Data van facilitair dienstverlener Spie is gestolen na ransomwareaanval

Het bedrijf Spie International is in juli getroffen door ransomware. Inmiddels werken alle systemen weer en zou het bedrijf de productie hebben kunnen doorzetten, maar er is wel klantdata gestolen. De Nederlandse tak van het bedrijf is niet geraakt.

De facilitair dienstverlener schrijft dat het slachtoffer is geworden van de Nefilim-ransomware. Het bedrijf meldt dat nadat beveiligingsbedrijf Cyble erover schreef. De Nefilim-groep zou op 9 augustus op forums hebben gepost over de hack. Spie zegt zelf dat de hackers het bedrijf in de nacht van 13 op 14 juli aanvielen. "It-applicaties die door deze aanval zijn getroffen zijn snel herstart, en de impact op onze werkzaamheden was minimaal."

Tijdens de ransomwareaanval is ook data gestolen, zeggen zowel Spie als de aanvallers. Spie houdt het in een verklaring zelf op 'data van een zeer kleine hoeveelheid klanten'. Het bedrijf heeft die klanten geïnformeerd, en melding gedaan bij de betreffende autoriteiten.

De groep zou inmiddels het eerste deel van de data die het heeft gestolen online hebben gezet. Het zou gaan om in totaal 11,5 gigabyte aan interne documenten. Spie zegt in een verklaring dat het niet gaat om operationele documenten of contracten, maar om oude documenten over een proces dat inmiddels niet meer relevant is. De Nefilim-ransomware is erom berucht dat het bestanden niet alleen versleutelt maar ook steelt, en vervolgens publiceren daders als het bedrijf het losgeld niet betaalt. Vermoedelijk is dat in dit geval ook gebeurd, al bevestigen zowel de hackers als Spie niet of het ransomwarelosgeld is betaald.

Het werk van Spie zou ondanks de ransomwareaanval niet zijn verstoord. Alleen het Franse datacentrum van het bedrijf zou zijn getroffen. In Nederland, waar Spie verschillende dochterondernemingen heeft, heeft de ransomware volgens een woordvoerder helemaal niet toegeslagen. "De operationele activiteiten van Spie in Frankrijk en van Spie Nederland worden niet digitaal gedeeld of staan op welke wijze dan ook met elkaar in verbinding", zegt het bedrijf.

Lees meer

Reacties (110)

Sebazzz

11 augustus 2020 12:56

Er zijn veel ransomware-aanvallen de laatste tijd. Is bekend van welke (ongepatchte?) gevoeligheid gebruik wordt gemaakt?

CopyCatz
@Sebazzz • 11 augustus 2020 12:59

Medewerkers.

FuriousKiwi
@CopyCatz • 11 augustus 2020 13:08

Layer 8 van het OSI model..
https://en.wikipedia.org/wiki/Layer_8

D3F
@FuriousKiwi • 11 augustus 2020 13:20

Vergeet vooral ook Laag 9 niet, die de keuzes maakt dat de beveiliging het altijd prima heeft gedaan en dus geen upgrade nodig heeft:

Layer 9 is generally referred to as the “blinders” layer. This layer applies to organizational managers who have already decided, usually with little or no current information, to dictate a previously successful network plan.

nokie
@D3F • 11 augustus 2020 14:05

Is er ook een layer voor de incompetente ITer? Wij zijn ook eens het slachtoffer geweest op het werk van een ransomware attack. Duizenden computers gelocked wereldwijd. Op onze site had 1 computer de aanval overleeft: de mijne. Omdat ik weigerde nog standaard te connecteren met de fileserver (smb v1).

Had al meerdere discussies gehad met “onze man van IT” hierover, maar hij “wist” dat de firewall dat allemaal kon tegenhouden, en dat hij alles aan het overzetten was op WiFi (sic) dan kon het zeker niet meer.

Een uur na de aanval was de man onbereikbaar. Mijn PC ging naar de GM (die al cash geld van de bank had gehaald en mij kwam vragen waar hij bitcoins kon kopen), en ik heb 150 PCs mogen herinstalleren.

De ITer is ondertussen terug “want ze hebben de boel gered” en de fileserver draait nog altijd op SMB v1. Er zijn wel grote investeringen gedaan in WiFi.

KroeT
@nokie • 11 augustus 2020 14:58

Dafuk. Wat een verhaal. Het is heel verstandig dat je de naam van dat bedrijf niet plaatst. Het lerend vermogen van de managementlaag die besluit over vervolgstappen na een dusdanig invasieve aanval komt ook zeer beperkt op me over.

nokie
@KroeT • 11 augustus 2020 18:41

Het management vertrouwt gewoon de interne “experts” en dat is op zich het enige wat je ze kan verwijten. Ze hebben heel veel geld vrijgemaakt en er zijn top down heel veel goeie beslissingen genomen (er is wel degelijk een en ander veranderd).

Alleen moeten die dingen dan uitgevoerd worden door het mannetje op de vloer die het beter denkt te weten en dus iets anders doet of helemaal niets... Hij gaat het ook niet vertellen, en wie van het management kan echt controleren wat hij doet?

L0g0ff

@KroeT • 11 augustus 2020 23:11

Dat kun je zo nakijken als je wilt. De naam van @nokie staat in zijn Tweakers profiel en laat er toevallig maar 1 iemand uit België op LinkedIn staan toevallig ook al jaren voor een internationale club werkt

Je moet btw wel echt je best doen om een recente Windows server op smb 1 te krijgen. Tijd voor een nieuwe sysadmin idd

KroeT
@L0g0ff • 12 augustus 2020 10:15

Knap zoekwerk. Maar ik meende het, hij kan best wat tegengas krijgen daar als hij dit soort info herleidbaar deelt. Dus @nokie, haal ff je echte naam uit je profiel. Voor de zekerheid.

FuriousKiwi
@nokie • 11 augustus 2020 14:13

Ik gok dat dat ook onder de 9e laag zou vallen dan.

Lagonas
@nokie • 11 augustus 2020 16:18

Dit verhaal doet me een beetje denken aan een tweet van Ned Pyle (de bedenker van SMB1):

Running SMB1 is like taking your grandmother to prom: she means well, but she can't really move anymore. Also, it's creepy and gross

FuriousKiwi
@D3F • 11 augustus 2020 13:24

Die kende ik nog niet, wel een goede toevoeging ook $_/-\o_$

satoer
@CopyCatz • 11 augustus 2020 14:25

Bij mijn vrouw op haar werk heeft de IT afdeling eens een test gedaan door een phishing mail naar alle medewerkers te sturen. (Met duidelijke kenmerken van een phishing mail): Een nep bericht zogenaamd van de manager wat leek op Linked-in.

26 mensen heeft de link geklikt, en 4 heeft persoonlijke informatie op die website ingevuld waaronder het inlog wachtwoord...

...dan te bedenken dat 1 persoon al voldoende kan zijn voor toegang tot het netwerk..

[Reactie gewijzigd door satoer op 11 augustus 2020 14:28]

FuriousKiwi
@satoer • 11 augustus 2020 14:40

Helaas is dat een veel voorkomend beeld binnen grote organisaties

MtC
@satoer • 11 augustus 2020 15:32

Bij ons ook eens gedaan. Ik stuurde meteen de mail door naar de helpdesk. Kreeg netjes antwoord terug dat ze inderdaad een test deden. Het aantal mensen dat blind hun gegevens invulde, was niet op één hand te tellen. En dat bij een IT-bedrijf.

Lukse
@satoer • 11 augustus 2020 17:30

Bij ons wordt tegenwoordig maandelijks zo'n test gedaan. Er staat een link in de email en als je daar op klkt, kom je op een login pagina.
In juli hebben meer dan 3000 (!) collega's hun login details daar ingevuld. Er is dus nog wat werk aan de winkel...

OkselFris
@satoer • 11 augustus 2020 21:55

Credentials worden dagelijks gestolen, maar dat geeft nog geen toegang tot het netwerk, daarvoor heb je altijd nog MFA en andere middelen.Wat betreft passwords moet je gewoon er vanuit gaan dat deze gewoon elders bekend zijn.

mhnl1979
@CopyCatz • 11 augustus 2020 13:02

iedereen weet hoe moeilijk die te patchen zijn.

e_balk
@mhnl1979 • 11 augustus 2020 13:17

Ja en als je het ene issue gepatcht hebt komt er altijd weer een andere boven water

Is een onbegonnen klus!

DigitalExorcist
@mhnl1979 • 11 augustus 2020 13:27

Die moet je niet patchen, maar petsen.

mhnl1979
@DigitalExorcist • 11 augustus 2020 13:30

Hahaha

[Reactie gewijzigd door mhnl1979 op 11 augustus 2020 13:31]

Chintzy
@DigitalExorcist • 11 augustus 2020 15:03

https://youtu.be/SewcrS1HkQI?t=62

[Reactie gewijzigd door Chintzy op 11 augustus 2020 15:05]

DigitalExorcist
@Chintzy • 11 augustus 2020 15:18

True story, can confirm

haha nee valt wel mee hoor. Ik ben geen in-house IT'er.. we zijn zelf een IT-bedrijf.

oak3
@CopyCatz • 11 augustus 2020 14:42

Waarom altijd wijzen naar medewerkers. Ja die spelen zeker een rol in het geheel, maar wil je jezelf beschermen tegen welke aanval dan ook, dan is het misschien eens goed om uit gaan van het feit dat die medewerker echt wel een keer op een linkje klikt.

Als je hele beveiliging alleen gestoeld is op het niet klikken op phishing mails of die firewall die zo goed is, dan doe je deze aanvallers echt te kort. Dit is geen 'virus', dit zijn hackers die verschillende kwetsbaarheden kunnen gebruiken met als doel domain admin worden, via policies AV uitschakelen en malware uitrollen. Vaak nog nadat ze eerst (handmatig) de backup hebben gewist.

Die medewerker is dan vaak maar een kleine horde of niet eens nodig. En een individuele medewerker mag het niet aan te rekenen zijn dat systemen niet gepatched zijn, dat moet geborgd zijn in de organisatie, en doorgaan ook als die medewerker in het ziekenhuis beland.

GertjanSlot
@CopyCatz • 11 augustus 2020 15:09

haha, deze comment is echt +5.

janbaarda
@CopyCatz • 11 augustus 2020 15:10

De Nefilim groep, Israëlische hackers. Waarschijnlijk de Mossad ...

Nefilim is in ieder geval een zeer ongebruikelijke naam voor b.v. Noord-Koreaanse hackers ...

Tyrian
@CopyCatz • 11 augustus 2020 13:05

Ja, het patchen van medewerkers gaat langzaam. Social engineering blijft een probleem maar ook de kwetsbaarheid van de ACE2 receptors bij de mens wordt momenteel massaal aangevallen door de SARS-COV-2 zeroday.

SpelFaut
@Sebazzz • 11 augustus 2020 13:02

Misschien een open deur. Maar je beveiliging is zo sterk als je zwakste schakel.
In dit soort gevallen toch echt simpelweg medewerkers die, al dan niet onbewust, de verkeerde mails openen.

DigitalExorcist
@SpelFaut • 11 augustus 2020 13:30

Maar er is nog altijd tooling die daarbij helpt beschermen: een goeie virusscanner (met sandboxing voor attachments in dit geval) en sowieso malwareprotectie en de lockdown van je systeem zelf en gebruikerstraining enzovoort.

Blokker_1999

Ransomware
Beveiliging en antivirus

@DigitalExorcist • 11 augustus 2020 14:23

Maakt niet uit. Onder het motto "zelfs de beste paarden struikelen wel eens" overkomt het soms zelfs goede ITers.

DigitalExorcist
@Blokker_1999 • 11 augustus 2020 14:51

Ja maar dan heb je nog nog over ménsenwerk!

Ik heb het over automatische processen. En tuurlijk kan een virusscanner een keer een update missen of een zeroday er tussendoor sneaken. En let wel: "in de IT gaat alles automatisch, maar niets vanzelf".Maar dáár heb je dus tooling voor die dingen voor je regelt

[Reactie gewijzigd door DigitalExorcist op 11 augustus 2020 14:51]

nst6ldr

Ransomware

@Sebazzz • 11 augustus 2020 13:01

Albert Heijn/Jumbo/Lidl waardebonnen van €500,-

De app waarmee je in Tinder kan zien wie er rechts heeft geswiped op jouw profiel.

De bankmanager die via jou een geldtransfer moet voltooien waarbij je 10% mag houden.

FuriousKiwi
@Sebazzz • 11 augustus 2020 13:06

Edit zoveel;

Werd intern op mijn vingers getikt over inside information

Dus dan deel ik maar gewoon even iets wat Trend Micro uitgezocht heeft;

https://www.trendmicro.co...lim-ransomware-s-behavior

[Reactie gewijzigd door FuriousKiwi op 11 augustus 2020 13:52]

JKen
@Sebazzz • 12 augustus 2020 21:02

Omdat het blijkt erg goed te lonen gezien de meeste organisaties gewoon betalen.

HerrPino

11 augustus 2020 13:03

Is er nu echt niets te bedenken om ransomware vrijwel onmogelijk te maken? Iets met hardware en checksums? Schrijven zal wel wat trager worden, berekenen van checksums, maar er moet toch te controleren zijn of hetgeen wat de drive weg wil schrijven ook hetgeen is dat de software denkt weg te gaan schrijven? Het enige is dat dat stukje hardware firmware niet te flashen moet zijn, hooguit als er een fysiek knopje omgezet wordt en anders liggen de lanes er gewoon niet om het uberhaubt te kunnen flashen.

killercow
@HerrPino • 11 augustus 2020 13:19

Gewoon regelmatig je data backupppen.
Of, je filesystem snapshotten, en alleen een bovenliggend filesystem presenteren aan de machines die er op moeten schrijven.
Monitoring op io, cpu gebruik is ook prima te doen, maar het begon allemaal bij een IT-afdeling die zelfs updates uitvoeren niet voor elkaar had, dus dan kun je moeilijk verwachten dat ze andere technische oplossingen wel gaan implementeren.

Boy
@killercow • 11 augustus 2020 13:23

wat ik begrepen heb van ransomware is dat het in slaapstand is voor een tijdje om je backups ook te infecteren, dus dat dat niet zal helpen

KeesAlderlieste
@Boy • 11 augustus 2020 13:39

Wie kan mij uit leggen hoe dat werkt? Want blijkbaar zijn alle documenten nog niet versleuteld ,anders had men 't wel opgemerkt. Dus staan zo ook gewoon leesbaar op de backup. Als je vervolgens na de aanval deze gegevens restored op een clean systeem dan zijn die documenten dan toch nog gewoon leesbaar (evt eerst even een virus/malware scanner er over halen)?

jvo
@KeesAlderlieste • 11 augustus 2020 13:55

De bestanden zijn wel versleuteld, maar worden bij het openen door de ransomware ontsleuteld als ik het goed begrepen heb.

KeesAlderlieste
@jvo • 11 augustus 2020 14:20

hmm, oke. Dus als je dan een file-backup maakt dan komen ze ontsleuteld op de backup?

jpsch
@KeesAlderlieste • 11 augustus 2020 14:48

Nee, ontsleutelen gebeurt alleen bij opvragen in de productie omgeving. Als ransomeware echt actief wordt, stopt deze ontsleuteling, totdat er een (gekochte) code wordt ingevoerd. Productieomgeving en backup zijn dan versleuteld en ontsleuteling is gestopt, totdat de code wordt ingevoerd.

comecme
@jpsch • 11 augustus 2020 16:49

De backup software leest toch in de productie-omgeving de bestanden? Dus dan zouden die toch ontsleuteld worden?

Of herkent de ransomware dat het bestand door backupsoftware wordt gelezen en wordt de data dan niet ontsleuteld?

jpsch
@comecme • 11 augustus 2020 17:07

Backup kopieert toch domweg het versleutelde bestand? Bestanden met wachtwoord worden toch ook gewoon meegenomen?

comecme
@jpsch • 11 augustus 2020 17:09

Hoe zorgt de ransomware er dan voor dat als je een bestand opent in bijv. Word, het ontsleuteld wordt, maar dat dat niet gebeurt als de backup software datzelfde bestand wil lezen?

jpsch
@comecme • 11 augustus 2020 17:14

Backup software leest volgens mij alleen 1tjes en 0tjes, opent geen bestanden.

satya
@comecme • 12 augustus 2020 11:36

Ik kan mij voorstellen dat adat op dezelfde manier gebeurd als werken met een versleutelde schijf. De geïnfecteerde software die dan in de omgeving actief is zou dat ook kunnen doen. Ransomeware is vaak al langere tijd (weken tot maanden) in het bedrijf actief voordat het toeslaat.

dvdmeer
@KeesAlderlieste • 11 augustus 2020 14:26

Ik heb altijd begrepen dat de data encrypted op de schijf staat alleen draait er een decryptie module op het systeem, in het geheugen, die, wanneer het bestand opgevraagd wordt, de unencrypted versie aanleverd.
Zodra de module uit het geheugen is verdwenen is er geen toegang meer tot de unencrypted versie.

Boy
@dvdmeer • 11 augustus 2020 14:34

dus als je je backup test op een airgapped systeem, zou je erachter moeten kunnen komen of je bestanden encrypted zijn?

dvdmeer
@Boy • 11 augustus 2020 14:43

Denk het wel maarja, wat is encrypted? Dan moet ik eerst een voorheen status weten van het bestand en dat vergelijken met wat het geworden is. Ook encrypted is gewoon data dus misschien dat dit snel te detecteren is voor plain ASCII files zodra er vreemde tekens in zitten of misschien aan de headers van bepaalde bestand typen omdat die ook encrypted zullen zijn.
Een ransomware detection tool zal moeten kijken of er in korte tijd veel bestanden worden gelezen en geschreven in een zelfde folder want dit kan een indicatie zijn van een ransomware aanval.
Maar goed, als zo'n ransomware systeem gespreid wat bestanden encrypt (bijvoorbeeld een paar files in random folders in een 10 minuten tijd) dan valt het natuurlijk veel minder op.

Daarnaast is airgapped volgens mij niet nodig. Maar de backup moet wel een pull systeem zijn zodat er geen contact is vanuit het te backupen systeem met de backup server.

[Reactie gewijzigd door dvdmeer op 11 augustus 2020 14:44]

Nyarlathotep
@KeesAlderlieste • 11 augustus 2020 14:47

Je zet de backup waar de ransomware al in verstopt zit, terug.
Ransomware wordt wakker en ziet de actuele datum. En gaat als een gek alles versleutelen. Dan ben je dus 'klaar'.
Ik denk dat het zo werkt?

Boy
@Nyarlathotep • 11 augustus 2020 15:14

nee, want dat zou het heel makkelijk zijn om de actuele datum naar een eerdere datum te zetten en dan de backup terug te plaatsen

KeesAlderlieste
@Nyarlathotep • 11 augustus 2020 15:28

nee natuurlijk niet. 'wordt wakker'.. hoe dan? Het staat in mijn voorbeeld niet op de bewuste machine..

comecme
@Nyarlathotep • 11 augustus 2020 16:51

Als de backup puur een data-backup is, dus niet een systeem-backup. Hoe zou het terugzetten van die backup dan iets kunnen activeren?

arjankoole
@KeesAlderlieste • 11 augustus 2020 14:54

wat ook kan, los van wat jvo zegt, is dat de mallware wel een infectie heeft gedaan, maar niets encrypt/doet tot datum <een stuk verder in de toekomst>. Op het moment dat je na die datum een geïnfecteerd bestand opent gaat het ding onmiddellijk los. Haal je 't leuk uit backup, maar ook daar open je iets met een payload en hoppa, het feest begint opnieuw.

Dat gedrag kom je zelfs al tegen bij simpele wordpress hacks die alleen spam versturen. En die krengen doen ook soms al bijzonder veel (slimme) moeite om zich te verstoppen. De dagen dat er domweg een blob base64 met een eval(decode(...)); geïnjecteerd werd ligt ver achter ons, zelfs daar. Ook daar kwam ik wel eens dormant infecties tegen die een half jaar oud waren.

KeesAlderlieste
@arjankoole • 11 augustus 2020 15:31

'gaat het ding los'... in mn vraag had ik 't over een clean systeem, dus er is geen 'ding'. En al zou de malware aan elke bestand gehangen zijn dan nog is het restoren en daarna een malware scan te doen (die dit type ondertussen wel herkend) voldoende zijn om de zaak te schonen. Maar uit reacties van anderen maak ik op dat het juist andersom werkt, de boel is al ge-encrypt maar de malware presenteert een nog een tijdje alsof dat niet zo is.

rookie no. 1
@killercow • 11 augustus 2020 14:11

Dan heb je je data terug, maar die ligt bij deze ransomeware dus ook al op straat...

Toch wel een extra zorgelijk punt!

Daoka
@rookie no. 1 • 11 augustus 2020 14:53

Het is het ene of het andere. Of je betaalt het geld en krijg gezeur over dat dit gebeurd maar je heb tenminste geen slechteriken betaal) of je betaalt wel en beschermt de privacy en krijg gezeur dat je betaalt heb. Ik denk dat als je besmet ben geen echte goede keuze meer hebt in zo een geval. Daarom vind ik het ook vreemd dat men wil verbieden om niet te mogen betalen. Ja ik snap dat ze daarmee niet de slechteriken sponseren maar dit is toch ook wel erg. Ik zou zeggen bekijk het per aanval of betalen wel / niet mag of zelf moet (door de gevoeligheid van de data). Wie dit mag bepalen weet ik ook niet en waar ligt de grens wil ik ook niet zeggen. Dat zal wel mede te maken hebben met de soort data die gestolen is, de hoeveelheid, hoe groot het bedrijf is, hoeveel er betaald moet worden, ect. Ik denk niet dat hierdoor echt specifieke grenzen te bepalen zijn omdat het gaat om zoveel verschillende situaties.

latka
@HerrPino • 11 augustus 2020 13:27

Ja, alle software die uitgevoerd wordt signen met een eigen key nadat het intern getoetst is en alle andere certificaat verstrekkers uit de keystore halen. Daarnaast de "internet PC" in ere herstellen: alle PCs van het internet af en 1 standalone PC op een publieke plaatst waar je kunt internetten. Het is allemaal niet zo moeilijk, maar mensen roepen dat je dan niet kunt werken

FuriousKiwi
@latka • 11 augustus 2020 14:43

Als IT-er is het lastig werken als je geen google kunt gebruiken

nst6ldr

Ransomware

@FuriousKiwi • 11 augustus 2020 15:03

Dat kan prima: op een internet domein dat niet is gekoppeld aan het productiedomein. Één van de vele lagen die je moet gaan inbouwen.

latka
@FuriousKiwi • 11 augustus 2020 15:22

Dat is dan een beetje een kip-ei probleem. Ik kom nog van voor de Google tijd als IT'er. Het enige wat ik heb zien gebeuren is dat er veel meer copy-paste programmeren is gekomen met Google en minder origineel werk. De parate kennis van ontwikkelaars is ook een stuk lager en PC's worden gezien als een ding onder je buro ipv. je gereedschap waar mee je moet werken.

King Dingeling
@latka • 11 augustus 2020 14:59

Tja...Kan alleen als je bedrijf geen SAAS / Cloud diensten gebruikt.

latka
@King Dingeling • 11 augustus 2020 15:22

Dat is zowiezo verstandig tenzij je als bedrijf denkt dat de middelen waarmee je je geld verdient niet thuishoren op de eigen inventaris.

King Dingeling
@latka • 11 augustus 2020 17:14

Je gaat hier een beetje kort door de bocht. Steeds meer bedrijven gaan over naar SAAS / Cloud diensten ipv lokale installaties of server based installaties. Dus gaan je middelen waarmee je het zogenaamde geld verdient niet meer draaien op je lokale inventaris.

Wat je wel kan doen is het internet toegang beperken door bepaalde sites te whitelisten die je nodig hebt om te werken.

Voor de meeste bedrijven is geen internet bijna niet meer haalbaar in deze tijd.

jpsch
@HerrPino • 11 augustus 2020 13:16

Als je onder een administrator account aan 't werken bent, en je gaat data versleutelen.
Hoe wil je dit ondervangen met een checksum?

DigitalExorcist
@jpsch • 11 augustus 2020 13:26

Behavioral analysis. Als er "ineens" 50 bestanden uit het niets encrypted worden door een stuk software dat niet bekend staat bij Microsoft als encyrptiesoftware kun je toch een alert laten triggeren?

Next-gen virusscanners doen dit over het algemeen al wel. Als er ineens op grote hoeveelheden bestanden iets gebeurd dan is er 'iets" aan de hand. Als je zelf encryptie aan zet via Bitlocker of via je virusscanner dan is dit proces legitiem en trigger je niks.

Roy23
@DigitalExorcist • 11 augustus 2020 13:32

Ik wil niet te ver off-topic gaan, maar zodra software als virusscanners te ingrijpend worden dan worden deze vaak als irritant ervaren en worden deze uitgeschakeld.
Bijvoorbeeld Windows User Account Management staat standaard ingeschakeld op schone Windows installaties, maar wordt door velen gelijk uitgeschakeld omdat de pop-ups als irritant worden ervaren.
Of in het geval van Linux, hoeveel mensen zullen SE Linux ingeschakeld houden?

DigitalExorcist
@Roy23 • 11 augustus 2020 13:41

Eindgebruikers moeten nooit of te nimmer een scanner uit kunnen schakelen! Op straffe van het inleveren van het salaris met terugwerkende kracht over het afgelopen decennium.

Als een eindgebruiker dat zelf zomaar kan, kan een virus dat natuurlijk ook. Dus sowieso moet dat al niet zomaar kunnen..

arjankoole
@DigitalExorcist • 11 augustus 2020 14:56

Op straffe van het inleveren van het salaris met terugwerkende kracht over het afgelopen decennium.

leuk bedacht, maar de rechter maakt dan hele kleine mootjes van je. Je kan echt niet zomaar aan iemands salaris komen.

latka
@DigitalExorcist • 11 augustus 2020 15:26

Het denken bij virusscanners klopt voor geen meter. Als je afhankelijk bent van de desktopjes voor virusscanning betekent het dat het virus al door je DMZ, firewall en andere infra is gekomen. Daar moet je virussen afvangen. De virusscanner op de desktop hooguit voor USB devices oid gebruiken. Wat ik vaak zie is dat de virusscanner op een desktop staat en dat ik bij het compileren van software (waarbij er veel nieuwe bestanden ontstaan) ik 30-40% van de tijd op zie gaan aan nutteloze virusscanning. Eerste wat ik doe is een exclusie maken voor mijn werkomgeving.

DigitalExorcist
@latka • 11 augustus 2020 17:23

Het ging me specifiek om endpoints, waar users interactief mee omgaan. Natuurlijk moet je vóór die tijd je beleid al op orde hebben, je firewall moet antivirusmaatregelen hebben, spamfiltering moet kloppen en alles wat je noemt.

Maar 'virusscanning alleen voor USB devices' .. nee. Je moet je sowieso afvragen óf je USB-devices op je endpoint wil hebben en al is de AV nog zo snel, onderschat nóóit de stommiteit van een eindgebruiker

jpsch
@DigitalExorcist • 11 augustus 2020 17:22

Als dat kan zit het probleem niet bij de eindgebruiker.

jpsch
@DigitalExorcist • 11 augustus 2020 13:29

Maar je bent het zelf niet, ze hebben je wachtwoord achterhaald en loggen gewoon in op jouw account. .

DigitalExorcist
@jpsch • 11 augustus 2020 13:31

Dat kan zijn. Maar dan nóg triggert jouw PC 'iets' wat ineens bestanden gaat encrypten en uploaden. Dat zou al een vlaggetje moeten opleveren zou je zeggen. "Hey ik ga dit proces even blokkeren" zou je malwareprotectie moeten zeggen..

jpsch
@DigitalExorcist • 11 augustus 2020 13:35

Even als in twee dagen/twee maanden? En wie gaat de blokkade dan vrijgeven? En hoe weet je dat diegene zijn/haar account ook niet is gehackt?

DigitalExorcist
@jpsch • 11 augustus 2020 13:44

Systeembeheer kan dit whitelisten. (Let wel, we hebben het hier over een organisatie

). Tot dat moment blijft het proces in limbo.. wordt niet uitgevoerd tenzij het approved is.

En of iemand z'n account gehackt is of niet maakt niet zoveel uit. Een 'verdachte actie' op een endpoint (dus een computer) kan ook voor ingelogde gebruikers ge'flagged' worden. Ook vwb. gehackte accounts zijn systemen voor trouwens... als een user 's ochtends om 10.00 uur nog inlogt in Amsterdam is het erg onwaarschijnlijk dat die user 's middags om 15.00 uur vanuit, zeg, China kan inloggen. Behavioral analysis!

Daar valt prima op te analyseren. Azure doet dat standaard al erg goed ("Risky sign-ins") maar ook moderne endpoint protectie doet dat voor je.

[Reactie gewijzigd door DigitalExorcist op 11 augustus 2020 13:45]

jpsch
@DigitalExorcist • 11 augustus 2020 17:19

Nou schijnbaar gebruiken ze dan toch de verkeerde systemen of de systemen verkeerd.

DigitalExorcist
@jpsch • 11 augustus 2020 17:25

"Just do as I say, not as I do". Ja dat zou een conclusie kunnen zijn inderdaad.

jpsch
@DigitalExorcist • 11 augustus 2020 17:42

Geloof niet dat je alles zo makkelijk kunt ondervangen. Al die slimme systemen en medewerkers maken ook fouten en de kwaadwillenden hebben maar een fout nodig.

mjl
@DigitalExorcist • 11 augustus 2020 15:54

Tot er malware komt die bitlocker gebruikt om je systeem te encrypten...

DigitalExorcist
@mjl • 11 augustus 2020 17:24

Ja dát kan. Maar hoe waarschijnlijk is dat. En dan zou het een zeroday zijn die binnen no-time opgepikt wordt door -- juist, je endpoint protection.

mjl
@DigitalExorcist • 11 augustus 2020 18:16

Hoeft geen zero day te zijn, een macro, script of muis emulator die de user acties voor het aanzetten van Bit locker met een password uitvoert.

DigitalExorcist
@mjl • 11 augustus 2020 20:08

Dat soort scripts zijn al verdacht en zouden al een trigger moeten zijn...

Of beter nog: bepaal gewoon welke software wél mag draaien op machines waarbij je persoonsgegevens kan raadplegen (“high risk workstations”) en blokkeer standaard de rest.

[Reactie gewijzigd door DigitalExorcist op 11 augustus 2020 20:10]

mjl
@DigitalExorcist • 11 augustus 2020 20:28

Voor strak gereguleerde omgevingen ideaal inderdaad, bij updates heb je dan nog het grootste risico.

DigitalExorcist
@mjl • 11 augustus 2020 20:31

Ik had de stille hoop dat een universiteit toch wel redelijk gereguleerd was 😜

Hebben ze in Delft niet ook een mini-kerncentrale of zo?

EDIT: ja ongeveer: https://www.tudelft.nl/tn.../reactor-instituut-delft/

[Reactie gewijzigd door DigitalExorcist op 11 augustus 2020 20:33]

mjl
@DigitalExorcist • 11 augustus 2020 22:53

Universiteit en gereguleerd; ik ben er al lange tijd weg maar in de tijd dat ik aan een universiteit werkte was het heel normaal om gewoon als local admin op je laptop in te loggen. Sudo op een Linux compute server was ook standaard

In research heb je een grote mate van flexibiliteit nodig, het is constant de balans vinden tussen cyber security en werkbaarheid voor briljante geesten die het liefst alle vrijheid hebben.

DigitalExorcist
@mjl • 11 augustus 2020 23:01

Tsja. Lekker op een apart VLAN los van álles wat maar enigszins belangrijk is dan 😜

mjl
@DigitalExorcist • 11 augustus 2020 23:09

Netwerk segmentatie (zoning) is een van de mitigaties inderdaad. Uiteindelijk is het voornamelijk awareness wat helpt in de acceptatie van de ‘lastige dingen’ die nodig zijn om de boel secure te houden.

renecl
@HerrPino • 11 augustus 2020 13:26

Backup naar ouderwetse tape (en die wel fysiek eruit halen iedere dag/week)

KeesAlderlieste
@renecl • 11 augustus 2020 15:35

Dan heb je een tape met geencrypte data. Dus wat is 't voordeel?

mjl
@KeesAlderlieste • 11 augustus 2020 15:55

In dit geval publiceren ze de data als je niet betaald, dus wat is nou het probleem je hebt helemaal geen backup nodig 😉

renecl
@KeesAlderlieste • 11 augustus 2020 15:56

Dat de backup van de dag ervoor nog ongeschonden is, en de schade dus beperkt is.

KeesAlderlieste
@renecl • 12 augustus 2020 14:11

en als je al dagen/weken gencrypte data backupt?

renecl
@KeesAlderlieste • 12 augustus 2020 18:02

Het is in 99% van de gevallen dat de randsomeware vrijdagavond start, en dus in het weekend pas encrypt.

En ja, als ze al weken bezig zijn en niemand heeft het in de gaten, dan wel ja. Maar die kans is niet zo heel groot denk ik

MtC
@HerrPino • 11 augustus 2020 15:33

Is er nu echt niets te bedenken om ransomware vrijwel onmogelijk te maken?

Jawel, maar dat schijnt in strijd te zijn met de universele rechten van de mens.

curkey
@HerrPino • 11 augustus 2020 15:36

En hoe ziet dat er anders uit dan een file dat versleuteld moet worden?
Er is vaak wel heuristiek dat alarm slaat als veel files ineens geraakt worden, maar hoe goed dat werkt, weet ik niet.

Snow_King

@HerrPino • 11 augustus 2020 16:19

Een gedeeltelijke oplossing kan al zijn door niet alles op Windows te draaien. Linux bijvoorbeeld in te zetten als fileserver(s) zodat deze niet kwetsbaar is voor de ransomware.

Daar kan je snapshots maken of Virtual Machines draaien waar Windows weer in zit.

Je moet verschillende lagen opwerpen.

comecme
@Snow_King • 11 augustus 2020 16:54

Als de files op Linux staan, en een Windows PC benadert die file server. Dan kan de boel toch nog steeds versleuteld worden?

Snow_King

@comecme • 11 augustus 2020 17:52

Klopt. Maar door daar je snapshotting te doen kan je terug rollen. Ransomware kan dus niet die VM's besmetten in hun snapshot.

Je moet wel een retentie hebben die ver genoeg terug gaat zodat de ransomware zich niet stiekem kan verschuilen.

Daoka
@HerrPino • 11 augustus 2020 16:47

Maar het wordt toch geschreven zoals de software het verwacht. Het is alleen niet door de software waarvan jij het verwacht. Dat maakt het denk ik al een stuk moeilijker om dit na te kijken. Ook kan de besturingssysteem natuurlijk niet weten of de software die het aanpast wel of niet goedgekeurd is door de gebruiker. Want wie zegt dat ik geen script wil draaien die iets vergelijkbaars wil doen. Bijvoorbeeld dat ik op vakantie zou gaan zonder computer en dus encryptie op de computer zet voor het geval dat die gestolen wordt.

De enigste oplossing die ik zie is dat de besturingssysteem een lijst gaat bijhouden met welke extensies door welke programma's aangepast mag worden. Dus als een .docx niet door Word wordt geopend / aangepast dat het systeem dan ziet dat er dan iets vreemds gebeurd. Al vraag ik me af hoelang het duurt voordat ze dit dan weer gekraakt hebben dat zelf hun software kunnen toevoegen.

Falcon10
11 augustus 2020 13:49

Het werk van Spie zou ondanks de ransomwareaanval niet zijn verstoord. Alleen het Franse datacentrum van het bedrijf zou zijn getroffen. In Nederland, waar Spie verschillende dochterondernemingen heeft, heeft de ransomware volgens een woordvoerder helemaal niet toegeslagen. "De operationele activiteiten van Spie in Frankrijk en van Spie Nederland worden niet digitaal gedeeld of staan op welke wijze dan ook met elkaar in verbinding", zegt het bedrijf in een verklaring.

Juist, Spie NL en Spie FR staan niet onderling gekoppeld

Het zal dan wel niet rechtstreeks op het zelfde netwerk zijn, maar er zal wel zeker een WAN verbinding zijn tussen de 2, en een koppeling met minstens 1 of meerdere systemen.
Tevens zit bij SPIE FR in Lyon een afdeling die Helpdesk doet voor verschillende grote bedrijven, en rara, daar is dus maw ook een link naar andere grote bedrijven.
Dus nee hoor :"op welke wijze dan ook niet met elkaar in verbinding"

C. C.
11 augustus 2020 16:11

Zou het leuk vinden om te vernemen hoeveel van dat tuig er, en in welke mate, gestraft wordt. Zo lijkt het dat er weer eens een aanval gelukt is en er veel geld en of data is buitgemaakt het dat gewoon straffeloos doorgaat.

jvo
@eL_Jay • 11 augustus 2020 14:02

Neem aan dat Spie verantwoordelijk is voor de schade als gevolg van data verlies?

Spie heeft wel een bepaalde verantwoording af te leggen uiteraard. Maar ben ik de enige die de makers van de ransomware verantwoordelijk vind? Laten we die vooral ook niet vergeten. Nog even en degene van wie spullen zijn gestolen wordt verantwoordelijk gehouden voor de heling daarvan.

nst6ldr

Ransomware

@jvo • 11 augustus 2020 15:06

[...]

Nog even en degene van wie spullen zijn gestolen wordt verantwoordelijk gehouden voor de heling daarvan.

Als jij geen voordeur in je huis hebt en op een dag merk je dat je TV niet meer in de woonkamer staat, dan heb je inderdaad een probleem. De verzekering gaat niet uitkeren en de politie doet ook niks voor je, er is namelijk geen sprake van inbraak. Dat er iets is gestolen, alas, al is zelfs dat nog in twijfel te trekken gezien het gebrek aan bewijs.

Daoka
@jvo • 11 augustus 2020 16:56

Spie heeft wel een bepaalde verantwoording af te leggen uiteraard. Maar ben ik de enige die de makers van de ransomware verantwoordelijk vind? Laten we die vooral ook niet vergeten.

Uiteraard zijn die verantwoordelijk maar helaas zijn ze vaak te moeilijk te vinden om de verantwoordelijkheid te laten nemen.

Plenkske
@eL_Jay • 11 augustus 2020 13:31

De SPIE wagens die je ziet rijden zijn waarschijnlijk van SPIE NL.
Hier is SPIE International getroffen en niet Nederland.
Heeft dus niets met elkaar te maken.

Wim-Bart
@Plenkske • 11 augustus 2020 22:01

De NL was volgens mij in Februari/Maart al getroffen, bij een klant moesten toen alle verbindingen met systemen van Spie uit gezet worden. Dus leren doet men daar niet.

[Reactie gewijzigd door Wim-Bart op 11 augustus 2020 22:01]

Op dit item kan niet meer gereageerd worden.

Data van facilitair dienstverlener Spie is gestolen na ransomwareaanval

Lees meer

Reacties (110)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden