet een simpele ransom hack waar Karen van de administratie afdeling op een link in de mail heeft geklikt en 1 machine geïnfecteerd is geraakt. Dit is een targeted hack waarbij je niet weet vanaf welke datum er indringers zijn geweest, je weet niet welke files op welke stations op welke machines in welk data center zijn getroffen of per wanneer ze zijn getroffen, etc.

Een hash trekken van elke backup file is prima, maar je weet niet welke backup je op de geïsoleerde machine moet zetten. Je weet niet waar je mee moet vergelijken, etc. Dan zou je dus voor elke backup de backup op een geïsoleerde machine moeten zetten (wat al niet mogelijk is, want we hebben het hier niet over 1 werkstation) en voor elke backup voor elke file de hash moeten controleren met de backup ervoor. Verder zou dit alleen het probleem met de al geëncrypte files oplossen, niet het encryptie proces.

En dan blijkt bij machine A123 dat de backup van 15-06-2020 veilig is, maar machine A129 de backup van 10-06-2020, etc. Success vanaf dit punt terwijl je bedrijf niks meer kan.

[Reactie gewijzigd door Angilo op 3 augustus 2020 09:41]

Een hash trekken van elke backup file is prima, maar je weet niet welke backup je op de geïsoleerde machine moet zetten. Je weet niet waar je mee moet vergelijken, etc.
Dezelfde backup die je net gemaakt hebt. En de hashes waarmee je moet vergelijken zijn dezelfde hashes als er eerder berekend waren bij het maken van die backup.

Zijn de hashes op de geisoleerde machine hetzelfde, dan is er of geen crypto-malware actief; of heeft een wel aanwezige crypto-malware de files on-the-fly gedecrypt. In beide gevallen is je backup OK.

Zijn de hashes op de geisoleerde machine anders, dan is meteen duidelijk dat er stront aan de knikker is en je backup niet meer goed is.
Deze detectie kun je zelfs vergaand automatiseren door hashes van files te berekenen op je file storage server; hashes te herberekenen op het secundaire systeem; en deze vervolgens te vergelijken. Bij een mismatch sla je dan alarm.
Juist het automatiseren maakt het gevoelig voor hacks. Als je de machine waar het origineel op staat infecteert, kun je ook de software die de hash berekent infecteren: deze kan dan de hash van het versleutelde bestand berekenen.

Maar het is zeker een manier van werken waar goed over nagedacht zal moeten worden.
Dan heb je al die zes maanden onbesmette backups gemaakt: pas als de encryptie geactiveerd wordt is de backups (deels) onbruikbaar: de uitdaging lijkt me om daar zo snel mogelijk achter te komen.
Uh??? Je maakt backup op systeem met malware. Je hebt een tape die breng je naar pc 2 die air gapped is. Je zet de bestanden terug en vergelijkt de haag van pc 1 en pc 2. Is er een rootkit op pc 1 die de bestanden on the flat decrypt actief dan zijn de hashes identiek maar dat betekent ook dat de backup NIET encrypted is. Zijn de hashes anders dan is er direct zichtbaar stront aan de knikker. Ransomware wordt hier en daar afgedaan als iets magisch maar dat is het niet.
Kijk; jij snapt hem.

[Reactie gewijzigd door R4gnax op 3 augustus 2020 10:23]

Ik denk even hardop: Dan moet je een strategie bedenken waarbij je de backups controleert met een onbesmette computer.
Een ongeteste backup is geen backup. Dit past jammergenoeg alleen niet in de commerciële wereld vandaag de dag, want uitbesteden aan cloud diensten is 'volledige ontzorging', toch? :)
Maar je kan ook niet elke backup testen. Als je petabytes aan informatie hebt kan het dagen duren voordat een volledige backup is gemaakt en duurt het ook dagen om deze weer uit te pakken. Dat ga je niet snel even weer testen. Dat je dat af en toe moet doen, daar geef ik je gelijk in. Maar zoiets gaat men niet snel volcontinue doen.
Dat doe je steekproefgewijs natuurlijk, en iedere 4 backups een volledige. Dat proces is te automatiseren, als je een beetje een serieus bedrijf hebt dan is dat zo ingeregeld.
Maar ook, of juist, als de backup in de cloud staat moet je er toch met een andere machine bij kunnen?
want uitbesteden aan cloud diensten is 'volledige ontzorging', toch? :)
bij SaaS wellicht ;)
Veel geavanceerde ransomware wacht op een trigger voordat het begint met encrypten. Dan zit het er al weken of maanden in. Maar daar is op te anticiperen. Als je een backup hebt van je data voordat de ransomware getriggered is kan je de backup mounten, scannen op malware met een dan up-to-date virus scanner en pas na verwijderen van geïnfecteerde bestanden doorzetten naar productie. Goede backup software kan dit helemaal automatisch voor je uitvoeren.
Nee de payload staat ook op je backup systeem :(
Ik dacht dat het zo werkte, dat ze alle opslag encrypten, en live decrypten met een sleutel in ram.
Dat laten ze dan een tijdje zo, en op n gegeven moment wissen ze de sleutel uit ram.
Als je in die tijd dan alleen de opslag had gebackupt, dan zijn ook die backups dus allemaal versleuteld, met een sleutel die je niet hebt.
Als je gisteren nog wel bij al je bestanden kon, lijkt mij dat een exacte backup van de staat van gisteren dan volstaat.
Wat is dan een exacte backup, nou de inhoud van de schijven uiteraard, maar ook het geheugen, zodat je de keys en malware die stiekem versleutelde dingen presenteert als onversleuteld ook meeneemt.

Dan moet de backup infrastructuur zelf natuurlijk niet gekraakt zijn.
Je kan het iig wel zo inrichten dat de backup infra moeilijker te kraken is.
Bijvoorbeeld je draait alles in VMs en backupt die vanuit het host OS over n apart kanaal dat niet aan internet hangt.
Ik neem aan dat lang niet alle bedrijven de moeite nemen zo uitvoerig te backuppen. En dat nu Garmin slachtoffer is, is mss ook niet omdat dat hun eerst gekozen random doelwit was, maar omdat ze daar de mogelijkheden vonden om dat te kunnen uitvoeren.

Nouja ik weet t ook allemaal niet hoor, maar goed hier wat ideeen.

edit: Ok, ik zeg naast in de reacties hieronder, ook hier maar even dat ik weet dat de boel dan nog wel besmet is, maar dan heb je iig toegang tot al je data, die je dan vanaf n schoon systeem kan nalopen.
Backups maken zonder malware, is natuurlijk onmogelijk als je niet weet dat er malware is.
Als je dat wel zou weten, zou het ransomware probleem lang niet zo groot zijn.

[Reactie gewijzigd door N8w8 op 2 augustus 2020 14:38]

Al het bovenstaande gaat mank als de ransomware al maanden ongemerkt aanwezig is voordat hij echt op slot gaat. Je hebt dan onbewust besmette bestanden gebackupt. Als je die backup terugzet begint het spelletje gewoon van vooraf aan.

Ik weet 't ook niet hoor maar zoals de Amerikanen zeggen: "I wouldn't quit my day job if I were you."
Al het bovenstaande gaat mank als de ransomware al maanden ongemerkt aanwezig is voordat hij echt op slot gaat. Je hebt dan onbewust besmette bestanden gebackupt. Als je die backup terugzet begint het spelletje gewoon van vooraf aan.
Als die malware er dagen lang over doet om zoetjes aan alles te encrypten en gaandeweg - zodat er geen argwaan gewekt wordt - nog wel alles toegankelijk houdt door het on-the-fly te decrpten, dan betekent dat dat er ergens een decryptiesleutel aanwezig moet zijn geweest gedurende die tijdspanne.

Als je omgeving volledig gevirtualiseerd is dan moet je dus een snapshot van een paar dagen terug kunnen pakken en dan moeten forensisch experts daarin gaan jagen naar de sleutel. Hebben zij eenmaal de sleutel gevonden en is bekend welke encryptie-methode er gebruikt is, dan kan men ook zelf alles weer decrypten.

[Reactie gewijzigd door R4gnax op 2 augustus 2020 15:53]

Ja hallo, ik bedoel natuurlijk niet dat je doodleuk alles terugzet en weer vrolijk verder gaat.
Je kan vanaf die staat dan iig alles onversleuteld overzetten naar een schoon systeem, en vanaf daar gaan kijken waar de malware zit.

Dan is er nog een verschil tussen executables en data.
Executables kunnen malware bevatten maar kan je vaak gewoon opnieuw schoon installeren.
Maar de data lijkt mij juist het belangrijkste, en is vaak niet zo malware gevoelig.
Je kan vanaf die staat dan iig alles onversleuteld overzetten naar een schoon systeem
Dit zijn alleen bedrijven die niet één PC hebben draaien. Dit gaat over honderden apparaten verspreid over een netwerk dat draait op een klein datacentrum. Het zou dagen of zelfs weken duren om de gehele omgeving terug te rollen.
Dat snap ik, ik bedoelde "systeem" in de breedste zin van het woord.
Is alles toch al VM's, met bijv thin clients op een terminal server, dan hoeft dat terugrollen niet zo lang te duren, en hoef je ook niet langs al die honderden systemen heen en weer te rennen.
Het moeilijkste lijkt mij het (daarna) onderscheid maken tussen welke data goed zijn en welke niet.
Wellicht kan je daar bij de inrichting van je systeem al rekening mee houden.
Maar ook in geval van het alternatief, losgeld betalen, zul je dat klusje ws wel willen doen, tenzij je het volste vertrouwen hebt in diegenen die je dan betaalt.
Ik denk dat @N8w8 bedoelt: als je gisteren bij de bestanden kon, of ze nou versleuteld waren of niet, dan moet je de situatie van gisteren zien te herstellen. Niet eenvoudig met een fysieke computer die aan het netwerk hangt maar denkbaar met bijvoorbeeld een geïsoleerde vm. Het lijkt mij met de huidige kennis een goede backup-strategie om je backups regelmatig offline te controleren. Pak een schone pc uit een doos, steek er een backupschijf in en kijk of je alle data kunt lezen.
Er is geen decrytor ongemerkt actief tot moment x. Dat zou te low level en high end programmeren vereisen. Ook hier lijkt de malware simpel te beginnen met encrypten op moment x. Bepaalde services zijn uitgeschakeld zoals shadow copy en defender. Dat blijkt ook uit het feit dat ze als gekke computers en servers hebben uitgeschakeld wat niet echt lekker ging blijkbaar.

Blijft de vraag waarom backup niet voldeed. Uiteraard kan de malware in backup zitten wachtende op moment x wat bereikt wordt bij terugzetten, maar lijkt me dat je dat proces kunt saboteren. Wellicht hebben ze los van de encryptor ook het backup proces ongezien gehinderd gedurende een periode. Hoe?

https://labs.sentinelone....and-ntfs-file-attributes/

[Reactie gewijzigd door Rinzwind op 2 augustus 2020 14:06]

Bij je bestanden kunnen wil toch niet zeggen dat ze niet besmet zijn. Als ik nu door het coronavirus ben besmet kan ik nog alles doen. Maar over 2 weken kan ik plat liggen (en ondertussen kan ik dan nog andere mensen hebben besmet). Dat is met computersystemen niet anders .
Ja die zijn vanzelfsprekend besmet, maar dan heb je iig toegang tot alle data, die je daarna kan opschonen. Niet ideaal maar nog altijd beter dan alles helemaal kwijt zijn.
Ja, maar die systemen wisten gisteren het wachtwoord nog, omdat dat wachtwoord toen nog wel ergens in het systeem stond (waarschijnlijk ram).
Dus als je het complete systeem had gebackupt (ipv alleen de opslag), backup je het wachtwoord ook.
Een goede strategie is tiered storage met versioning gebruiken en de backups testen. Dat is wat ik in elk geval lever als men vraagt om een oplossing in plaats van een checkbox op een compliance formulier.

Dat werkt als volgt:

1. Zet je omgeving zo op dat je in elk geval een end-to-end deployment met state automatisch kan uitvoeren

2. Zet je backups zo op dat je PITR of checkpointed snapshots kan doen

3. Zet je backup storage zo op dat je versioned en tiered systemen hebt en dus niet voor oude backups de volle pond betaalt (maar dan wel een langere access time hebt, bijv. 12h - geen slechte afweging lijkt me).

4. Per rollover een deployment doen om er zeker van te zijn dat die backup daadwerkelijk inzetbaar is

Is dit alles waterdicht? Nee! Maar het is wel een soort van bare minimum, ook als je puur naar generieke disaster recovery en business continuity kijkt. Als iemand het wil aanvallen is dat nog steeds mogelijk, ook als je entropie analyse doet en daar dan statistische analyse op toepast om ongebruikelijke wijzigingen te zien. Een aanval kan plaats vinden op basis van een IAC modificatie die de end-to-end test altijd laat slagen, en bijv. entropie waardes van de data overschrijft zodat je niet kan detecteren of een normaal bestand opeens encrypted is.

Dus boven op je backup strategie (en je disaster recovery plan) zal je nog steeds aan de slag moeten met lokale detectie in de vorm van heuristics, signatures, entropie analyse en wat de rest van de endpoint tools tegenwoordig uitspookt.
Payload kan alleen in executables zitten...

Als jij executables in plaats van data aan het backuppen bent dan ben je verkeerd bezig?? :|

Documenten en bestanden die het uitvoeren van scripts/code toestaan hoor je ook niet te gebruiken als opslagmiddel voor data die het bewaren waard is.

Ik zie niet hóe die payload in je backup zou kunnen komen te zitten zonder dat je backup strategie gewoon onacceptabel is?
Een goeie strategie is waarbij je data en applicatie strict gescheiden zijn. Applicaties/scripts dienen clean geïnstalleerd te kunnen worden en data dient vanuit een backup terug gezet te kunnen worden. Waarbij de bestanden alleen te lezen en te schrijven zijn en niet uit te voeren.
Ik heb al bedrijven gehad die weigerde te betalen en heel veel geld/omzet verloren hebben met alles opnieuw op te bouwen. Als iedereen zo zou handelen dan zou dit snel van de baan zijn.
Spijtig genoeg is dit niet het geval. Maar dat is hetzelfde met de corona maatregelen, als iedereen die zou volgen zouden we nu al van Corona af zijn.
als deze gasten je in de smiezen hebben, is er geen redden meer aan. Geen backupstrategie gaat je dan nog helpen. Ze slaan heel rustig toe (maanden vooronderzoek), en dan pas gaan ze bestanden encrypten. Je hebt vast nog wel een schone offline backup staan, maar wat heb je er aan als de data van de laatste 5 maanden (offline / online) besmet is? Data die 5 maanden oud is geen interessante data meer in de meeste bedrijven.
Dat iemand het op je voorzien heeft en veel investering doet om te proberen je tot slachtoffer te maken wil nog niet zeggen dat die investeringen dus altijd lonend zijn. In het nieuws komen de verhalen dat die investering door de crimineel succesvol was naar zelden of nooit dat een goede investering in beveiliging die investeringen van de criminelen zo goed als waardeloos heeft gemaakt. Uiteindelijk is het een wedloop tussen beveiligen en proberen waar die beveiliging allemaal te zwak is en die is hier niet anders dan bij andere situaties.
Uiteindelijk is het een wedloop tussen beveiligen en proberen
Nee, hier gaat het dus om de wedloop opgeven en de criminelen geld geven om je niet aan te vallen, een soort mafiapraktijken dus.
Wat je noemt is een mogelijk resultaat van een wedloop. Dat verandert niet dat er een wedloop is, die door Garmin of een ander bedrijf ook gewonnen of in stand gehouden kan wordend zonder dat de criminelen winnen.
Klopt. Dit is geen random ransomware executable die Karen van de finance afdeling per ongeluk geopend heeft maar een professionele hack met inzicht in het netwerk.

Zo lang je niet weet welke methodes er gebruikt zijn om binnen te komen en welke systemen backdoors bevatten, kan je geen disaster recovery doen. Dan ben je een paar weken/maanden later weer de dupe.
Je moet alle systemen opnieuw opbouwen en selectief data restoren. Veel succes.

Daarna ben je voor Evil Corp terug doelwit nr.1 zodat ze kunnen aantonen dat dit niet loont en je toch beter betaalt.
100k is niets voor een enterprise backup systeem.
Een beetje storage en wat licenties en je zit aan een veelvoud daarvan.
En de opex zijn nog veel hoger. Met alleen de spullen ben je er nog lang niet. Dat is het goedkoopste van het geheel. Ik heb nog nooit meegemaakt dat er beslisser iets niet heeft gedaan door de hardwarekosten.
Zoals gezegd, het team van senior IT-specialisten dat de hele implementatie moet uitdenken op maat van bedrijf, zal meer dan 200K verslinden, voor dat er nog maar actie is! Voor je echt klaar ben zit je toch al over de miljoenen...
Hoe kom je precies op "100k"? Dit kan een veel groter bedrag zijn, liggend aan je benodigdheden, datagrootte en beveiligingswensen. Als je op schaal bezig bent kan 100k+ al de kosten zijn voor enkel de benodigde hardware.
Klopt, ik weet ook niet wat de kosten zouden zijn, dat is van heel veel factoren afhankelijk en dat weet ik natuurlijk niet. Ik denk wel dat het stukken goedkoper is dan losgeld betalen en dat is meer het punt dat ik wilde illustreren.
Goed, dat is natuurlijk pure speculatie en afzijdig van fysieke backup-tapes zijn backup-servers ook een doelwit die aangevallen kan worden.
Klopt, ik weet ook niet wat de kosten zouden zijn, dat is van heel veel factoren afhankelijk en dat weet ik natuurlijk niet. Ik denk wel dat het stukken goedkoper is dan losgeld betalen en dat is meer het punt dat ik wilde illustreren.
Het is goedkoper dan wat? Dan 1 aanval per jaar, dan 1 aanval per 10 jaar?

Want die 100k+ dat is slechts wat je nu je backup oplevert, daar heb je over een jaar niets meer aan. En over 3 jaar is die 100k+ alweer afgeschreven.

Kijk, Garmin is in 1989 opgericht, oftewel het is 10 miljoen voor 1 gerichte aanval in 30 jaar.
Terwijl jij met je 100K+ investering maar moet hopen dat het een gerichte aanval weerstaat, anders is die 100K+ weggegooid geld...
Kijk, Garmin is in 1989 opgericht, oftewel het is 10 miljoen voor 1 gerichte aanval in 30 jaar.
Dit vind ik een verkeerde vergelijking. Dat het bedrijf al zo lang bestaat betekent niet dat deze manier van aanvallen al zo lang bestaat. Dat het bedrijf al 30 jaar bestaat betekent niet dat het bedrijf al 30 jaar zo een vermogen heeft om het interessant te maken om het bedrijf te hacken. En je weet ook niet hoeveel geld de huidige backups al bespaart heeft met andere zaken zoals gewone virussen of gewiste bestanden terug halen. Dat soort kleine zaken worden niet bekend gemaakt omdat het niet interessant genoeg is maar wel geld bespaart.
Kenmerkend van de huidige modus operandi is dat ze eerst data buit maken, daarna versleutelen en daarna losgeld vragen.

De reden van stap 1 is een drukmiddelen te hebben in geval je niet betaald. Hoe ga je met je back-up strategie voorkomen dat ze de gecompromitteerde data publiceren met potentieel veel schadelijkere gevolgen?

Het klinkt allemaal eenvoudig, maar je vecht tegen een meerkoppig monster met naast de hackers ook interne belangen en politiek.
Deze reacties zag je ook duizenden keren op Facebook toen de universiteit van Maastricht het slachtoffer was. Op Tweakers had ik toch verwacht dat de mensen wel wisten dat het niet zo eenvoudig was.
100k is wel een heel optimistische inschatting voor een backup van een miljardenbedrijf.

Dit dekt niet de kosten voor de offsite storage voor de tapes en de beveiligde transporten van en naar de klant.

Laat staan voor de security expert in te huren die dit moet uitwerken en opvolgen.
Denk er een nulletje of 2 bij en je zit in de buurt.

Voor een kleine kmo is dit overkill natuurlijk:)
Zoals in maastricht universiteit waar men ook in de backups zat ?
Voorbeeld van een "slechte backup strategie".
In een perfecte wereld c.q perfect beveiligd computersysteem zijn er geen hacks.
In onze wereld hebben we met mensen te maken en mensen zijn niet perfect maken geen fouten en dan zijn er slimme mensen, lees hackers die een zwakke schakel in het systeem vinden.
Daarnaast ieder bedrijf heeft te maken met een koste bate afwijking, ze zijn niet allemaal banken waar er heel veel geld in beveiliging gaat zitten.
Until shit hits the fan.

Het is een discussie die ik zonder moeite aanga met mensen die moeten beslissen over het budget. Hoeveel verlies maak je als je bedrijf down is voor een uur/dag/week/maand... afhankelijk daarvan kan je de kosten/baten bepalen en je mag er van uitgaan dat de organisaties achter die hacks dit dus ook doen en daarmee de prijs bepalen.
Als bedrijf kun je die afweging inderdaad maken. Als maatschappij is het echter heel anders: we moeten structurele van dit soort criminaliteit af en dat bereiken we niet door de daders financieel te compenseren voor hun moeite.
Criminaliteit is een fenomeen dat sinds de mensheid bestaat, het zit in ons. Niet voor niets hebben we nu regels opgesteld om "in vrede" met elkaar te leven, tenminste dat proberen we.

Daders moeten we idd niet hun gang kunnen laten gaan. Probleem is echter dit is grensoverschrijdend en 3x raden betalen met bitcoins die dan via via via witgewassen worden en niet meer te volgen zijn.
Als we de daders niet direct kunnen aanpakken dan pakken we ze toch gewoon hun inkomsten af? Ja, als je een bedrijf hebt dat door een encryptiehack zijn bestaansrecht kwijt raakt dan gaat deze failliet. Maar als datzelfde bedrijf op vergelijkbare manier gehackt wordt zonder dat er losgeld gevraagd wordt gaan ze ook failliet. Dus de bereidheid om losgeld te betalen is geen garantie op voortbestaan.

Nu zeg jij: waarom zou een crimineel de moeite steken om jouw gegevens te versleutelen als ze er geen losgeld voor vragen, dan verdienen ze toch niets? Dan zeg ik: precies!
Als we de daders niet direct kunnen aanpakken dan pakken we ze toch gewoon hun inkomsten af?
Dat klinkt mooi, ten eerste moet je weten wie de daders zijn.
Ten tweede moet je de geldstromen kunnen volgen, hetgeen met bitcoin op papier moet kunnen maar in de praktijk extreem moeilijk is.
Als laatste is het de vraag waar ze zitten en of die landen meewerken.
Ik zeg nergens dat je ze hun bezit af moet pakken. Je moet ze gewoon geen geld geven, daarvoor hoef je niet te weten waar ze wonen, hoe ze heten of wat de meisjesnaam van de moeder van hun eerste huisdier was.
Zoals je zegt voor bedrijven is het een koste bate afweging.

Voor overheden hou het een principe moeten zijn. Maar verdiep je je in ontvoeringszaken, buitenland Nederlanders dan lees je tussen de regels dat er na jaren soms toch ook betaald wordt. Een mensenleven heeft dan toch een waarde.
Verschil is ook overheden kijken minder naar kosten/bate dan bedrijven en maken, zouden de morele afweging moeten maken.
Nochtans hoeft het helemaal niet zo complex te zijn. Tijdje terug mezelf ook nog de vraag gesteld hoe beschermd mijn backups zijn voor cryptolockers en dergelijke, en dat bleek toch wel zeer goed het geval. Van wat ik las zijn cryptolockers ook niet zo geavanceerd als het aankomt op het omzeilen van backup protocollen. Ik ben vrij zeker dat ik met mijn CrashPlan subscriptie volledig beschermd ben, want een lokale infectie kan (net zoals ikzelf overigens) onmogelijk aan de eigenlijke backup bestanden, of ze moeten CrashPlan zelf hacken. Worst case zouden ze CrashPlan client-commando's kunnen uitvoeren om mijn backup sets zelf te gaan verwijderen, maar aangezien ik 2FA ge-enabled heb, lijkt me ook dat verre van triviaal.
In het geval van Maastricht University was het wellicht, zoals wel vaker, gewoon backups naar een mounted writable netwerk share, en dan is het niet verwonderlijk dat dat fout loopt.
Ben niet bekend met crashplan, maar als de bestanden op de schijf versleuteld zijn, backupped crashplan die toch ook?

Dus als de malware al maanden in het systeem zit heb je maanden aan waardeloze backups
Crashplan werkt met een client. Dus als de cryptolocker zijn activiteit verbergt tot het triggert, zal de Crashplan client ook gewoon de normale niet-gecrypte files zien, en die naar de cloud backuppen.
In jouw geval (en het mijne, gebruik ook crashplan) worden de encrypted files geupload en is je backup dus ook waardeloos. Alleen als je heel goed oplet en merkt dat files die je niet aanraakt ook ineens gebackupped worden kun je het zien. Maar zo inzichtelijk is crashplan ook weer niet.

Met geluk zou je terug kunnen naar een tijdstip voor de infectie, met alle data-loss van dien.
Zoals ik hierboven al zei: Crashplan werkt met een client app die de files leest. Als je applicaties non-encrypted files zien, alsof er geen infectie is, dan gaat Crashplan die toch ook zo zien ? Dat ze op disk encrypted staan door de Cryptolocker maakt helemaal niet uit. Of de Cryptolocker zou zo intelligent moeten zijn dat hij afhankelijk van het proces dat disk IO doet, hij al dan niet geëncrypteerde versies aanbiedt, maar volgens mij zijn ze nog geenszins zo advanced.
Ik vermoed dat ze wel zo geavanceerd zijn.
Nu, als ineens al je files geëncrypteerd worden, gaat je incrementele backup ineens ook op alle files triggeren en alle nieuwe versies beginnen backuppen. Dat is dan ook een red flag. Ik krijg wekelijks mail van CrashPlan met hoeveel er gebackupt is, dus als je daar ineens een onverwachte piek ziet, kan je eigenlijk ook nog vrij snel actie ondernemen.
Laat ik het omdraaien: zou jij een manier kunnen bedenken om ongemerkt ook de backup te vervuilen? Gegeven dat je er miljoenen mee kunt verdienen?
Dan was de backup strategie blijkbaar niet toereikend. (Een beetje een dooddoener, daar ben ik me van bewust)
Dit was waarschijnlijk geen random virusje, maar een targetted attack. Dit is gericht uitgevoerd, waarbij de aanvallers waarschijnlijk zelfs hebben zekergesteld dat de backups ook onbruikbaar zouden worden. Dit is onderdeel van de "Business case" vanuit de hacker: een ransom-eis van 10 miljoen stelt niets voor als men met een paar uurtjes werk gewoon de backup terug kan zetten. Dus de hackers zergen er echt wel voor dat je backup of technisch of sociaal onbruikbaar wordt.

Bij Garmin is dat vrij snel, want sommige sporters hebben de trainingsgegevens van weken terug nodig om hun belasting bij de volgende training te bepalen, en horloges gooien na 200 trainingsuren de gegevens weg (want is geupload naar Garmin). Dat is een groep die je echt flink over de rooie helpt als je een maandje data weggooit.
Dat klinkt hoe dan ook niet als een betrouwbaar bedrijfsmodel als je het je niet kan veroorloven dat je een tijd lang geen diensten kan leveren terwijl een grote verstoring daar voor kan zorgen, of als je als klanten zo zwaar afhankelijk bent van een leverancier. Met andere woorden, het is onzin of niet realistisch er niet vanuit te gaan dat het bedrijf er een of meer weken of zelfs langer niet (meer) bestaat en daar een strategie voor te hebben dat daar niet op aansluit. Ik weet niet wat hun strategie was of hoe oud de gegevens mochten zijn maar dat de strategie die ze hadden minder waard blijkt dan het betalen aan criminelen lijkt wel duidelijk. Anders zouden ze waarschijnlijk niet betalen.
Vanuit mijn werk hou ik me nu zo'n 25 jaar full-time bezig met juist die afweging, en ik kan je verklappen dat het overgrote deel van de bedrijven in Nederland een echte volledige stop van de dienstverlening van twee tot drie weken niet overleeft.

Meest dominante publieke voorbeeld: KLM. Met Corona zag je het gelijk: een groot deel van de dienstverlening ging plat en de cash-flow positie keldert zodanig dat men gelijk door de overheid gered moest worden. De marges zijn niet zo ruim dat je een maandomzet in cash continue vrij opneembaar beschikbaar hebt. Bedrijven zitten niet zo in elkaar dat men grote spaarpotten aanlegt (herinvesteren levert meer op, geld moet rollen). Meest waarschijnlijke rampscenario's zijn wel afgedekt, maar het ultieme scenario waarbij een partij gericht al je ICT infiltreert en bewust wacht totdat hij jou echt bij de ballen heeft, daar doe je niets tegen. En weken zonder enige omzet is echt dodelijk voor verreweg de meeste bedrijven.

In vaktermen noemen we dit een HILP: High Impact, Low Probability. Dit soort risico is qua impact te groot en onbeheersbaar. Categorie overstromingen, aardbevingen en atoombommen. Backups in een echte 24x7 organisatie zijn een nachtmerrie, en ook voor deze toepassing onbruikbaar (want ook geinfecteerd). Om het goed op te ruimen moet je je gehele infra ontmantelen en overnieuw opbouwen. Iets waar men soms decennia aan gewerkt heeft. Niet te doen, en bij de eerste fout kun je weer overnieuw beginnen. Maatregel zijn dan ook vaak of technisch onmogelijk of onbetaalbaar. Dus vaak eindigt men echt in de positie dat men niet anders kan om te betalen om te overleven.
In vaktermen noemen we dit een HILP: High Impact, Low Probability.
Waarbij je je dan kan afvragen waarop die probability gebaseerd is en of dat terecht is. Van dit soort risico's zijn er inmiddels zo veel voorbeelden in de afgelopen 10 jaar dat het misschien niet meer geloofwaardig is als men de probability als marginaal ziet. En ondertussen vloeien de miljoenenwinsten jaar na jaar na jaar wel heel makkelijk naar de aandeelhouders zolang er niets aan de hand is?

Misschien is het tijd om bij het opzetten van bedrijven eens heel rigoreus anders te gaan kijken naar probability en de invloed van snel en langere tijd wegvallen van inkomsten. Misschien zijn die low probability op veel vlakken gewoon meer een wens dan realistische kijk op de werkelijkheid. Als het mis gaat krijg je kennelijk toch wel tijdelijke steun of gaat dat nauwelijks ten koste van de carriere van de personen die in de tussentijd de winst incasseerde?
Meest dominante publieke voorbeeld: KLM.
Dan noem je wel een voorbeeld dat een enorm hoge kostenpost heeft als de inkomsten wegvallen. Dat lijkt me nogal een verschil maken. En dan nog kan je je dan afvragen of een bedrijf dan wel levensvatbaar is als het de probability plotseling niet zo marginaal bleek als men hoopte.
Waarbij je je dan kan afvragen waarop die probability gebaseerd is en of dat terecht is. Van dit soort risico's zijn er inmiddels zo veel voorbeelden in de afgelopen 10 jaar dat het misschien niet meer geloofwaardig is als men de probability als marginaal ziet. En ondertussen vloeien de miljoenenwinsten jaar na jaar na jaar wel heel makkelijk naar de aandeelhouders zolang er niets aan de hand is?
Bij HILP is dit een bekend probleem, dus de kansinschatting, maatregelen en impact moet je regelmatig overnieuw inschatten. Dus dat gebeurt routinematig bij volwassen organisaties. Maar de kans dat je ten prooi valt aan een Advanced Persistent Threat is relatief klein, het gebeurt niet zo gek veel bedrijven. Als het raak is, is het ook goed raak. Maar het gebeurt niet zo gek veel. En eerlijk gezegd ken ik weinig maatregelen tegen een groep ervaren hackers die denkt 10 miljoen dollar te verdienen door alle zwaktes in je infra te exploiteren, en daar maanden de tijd voor neemt. Dus al zou je maatregelen willen nemen, ze zijn er gewoon niet. Tenzij je volledig teruggaat naar pen en papier. Elke digitale brug, elk management netwerk kent ergens wel een zwakte, als je maar voldoende gemotiveerd bent. Backups geven een leuk gevoel maar helpen niet, schaduwsystemen moet je met real-time data blijven voeren, dus daarmee ontstaat een koppeling met het primaire systeem, zelf air-gaps zijn te overbruggen als je maar gemotiveerd genoeg bent (zie Stuxnet en Natanz). Dus ook al schat je het risico hoger in, het gaat je niet helpen. De maatreglen tegen een groep gemotiveerde hackers die de tijd nemen om de hele infrastructuur tot in detail uit te pluizen om hun eigen business strategie zeker te stellen, is extreem beperkt.
Dan noem je wel een voorbeeld dat een enorm hoge kostenpost heeft als de inkomsten wegvallen. Dat lijkt me nogal een verschil maken. En dan nog kan je je dan afvragen of een bedrijf dan wel levensvatbaar is als het de probability plotseling niet zo marginaal bleek als men hoopte.
Er zijn weinig bedrijven waar het grootste deel van de uitgaven in de variabele kosten zitten die je makkelijk stilzet. Overgrote deel van de kosten zitten in dingen die doorgaan ongeacht of je productie draait of niet. Veel kosten zitten in afschrijving van duurzame productiegoederen (machines), gebouwen, voertuigen en loonkosten. De ruwe input en de handelsvoorraad zijn vaak erg beperkt, zeker in de huidige economie. Vroeger produceerde men maanden van te voren, nu streeft men door keten-integratie steeds meer naar extreem lage vooraden en korte doorlooptijden. Vooraad kost geld en verouderd, tegenwoordig nergens meer goed voor. Liefst produceert men pas als de klant heeft besteld.
En eerlijk gezegd ken ik weinig maatregelen tegen een groep ervaren hackers die denkt 10 miljoen dollar te verdienen door alle zwaktes in je infra te exploiteren, en daar maanden de tijd voor neemt.
En nu blijkt dat groepje hackers gelijk te hebben en er geld aan te kunnen verdienen. Je hebt zelf al aangegeven wat bedrijven doen met geld, deze gasten gaan niet met vervroegd pensioen en zelfs als ze het doen zullen andere leren van dit voorbeeld. Er komen tientallen, honderden groeperingen die dit soort aanvallen gaan doen er er miljoenen meer willen verdienen. Ik kan je vertellen dat er vroeg of laat een manier moet en zal komen om dit soort aanvallen grotendeels te stoppen. Dat, of we gaan inderdaad terug op pen en papier.

Of, en dat kan ik niet genoeg herhalen blijkbaar, we halen de motivatie voor dit soort aanvallen weg en stoppen met betalen.
Want de management probeerde de beste IT-strategie door te drukken maar de IT-ers hielden het tegen?
Slecht excuus. Als je het als ITer niet eens bent met het gevoerde beleid vertrek je. Anders ben je verantwoordelijk. Zo werkt het.
Ik weet niet waarom je een -1 krijg maar je hebt wel gelijk. Er wordt altijd geklaagd over het grote boze management, maar de meeste IT-ers zijn HBO- of academisch geschoold. Die moeten op basis daarvan dus gewoon tegengas kunnen geven richting het management. Op andere afdelingen lukt het wel. Geen salesmanager die onrealistische doelen accepteert. Die komt met steekhoudende argumenten waarom iets wel of niet kan. Dat moeten IT-ers ook gewoon doen. Maar dan wel vertalen naar iets wat niet-IT-ers kunnen begrijpen. En daar gaat het vaak fout. Maak een business case waarin je laat zien wat er gebeurt als je iets wel of niet doet. Dan ben je in gesprek met het management. En als ik zie wat IT-ers verdienen, dan mag je dat soort competenties best wel verwachten.
Deels eens...
Doordat iedereen thuis een PC heeft, die zooooooo simpel werkt wordt een serieus IT beleid vaak niet geaccepteerd, want thuis....
Opstappen wanneer iets niet zint is wel het uiteindelijke zwaktebod, maar het enige antwoord op een betonnen plaat.
Waarschijnlijk krijgt hij een -1 omdat hij niet bekend is met de term compromis, zo zwart wit is de wereld niet. Afgezien hiervan mag je geschoold zijn wat je wilt maar de management beslist.

Wat nog belangrijker is, is het feit dat IT bijna altijd het ondergeschoven kindje is. Helemaal als je met een manager zit die 0 kennis van IT heeft.
Ons leven zit vol met compromissen, als je daar niet mee kan leven, tja hutje op de heide.

Je gaat er trouwens al van uit dat IT een ondergeschoven kindje is en begint dan al met puinhoop. Dat kan soms het geval zijn maar wie zegt dat dat hier het geval is.
Alleen hebben we hier 0 informatie over wat er gebeurd is. Het is zo eenvoudig om kritiek te geven op anderen terwijl je 0 details hebt. Ik heb weet van gaten in onze beveiliging. Ik heb deze al meermaals gemeld en zal dat blijven doen. Maar ik ga mijn job, die ik graag doe, niet zomaar opgeven omdat ik het niet eens ben met onze security mensen over de ernst van de problemen die ik zie. Want ik heb ook begrip voor hun kant van de zaak.

ik wil jouw wel eens naar een manager zien stappen en zeggen: security moet een verdubbeling van budget krijgen en een verdrievoudiging van de headcount zodat we alle problemen goed kunnen aanpakken. Upper management zal eens goed lachten. En ik kan ze geen ongelijk geven. Security is niets anders dan een goed compromis zoeken. Totale veiligheid is onwerkbaar. Totale vrijheid is onveilig. Je moet een compromis zoeken, een balans tussen die twee zodat mensen vlot hun werk kunnen doen zonder je al te kwetsbaar op te stellen.
bla bla bla bla. Jij gaat er van uit dat jij of de fictieve persoon in het voorbeeld altijd gelijk heeft en het management het niet weet en maar doet.

Jou bla bla verhaaltje gaat fictief alleen maar op als het fout gaat en achteraf blijkt dat er een verkeerde beslissing genomen is. Op dat moment staan de beste stuurlui aan wal. Als er daarvoor 10x een beslissing genomen is die niet fout gaat en waar je het ook niet mee eens bent, had je dan ook moeten vertrekken.
Jou mening is schijnbaar de enige juiste, het echte leven zit vol compromissen en sterker nog als het management zegt nee dit willen we niet, of het moet goedkoper kan dat soms ook betekenen dat je eens goed moet nadenken om te kijken of er andere oplossingen zijn die ook werken.
Verstandig want met je inhoudsloze teksten kom je idd niet veel verder.

Zou zeggen begin voor jezelf als je dat al niet doet, dan kun je doen wat je wil, geen gezeik. Werk je voor een baas is dat jou keuze en zul je je ook moeten neerleggen bij beslissingen. Maar ja die beste stuurlui die aan wal staan, dat zijn er vele maar zelf een schip sturen nee dat niet.
Als het een timed attack is, in hoeverre acht jij dat een eender welk aan strategie gaat werken? Ik denk eerlijk gezegd dat er zelfs geen "sweet spot" te bewerkstelligen is.
Alle verdediging is te breken zolang de aanvallers genoeg geld, tijd en kunde hebben.

Of Garmin zich had kunnen beschermen tegen deze aanval weet ik niet. Misschien hebben ze al het redelijke gedaan, misschien niet.
Mee eens. Er hoeft maar een overwerkte secretaresse in een onbewaakt ogenblik op een verkeerde attachment te klikken en men is binnen. En de 10 miljoen dollar die ik links en rechts voorbij heb zien komen lijkt me ruim voldoende initiatief voor de hackers om er werk van te maken om dit uit te bouwen naar de rest van het domein.
En hoe los je daar, tijdens dat je niet bij je data kan, het probleem exact mee op? Dit is iets dat je kan doen nadat je het probleem hebt opgelost niet wanneer dat nog aan de hand is.

En natuurlijk een goede backup is wat @bbob1970 zegt..
backups is natuurlijk 1 ding, offsite, onsite maar die moet je dan feitelijk controleren dat ze niet al versleuteld zijn door de ransomware of de ransomware alsnog actief kan worden als deze in de backups zit.
Een goede backup strategie is geen 100K hoor. Daar komen ze niet eens voor langs, en dat kan ik je alvast vooraf vertellen.
Tja,.. wat besluit je dan?
Je besluit dat de lange termijn belangrijker is dan de korte termijn.

En je accepteert daarom dat binnenkort een aantal (nog niet bekende) bedrijven failliet zullen gaan.
En je beseft dat je daar de rest van de bedrijven, voor altijd, mee gered hebt.

Het is dan aan elk bedrijf om zo slim en goed tewerk te gaan, dat ze niet bij die eerste groep gaan horen maar bij de tweede.
De redenatie voor de fans: "The needs of the many, outweigh the needs of the few" ;)

[Reactie gewijzigd door Zynth op 2 augustus 2020 12:52]

En je beseft dat je daar de rest van de bedrijven, voor altijd, mee gered hebt.
Nee, hooguit tijdelijk tot de criminelen een andere manier gevonden hebben...
Het is in mijn ogen naïef te denken dat criminelen stoppen met criminaliteit omdat het een paar keer niets oplevert.
Dat klopt. Bijvoorbeeld winkeldiefstal los je hier niet mee op...

Het gaat hier over het zorgen dat losgeld geen optie meer is voor criminelen.
Natuurlijk bedenken ze wat anders, maar een bedrijf afpersen voor geld is dan in ieder geval niet meer mogelijk.

[Reactie gewijzigd door Zynth op 2 augustus 2020 14:44]

als bedrijf snap ik de keuze, voor individueen is het namelijk de juiste keuze. als maatschapij moeten we alleen zeggen, die keuze mag je niet nemen omdat het slecht is voor ons allemaal. netzoals dat we heling niet toestaan, omdat het diefstal beloond.
Gaan "wij" als maatschappij dan ook de gevolgen opvangen? Verloren banen, (deels) nutteloze apparatuur bij miljoenen consumenten?
Niet als je kwetsbaarheid je eigen schuld is. Omdat je alleen aan rendement, de korte termijn en aandeelhoudersbelangen dacht.
Hoe zou het mijn schuld zijn als secretaresse bij Garmin? Hoe zou het mijn schuld zijn als gebruiker van een Garmin device?

Denk eens goed na over wie er nu daadwerkelijk getroffen wordt.
Een bedrijf is ook verantwoordelijk voor wat z'n medewerkers uitspoken. Daar hoor je niet voor niets procedures voor te hebben.

Het is wat al te makkelijk om alleen de winst voor jezelf of je aandeelhouders te houden en de schadelijke gevolgen van je eigen geklooi standaard te externaliseren naar de maatschappij, naar jou en mij dus. Ja, ik weet wel dat bedrijven dat graag doen, maar het moet niet langer de norm zijn.
Een bedrijf is ook verantwoordelijk voor wat z'n medewerkers uitspoken.
Een bedrijf heeft nul verantwoordelijkheid als het niet meer bestaat....

Het is wel al te makkelijk de belangen van de maatschappij bij een enkel bedrijf neer te leggen. Laten we wel wezen, de echte boosdoeners hier zijn de criminelen, en je kunt stellen dat die het gevolg zijn van "de maatschappij" die zijn zaken niet op orde heeft.
In andere woorden we moeten iedereen maar altijd beschermen van idiote bedrijven die schijt hebben aan anderen? waar leg je de grens? als een CEO met de bedrijfs creditscard alles vergokt moeten wij ook maar inspringen? denk eens goed na over wat je zegt. beide zijn gewoon falen van een bedrijf, iedereen roept altijd maar vrije markt. totdat er verliezen draaien, dan is het collectiveer alles zo snel mogelijk! maar als er winst is moet alles privaat. beetje gek, wel de vruchten niet de lasten.
In andere woorden we moeten iedereen maar altijd beschermen van idiote bedrijven die schijt hebben aan anderen?
Wel als we als maatschappij het bedrijf de mogelijkheid om zichzelf, zijn medewerkers en klanten te beschermen ontnemen.

[Reactie gewijzigd door Zer0 op 2 augustus 2020 22:05]

We geven als maatschapij de mogelijkheid oorspronkelijk voor het bedrijf om te bestaan, niet andersom. het bedrijf krijgt de infrastructuur en de opgeleide populatie van de maatschapij ter beschikking. Als de maatschapij het bedrijf niet meer nuttig acht voor de maatschapij is ze geheel gegrond om te zeggen "nee jullie dragen niet bij aan de maatschapij". De maatschapij is de fundering van een bedrijf, niet andersom.
Als de maatschappij dat vind, dan moeten ze ook de gevolgen van die beslissing dragen...
Als een bedrijf vindt dat ransomware beveiliging niet zo belangrijk is moeten ze niet de beslissingen dragen? wat een idioot meten met twee maten dit.
Natuurlijk moet een bedrijf de gevolgen dragen, het losgeld is er één van, en wellicht volgen er nog boetes voor het overtreden van de GDPR.
Maar nog maals, een bedrijf dat niet meer bestaat omdat ze falliet zijn, kan de gevolgen niet dragen...
sinds wanneer zijn alle verantwoordelijke dood als een bedrijf falliet gaat?
Hoe wil je die "verantwoordelijken" de problemen op laten lossen dan?
verantwoordelijkheid nemen betekend niet dat je het probleem oplost. dus je vraag rust al op een verkeerde aannamen. verantwoordelijkheid nemen betekend dat je de consequenties van je gedrag ervaart en probeert te voorkomen dat het weer gebeurt en de consequenties indamt.

[Reactie gewijzigd door t link op 4 augustus 2020 09:56]

verantwoordelijkheid nemen betekend dat je de consequenties van je gedrag ervaart
En dat je ze op zijn minst probeert op te lossen of te verminderen.
Anders is "verantwoordelijkheid nemen" een loos gebaar.
Klopt! excuses heb mijn reactie ook al aangepast om dat aan te vullen.
heling is iets anders, het enige waar je het mee zou kunnen vergelijken is kidnapping, daarom noemen ze het ook ransomware. Op zo'n moment kan je ofwel dat bedrag als verlies pakken ofwel moet je misschien gewoon de boeken neer leggen omdat je producten waardeloos zijn en je door klanten met grotere schadeclaims om de oren wordt geslagen.

Ik ben ervan overtuigd dat er al grotere bedragen betaald zijn door bedrijven die minder zichtbaar zijn of de aanval minder impact had en nog te verbergen was voor het grote publiek.
Het maakt niet uit of heling wat anders is of niet, het gaat erom wat voor effect het heeft op het criminele gedrag dat is namelijk wat er vergeleken wordt. de rest maakt letterlijk niet uit, omdat het niet vergeleken wordt. als mijn punt was dat het net als heling nieuwe producten van de markt devalueerd had je een punt, maar daar draait de vergelijking niet om.

[Reactie gewijzigd door t link op 2 augustus 2020 21:32]

soms heb je enkel de keuze tussen betalen of failliet gaan en een hele hoop andere bedrijven mee de dieperik in sleuren of op kosten jagen. Ze willen helemaal ook niet betalen, maar ze willen nog minder het 2e, liever corona dan ebola :+
In andere woorden, het is een egoistische keuzen die niet op het maatschappelijk belang gericht is. Dat is ook precies mijn punt. het is het verschil tussen ik ebola en iedereen corona ;)
10M betalen is slechts een deel van de rekening, je zult alsnog je HELE infrastructuur moeten onderzoeken, herinrichten, herstellen.... dat kan makkelijk op een veelvoud ervan eindigen.

De keus is dus tussen:
Nieuwe omgeving opbouwen - Enige tijd geen omzet..
Nieuwe omgeving opbouwen + USD 10M losgeld.(en ook hier omzet verlies).

Backup is niet het eerste wat moet werken: Recovery moet werken, restore van een backup is een onderdeel dat daarna nodig is.

[Reactie gewijzigd door tweaknico op 2 augustus 2020 15:43]

De eerste keuze is geen optie, omdat ze dan feitelijk waarschijnlijk niet meer bestaan. Dit zou zoveel schade opleveren dat klanten massaal vertrekken (producten werken lange tijd niet meer) en nieuwe klanten geruime tijd niet meer komen. Het is dus een keuze tussen failliet of het slechte accepteren (betalen/minder imago schade).
En dus zijn hierdoor mede schuldig aan het financieren van de volgende ransomware aanval bij het volgende slachtoffer...
(en waarom zouden ze dat zelf niet weer kunnen zijn?).

De ransomware dreiging is niet nieuw, mogelijk moet de oplossing gezocht worden in het ZEER SNEL kunnen herstellen van de dienstverlening (lees Nieuwe ICT infra optuigen) met alles wat als readonly beschikbaar zou moeten zijn. Later aangevuld met de zaken die uit de oude gered kunnen worden.
Dan is het omzet verlies een stuk kleiner omdat de dienst verlening voor een groot deel weer actief is. Alleen de historie gaat wat langer duren.

De gebroken ICT omgeving kan voor onderzoek aan dbv. FBI en opsporings instanties overgedragen kunnen worden. Als je omgeving dat TE COMPLEX wordt is die mogelijk al te complex.
Idd, hetzelfde alsof jouw gezin ontvoerd zou zijn. Ik zou direct betalen hoor...
Je kunt de kosten overwegen.... De IT contractor die alles zou moeten herstellen zal ook een flinke rekening opstellen. Alle machines/servers opnieuw installeren, backups terugzetten etc. En dan nog maar niet te praten over de tijd die nodig is. Een code om de encryptie ongedaan te krijgen is sneller en simpeler maar komt ook met risico's zoals de vraag of je na de betaling wel een sleutel krijgt en wat er aan verveldende code achter blijft.
Als je geen sleutel krijgt dan kan die groep die verantwoordelijk is ook wel inpakken. Geen enkel ander bedrijf zal hen ooit nog betalen. Als er 1 ding is waar je wel zeker van kunt zijn is dat je die groepen op hun woord mag geloven. Eenmaal een prijs onderhandeld en betaald zullen ze je de benodigde sleutels geven en, indien noodzakelijk, zelfs helpen met het ontsleutelen van je data. Voor hen is het gewoon een zakelijke transactie op dat moment.
Je moet criminele organisaties niet vergelijken met commerciële organisaties, ook al hebben ze hetzelfde einddoel. Het is al vaker voorgekomen dat ransomware daadwerkelijk geen sleutel had en er na betaling geen gehoor meer kwam van de andere kant. Als bedrijf kan je niet even een slechte review achterlaten, niet dat dat overigens uitmaakt want slachtoffers van ransomware praten niet met elkaar dus je komt het nooit te weten of er een sleutel gaat verschijnen of niet.

En, hypotethisch gezien, er verschijnt een website waarbij slachtoffers van ransomware een recensie kunnen achterlaten, wat is de moeite voor een crimineel om dan een nieuwe naam te verzinnen, opnieuw de ransomware te compileren en onder een ander label verder te gaan met data onbruikbaar maken en te beloven dat je het kan herstellen?

Het is een waanidee om vertrouwen bij criminelen te leggen. Je denkt dat je een gulden middenweg in elkaars belangen kan vinden, maar daarbij vergeet je even voor het gemak dat zij zich niet hoeven te houden aan alle controls, normeringen en regels waar je als bedrijf wel aan moet voldoen.
Op dat niveau mag je dat zeker wel aanzien als een commerciële organisatie. Hoe gek dat ook klinkt. Die keren dat ransomware geen sleutel had, hadden ze ook zeer specifieke doelen voor ogen en was de vraag om losgeld gewoon een manier om onderzoekers op het verkeerde spoor te zetten.
En dat veranderd helemaal niks aan m'n standpunt, je weet niet welke belangen een crimineel heeft om je aan te vallen. En door ze een commerciele partij te noemen ga je voorbij het andere punt: men heeft geen normeringen, wetten of morele grenzen om zich binnen te begeven. Door ze als bedrijf te bestempelen wek je het waanbeeld dat hun positie gelijkwaardig is, en dat klopt gewoon niet. Als ze meer geld uit kunnen persen door zich als een nieuwe groepering voor te doen en het trucje te herhalen dan is daar niks aan te doen. Mocht je nogmaal betalen, mooi meegenomen, doen ze dat niet dan maakt het toch niet uit.
Dat ligt voor dit soort gasten dus anders, dat wordt als business transaction afgehandeld. Lees voor de gein eens deze thread: https://twitter.com/jc_st.../1289199296328298497?s=20
Dat ligt voor dit soort gasten dus anders, dat wordt als business transaction afgehandeld. Lees voor de gein eens deze thread: https://twitter.com/jc_st.../1289199296328298497?s=20
Ah, dus omdat de criminelen het zeggen, dan is het zo. Gek, ik dacht toch echt dat criminelen altijd kaal waren met een litteken door hun wenkbrauw.

Even serieus, je snapt toch wel dat betrouwbaar overkomen ervoor zorgt dat er sneller wordt betaald. Stockholm syndroom is waar je op in wilt spelen, valt me alleen tegen dat buitenstaanders op Tweakers er blijkbaar ook vatbaar voor zijn.
Ik zeg niet dat het commerciële partijen zijn, maar dat het door hun wel als serieuze business transactie gezien wordt.
Klink raar voor criminelen, maar ze blijken bij dit soort grote ‘klanten’ over het algemeen wel betrouwbaar te zijn. Daar zijn genoeg voorbeelden van.
Dat het niet fijn is afgeperst te worden door een criminele organisatie, staat daar buiten.
Wat natuurlijk ook niet helpt is dat de autoriteiten totaal niet in staat zijn hier tegen op te treden, dus je staat er als bedrijf alleen voor.
Helaas werkt het niet helemaal zo. Er zijn ook ransomware-varianten waarbij de key maar een x aantal documenten ontsleutelt en dan stopt. Voor de volgende batches van x aantal documenten mag je dan opnieuw betalen. En dat gebeurt blijkbaar, en dus is het financieel lonend om zo'n constructie te gebruiken. Als het bedrijf zijn data terugwil zullen ze weinig keus hebben dan te betalen.

Ook al werkt zo'n constructie wellicht maar één keer, als je daar miljoenen mee binnenhaalt loop je als criminele organisatie toch binnen, financieel gezien....

[Reactie gewijzigd door wildhagen op 2 augustus 2020 12:03]

Maar dat soort ransomware werkt vaak niet omdat mensen/bedrijven snel stoppen als ze eenmaal merken dat het niets uithaalt van te betalen. Zeker bij gerichte aanvallen op bedrijven zal het altijd gaan om 1 bedrag om alles te ontsleutelen zodat men weet waar men aan toe is. Ik heb nog nooit van het type aanval gehoord waar jij over spreekt bij bedrijven waarbij bedrijven telkens opnieuw blijven betalen voor een nieuwe sleutel.
Eens. Maar als je toevallig het bedrijf bent wat getroffen wordt begrijp ik heel goed dat er wel betaald wordt. Lang offline zijn als Garmin kan ook je eind betekenen.
Dat je getroffenen bent is niet relevant. Wel of je als bedrijf liever investering doet in criminelen of een goed herstelplan. En dat laatste lijkt te betwijfelen als ze liever een crimineel betalen.

edit:
Mocht er aanstoot worden gegeven dat ik stel dat men getroffen is niet relevant is, ik bedoel daarmee dat het een gegeven situatie is en het (meest) relevante vervolgens is verplaatst naar hoe men van daaruit verder wil en of men voorheen voor ogen had of criminelen belonen daar een onderdeel van kon zijn bij wat niet is gedaan wat de situatie zou voorkomen.

[Reactie gewijzigd door kodak op 2 augustus 2020 22:27]

Geen enkele beveiliging is perfect. Er is altijd een risico dat het misloopt. Ik heb ook al fouten in de beveiliging in mijn eigen firma gezien die door het security team worden weggewuift terwijl we aan de andere kant enorm veel dingen wel goed doen en ook wel zwaar investeren in die beveiliging.

Een goed herstelplan is belangrijk, maar wanneer alle infra getroffen is ben je ook niet op enkele uren weer up and running. In je disaster recovery ga je er meestal van uit dat 1 enkele site neer gaat, niet je hele netwerk. Alles van de grond af aan opnieuw moeten opzetten, als je daar al de backups voor hebt, zal je vermoedelijk meerdere weken kosten. En al die tijd kunnen je klanten niets met de producten die ze gekocht hebben.

Sommige tweakers lijken te denken dat je elk risico kunt afvangen, dat je elk probleem zomaar kunt oplossen en dat geld geen rol speelt. Maar geld speelt wel een rol. Budgetten zijn beperkt, teams hebben beperkte capaciteit en voor de allerergste noodsituaties zijn vaak geen plannen. In een ideale wereld wil je inderdaad alles afdekken en geen criminelen betalen. Maar de ideale wereld bestaat niet. We leven in een imperfecte wereld waar je soms moet kiezen tussen de pest en de cholera, het minder van twee kwaden. En als de keuze erin bestaat om criminelen te betalen of mogelijks je bedrijf zien kopje onder gaan dan zal zowat iedereen kiezen voor dat eerste.
Mocht je de indruk hebben dat ik stel dat het even een kwestie van wat herstel is, nee. Natuurlijk is het niet zo simpel.
Maar laten we ook niet net doen alsof het alleen om investering achteraf gaat. Het gaat ook om de prioriteiten in geld en moraal vooraf en achteraf. Genoeg voorbeelden in de afgelopen jaren dat bedrijven meer verantwoordelijkheid hebben dan alleen hun bedrijf en aandeelhouders op korte termijn tevreden te houden. Ik kan niet zien wat hier de situatie was maar ik ben van mening dat als een bedrijf (zeker als het miljoenen winsten maakt) ook voorbereid hoort te zijn om een maand stil liggen te incasseren en anders af te vragen mag zijn of de moraal daar wel goed is op gebied van waar geld heen gaat. Winst maken bijvoorbeeld ten kosten van stabiliteit van het bedrijf of moraal om criminelen niet te hoeven spekken. Het is nooit ongewoon geweest dat je belangrijkste processen heel lang kunnen uitvallen als verkeerde bestedingen in geld, kennis of tijd worden gedaan. Ik lees het anders graag dat een bedrijf die vond dat ze niet anders konden dan criminelen betalen die investeringen prima hebben gedaan en waarom, maar daar hoor je zelden iets over.
Geen enkel bedrijf kan zich veroorloven van een maand stil te liggen en dan gewoon te hernemen alsof er niets aan de hand is. Zoals ik zelf al meermaals heb aangehaald: je kan niet elk risico afvangen en je IT afdeling heeft geen oneindig budget. Je moet keuzes maken. Beveiliging moet goed zijn maar kan nooit zo goed zijn dat elk risico is afgedekt. Net zoals disaster recovery ook vooral werkt met de meest waarschijnlijke scenarios.
Er zijn talloze bedrijven die tijdens de bouwvak gewoon 4 weken dicht zijn. Helaas meneer, na de vakantie bent u de eerste. :)
Dan hebben we het ook over sectoren die zich daarop toespitsen en dat voorbereiden. We hebben het hier over onverwachte zaken.
Maar dat is een jaar van te voren bekend en ingecalculeerd. Erger nog, de bouwvak is ontstaan omdat het voor bouwbedrijven niet te doen was om alle afhankelijkheden te coordineren, en dus was het eenvoudiger iedereen tegelijk op vakantie te sturen. En dan nog wordt er in praktijk vaak nog beperkt doorgewerkt op projecten.

Moet je eens een bouwbedrijf in midden Maart-April een maand platleggen. Of een warenhuis in November-December (meestal zo'n 50% van de jaaromzet!). Dan heb je echt de poppen aan het dansen. Bedrijven zwemmen echt niet in het geld, en dagen of weken volledig lamgelegd worden is vaak dodelijk.
Of een bedrijf het zich kan veroorloven om enkele weken niet of nauwelijks te draaien hangt toch echt van de inrichting van het bedrijfsmodel af en niet van een simpele stelling dat het niet kan. Dat gaat zowel van grote als kleine bedrijven op. Alleen veel bedrijven lijken daar niet op ingericht te zijn of investeren liever anders, wat vervolgens invloed heeft op beslissingen als het een keer goed mis gaat. Toon mij anders aan dat een groot bedrijf dat miljoenen winsten maakt het zich niet kan permitteren terwijl het wel keuzes kan maken om te groeie, groei vast te houden en zelfs winsten uit te keren.
Ik ken de bedrijfsvoering bij Garmin niet. Maar zal je even meenemen naar mijn sector. De advocatuur. Wat denk je als er zou gebeuren als onze IT systemen 4 weken lam liggen? 4 weken geen email verkeer. 4 weken niet aan documenten in ons documentsysteem kunnen? En dat terwijl zowel clienten als rechtbanken met deadlines zitten. Denk je dat wij dat zouden overleven? Meer dan op backups bouwen wij op redundantie. Als morgen 1 van onze datacentra neergaat neemt een ander het gewoon over. Downtime kuinnen we gewoon missen als kiespijn. Wij zien supporttickets verschijnen van mensen die 15 minuten geleden een mail hebben verstuurd en waarbij deze nog altijd niet is aangekomen aan de andere kant. Leuk hé. En ja, dit is een grote firma met miljoenen winst en miljarden omzet.

Wat dacht je van een bedrijf dat goederen produceert? 4 weken lang geen orders kunnen vervullen, 4 weken lang geen facturen kunnen sturen. 4 weken lang geen nieuwe bestellingen kunnen plaatsen. Allemaal omdat het ERP systeem eruit ligt. Denk je dat zoiets houdbaar is? Een dag of twee? Ja, op papier zoveel mogelijk noteren. Maar na een maand is dat niet meer te overzien.

Natuurlijk zijn er nog altijd bedrijven die wel verder kunnen. Maar dan kom je voornamelijk bij kleine bedrijven uit die de computer alleen maar voor basisadministratie gebruiken. Van zodra je wat van formaat bent of je de IT systemen wat intensiever integreert in je bedrijfsvoering dan kan je echt geen weken zonder computers.
De advocatuur. Wat denk je als er zou gebeuren als onze IT systemen 4 weken lam liggen? 4 weken geen email verkeer. 4 weken niet aan documenten in ons documentsysteem kunnen? En dat terwijl zowel clienten als rechtbanken met deadlines zitten. Denk je dat wij dat zouden overleven?
Ik snap wat je wil zeggen maar ik lees in je verhaal geen overleving modus, eerder dat men gaat klagen als zich het ergste voor doet.

Om het bij Garmin en andere ransomware slachtoffers te houden die de keuze maakte om liever criminelen te betalen: hoe stel je dan voor te bepalen of men niet te makkelijk bereid is om niet in overlevingmodus te gaan en in plaats daarvan liever criminelen gaat belonen en criminaliteit in de hand werkt? Of denk je dat het wenselijk is dat bedrijven criminelen betalen en in de hand werken?

Een bedrijf bestaat niet alleen bij wat gebruikelijk is maar ook bij omgaan met (snelle) veranderingen. Is het niet leuk? Nee natuurlijk niet. Het doet financieel waarschijnlijk heel veel pijn. Het zal niet goed voelen dat veel medewerkers, inclusief personen die dagelijks gewoonlijk wel controle menen te hebben, dat ze zo afhankelijk zijn en ander moeten gaan werken of anders stoppen. Het zal niet prettig zijn om heel veel onzekerheid tegemoet te gaan. Dat de kans op vooruitgang/meer winst stopt, dat wat lang gewoon is zal veranderen naar waarschijnlijk minder, dat er een neerwaartse spiraal kan ontstaan, dat men inkomsten zal inleveren, loonoffers zal krijgen, men te zware lasten blijkt te hebben als het toch flink tegen zit, dat men mogelijk personeel en misschien zelfs bijna al het personeel moet ontslaan, dat men failliet kan gaan. Zullen klanten ontevreden zijn en sommige mogelijk zelfs nooit meer terug komen? Ja. Maar een bedrijf is altijd al meer geweest dan afhankelijk zijn van de huidige situatie, gewenning, voorspoed en grote winsten worden gemaakt alsof er geen grote risico's bestaan.
Die advocaten-zaken die echt nu gedaan moeten worden daar zul je bij de rechtbank om begrip moeten vragen voor de situatie namens je clienten. Ja maar niemand kan meer bij het systeem? Waarom denk je dat ook clienten/om/rechtbanken ook gegevens bij houden en er ook postadressen zijn. Waarom zou het papier en een kopieerapparaat bestaan? Veel verdienen vraagt waarschijnlijk ook in moeilijke tijden om offers en ongemak? Als daar geen wil voor is denk ik niet dat men werkelijk op overlevingsmodus zit.
Ik lees eigenlijk niemand antwoord geven op de vraag waarom we het maar normaal moeten vinden dat je een huidige situatie in stand probeert te houden door criminelen te betalen als de wereld ook bestaat uit verlies nemen. Ik zeg niet dat het leuk is, ik zeg niet dat het een verkeerde keuze is, maar het is wel opvallend dat de moraal over criminelen dienen soms plotseling ver te zoeken is als het wil zeggen dat een omgeving er zelfs maar een beetje schade door dreigt te oplopen of de overlevingsstand mogelijk het enige alternatief is. Een bedrijf voeren of daarin deelnemen gaat om meer dan alleen geld, ongemak en risico's minimaliseren. Ik heb het antwoord ook niet op de vraag die ik net stelde, maar ik denk wel dat het tijd gaat worden dat er misschien eens beter over nagedacht gaat worden of er werkelijk een excuus is om criminelen te belonen of dat het meer de angst is voor het onbekende en moeten bekennen dat men eigenlijk al te veel risico's heeft genomen.
risico is niet hetzelfde als dat het het waard is voor bad actors. tuurlijk is er altijd risico, maar er is ook een reden waarom banken niet meer overvallen worden.
Ja, dat is omdat banken in Nederland op de pin automaat na geen cash geld in huis hebben.
Dus banken nemen geen fysiek geld aan en geven geen fysiek geld af op fysieke lokaties? volgens mij weten we allebij dat dit onzin is. dat ze compartimalizeren klopt, maar drie keer raden wat je ook in de informatiebeveiliging doet om te voorkomen dat iedereen in een keer bij al je data kan...

even voor de compleetheid:
Op een ING-kantoor of servicepunt tot € 10.000
hoe denk je anders dat die biljetten rondkomen? dat je die via een email zelf mag uitprinten? 8)7

[Reactie gewijzigd door t link op 2 augustus 2020 12:43]

Jij denkt te weten dat het onzin is, maar dat is het niet.
Het geld opnemen in jouw voorbeeld, Dat gaat via automaten, zoals ik exact aangaf. Grote geld bedragen hebben ze nooit op voorraad. Je kan wel grote geldbedragen bestellen, maar dat gaat altijd strikt op afspraak, en wordt dan besteld bij een waarde transporteur.

Er zijn simpelweg geen banken meer in Nederland die standaard geld op kantoor hebben. Let op: Ik zeg op kantoor. Ja, er staat een geld automaat, maar dan is het geen overval. Dat noemt men een plofkraak.

[Reactie gewijzigd door Lagonas op 2 augustus 2020 14:20]

Leuk hoe je op een detail focussed maar vervolgens handig negeert wat exact de pijnpunten van je argument waren.

je beweert dat banken geen fysiek geld hebben naast pin automaten, vervolgens claim je dat ze het wel hebben op afspraak. rara wat hier niet samenkan? daarnaast negeer je even lekker dat er gewoon goud in banken ligt opgeslagen, naast geld. misschien niet op ALLE kantoren, maar het is er weldeglijk.
Dus, jij denkt dat mensen een bank gaan beroven zonder zeker te weten of er geld binnen ligt? Je denkt echt dat ze gaan hopen dat iemand een afspraak heeft gemaakt om een groot geld bedrag op te nemen? Of bedoel je dat criminelen zelf een groot geld bedrag bestellen en die dan gaan stelen? Dat lijkt me zeker een goed idee.

De reden dat er geen bank overvallen plaats vinden in Nederland is omdat er normaal gewoon geen geld is. Als je dat gelinkte artikel leest, dan zie je dat ze allemaal refereren naar automaten. Doe niet zo eigenwijs, en neem gewoon aan wat meerdere mensen je al vertellen.

Waarom denk je dat Nederlanders zoveel plofkraken plegen in Duitsland. Dat is de enige plek waar nog geld te krijgen is. In de Nederlandse banken ligt geen contant geld, en de pin automaten zijn te goed beveiligd.

Verder ligt er al een hele lange tijd geen goud bij de normale (ING, RABO, ABN etc.) banken. Ik denk dat jij echt een verkeerd beeld hebt van banken. Er ligt enkel nog goud bij de DNB.

[Reactie gewijzigd door Lagonas op 2 augustus 2020 21:44]

Alles daarvan is juist een argument voor dat bedrijven meer moeten doen in de preventie ipv gewoon losgeld betalen.

Ik denk dat je een verkeerd beeld hebt van wat het nut is van deze argumentatie, want je ondermijnt alleen je eigen punt ermee. Preventieve maatregelen werken is wat je zegt, criminelen omkopen niet. als ze een plofkraak doen zeg je ook niet " oke als je 25% van de contanten meeneemt maar hem dan niet plofkraakt is ook goed". natuurlijk niet, dat zou van de zotte zijn want dan staan ze er volgende week weer.
Je gaat echter compleet niet in op mijn reactie, en zegt nu dat het wel zou kunnen als de banken in Nederland andere maatregelen nemen. Dat is echter niet de realiteit. De realiteit is dat er normaal geen contant geld is bij de banken in Nederland.

Verder heb ik het nergens over een compromis sluiten met criminelen. Ik reageer enkel op je argument dat bank overvallen niet meer voorkomen. De maatregelen die genomen zijn is dat er normaal geen geld meer bij banken te halen valt. Dat is exact wat ik zeg.

De link tussen ransomware criminelen en plofkrakers is er gewoonweg niet.

[Reactie gewijzigd door Lagonas op 2 augustus 2020 22:25]

Ik ga compleet wel in op je reactie, sterker nog ik bundel de gehele inhoud in een enkele opmerking "preventieve maatregelen werken" dat is de inhoud van je reactie, en dat was EXACT mijn punt van de vergelijking. banken kunnen het, andere bedrijven kunnen het ook. hakken in het zand maakt dat niet minder waar.
Maar dat gaat over de pinautomaat zelf, daar kan het personeel zelf niet bij, de waardetransporteur is de enige die daar bij kan. Probeer je die automaat de plofkraken gaat er meestal een verfbom af. Vandaar dat je alleen maar ziet dat criminelen standalone pinautomaten pakken waar ze snel weg kunnen komen.
Bij de Cash Recycle Automaten, die aanwezig zijn op ING-kantoren en ING Servicepunten, is het mogelijk om in 1 transactie € 10.000 op te nemen. Biljet keuze is tot € 1.000 mogelijk.
Dit gaat alleen op afspraak.
Dus wat je wil zeggen is dat lagonas geen gelijk had en ik wel? dat ze wel fysiek geld op lokatie hebben buiten automaten op afspraak? en hoe zit dat dan met dat goud wat ik bijvoorbeeld noemde? hebben ze dat niet? kan je geen geld storten aan de balie meer? kan je geen geld opnemen aan de balie meer?
hier bijvoorbeeld noemen ze SPECEFIEK appart storten op kantoor, niet via de automaat.

https://www.abnamro.nl/nl...contant-geld/storten.html
Nee, er is geen geld storten aan de balie meer. Dat gaat allemaal via automaten. Geld opnemen gaat ook allemaal via automaten.

Klik eens op de link die je stuurt, klik op "ABN AMRO bankkantoren of stortautomaten." Open de map, en klik op elke individuele bank. Je zult bij allemaal het woord "Geld(stort)automaat" zien.
Uhhh neehoor. dat is gewoon een lijst van diensten op die lokatie naast "kantoor" (waar dus bij de balie storten onder valt). er staat ook gewoon specefiek een openingstijd van de kluis.
Dat is geen algemene geld kluis.. Dat zijn mini kluisjes die een klant kan huren.
in andere woorden: compartimalizatie! kijk nog een goed voorbeeld waarom beveiligingsmaatregelen werken!
Je moet eens naar je bank gaan en €10k opvragen in cash van je rekening. Kans is heel groot dat ze je wandelen sturen met de melding dat ze je dat bedrag over enkele dagen wel kunnen geven maar niet onmiddelijk. Banken hebben niet veel cash meer voor handen in de kantoren. Waarom denk je dat criminelen zich richten op de bank automaten? Het is daar dat je nog cash uit kunt halen vandaag de dag.

De link die je zelf geeft spreekt namelijk ook van de automaat. Je kan je limiet van een zakelijke rekening (veel plezier als je dat particulier wenst te doen) laten verhogen tot €10k.
Ja het heeft vast niks te maken met dat mensen bedreigen je ietsje hoger op het lijstje bij de politie doet eindigen en je ooknogeens een best aanwezig risico hebt tot doodslag als de boel escaleert. plofkraken zijn makkelijker en simpeler, en erg schaalbaar. dat is het verschil. heeft niet zoveel te maken met of er meer geld in zit of niet.
Komen uit een automaat, je moet ook aangeven dat je zo veel wil opnemen op een servicepunt, dan zorgen ze er voor dat er zo veel in de automaat zit die binnen staat (dus niet die aan de gevel). En storten gaat ook niet aan de balie. Moet je ook doen in een automaat. En de mensen van de bank hebben geen toegang tot het geld. Dus een pistool tegen het hoofd heeft geen zin, want ze kunnen er niet bij.
Niks daarvan maakt banken overvallen voor geld niet mogelijk ;) er is nogsteeds tot 10.000 euro aanwezig op lokatie.
Moeten ze wel een automaat open breken.
En dat maakt uit waarom? het ging erom dat bankovervallen niet meer gebeurd doordat de beveiliging zo goed is geworden. dat het in een automaat zit is alleen maar deel van die beveiliging en dus alleen maar een argument voor wat ik zeg.
Ze betalen liever geen crimineel en ze investeren liever ook niet in een goed herstelplan. Ze kunnen echter er nier omheen dat ze moeten betalen bij die crimineel, dat konden ze wel bij dat goede herstelplan. En wat is 'goed'? Wat de ene expert 'goed' vind kan in de praktijk en met der tijd wel eens niet zo goed zijn... Als IT een 'one solution fixes all' was, dan hadden we nu niet deze discussie.

Een bedrijf functioneert daarnaast niet als een 'slimme' entiteit, maar functioneert als de 'domste' uit de rits individuen die het voor het zeggen hebben binnen dat bedrijf. Wat de afgelopen 10 jaar enorm heeft geholpen is de wetgeving die flinke boetes op kan leggen, je heb als ITer dan een soort van stok achter de deur waarmee je een veel concreter kosten/baten plaatje kan laten zien. Dit soort zaken in het nieuws helpt natuurlijk ook heel erg.
Is wel een gevaarlijk spel, want er is niet 1 crimineel die alle bedrijven aanvalt. Misschien is de lek er nogsteeds en is er een andere groep die nu lekker wilt cashen. Zo blijf je doorgaan.
Je begrijpt het business-model niet helemaal.

Die criminelen die helpen je na betaling ook van andere lekken etc af, want hun business-model gaat kapot als Garmin volgende week een andere hack heeft.
In wezen krijg je na het betalen van het losgeld "gratis" een complete security-check op je hele netwerk.
Het business model lijkt vaak alleen betrouwbaar zijn dat er een mogelijkheid voor ontsleutelen is en daar geld aan verdienen. Daarmee haal je niet de beveiligingsgaten weg. Dat ze verder alle andere problemen zouden verhelpen zie ik in het nieuws of rapporten niet terug, staat volgens mij ook niet in de uitleg/ransomnotes als je slachtoffer bent en lijkt me ook niet realistisch. Het kan die criminelen waarschijnlijk ook niet veel schelen als er andere criminelen na het betalen en kunnen ontsleutelen toch op het netwerk komen, zolang maar duidelijk is dat betalen zorgt dat het slachtoffer weer bij de gegevens kan.
jij bent net van het pad afgevallen?
Herstelplan klink leuk totdat ze al zo lang in je systeem zitten dat ze ook in je backups zitten. Dan heb je weinig keuze meer lijkt me.

Maar stel ze zitten zoals de universiteit Maastricht ook in je backups, mag je volgens jou dan nog steeds niet betalen, moet je de schade voor je bedrijf dan laten oplopen ?
100% nogsteeds niet betalen. en ja laat de schade van het bedrijf oplopen. de vrije markt TM corrigeerd dat wel weer. als je niet meer kan betalen verschijnen er vanzelf andere oplossingen. dat is het princiepe waar onze hele economie op gebaseerd is.

en mocht ook dat niet baten, kan je altijd zeggen we starten een fonds/verzekering/whatever die een transitieperiode verzekerd voor personeel.
100% nogsteeds niet betalen. en ja laat de schade van het bedrijf oplopen.
Jij hebt geen bedrijf met duizenden klanten en tientallen medewerkers zeker?

Steek maar een mes in de rug van al je medewerkers, je klanten en de toekomst van je bedrijf. Gewoon doen joh, want principes.

Hou toch op man. Als je geen optie hebt en je kunt het betalen dan doe je dat. En dat zou jij ook doen op dat moment, daar durf ik mijn hand voor in het vuur te steken.

En ja dan hebben criminelen meer geld, niets nieuws. Tijd om ze op te sporen en te berechten!
Als je denkt dat dit een messensteek is maar het zover laten komen niet zitten je prioriteiten echt compleet scheef. het enige wat het nog zou zijn is doekjes erom winden, de wond is al lang gemaakt.

criminelen opsporen en berechten, dat hebben we tot nu toe geprobeert. dat heeft deze zooi veroorzaakt. al hingen er 2 miljoen werknemers aan mijn lippen, als ik het zover had laten komen zou ik mijn ogen uit mijn kop schamen en de boel opdoeken om ergens in de bergen te gaan leven als kluizenaar. maar ik zou NOOIT andere in gevaar brengen ermee, en dat is exact wat je wel doet ermee. dat vindt ik nou pas echt egoisme. alleen je eige hachje proberen te redden nadat je het verpest hebt voor je werknemers, nu het ook even verpesten voor andere bedrijven. nee dat is nobel. gatverdamme.
De echte wereld is niet zwart/wit maar kent vele grijsgradaties. Het principe "niet betalen" moet prevaleren maar is de schade niet te overzien, dan moet men soms van principes afwijken. Ja, je financiert dan criminelen, maar het is geen halsmisdaad zoals je het doet voorkomen.
Is het geen halsmisdaad om direct criminelen activiteiten te financieren? ik ben geen jurist dus ik kan het niet zeggen, was ook nooit mijn intentie overigens maar als je zegt dat het niet zo is ben ik wel beniewd waar je dat op basseerd.
Ik denk juist niet vanuit eigen, ik denk vanuit maatschappelijk belang. nergens zeg ik dat het een makkelijke keuze is. je reactie leest als puur reactief en gaat ook helemaal niet inhoudelijk in op wat ik zeg.
Je denkt vanuit maatschappelijk belang en dat het geen makkelijke keuze is. 8)7

apart want als je het daar over hebt zijn dit jou woorden:
al hingen er 2 miljoen werknemers aan mijn lippen, als ik het zover had laten komen zou ik mijn ogen uit mijn kop schamen en de boel opdoeken
Mooi maatschappelijk belang 2 miljoen mensen op straat zetten en geen makkelijke keuze, jou keuze stond er al schamen en opdoeken, dus zo moeilijk was die keuze niet, sterker nog geen keuze en je werknemers maar op straat zetten. Als je dus begint over keuzes en maatschappelijk belang pas je antwoorden daar dan op aan.
dat is een no true scotsman fallacy en misquoten. ik heb nou niet echt het idee dat je oprecht deze discussie wilt voeren want je volgt debateer regels gewoon niet. leuk om statements compleet uit hun context te halen, maar das geen argument en kan ik ook.
Je denkt vanuit maatschappelijk belang en dat het geen makkelijke keuze is.
Klopt helemaal! bedankt voor het gelijk geven ;)

Dit is een beetje wat je doet, je haalt de context weg en maakt er zelf wat van omdat dat je standpunt faciliteert. ik wil best de discussie aan gaan das geen probleem, maar voer het dan wel eerlijk.
Leuk maar je antwoorden zijn gewoon heel duidelijk, je begint er je betoog duidelijk mee
100% nogsteeds niet betalen. en ja laat de schade van het bedrijf oplopen. de vrije markt TM corrigeerd dat wel weer. als je niet meer kan betalen verschijnen er vanzelf andere oplossingen. dat is het princiepe waar onze hele economie op gebaseerd is.

en mocht ook dat niet baten, kan je altijd zeggen we starten een fonds/verzekering/whatever die een transitieperiode verzekerd voor personeel.
Niet betalen bedrijf naar de kloten laten gaan of lees ik dat verkeerd ?
Dan is het maatschappelijk belang geen geld aan criminelen betalen voor jou belangrijker dan de weet ik hoeveel mensen die hun baan verliezen, huis verliezen en een bedrijf maar naar de kloten laten gaan.

Nee dan beginnen we een fonds/verzekering/whatever, de markt je weet wel jou economie voorziet daar niet in, waarom zouden ze dat doen, dat is een utopie.

Je kan je trouwens ook voor ransomware verzekeren, verzekering betaald dan mocht het zo ver komen. Maar dat blijft uiteindelijk dan toch betalen aan criminelen.

Het is als stuurlui die aan wal staan heel eenvoudig om maar te roepen niet betalen. Als je leider van een bedrijf bent moet je heel veel afwegingen maken. De afweging niet aan criminelen betalen zal daar ook bijhoren net als wat kost het om niet te betalen, hoe lang duurt het alles goed te krijgen, wat betekend het voor ons bedrijf, omzet onze aandeelhouders (dat kan bijv jou pensionfonds zijn), moeten we mensen ontslaan. als bedrijf kijk je anders naar dit soort zaken dan overheden, die in het algemeen meer middelen tot hun beschikking hebben.

Jij maakt geen afweging maar bent resoluut, niet betalen en de gevolgen moet het bedrijf maar nemen tot op de fles gaan.
Ja inderdaad! het maatschappelijk belang van criminelen niet betalen is groter dan veel mensen op straat laten komen te staan omdat je bedrijf niet meer kan bijkomen van mismanagement.

Hoe weet je dat ik NIET naar die dingen kijk? ik maak weldegelijk een afweging, alleen is mijn conclusie anders. dat jij het daar niet mee eens bent zegt vrij weinig over of ik een afweging maakte of niet.

Weet je ook waarom het maatschappelijk belang van niet betalen belangrijker is? omdat je alleen je eigen bedrijf red, maar de volgende 10 voor de trein smijt ermee. het is een typisch trolly probleem. je financieert direct de volgende ransomware aanvallen. van bedrijven die misschien niet kunnen betalen en vervolgens wel op de fles moeten gaan. is dat dan maarschappelijk verantwoord? je probleem doorschuiven naar de volgende? met als gevolg dat door de luctrafieve ransomware markt nog meer bedrijven en nog meer mensen op straat komen? maar hoezee jou 10 medewerkers zijn gered, boeie dat er 20.000 andere op straat staan! als het op het punt van ransomware betalen komt ben je al veel te laat met verantwoordelijkheid anticiperen, en ben je bij het stukje consequenties aanvaarden ipv eronderuit komen door je boeten af te kopen.

[Reactie gewijzigd door t link op 4 augustus 2020 10:27]

Je gaat al uit van mismanagement in dit voorbeeld terwijl je de feiten niet eens weet, apart.

Als je ransomware volgt zie je dat die aanvallen gebeuren op bedrijven waarvan ze weten dat ze zullen / kunnen betalen. Een aanval kost maanden en ja ook deze mensen rekenen tijd is geld. dus investeren in een bedrijf dat op omvallen staat nee doen ze niet.

Dat je door te betalen je bedrijf red wil niet zeggen dat je daarmee de volgende 10 voor de trein smijt. Waar je op moet hopen is dat overheden die voor opsporing verantwoordelijk zijn de daders weten te pakken.

Afpersing is helaas sinds de mensheid al een fenomeen. Criminelen die kleine ondernemers afpersen. In die gevallen betekend niet betalen, je bedrijf in de fik of erger nog jij ziekenhuis in of onder de grond.

Het is en blijft altijd een moeilijke afweging en criminelen weten dat ook en zullen uit die reden daarom ook specifieke bedrijven aanvallen of bij een goed geplande aanval zodanig dat back-ups niet meer werken en er weinig keuze is. Nu zijn het nog criminelen die na betaling wel alles vrijgeven, maar wat als er overheden achter zitten die gewoon echt bedrijven kapot willen maken en niets vrijgeven.

De afweging blijft moeilijk en garmin heeft die net als de uni maastricht gemaakt wel te betalen. Dat is hun keuze, daar kun je het mee eens zijn of niet. Het is aan onze overheid om de daders op te sporen en te berchten.
Ik hoop echt dat je ondernemer ben met zeg een 100 man, hierdoor getroffen gaat worden en dan je bedrijf failliet laat gaan, personeel ontslaat omdat je denk aan je principes te moeten vasthouden.

Maar ach roepen roepen roepen roepen niet nadenken dat is jou reactie, niets meer niets minder.
Niks daarvan is een inhoudelijk argument, alleen maar emotie en aanval op de man. ik zie nietecht hoe het bijdraagt aan de discussie dus ik laat het er maar bij. Wat je schrijft doet me een beetje denken aan een quote van stalin (nee ik zeg niet dat je stalin bent), "the death of one is a tragedy, the death of many a statistic", alsof de gevolgen van ransome er alleen toe doen als het gevoelsmatig onrechtvaardig is ipv logisch gezien schade beperking voor iedereen.

[Reactie gewijzigd door t link op 3 augustus 2020 22:05]

Nee jij zet liever 2 miljoen man op straat en doekt een bedrijf op om als kluizenaar te gaan leven, dat zijn echte inhoudelijke argumenten. Wie is hier dan een stalin ?
Het ging toch echt over wat de juiste handelingen waren als het iemand overkwam, ik gaf mijn mening over wat je dan moet doen als bedrijfseigenaar + de redenen daartoe ;) dat je het daar niet mee eens bent maakt het nog niet onrelevant. en sinds waneer is stalin een CEO die als kluizenaar ging leven na een ransomware aanval?

[Reactie gewijzigd door t link op 4 augustus 2020 09:52]

Die universiteit liet ook zien dat die criminelen niet door goede investeringen in het belang van de eigen organisatie en de afhankelijken in zoveel belangrijke backups konden komen. Dat wil misschien al zeggen dat een organisatie eigenlijk niet gezond genoeg is om te kunnen bestaan.

Dat men dat liever wil negeren door vervolgens iets te doen wat moreel verwerpelijk is zegt dan waarschijnlijk wat over het werkelijke moraal. Een gezonde organisatie hebben en je afhankelijk maken wil toch ook zeggen dat je je verlies kunt nemen? Het lijkt mij te vaak op geen moraal hebben om kosten wat het kost te overleven. Aantonen dat er moraal zou zijn doen we niet door afhankelijkheid plotseling wel het belangrijkste te vinden terwijl er eerder minder aandacht voor leek te zijn. Ik wil wel zien dat een bedrijf als Garmin de moraal had om niet te hoeven betalen, maar ik betwijfel of ze dat ooit gaan beweren of willen aantonen.
Het is niet OF. Het is in crisissituatie EN. Je moet een korte termijn oplossing hebben en iets voor de toekomst. Zonder die eerste hoef je niet meer aan die tweede te denken.
Dan lees ik graag waarom. Zoals je kan lezen in andere reacties is het ook een kwestie van moraal om criminelen te belonen. Niet betalen wil ook niet perse zeggen dat de bedrijfsvoering slecht is. De nuance zit in wat je als bedrijfsvoering acceptabel vindt. Genoeg bedrijven die er ook het bedrijfsmodel op na houden om een bedrijf te stoppen en genoegen te nemen met de winst of verlies tot dan toe terwijl werknemers en klanten 'afhankelijk' zijn. Dat is ook niet zomaar een verkeerd bedrijfsmodel.
En voor een individueel bedrijf heeft de keuze tussen ransomware in stand houden of de eigen data redden een iets andere afweging. De data is uiteraard veel belangrijker.

Als het niet om jouw geld/data of toekomst van het bedrijf gaat, dan is het erg makkelijk praten.

[Reactie gewijzigd door Lagonas op 2 augustus 2020 11:56]

Onder de streep is 't voor 'n bedrijf gewoon een rekensom. Wat kost 't ons als we niet betalen (nog langer offline, aantasting merkwaarde, verlies klanten, investering in nieuwe hardware, etc) versus wél losgeld betalen incl de boetes van de overheid.
Natuurlijk zou het beter zijn als er niet betaald wordt, maar dat is nogal makkelijk om te roepen vanaf de zijlijn. Als het je niet lukt om iets te vinden tegen die ransomware, dan ga je als bedrijf failliet.

Het is kiezen uit twee kwaden: of 10 miljoen betalen aan de criminelen, of mogelijk een veelvoud kwijt zijn aan het proberen op te lossen. Uiteindelijk kan het dus zakelijk gezien misschien verstandiger zijn om wel te betalen, en hopen dat de daders gepakt worden.
Ik mag hopen dat je er als bedrijf ook uit leert en je beveiliging sterk verbeterd alsook met draaiboeken komt voor als het weer misloopt.

En zelfs als de meerderheid van bedrijven niet betaald zal je er altijd vinden die wel betalen. Voor hen waar het de keuze is tussen bedrijf redden van de ondergang of failliet gaan omdat je alles kwijt bent is de keuze ook zeer eenvoudig. Dan betaal je gewoon.

Net zoals bij spam. Zowat iedereen heeft spam filters op zijn mailbox. De hoeveelheid spam die nog bij mensen komt is nagenoeg nihil en toch vormt spam nog altijd de grootste hoeveelheid aan emails die worden rondgestuurd.
Ransomware-attacks stoppen vanzelf als het de daders niets oplevert.
Eens kijken of jij die mening nog steeds deelt wanneer je zonder baan zit vanwege ransomware.
Stel dat er inderdaad betaald is voor een decryptor, hoeft Garmin dat nog steeds niet zelf gedaan te hebben. Wellicht waren ze ervoor verzekerd.

Moet je je wel tegen ransomware verzekeren? Blijkbaar wel, zeker als groot bedrijf wat internet services levert, je kunt je nooit (ik herhaal nooit) 100% zeker afschermen tegen internet aanvallen.

Ransomware is niets anders dan andere diefstallen (misschien beter ontvoeringen), waar je je voor verzekerd. Keuze aan de ondernemer om dat te doen. Diefstal (ontvoeringen) is van alle tijden, alleen de
mogelijkheden en de schaal zijn anders dan voor internet.

Stel dat een bedrijf niet betaald, dan hebben de daders een mooi voorbeeld hoeveel geld het een bedrijf gaat kosten, als je niet betaald (je kunt er sneller failliet door gaan dan je misschien denkt.) Dus ook dan levert het de daders iets op, namelijk een voorbeeld.

Hopelijk pakken ze de daders (lees: celstraffen) en krijgen ze (een deel van) het eventueel betaalde losgeld terug. Dan pas levert het de daders niets op.
Ja, makkelijk praten. Nooit onderhandelen met gijzelnemers. Totdat je vrouw, moeder of kindje gegijzeld is...dan betaal je meteen.

Idem voor Garmin: je kunt ervoor kiezen principiëel te zijn en de hele teringzooi even simpel gezegd 'format c:' doen en weer opnieuw beginnen... En dan heb je een leuk verhaal voor je klanten. Blijkbaar had Garmin geen enkele manier om het met behoud van gegevens, dan wel binnen een redelijke termijn, de boel weer werkend te krijgen. Misschien hadden ze de boel kunnen restoren, maar zou dat laten we zeggen nóg een week duren. Dat is niet acceptabel voor de klanten. Of misschien kon dat niet eens en hadden ze de boel gewoon helemaal opnieuw moeten opbouwen, dus 0,0 trainingsdata van de klanten. Goed verhaal, lekker kort.

Nee, principes zijn leuk voor aan de koffietafel, maar in de praktijk is het vaak echt iets complexer dan dat.
Nee, de reden dat dit blijft gebeuren is omdat de pakkans (of accurater: een succesvolle vervolging) te klein is, zeker in bepaalde landen (Rusland, China, laten we maar gewoon wat beestjes bij de naam noemen).
Kan me voorstellen dat het als overheid lucratief is om te doen bij niet bevriende landen. Waarschijnlijk hebben ze sowieso een team die inbreekt op IT systemen voor spionage doeleinden en deze mensen kosten geld. Als een deel van het team ook inbreekt bij bedrijven en dat geld oplevert hebben ze een nieuwe bron van inkomsten.
Iedere overheid doet tegenwoordig aan offensieve cybersecurirty (lees in de volksmond: hacken).
Uiteindelijk zal het een keer stoppen, echter gaat een bedrijf niet z'n eigen ondergang bewerkstellingen door stug maar niet te betalen en feitelijk "anderen" te helpen.

Als je als bedrijf zijnde te maken krijgt met Ransom ware zit er vaak weinig anders op dan gewoon te betalen. Zeker met de huidige vormen van encryptie is het haast onbegonnen werk een alternatief te kiezen. In het begin kwam het nog wel eens voor dat er kwetsbaarheden in de ransomware zaten en het op die manier uitgeschakeld kon worden, echter lees je dat steeds minder.

Het is dus te makkelijk om te zeggen tegen bedrijven om naar niet te betalen...
En als het nou je eigen bank betreft, waardoor je niet meer bij je spaarcentjes kunt komen. Denk je er dan nog hetzelfde over?
...of Als de gijzeling van het bedrijf zolang heeft geduurd dat het over de kop gaat en faillissement aan moet vragen.
Je kan wel lekker koppig weigeren om te betalen, maar dan gaat het je op een andere manier geld kosten. Het alternatief (wel betalen) is vaak goedkoper.
volledig eens !

Mijn vanaf de zijlijn commentaar : hoe belangrijk is de data ?

In het geval van Maersk een aantal jaren geleden, en de Uni van Maastricht kan ik het me voorstellen.
Maar dit 'soort' data, lijkt me een gevalletje 'jammer dan'
Er zullen weinig gebruikers over de kop gaan, als hun sportieve ritten niet meer terug te vinden zijn.

Maar voor Garmin was de data wel degelijk van belang, anders zou het losgeld niet betaald worden.
Garmin doet wel wat meer dan alleen sporthorloges. Ze hebben ook automatische vliegtuigpiloten, zaken voor de professionele maritiemsector, SOS mechanismen voor levensreddende communicatie enz enz
Ik weet niet wat er allemaal plat lag, maar garmin doet in elk geval best een boel.
Er zullen weinig gebruikers over de kop gaan, als hun sportieve ritten niet meer terug te vinden zijn.
Ik zou er niet blij mee zijn als ik in eens al m’n historische gegevens kwijt ben, maar het is wel overkomelijk. Ik zou alleen bij aanschaf van een volgende fietscomputer nog wel drie keer nadenken of ik dan nog wel een Garmin zou aanschaffen.
[...]


Ik zou er niet blij mee zijn als ik in eens al m’n historische gegevens kwijt ben, maar het is wel overkomelijk. Ik zou alleen bij aanschaf van een volgende fietscomputer nog wel drie keer nadenken of ik dan nog wel een Garmin zou aanschaffen.
Precies, dat bedoel ik.
Je ontkomt tegenwoordig bijna niet meer aan externe opslag van je eigen data ( van dit soort apps )
Makkelijk om te roepen dat je backups moet verzorgen, maar vaak is het niet meer in eigen beheer.

Daar schuilt ook het gevaar, we worden te afhankelijk van de techbedrijven in het algemeen.
[...]
Precies, dat bedoel ik.
Je ontkomt tegenwoordig bijna niet meer aan externe opslag van je eigen data ( van dit soort apps )
Makkelijk om te roepen dat je backups moet verzorgen, maar vaak is het niet meer in eigen beheer.

Daar schuilt ook het gevaar, we worden te afhankelijk van de techbedrijven in het algemeen.
En doordat het niet meer in eigen beheer is, daarom betaalt Garmin het geld dan ook, waardoor de klant er niets van merkt..
Het zou voor mij als Garmin gebruiker reden zijn om mijn geld terug te eisen, omdat ik voor het meten van mijn prestaties afhankelijk ben van de diensten die ze leveren. Als zo'n 25.000 andere klanten dat ook doen, dan hadden ze beter de hackers kunnen betalen. En dan hebben we het nog niet over imagoschade. Gok dat ze per jaar wel zoveel producten in de markt schuiven.
Het zou voor mij als Garmin gebruiker reden zijn om mijn geld terug te eisen, omdat ik voor het meten van mijn prestaties afhankelijk ben van de diensten die ze leveren. Als zo'n 25.000 andere klanten dat ook doen, dan hadden ze beter de hackers kunnen betalen. En dan hebben we het nog niet over imagoschade. Gok dat ze per jaar wel zoveel producten in de markt schuiven.
Succes daar mee, ik vermoed dat er ergens in de voorwaarden iets van 'best effort' vermeld zal staan
Zolang er bedrijven blijven bestaan die laks zijn in het maken van goede backups zullen dit soort acties erg lucratief blijven.
Ransomware-attacks stoppen vanzelf als het de daders niets oplevert.
"Ransomware-attacks stoppen vanzelf als het de daders niets oplevert"

Het zal altijd een kat en muis spel blijven, het aantal ransomware-attacks zal pas verminderen als bedrijven op de juiste manier met informatiebeveiliging omgaan en op de juist manier gaan investeren in cyber-security. IT wordt nog te vaak als een cost-centre gezien en helaas zie ik nog altijd dat mgmt veel te vaak risico's aanvaard die gemakkelijk te mitigeren zijn.

Iedere organisatie zou er vanuit moeten gaan dat een security incident zal voorkomen en er niet vanuit gaan dat het hen niet zal overkomen.

Het ziet er naar uit dat Garmin geen andere keuze had dan betalen (insiders hadden al geopperd dat de backups onbruikbaar waren).
Of heel je bedrijf stuk laten gaan of een smak geld betalen en doorgaan met je bedrijf. Voor een bedrijf is het lonend om te betalen. Aandeelhouders volgend jaar weer blij. Als ze maar dividend krijgen.
als ze niet betalen waarom zou de aanvaller dan uberhaupt een unlock bestand sturen... wat voegt dat voor de aanvaller toe dan.....

de aanvaller heeft niks en garmin heeft lange tijd veel schade en verlies... afweging maken dan he
Klopt, en je kunt zelf als bedrijf de curator bellen. Dus zo zwart-wit is het ook weer niet
Ransomware-attacks stoppen vanzelf als het de daders niets oplevert
Das dus helemaal niet waar, er kan ook andere redenen achter zitten zoals het cripplen van het bedrijf, of hiermee het aandeel in waarde laten zakken, of gewoon puur haat voor het bedrijf.
De ransomware zal steeds moeilijker te kraken worden en zich nog beter langdurig nestelen in systemen voordat het de boel blokkeert, en zo dus systeembackups waardeloos maken.
En als bedrijf zelf moet je wel wat als alles op slot zit, machines niet meer draaien etc., makkelijk om als buitenstaander commentaar te geven, tot het jezelf overkomt, en dan mogelijk toch dezelfde keuze zult maken.
Ransomware-attacks stoppen vanzelf als het de daders niets oplevert.
Niet persé, een aanvaller kan ook als doel hebben om puur schade toe te brengen zonder als doel te hebben geld te verdienen. Ik kan mij iets herinneren van een aanval vanuit Rusland gericht op de Oekraine waarbij ook bedrijven in het westen werden getroffen.

De ransomware aanvallen zullen pas stoppen wanneer men een goede en zeer snelle backup recovery heeft om alle systemen weer online te krijgen voorzien van de laatste data.
Als het goedkoper is dan het hele systeem opnieuw opbouwen dan is de keuze snel gemaakt. Toch vind ik dat het betalen van geld aan internetcriminelen illegaal zou moeten zijn, want dan verdwijnt ransomware snel. Misschien dat het dan alleen zou mogen met tussenkomst van een rechter, zodat over de implicaties geoordeeld kan worden.

[Reactie gewijzigd door MrFax op 2 augustus 2020 17:57]

Kan je ook wel zeggen dat jij je portemonee niet moet geven als iemand in een slechte wijk of achterstandsland met een mes voor je staat. "Want ze stoppen vanzelf wel met mensen overvallen als je ze niks geeft". Ja en nee. Maar niks geven kan ook zelfmoord zijn voor bedrijven - data die véél meer waard is dan het losgeld wat ze betalen.
[...]
En dit is dus precies de reden dat deze attacks blijven gebeuren, en ook steeds meer toenemen. Ransomware-attacks zijn dus financieel lonend blijkbaar.

Door te betalen bij dit soort attacks, moedig je dit soort attscks juist aan. Je kan er dan donder op zeggen dat ze je bedrijf aan blijven vallen. Immers, als het bedrijf één keer betaalt, waarom zouden ze dat een tweede, derde, vierde etc keer niet doen? Ze hebben zich immers bereid getoond om te betalen...

Ransomware-attacks stoppen vanzelf als het de daders niets oplevert.
Tsja dit lijkt me voor een Garmin een heel groot dilemma. Tuurlijk wil je als organisatie de criminelen niet betalen, maar je moet ook aan je eigen organisatie denken. Je wordt gewoon heel hard gegijzeld.
[...]
Ransomware-attacks stoppen vanzelf als het de daders niets oplevert.
Zo geldt het ook voor jou woninginbraken. Moet dan iedereen maar zijn woning ombouwen tot een stalen muur en daarvoor 50.000 euro betalen?

En dan nog, als iemand verkleed als PostNL bezorger aan de deur belt en jij de deur opendoet, zijn ze alsnog binnen.

Zo is het ook met ransomware. De mensen zijn gewoon de zwakste schakel binnen een systeem. Je kan jaarlijkse miljoenen euro's uitgeven om de top security personeel aan te nemen, maar het zal nooit 100% kunnen voorkomen.

Het is gewoon een rekensom wat bedrijven hanteren. Het is echter niet zo simpel als "als het niets oplevert, dan stoppen ze vanzelf". En als dit niet lucratief is, dan stelen ze wel data en verkopen ze dat.
Ik heb regelmatig postnl voor de deur met de vraag of ik het pakketje van de buren in ontvangst kan nemen. De punt die ik wil maken is dat 100% veiligheid niet bestaat (dus ook geen 100% beveiliging). En dat mensen altijd wel de zwakste schakel blijven in het systeem van beveiligen.
Ik heb regelmatig postnl voor de deur met de vraag of ik het pakketje van de buren in ontvangst kan nemen.
Dat probleem los je op door bijv. onderling af te spreken dat je elkaar inlicht wanneer je een pakketbezorging verwacht en misschien niet thuis bent.
Ik vraag me wel af hoe een virus op het netwerk kon komen en zich helemaal kon verspreiden over het netwerk. Kopieert het virus zich over? En hoe kon dit bij de servers komen? Staan die op hun hoofdkantoor en niet in een datacenter?
Juist, hoop dat iemand dit op een makkelijke manier kan uitleggen.
Meestal begint het met een random persoon bij Garmin die op een verkeerde site komt, of een e-mail met attachment opent. Dit kan een gerichte actie zijn (spearfishing achtig), maar kan ook nog toeval zijn. Die PC raakt besmet met iets, wat meestal gewoon een achterdeur voor de hackers is om het bedrijfsnetwerk op te komen.

Eerste wat die hackers doen is die achterdeur permanent maken (dus de achterdeur verplaatsen van de browser naar de PC zelf door het OS aan te vallen vanuit de browser). Van daaruit gaat men verder werken (laterale beweging): naar andere PC's/gebruikers toe, en bij voorkeur uiteindelijk naar de servers toe. De snelheid hiervan ligt een beetje aan het ongeduld bij de hackers, maar een verkenning en overname van een compleet bedrijfsnetwerk in maanden is niet vreemd meer. Ideaalbeeld is natuurlijk een domain admin, die men of verkrijgt door de Domain Controller aan te vallen, of via een keylogger op een systeem met problemen waar deze persoon moet inloggen om deze op te lossen. Systeem voor systeem wordt zo overgenomen en voorzien van een achterdeur, al dan niet geautomatiseerd. Ook verzameld men zoveel mogelijk accountgegevens. Intussen wordt alles in kaart gebracht: servers, backup-systemen, processen die lopen, etc.. Kan goed zijn dat de hackers uiteindelijk beter weten hoe de boel echt werkt dan beheerders.

En dan wordt men pas actief. Maar dan is ook alles mogelijk besmet, inclusief backups....
Het is geen virus, maar een worm.

Dat kan op zoveel manieren binnenkomen. Iemand die op een attachment van een "leuk filmpje" klikt. Iemand die een onbeveiligde USB-stick gebruikt. Iemand die geen virusscanner gebruikt (of één die niet uptodate is). Iemand die doelbewust kwaad wil. Social Engineering. Het exploiten van een niet-gepatchede bug in software.

Er zijn zovele manieren waarom malware (of het nou een virus, een worm, of andere vormen van malware is) een netwerk binnen kunnen komen.
Maar als verantwoordelijke voor de IT moet je natuurlijk dit scenario wel benaderen en kijken hoe je zoiets zo snel mogelijk kunt oplossen als zoiets voorkomt, en dus kijken naar mogelijkheden die er voor zorgen dat bv alle data uit een backup terug te lezen valt. Dus preventief bezig zijn ipv achteraf reageren.

[Reactie gewijzigd door SuperDre op 2 augustus 2020 16:54]

Er zijn meerdere stappen. Eerste stap is om toegang te krijgen tot een account en/of server. Dit kan door bugs, social engineering of een gebruikersaccount. Bijvoorbeeld een gebruikersaccount gebruiken om met sql injectie de gegevens van een admin account te verkrijgen. Vervolgens met dat admin account zo veel mogelijk toegang proberen te krijgen, eventueel andere admin accounts verkrijgen. Dan het netwerk zoveel mogelijk in kaart brengen. Als dat is gedaan kan met de inlog op alle servers waar je bij kunt een cryptolocker worden gezet, of backdoors instellen. De cryptolocker zelf is dus een laatste stap en niet de eerste. Daarom is het erg lastig je hier tegen te wapenen.

De admin accounts worden meestal gekraakt door bestaande kwetsbaarheden die niet zijn gepatched, en die accounts worden dan op andere servers geprobeerd. Dit is niet het werk van een virus/worm dat door een bug zich verspreid, maar waarschijnlujk handmatig werk van een hacker/groep die verschillende tools gebruikt om toegang te krijgen tot zoveel mogelijk servers in een netwerk. Soms is het in een paar minuten gedaan, soms is het voorbereidende werk maanden werk. Het is dus ook heel lastig om te zeggen of je je hier effectief tegen kunt verdedigen, het blocken van malware voorkomt dit namelijk niet per se.

Maatregelen die wij hier tegen nemen is het scheiden van netwerken, andere wachtwoorden per server (geen admin account kan met hetzelfde ww op meerdere servers). Scheidingen aanbrengen en niet alles altijd maar in één groot netwerk/lan hangen is volgens mij de beste maatregel tegen zulke dingen. Dat vergt wel wat meer tijd bij onderhoudswerkzaamheden en software/gebruikers kunnen niet altijd overal zomaar bij, maar je voorkomt dan ook dat malware/wormen/hackers ongehinderd overal bij kunnen.

[Reactie gewijzigd door barbarbar op 2 augustus 2020 20:11]

Maatregelen die wij hier tegen nemen is het scheiden van netwerken, andere wachtwoorden per server (geen admin account kan met hetzelfde ww op meerdere servers). Scheidingen aanbrengen en niet alles altijd maar in één groot netwerk/lan hangen is volgens mij de beste maatregel tegen zulke dingen. Dat vergt wel wat meer tijd bij onderhoudswerkzaamheden en software/gebruikers kunnen niet altijd overal zomaar bij, maar je voorkomt dan ook dat malware/wormen/hackers ongehinderd overal bij kunnen.
Dan nog vraag ik me wel eens af of het echt effectief is: uiteindelijk zie je dat systemen uit meerdere netwerken samen dingen moeten realiseren, en ze uiteindelijk dus toch ergens samenkomen. Al is het maar omdat de CFO zijn overzichten wil kunnen maken. Netwerksegmentatie werkt dan wel tot op zekere hoogte, maar is zeker geen absolute blokkade op hacks. Zeker niet als men als expliciet target een organisatie op de lijst heeft staan (betekent misschien dat men 3 of 4 keer hetzelfde trucje moet doen). Wel frustreert het gebruikers enorm (want data van X is in het bedrijf aanwezig maar niet centraal in te zien) en leggen we vervolgens ook nog eens een management-netwerk voor de IT organisatie er onder.
Ligt ook aan het bedrijf. Financiële administrtie zie ik soms bij klanten op dezelfde databaseserver draaien als de databases voor een productiehal. Bij sommige klanten worden alle locaties via een vpn naar één lan in het datacentrum ontsloten, dat is handig want dan kan iedereen overal bij. Systemen van elkaar scheiden hoeft niet te betekenen dat data uitwisselen niet kan. Firewalls op servers zetten (ook intern) en tussen vlans en alleen de benodige poorten doorlaten houd al heel erg veel mogelijkheden tot hacken tegen.

Bij maastricht kwamen ze binnen via een normaal gebruikersaccount welke een kwetsbaarheid binnen de remote desktop misbruikte voor admin rechten, daarmee konden ze alles platleggen. Dat is weer het anderste uiterste van alles open laten staan.
Financiële administrtie zie ik soms bij klanten op dezelfde databaseserver draaien als de databases voor een productiehal.
Is dat niet de essentie van een ERP systeem?
Firewalls op servers zetten (ook intern) en tussen vlans en alleen de benodige poorten doorlaten houd al heel erg veel mogelijkheden tot hacken tegen.
Dat is wel een heel goed startpunt, maar ik weet niet of het voldoende is.
Bij maastricht kwamen ze binnen via een normaal gebruikersaccount welke een kwetsbaarheid binnen de remote desktop misbruikte voor admin rechten, daarmee konden ze alles platleggen. Dat is weer het anderste uiterste van alles open laten staan.
Ik moet eerlijk zeggen dat ik op dat punt een fundamenteel probleem heb met Citrix en RDP:het wordt vaak als "beveiligingsmaatregel" geintroduceerd. Terwijl zo'n Citrix/RDP-farm vaak gebruikt wordt om alle gebruikers bij elkaar op een hoop gegooid worden en dus van scheiding van functies geen sprake meer kan zijn. Maar dat is mijn (soms afwijkende) professionele mening.
Lijkt mij een bijzonder lastige afweging. Als IT’er zou ik niet betalen, want dan blijft de incentive voor de criminelen. Echter, als CEO/aandeelhouders snap ik de beslissing wel, dan is het gewoon een rekensommetje..
Nou eigenlijk niet, je product wat je verkocht hebt aan miljoenen consumenten is compleet onbruikbaar geworden. De app starte niet eens op. Als dit weken duurt dan krijg je waarschijnlijk rechtzaken aan je broek die ook goed duur zijn en ook een slechte naam die nog schadelijker is.
Dat laatste durf ik te betwijfelen. In Europa heb je namelijk niet standaard recht op werkende software/updates. Als ik nu een verouderd model smart tv koop (3-4 jaar oud), dan is de kans aanwezig dat Netflix al niet meer werkt. Mag ik dat verwachten? Er zijn ook zat kleinere bedrijven waarvan de servers of apps niet meer werken, maar in principe koop je een product en geen service.

Om een voorbeeld te nemen, Jawbone fitness trackers en smartwatches werken niet meer want de servers zijn offline. Maar ze zijn wel nog steeds te koop https://www.walmart.com/i...etail-Packaging/248724764
Ik heb mijn horloge een paar maanden geleden nieuw gekocht, rechtstreeks bij Garmin, met name vanwege de analyse-functies van de Garmin Connect app, en omdat men ook koppelt met andere diensten (zoals zeer expliciet geadverteerd door Garmin zelf). Door de wijze van adverteren koop je een product waar de service een integraal onderdeel van is (is dus geen add-on).

Op het horloge zelf na, werkte niets meer. Analyse is onmogelijk (want daar heb je de app voor), en je kunt in theorie maar maximaal 200 trainingsuren nakijken (in praktijk maar een trainingsweek in heel weinig detail). Sommige sporten (zoals roeien op de roeimachine) vereisen zelfs de app om cruciale gegevens (afstand) in te geven. Dus het product degradeert aanzienlijk, en dat zou voor mij reden zijn geweest om mijn geld terug te eisen.

Lukt het om geld terug te krijgen? Hangt af van de aannemlijkheid van "overmacht" door Garmin. Maar ik zou het gedaan hebben.

[Reactie gewijzigd door J_van_Ekris op 2 augustus 2020 13:33]

...
In Europa heb je namelijk niet standaard recht op werkende software/updates
...
Om een voorbeeld te nemen, Jawbone fitness trackers en smartwatches werken niet meer want de servers zijn offline. Maar ze zijn wel nog steeds te koop https://www.walmart.com/i...etail-Packaging/248724764
Als het voor de verkoper had moeten weten dat het product niet langer functioneert zoals hij/zij verkoopt en in de advertentie zet is dit gewoon oplichting. Dat heeft niets met al dan niet rechten op een software/update te maken.
Dat is geen oplichting, want oplichting is een strafrechtelijk begrip. Een foute product beschrijving is misleidend, en volgens de Nederlandse wet heb je dan recht op vervanging of ontbinding van de overeenkomst. Je kan het er wel of niet mee eens zijn, maar feit blijft dat er eigenlijk geen wetgeving of richtlijn is wat betreft “recht op” software bij een fysieke aankoop.
feit blijft dat er eigenlijk geen wetgeving of richtlijn is wat betreft “recht op” software bij een fysieke aankoop.
Kijk eens naar richtlijn (EU) 2019/771 en zoek op "goederen met digitale elementen."

Met die richtlijn is het tegenwoordig formeel vastgelegd dat software welke onlosmakelijk verbonden is met een fysiek product, onderdeel is van dat product en onder dezelfde conformiteitsregelingen valt.

Overigens: onder de oude - huidige - wetgeving wordt software weliswaar niet specifiek als mogelijk onderdeel van een fysiek product benoemd, maar het wordt ook niet specifiek uitgesloten onderdeel te kunnen zijn van fysieke producten.

Dit is al jarenlang onderwerp van twist en mede de reden dat e.e.a. nu in de nieuwe EU richtlijn verduidelijkt is.

[Reactie gewijzigd door R4gnax op 2 augustus 2020 16:10]

De rechtzaak voor het betalen van losgeld aan criminelen onder sanctie (strafrecht) is een stukje erger dan wat je nu aangeeft.
Dat is dezelfde logica als zeggen ik geef mijn portefeuille niet af aan iemand met een pistool. Als je dit plant kun je gewoon shorten op de aandelen krijg je ook geld.
Dit is niet alleen voor de CEO/aandeelhouder. ALs het bedrijf omvalt is ook de IT-er weg. Iedereen heeft uiteindelijk dezelfde belangen in dit soort situaties. Principes zijn prima als uitgangspunt, maar in noodsituaties gelden er andere zaken.
Lijkt mij helemaal geen lastige afweging: wat moeten we betalen voor de sleutel en wat kost het en hoe lang duurt het om uit backups alles te herstellen?
Alleen is er wel 1 probleem, losgeld betalen geeft geen garantie dat daarna alles ook weer echt vrijgegeven wordt of kan worden.
De garantie dat je alles uit backup kunt herstellen heb je ook niet.
Als IT’er zou ik niet betalen, want dan blijft de incentive voor de criminelen.
Ook als je weet dat jij en je collega's dan mogelijk een andere baan moet gaan zoeken omdat het bedrijf omvalt, en miljoenen mensen met slecht tot niet functionerende hardware blijven zitten?
Nou, om eerlijk te zeggen zal die miljoenen mensen mij gestolen kunnen worden
Mij ook niet, dus zie ik geen probleem in het betalen van het losgeld. Toekomstige slachtoffers moeten het zelf maar uitzoeken }>
want immers is het wel 'mijn' schuld dat de ransomware zo heeft kunnen huishouden
Jouw schuld als random it-er die wellicht helemaal niks met beveiliging te maken heeft?

[Reactie gewijzigd door Zer0 op 2 augustus 2020 17:23]

Wat ik me afvraag was de backup dan ook besmet en wat is het beleid geweest?
Vermoedelijk wel, anders hadden ze de backup wel teruggedraaid. Ik denk ook dat het versleutelen van de bestanden niet direct wordt gedaan, zodat het zich over zoveel mogelijk systemen en netwerken kan verspreiden.

[Reactie gewijzigd door NotSoSteady op 2 augustus 2020 12:03]

Klopt, heel veel ransomware begint niet direct met het versleutelen. Toen ransomware net nieuw was, gebeurde dat wel vaak.

Toen was een backup terugzetten meestal nog redelijk afdoende, en was je hooguit 'slechts' één dag aan data kwijt. Toen werd er nauwelijks betaald.

Echter zijn die ransomware-programmeurs ook steeds slimmer geworden. Tegenwoordig bouwen ze timebombs in, zodat de malware pas weken of zelfs maanden na besmetting actief wordt, zodat backups niet meer praktisch bruikbaar zijn zonder verlies van enorme hoeveelheden data.

Ook is er al ransomware bekend die op specifieke data actief wordt.

En uiteraard wordt veel ransomware tegenwoordig ook gemaskeerd middels rootkits, zodat virusscanners het niet meer kunnen detecteren en het onzichtbaar is voor het OS. Dat kan ook gebruikt worden om andere payload te droppen, bijvoorbeeld keyloggers (om usernames/password te vangen), botnet-software etc etc. Net was de ransomware-ontwikkelaar maar kan bedenken...
Kan de koelkast hier uitkomst bieden? Er zullen altijd systemen zijn waar de decryptiesleutel nog in het RAM geheugen staat, omdat de data eerst een aantal maanden nog live moet worden gedecrypt totdat de timebomb actief wordt. Ransomware zou altijd deze zwakheid moeten hebben om een poos onopvallend te blijven. Wellicht krijgen we straks dagelijkse backups van het RAM geheugen, zodat eventuele decryptiesleutels nog kunnen worden achterhaald.
Echter zijn die ransomware-programmeurs ook steeds slimmer geworden. Tegenwoordig bouwen ze timebombs in, zodat de malware pas weken of zelfs maanden na besmetting actief wordt, zodat backups niet meer praktisch bruikbaar zijn zonder verlies van enorme hoeveelheden data.
Dat hangt toch echt wel enorm van je backup oplossing af.
Met timebombs blijven alle applicaties je ongeëncypteerde bestanden zien alsof er niets aan de hand is. Dat geldt dus ook voor je backup software. Dus die backup software zal wel degelijk integere bestanden backuppen, zelfs al is alles al maandenlang geëncrypteerd op schijf.
Uiteraard geldt dat niet voor de geïnfecteerde OS bestanden, maar na een infectie moet je eigenlijk je systemen toch helemaal van scratch terug installeren. En ja, dat kan natuurlijk ook wel een enorm werk zijn om terug al je systemen operationeel te hebben.

[Reactie gewijzigd door Twixie op 2 augustus 2020 14:22]

Met timebombs blijven alle applicaties je ongeëncypteerde bestanden zien alsof er niets aan de hand is. Dat geldt dus ook voor je backup software. Dus die backup software zal wel degelijk integere bestanden backuppen, zelfs al is alles al maandenlang geëncrypteerd op schijf.
Nee, want vanuit de filter-driver die in het on-the-fly decrypten voorziet, zou men bijv. kunnen kijken naar wat het proces is dat om de file gevraagd heeft; dit matchen tegen een serie bekende processen die gebruikt wordt voor backup-doeleinden; en desgewenst niet on-the-fly decrypten.
De ransomware kan misschien al wel weken of zelfs maanden in het netwerk gezeten hebben. Dan heeft het terugzetten van backups relatief weinig zin. De malware wordt dan na het verstrijken van de timer, of op een pre-set moment gecodeerd in de malware, opnieuw actief, en dan heb je hetzelfde probleem opnieuw....

Je zult deze machines na een ransomware-attack van 0 af aan opnieuw moeten installeren. Immers, een eenmaal besmette machine kan je nooit meer vertrouwen. Je weet immers nooit of er een rootkit is geinstalleerd die alle malware maskeert. Dus ls je dan één component vind en opruimt, kunnen er middels die rootkit nog meerdere stukken malware achterblijven die weer actief kunenn worden.
Wat ik me afvraag was de backup dan ook besmet en wat is het beleid geweest?
In heel veel gevallen zijn dit geen hit en run aanvallen.
Het kan zomaar te maken hebben met een vooropgezette actie ( via de citrix-bug ) of zelfs veel langer geleden.
Ik vermoed niet dat ze op vrijdagmiddag 'FF' een aanval doen, om die op dinsdag uit te laten betalen.

Zet je zo'n worm slapende op het netwerk, en krijgt die de kans om langzaam en onopgemerkt te verspreiden ( zoals enkele pc / server per dag ) dan heb je dat ding na een jaar al op 300+ devices staan.
De backups lopen dagelijks en op meer intervallen, dus welke backup ga je terugzetten ?
Welke is 'veilig' ?
Je weet voor de initiatie niet waar je naar op zoek bent, en als de lockdown gebeurt, moet je dus schakelen .... maar nog steeds weet je niet 100% waar je naar zoekt, en hoelang je al besmet was
Dit proberen technisch opvangen of gewoon betalen is een budgettaire afweging zoals er dertien in een dozijn zijn.

Uiteraard gaat elk bedrijf eerst en vooral inzetten op voorkomen, en dat zo goed mogelijk proberen doen binnen hun mogelijkheden.

Maar we moeten ook realistisch zijn.. de meeste bedrijven hebben echt het budget niet om een backup infra/DR op poten te zetten waarmee je deze aanvallen op korte tijd herstelt zonder veel problemen. Neem er dan nog de tijdsinvestering bij en het komt vaak goedkoper uit om eenvoudigweg te betalen, hoe contraproductief dat eigenlijk ook is.
Nou nee, dit is gewoon heel slecht met (user) data omgaan. Je hebt tig cloud diensten die backup/sync/versiebeheer aanbieden, daarnaast heb je gewoon offline tapes. Dat alternatief is al vaker genoemd en zeker voor een miljarden bedrijf gewoon betaalbaar.

Bij een kennis heb ik destijds ook (helaas uiteindelijk klein deel) data kunnen terugzetten dankzij Dropbox. Dat kan pas als je een schone herinstallatie doet en/of echt 100% zeker bent dat je systeem schoon is.

Als je geen offline backups hebt of de backups zijn ook versleuteld, dan heb je helaas niets. Dan blijft betalen over. Maar ik denk dat backups terugplaatsen veel sneller is dan betalen en hopen dat je de key uiteindelijk (werkend) krijgt.

Ik hoop dus echt voor een dikke boete, want met deze oplossing maak je dit soort praktijken alleen maar meer.
Die simpele dingen zijn echt niet afdoende voor een moderne ransomware aanval, lees de rest van de thread even.

Je zet ook niet zomaar "even" een backup terug bij een zeer grote organisatie waarvan alles plat ligt.
Niet betalen en je bedrijf maar sluiten is ook geen optie.
of een goede disaster recovery hebben
Ook niet altijd eenvoudig. Zeker niet als alle systemen over heel de wereld getroffen zijn geweest.
Anoniem: 310408
@RinuX2 augustus 2020 12:01
of een goede disaster recovery hebben
Die met vrij grote zekerheid ook al geïnfecteerd is.
Ik ben benieuwd hoe jij dat zou implementeren. Er komen hier bij diverse onderwerpen vaak van die eenvoudige oplossing voorbij, die in de praktijk veel te simpel gedacht zijn. Iedere serieus bedrijf is bezig met disaster recovery en nog geen enkele organisatie heeft het voor elkaar om een echt waterdicht systeem te kunnen implementeren.

Maar dan ook komen omdat alle mensen het weten hun de hele tijd op deze site reageren i.p.v. dat ze die bedrijven gaan helpen met hun kennis.
Lastig dilemma hoor: betaal je, of ga je er principieel in zitten? Indien het eerste dan sta je meteen bekend als chantabel, indien het laatste dan heb je geen bedrijf meer.

Ik ben blij dat ik die keuze niet hoef te maken.
Dan is die keuze toch niet zo moeilijk?

Gewoon betalen en je security op order brengen. Bekend staan als chantabel is niet zo'n ramp; dat is ieder bedrijf
Precies. Alles heeft een prijs :)
Ik zie zo Rumpelstiltskin daar binnen lopen.
Ik zou ieder bedrijf veranderen in iedereen. :-)
En wat als je je security al op orde had, maar dus via een nog onbekend lek de boel verstierd.. geen OS/systeem is 100% veilig.
Beetje spijtig dat iedereen, inclusief het artikel, ervan uit gaat dat Garmin zelf betaald heeft, en zelfs een verwijzing naar een mogelijke boete alsof Garmin iets illegaal gedaan heeft...

De meeste grote bedrijven (en tegenwoordig zelfs kleinere bedrijven ook) hebben gewoon een zogenaamde Cyber and Privacy Insurance, wat bvb het bedrag van het losgeld dekt, maar ook bvb de kost dekt van eventuele gelinkte rechtzaken die hier uit voortvloeien.
Misschien zou het hier helpen, als het betalen aan dit soort dingen strafbaar is.
Natuurlijk hoeft de straf niet gigantisch te zijn maar voor een groter bedrijf / instantie maakt het een heel andere afweging. Dit zou kunnen helpen om dit soort grootschalige aanvallen minder aantrekkelijk te maken.
Betalen of meer geld verliezen en/of failliet gaan.
Volgens mij is de keuze niet zo moeilijk.
Echt wel, ik laat me niet afpersen.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee