Beveiligingsbedrijven halen Trickbot-botnet van miljoen computers offline

Verschillende bedrijven hebben het Trickbot-botnet offline gehaald door de servers over te nemen. Onder andere Microsoft en ESET ontdekten verschillende command-and-control-servers, waaronder in Nederland, en mochten die van een rechter overnemen.

Beveiligingsafdelingen van verschillende bedrijven deden maanden onderzoek naar malwaresamples van het Trickbot-botnet en ontdekten zo welke servers het botnet gebruikte. Die servers werden gebruikt voor het downloaden van modules en plug-ins voor de malware. Volgens ESET bevatte de hoofdmodule van de malware een hardcoded configuratiebestand, met daarin een lijst van command-and-control-servers waar de malware verbinding mee maakte. "Daardoor was het mogelijk de netwerkinfrastructuur van Trickbot in kaart te brengen", schrijft het bedrijf. Aan de operatie deden verschillende bedrijven mee. Naast Microsoft en ESET waren dat ook Symantec, FS-ISAC, Black Lotus Labs en NTT.

Het botnet werd op meerdere manieren gestopt. Microsoft kreeg een gerechtelijk bevel om verschillende servers over te nemen. Dat gebeurde in combinatie met providers en andere partijen van over de hele wereld. "Met ons bewijs gaf de rechter ons toestemming om ip-adressen uit te schakelen, de inhoud van de c&c-servers ontoegankelijk te maken, alle services van de botnetbeheerders te stoppen, en de mogelijkheden voor de beheerders om nieuwe servers te kopen of te huren te blokkeren."

Ook het Amerikaanse leger lijkt een rol te hebben gespeeld in het neerhalen van het botnet. Dit weekend bleek al dat het U.S. Cyber Command aanvallen op Trickbot zou hebben uitgevoerd, maar het is niet bekend of die operatie in samenwerking ging met de bedrijven die nu zeggen de servers te hebben overgenomen. Dat eerdere bericht was gebaseerd op anonieme bronnen binnen het leger.

Trickbot was een van de grootste botnets van dit moment. Het bevatte meer dan een miljoen geïnfecteerde computers. Trickbot bestond sinds 2016 en is inmiddels van een bankingtrojan geëvolueerd naar malware-as-a-service die voor verschillende doelen kan worden ingezet. Trickbot werd onder andere gebruikt om de notoire Ryuk-ransomware te verspreiden, die de laatste maanden onder andere toesloeg bij ziekenhuizen.

Trickbot-detecties tussen oktober 2019 en oktober 2020

Reacties (64)

sOid 12 oktober 2020 15:31

...ontdekten verschillende command-and-control-servers, waaronder in Nederland, en mochten die van een rechter overnemen.

Hoe werkt dat juridisch eigenlijk? Als ik doorklik dan zie ik dat het gerechtshof in Virginia hiervoor toestemming heeft gegeven:

We took today’s action after the United States District Court for the Eastern District of Virginia granted our request for a court order to halt Trickbot’s operations.

Maar als een server in NL staat, dan heeft een gerechtshof in de VS daar toch niets over te zeggen?

Het.Draakje @sOid • 12 oktober 2020 16:39

In principe heeft het gerechtshof niets te zeggen over servers in Nederland. Maar vaak is het zo dat landen (of bijvoorbeeld de EU) verdragen hebben afgesloten en daarin wordt dan weer bepaald dat wij de gerechtelijke uitspraken van Amerika respecteren.

Trickbot begaat formeel (ook) de overtreding in Amerika, daar worden ze op aangepakt. En wij respecteren dat. Aangezien de server slechts fysiek in Nederland staat maar formeel gebruikt wordt bij de overtreding kan e.e.a. gewoon administratief afgehandeld worden zonder dat er ingewikkelde juridische procedures gevolgd moeten worden.

Zo'n verdrag sluit je uiteraard alleen af met landen waarvan je vindt dat de rechtspraak redelijk is en bijvoorbeeld niet met een land wat bekend staat als een bananenrepubliek.

Zeerob @Het.Draakje • 13 oktober 2020 13:26

Ha ha, de VS is langzamerhand ook een bananenrepubliek aan het worden.

Yzord @sOid • 12 oktober 2020 15:46

Daarom vind ik dit bericht ook heel erg wazig en vooral niet goed uitgelegd wat en hoe het is gegaan allemaal. Het is meer van, kijk eens, wat we allemaal kunnen en mogen. Maar imo zijn er hier grensoverschrijdende maatregelen genomen die we eigenlijk niet normaal moeten vinden. Zoals wat ik al aanhaalde:

Hoe hebben ze de servers overgenomen?
Waarom heeft een US rechter de bevoegdheid om servers in een ander land te mogen neerhalen?
Hoe hebben ze de beheerders kunnen stoppen om servers te kunnen huren/kopen?
Betekent die dat als we Windows gebruiken dat je dan automagisch on US law valt ongeacht in welk land je bevindt?

Vooralsnog vind ik dit maar enge ontwikkelingen. Begrijp me niet verkeerd, deze lui moeten gestopt worden ja, maar wat als een Chinese rechter zou vorderen dat er servers in de US plat gelegd moeten worden? Dan is de wereld te klein denk ik. En ik ben zo erg benieuwd hoe ze de beheerders hebben kunnen stoppen nieuwe servers te kunnen kopen (??) of huren. Wie of wat breng je daarvoor mee?

Het bericht is suggestief, maar vooral indoctrinerend. Zo van, het is normaal dat wij overal in de wereld je pc over kunnen nemen en desnoods afsluiten en kijk maar uit, want op de een of andere manier kunnen wij ook je portemonee blokkeren zodat je geen nieuwe servers kan kopen en Linux op kan zetten en ergens in een DC kan hangen (schiet mij maar lek hoor).

Anoniem: 58485 @Yzord • 12 oktober 2020 15:57

Servers in NL vallen in Nederlands grondgebied, oftewel nederlands rechtssysteem. Dus ja daar mag de politie indien daar een goede reden voor is achteraan.

sOid @Anoniem: 58485 • 12 oktober 2020 16:32

Precies. Maar daar heeft een buitenlands gerechtshof dus niets over te zeggen. Maar misschien is er door een Nederlandse rechter (of politie? weet niet bij wie die verantwoordelijkheid ligt) ook wel toestemming voor gegeven. Dat zou natuurlijk kunnen.

Ik gok dat de auteur dit al aan het uitzoeken is

DiedX @sOid • 13 oktober 2020 08:22

Zoek eens op rechtsbijstandverzoek

sOid @Yzord • 12 oktober 2020 15:55

Heel goede punten ja. En blijkbaar hebben ze dus wel een idee van wie erachter zit; anders kun je toch ook niet voorkomen dat die personen nieuwe servers kunnen kopen/huren?

Opmerkelijk nieuwsbericht.

Dennisdn @Yzord • 12 oktober 2020 17:18

Het nieuws moet zich nog ontwikkelen. Nederland speelt mee in de champignons League op dit niveau. Het zal heus niet buiten NL om gegaan zijn, wellicht hebben ze zelfs een groot aandeel. Wacht eerst de verdere ontwikkelingen af. Bij de PGP-hacks bleef het ook lang stil met échte info na de eerste persberichten en van Stuxnet weten we pas kort hoe belangrijk Nederland is geweest.

themadone @Yzord • 12 oktober 2020 17:49

Het is natuurlijk niet de bedoeling dat we criminelen eens met gelijke munt gaan terug betalen.

Het internet moet vooral open en zonder regels zijn toch? Dan krijg je dit dus, ik hoop dat ze zo doorgaan en al dit soort partijen aan gruis helpen met zijn allen.

junkchaser @themadone • 12 oktober 2020 22:49

Het internet moest vrijheid bieden, maar zoals altijd met de mensheid kan deze niet de verantwoordelijkheid aan die samen met de vrijheid komt. Dus tja... Het zal een balansoefening worden tussen voor en nadelen...

Blokker_1999

Malware
Microsoft
Beveiliging en antivirus

@junkchaser • 13 oktober 2020 07:38

Hoe kom je aan dat idee? Het internet is gewoon een manier om verschillende lokale netwerken met elkaar te verbinden. Daar zat geen enkele ideologisch gedachtengoed achter.

junkchaser @Blokker_1999 • 13 oktober 2020 09:00

Laat ik het anders stellen, het internet als technologie brengt vrijheid met zich mee.

tweaknico @Yzord • 12 oktober 2020 20:04

Dat is het hele probleem met "hack terug" bevoegdheid...., die in NL als een van de eerste landen in de wet is geland.

Maar als een US bedrijf in NL iets gedaan wil hebben dan moet het in de US aangifte doen etc. en dan kan US justitie een rechtshulp verzoek doen in NL. Dan zal de NL Justitie en evt. als toegekend de NL politie het rechtshulp verzoek uitvoeren.

Ik weet niet in hoeverren de US en CN een rechthulp verdrag hebben, zonder zo'n verdrag heeft een rechtshulp verzoek geen zin. Om die reden zijn er ook landen die niemand aan een anderland zullen uitleveren. (geen uitlever verdrag). etc.

DerDee @Yzord • 12 oktober 2020 20:19

Beetje overdreven reactie. Simpelweg omdat even goed lezen en het gaat om Microsoft die eraan heeft meegeholpen. Microsoft mag hun servers gewoon platleggen als ze ongewenste activiteiten zien van dat soort servers. En zelfs daarvoor hebben ze een rechtelijk bevel geregeld. Daarnaast kunnen ze regelen dat creditcards en persoonsgegevens niet meer mogen huren in Azure. Dit is een simpele oplossing om alle vraagstukken weg te nemen.
Indoctrinerend vind ik wel helemaal ongepast. Het is een uitspraak van Microsoft, dus gaat het over Azure, niet over dat ze compleet zijn uitgesloten van hardware te kopen of huren. Dat lijkt me niet meer dan logisch. Maargoed, angst lijkt te heersen bij menig.

Het.Draakje @DerDee • 13 oktober 2020 13:47

Microsoft heeft ook wel wat andere belangen dan Azure. Bijvoorbeeld malware bestrijding.

Aangezien Microsoft echt geen hulp nodig heeft van andere providers om (delen) van hun eigen Azure netwerk plat te leggen (wat ze volgens het bericht wel nodig hadden) is de kans groot dat het niet om Azure gaat.

voske @sOid • 12 oktober 2020 21:10

De “temporary restraining order” staat online. Deze heeft betrekking op de in bijlage A genoemde IP-adressen, hosting providers en datacenters. Alle genoemde hosting providers en datacenters hebben een Amerikaans adres.

De uitspraak van de rechter houdt onder meer in dat de in de bijlage genoemde hosting providers en datacenters het verkeer van en naar de in de bijlage genoemde IP-adressen moeten blokkeren en de hardware en software die worden gebruikt door deze IP-adressen moeten uitschakelen. De uitspraak heeft dus op zich geen effect in Nederland.

KiD_KRiool @sOid • 13 oktober 2020 12:34

denk dat U.S. groot en sterk is en daarnaast is internet van oorsprong ook van het Amerikaanse lege

Caedus 12 oktober 2020 15:16

Is het normaal (en wenselijk) dat commerciële organisaties zoals Microsoft zo'n grote rol spelen bij het neerhalen van zo'n netwerk? Ik snap dat ze daar expertise in huis hebben die een andere (overheids)organisatie misschien niet heeft, maar eigenlijk is het niet goed dat we daar afhankelijk van zijn in het bestrijden van deze cybermisdaden.

Anoniem: 9278 @Caedus • 12 oktober 2020 15:20

Zoals je kunt lezen, hebben ze rechterlijke toestemming gekregen. Dit gaat dus in samenwerking met justitie.

Caedus @Anoniem: 9278 • 12 oktober 2020 15:25

Dat ze toestemming hebben gekregen verandert niets aan het feit dat justitie kennelijk nog steeds die externe partijen nodig had voor het daadwerkelijk neerhalen van het network. Dan lijkt het er toch op dat justitie afhankelijk van hen is en daarvan vraag ik me af of we dat moeten willen. Vergelijk het met justitie die iedere keer een slotenmaker zou moeten inhuren als ze huiszoeking willen doen.

Nielsvr @Caedus • 12 oktober 2020 15:30

Dat is bij mijn weten niet anders in het geval van andere vormen van criminaliteit. Vaak zijn daar ook nutsbedrijven, verhuurders, vervoerders en uitbaters bij betrokken. Allen commercieel. Die komen vaak iets op het spoor waar ze hinder van ondervinden (Microsoft ongetwijfeld ook) en werken dan samen met justitie om het te stoppen. Wat mij betreft zelfs wenselijk dat commerciële partijen hierbij ook hun investering doen.

aidanl @Caedus • 12 oktober 2020 15:34

Dat inhuren van een slotenmaker gebeurt wel degelijk wanneer het niet mag/kan met een bonk. Bekijk het ook eens vanuit de Nederlandse justitie. We hebben al een tekort aan mensen met de juiste kennis hiervoor, cyber-zaken worden al minimaal opgepakt omdat daar tijd, geld en personeel voor mist. Dan snap ik dat justitie in zee gaat met grote partijen als een Microsoft die wel de kennis in huis hebben. Als ik daarnaast de lijn doortrek die jij nu aanhoud m.b.t. afhankelijkheid, zouden alle bedrijven zelf maar Office software moeten gaan ontwikkelen om niet afhankelijk te zijn van een 3de partij als MS? Leuk idee maar niet haalbaar. Zo zal je altijd wel die afhankelijkheid behouden.

Caedus @aidanl • 12 oktober 2020 15:42

Nu trek je mijn punt tot in het extreme door terwijl ik dat niet suggereer. Natuurlijk wil ik niet zeggen dat justitie altijd en overal helemaal onafhankelijk moet opereren. En natuurlijk kan er wel eens een slotenmaker worden ingehuurd. Ik vraag me alleen naar aanleiding van deze specifieke situatie af hoe afhankelijk justitie is van zo'n bedrijf als Microsoft. Maar gezien de lijst met namen in dit bericht erg lang is, zal het wel om een erg ingewikkelde en uitzonderlijke actie gaan.

Wat misschien mijn alarmbellen deed rinkelen is dat ik de indruk heb dat verschillende overheden zelf niet capabel genoeg zijn om netwerken op deze manier op te rollen. Als er dan externe partijen worden ingehuurd zie ik twee risico's:

1) Eén risico is dat door het inschakelen van die externe partijen, die externe partijen nog meer gespecialiseerd worden en dus machtiger op het terrein waar ze al expert in zijn.
2) Een tweede risico baseer ik op analogie met het normale geweldsmonopolie en dat is dat je externe partijen macht geeft die eigenlijk bij de overheid zou moeten liggen. Neem bijvoorbeeld het inhuren van huurlingen door de Amerikaanse overheid in oorlogsgebieden. Totaal verschillende situaties, toegegeven, maar waar het hier om gaat is dat overheden meer geneigd zullen zijn om commerciële partijen in te huren voor zaken die je helemaal niet aan zulke organisaties zou moeten willen uitbesteden.

Goed, ik dwaal een beetje af van het feitelijke nieuwsartikel, maar dit waren de gedachten die door mijn hoofd speelden toen ik het las en de vraag opwierp.

DerDee @Caedus • 12 oktober 2020 20:26

Je draait echt de boel om. Er wordt niemand ingehuurd. Microsoft ziet verdachte activiteit, heeft met ESET gespard en dit op het spoor gekomen. Daarna rechtelijk bevel gevraagd (onnodig want eigen servers) om de boel plat te leggen. Dus Microsoft is geen slotenmaker of huurmoordenaar. Hij is een dienstverlenende burger, zonder tegenprestatie (behalve hun naam mooi en zuiver houden/maken).

Ik weet niet hoe het wettelijk geregeld is, maar dit lijkt me erg wenselijk. Dat beheerders van grote netwerken niet wegkijken, maar kijken naar activiteit die er op hun netwerk leeft. Mag van mij uit verplicht worden zoals het melden van bugs.

Anoniem: 420148 @Caedus • 12 oktober 2020 15:40

Tja, verwacht je dan dat de overheid een bedrijf van Microsoft/ESET's kaliber gaat oprichten om dit soort zaken uit te voeren?

Raymond Deen @Caedus • 12 oktober 2020 15:57

De huidige wereld zit zo ingewikkeld in elkaar dat een overheid, of justitie gewoonweg niet overal verstand van kan hebben. Anders zou het een soort van socialistische staat zijn en van die staatsvorm is al gebleken dat die niet helemaal zonder problemen is.

Hopelijk vinden de organisaties die aan deze actie hebben meegedaan genoeg bewijs van de identiteit van de schuldigen en genoeg materiaal om een aantal ransomware aanvallen mee ongedaan te maken!

Dennisdn @Caedus • 12 oktober 2020 17:26

Ik denk een goede vergelijking. Ze hadden het op de good old way kunnen doen door met een AT de deur in te trappen en de servers te slopen. Maar wil je de boel in bedrijf zien en overnemen moet je het met een stille slotenmaker doen en voorkomen dat er iemand op de destructie-knop kan drukken. (Ja ik kijk veel films).

LiquidCrystal @Anoniem: 9278 • 12 oktober 2020 15:47

Zoals je kunt lezen, hebben ze rechterlijke toestemming gekregen.

Ik vraag me alleen af in hoeverre een rechter kan bepalen dat een dergelijke actie mag worden uitgevoerd als systemen zich in een ander land bevinden, dan waar de rechter zeggenschap over heeft...

Anoniem: 9278 @LiquidCrystal • 12 oktober 2020 16:57

Men mag aannemen dat rechters in de betreffende landen zijn geraadpleegd.
"De rechter" heeft niet persé betrekking op 1 fysieke persoon.

Anoniem: 310408 @Jelster • 12 oktober 2020 15:53

Wellicht heb je gemist dat de digitale afdelingen van Justitie zeer goed aangeschreven staan en enkele opvallende zaken heeft opgelost. Van het binnendringen van botnets (zoals in 2018) tot het neerhalen van een geheel darknet. Ze worden door buitenlandse diensten vaak om hun kennis gevraagd.

Anoniem: 1463186 @Caedus • 12 oktober 2020 15:31

Het lijkt me juist goed dat ze bedrijven er bij halen. Een overheid heeft niet als doel om techniek zo goed mogelijk te snappen, bedrijven hebben juist het doel om heel goed te worden in één ding. Het lijkt me juist wenselijk dat overheden bedrijven inschakelen op vlakken waar ze kunnen helpen, aangezien er anders heel veel geld gaat zitten in het opleiden van mensen die het nooit zo goed zullen doen als een heel bedrijf.

Vizzie @Anoniem: 1463186 • 12 oktober 2020 16:06

Mensen die na de opleiding ook zo weggekocht worden door een bedrijf, samenwerken met bedrijven is handiger.

batjes

Microsoft

@Caedus • 12 oktober 2020 16:14

Zou mooier zijn als onze eigen politie de capaciteiten daar voor had, maar door het gebrek daar aan is het wel fijn dat deze partijen zich daar mee bezig houden.

Voor de AV partijen is het voornamelijk een vorm van marketing, voor MS ook een beetje, maar die heeft als grootste doelwit van dit soort praktijken daar nog wel een paar belangen bij.

Het belangrijkste is dat het wordt aangepakt en dan zijn dit wel een paar van die namen die ik er graag bij zie staan.

tweaknico @Caedus • 12 oktober 2020 20:07

En mogelijk zelfs kunnen fasciliteren door even een update rond te sturen die een zwakheid ins=troduceerd. (Het botnet van microsoft is mogelijk groter dan trickbot).

Yzord 12 oktober 2020 15:22

Wat ik dus between de lines lees is dat Microsoft een manier heeft (backdoor?) om een Windows pc over te nemen. Of lees ik nu verkeerd? Ik zou graag een diepgaande uitleg willen hoe ze deze servers hebben overgenomen. of was het simpelweg de ip adressen blokkeren? En hoe hebben ze dan ervoor gezorgd dat de beheerders geen nieuwe servers meer konden huren of kopen? Ik bedoel, dat zijn verregaande maatregelen waarvan ik toch wel heel benieuwd ben hoe zij kunnen regelen dat ze geen servers meer kunnen kopen.

RagingRaven @Yzord • 12 oktober 2020 15:45

Uit het artikel:

Dat gebeurde in combinatie met providers en andere partijen van over de hele wereld.

Oftewel, ze hebben gewoon uitgezocht bij welke partij de server gehost werden en/of in welk datacentrum de servers stonden.
Die partijen hebben ze waarschijnlijk opdracht gegeven om de servers offline te halen of om toegang te geven.
Daarmee kunnen ze dus ook regelen dat ze geen servers meer kunnen kopen of huren.

Uiteraard zullen de personen achter deze botnets ergens anders weer servers huren/kopen, maar dus niet meer bij de partijen waar ze nu de huidige servers gevonden hebben. (Uiteraard tenzij ze dit weer onder een andere naam weten te doen).

Yzord @RagingRaven • 12 oktober 2020 15:52

Uit het artikel:

Daarmee kunnen ze dus ook regelen dat ze geen servers meer kunnen kopen of huren.

Uiteraard zullen de personen achter deze botnets ergens anders weer servers huren/kopen, maar dus niet meer bij de partijen waar ze nu de huidige servers gevonden hebben. (Uiteraard tenzij ze dit weer onder een andere naam weten te doen).

Dan is het bericht overduidelijk suggestief. Want ja, ze zullen bij de laatste DC onder dezelfde naam geen servers meer kunnen huren, maar met een andere naam kunnen ze dat wel. Men denkt serieus dat ze te maken hebben met een stel dombo's, maar in feite zijn deze criminelen superslim en loopt men altijd achter de feiten aan. En er zijn zoveel DC's in de wereld en zelfs in landen waar een US rechter geen invloed heeft met zijn order. Hence, je kan zelfs een server aan een prive lijntje hangen (niet dat dat slim is, maar het kan).

Nee, mij maak je niet wijs dat ze nu een manier hebben gevonden deze jongens te stoppen. Die zijn niet gek hoor.

RagingRaven @Yzord • 12 oktober 2020 16:13

Ik verwacht het ook niet inderdaad, er zullen altijd verkopers/verhuurders zijn die niet om legitimatie vragen, maar dit soort botnets heeft verwacht ik best wat capaciteit nodig, dus bij hoe meer grote partijen ze niet meer terecht kunnen, des te beter.

tweaknico @Yzord • 12 oktober 2020 20:52

Je kan natuurlijk ook een systeem gebruiken dat al bij een "botnet" member staat.
Eentje die willekeurig van buiten af toevallig makkelijk te bereiken is .
Het hoeft niet perse bij de eigenaar van het botnet thuis te staan.

Er bestaan zat bulletproof hosting bedrijven, en hebben ze echt alles te pakken?

Bedenker @Yzord • 12 oktober 2020 19:26

Wat ik dus between de lines lees is dat Microsoft een manier heeft (backdoor?) om een Windows pc over te nemen.

Een manier die door veel verschillende partijen wordt gebruikt, nadat het doel apparaat is geïdentificeerd (of doel software), is een automatische update, van bijv. Windows update of 1 of andere store, of een ander programma dat zichzelf automatisch bijwerkt. Die techniek wordt al heel lang gebruikt om onder andere pc's van mensen te neutraliseren zonder dat de eigenaar er van op de hoogte is.
En ja.., in theorie is het mogelijk voor Microsoft op die manier een pc over te nemen, of voor Google, jouw telefoon

bbob 12 oktober 2020 15:13

Goede move nu alleen nog er achter komen wie er achter zat.

HoppyF @bbob • 12 oktober 2020 15:50

Follow the money!
Kortom, uitzoeken wie de servers gehuurd of geïnstalleerd heeft.
Criminelen denken slim te zijn maar ze maken ook fouten en laten sporen achter.

bbob @HoppyF • 12 oktober 2020 16:28

Kan maar denk meteen bitcoins, katvanger, verschillende landen. Ze zijn als ik het artikel lees al tijdje bezig.

BeepBoop 12 oktober 2020 15:14

Ik ben benieuwd hoe effectief deze actie zal zijn, als ik het namelijk goed begrijp hebben de auteurs achter Trickbot een failsafe tegen het offline halen van hun C2 netwerk via de gedecentraliseerde DNS service EmerDNS.

bartje @BeepBoop • 12 oktober 2020 15:18

als deze DNS servers de domeinen niet meer herkennen is dit geen probleem.
tenzij ze emerDNS betalen voor een valse positie natuurlijk, maar dan zal EmerDNS wel aangepakt worden en dit vinden ze niet zo leuk.

stofke295 12 oktober 2020 15:24

in tijden van vandaag wie target nu ziekenhuizen?
daarvoor moet je een echte smeerlap zijn

Zyppora @stofke295 • 12 oktober 2020 15:55

Het feit dat deze malware bij ziekenhuizen te vinden is, wil niet zeggen dat men op ziekenhuizen mikte. Het betekent slechts dat deze zichzelf verspreidende malware bij ziekenhuizen binnen kon komen, waaruit je dus weer kunt concluderen dat de digitale beveiliging van de getroffen ziekenhuizen niet op orde is. Je mag er vanuit gaan dat op enig moment ook jouw apparaten deze malware voor de deur hadden staan, maar dat ze vanwege hun beveiliging niet geinfecteerd raakten.

Ik vind het een beetje raar om te doen alsof men zich specifiek op ziekenhuizen richt. Ik snap wel waar dat sentiment vandaan komt, het wordt redelijk hard in de media geroepen, maar dat maakt het nog geen gerichte actie. Criminelen die op geld uit zijn proberen dat overal los te peuteren, ook bij de bakker op de hoek en het ministerie van justitie. En een botnet wordt ook niet opgezet met een lijstje van systemen dat overgeslagen moet worden. Geen idee ook hoe je specifiek ziekenhuissystemen kunt herkennen. Daar wordt simpelweg geen rekening mee gehouden.

Daoka @Zyppora • 12 oktober 2020 18:35

Ik vermoed dat ze het over het algemeen wel aardig kunnen inschatten. De ransomware van tegenwoordig download natuurlijk vaak de bestanden van de computers. Daaraan zullen ze meestal wel kunnen. herkennen wat het is. Emails waar handtekeningen onder zitten, word documenten waar de naam van het bedrijf is staat. Hierop zoeken en je weet wat het is. Dan kunnen ze besluiten de ransomware niet te activeren. In dit geval waar het verkeerd ging klonk het alsof het een universiteit was door de naam van die ziekenhuis (Universitair Ziekenhuis). Anders hadden ze het waarschijnlijk niet geactiveerd. Tenminste dit vermoed ik hoe makkelijk de politie de sleutel kreeg.

Daoka @stofke295 • 12 oktober 2020 15:56

Dat was een fout van hun. Door de naam van die ziekenhuis (Universitair Ziekenhuis) dachten ze een universiteit te besmetten. Nadat de politie contact had met ze en uitgelegd dat het een ziekenhuis was hebben ze de code gegeven zonder dat er betaalt hoefde te worden. Niet dat ik hun acties hiermee goed wil praten natuurlijk maar wel dat het niet op die vlak smeerlappen zijn.

https://tweakers.net/nieu...jk-tot-dood-patiente.html

Beilos @Daoka • 12 oktober 2020 16:18

Meer eigen belang. Als een ziekenhuis uitvalt en patienten overlijden hebben ze wat extra problemen:
- Ze hebben moord of doodslag gepleegd en krijgen dus veel meer achter zich aan dan ze dachten. Zelfs na 20 jaar kunnen ze nog door een cold-case team gepakt worden.
- De kans dat iemand uit de school klapt wordt groter omdat dit nog minder wordt geaccepteerd dan "gewone criminaliteit"

Daoka @Beilos • 12 oktober 2020 18:40

Het kan inderdaad alleen eigen belang zijn. Maar er zit wel een groot verschil tussen geld/data stelen en bewust (indirect) moord plegen. Het zou best een grens kunnen zijn die ze nooit hadden willen voorbij gaan.

Yzord @stofke295 • 12 oktober 2020 15:28

Omdat? Ja sorry, misschien speel ik nu even advocaat van de duivel, maar zijn de intenties van criminelen niet om zo snel mogelijk veel geld te verdienen in een korte tijd? Dan val je toch juist in deze tijden ziekenhuizen aan om de druk te vergroten dat ze betalen?

Sissors @stofke295 • 12 oktober 2020 15:34

Want jij verwacht ethisch besef bij criminelen? Dan waren ze in de eerste plaats geen criminelen geweest. (Dit is uiteraard geen kwestie van "ik moet wel stelen om mijn kinderen te eten te geven").

Vizzie @Sissors • 12 oktober 2020 16:10

Op de een of andere manier zie ik in de berichtgeving niet zoveel mensen die stelen om hun kinderen eten te geven en des te meer die stelen omdat ze dure zooi willen hebben en te lui zijn om er eerlijk voor te werken. Gek is dat.

Misschien dat er incidenteel wel een kind eten krijgt uit criminele opbrengst maar dat lijkt zelden het hoofddoel te zijn.

De kinderen die mogelijk geen eten krijgen omdat hun ouders bestolen zijn lijken criminelen ook nooit aan te denken.

Ik kan me wel vinden in de kwalificatie smeerlap voor criminelen, ongeacht de tijden waarin ze misdaden begaan en hun doelwitten.

Simkin 12 oktober 2020 16:50

Betekend dit dat hierdoor mogelijk een flink aantal masterkeys recovered kan worden om gegijzelde software te decrypten?

Mathijs 13 oktober 2020 00:56

Weet iemand waardoor Finland erbuiten viel op dat kaartje?

djwice

13 oktober 2020 06:35

hoe test je op een van je machines in dat netwerk zat?
en hoe haal je het restant weg?
en hoe zorg je dat een ander botnet niet later vergelijkbare meuk op je machine zet?

Anoniem: 85014 13 oktober 2020 12:51

Justitie werd erbik betrokken, gaf toestemming. Het middel was ook proportioneel.

Dan juich ik dit toe en hoop ik dat Microsoft dit vaker organiseert.

Ik hoop ook dat men op de getroffen servers meteen ook het probleem langswaar de malware is binnengedrongen kan verhelpen. Nu men toch het gerechterlijk bevel heeft om wijzigingen aan te brengen. Mits het proportioneel is: de server uitschakelen zou ik bv. niet meer proportioneel vinden. Maar we hebben rechtspraak en meerdere oordelen en adviezen om daar een beter gevormde mening dan enkel de mijne over te kunnen vormen.

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijven halen Trickbot-botnet van miljoen computers offline

Lees meer

Reacties (64)

Sorteer op:

Weergave: