Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Grootste Deense persbureau is offline na ransomware-infectie

Het Deense persbureau Ritzau is getroffen door onbekende ransomware. De organisatie is sinds dinsdag offline, maar betaalt het losgeld niet. Het persbureau zegt dat het bezig is zijn computers te herstellen.

Het gaat om een 'serieuze aanval', stelt het persbureau in een bericht op de homepage. Het is niet bekend om wat voor ransomware het gaat of hoe de netwerken van het bedrijf zijn geïnfecteerd. De redactionele systemen werken niet meer, waardoor het persbureau niet meer op de normale manier nieuws kan uitbrengen. Ritzau is groot in Denemarken; het is het grootste persbureau en voorziet tal van media in het land van nieuws. Miljoenen Denen volgen dagelijks het nieuws via het bureau. Ritzau zegt dat het inmiddels liveblogs heeft opgezet waarmee het media van nieuws voorziet. Aangesloten media kunnen daar toegang toe krijgen via de klantenservice.

Het is niet bekend wat er tijdens de aanval precies gebeurde. Volgens Bleeping Computer is ongeveer een kwart van de honderd servers van het bedrijf versleuteld. Het bedrijf zegt het losgeld niet te zullen betalen. De losgeldbrief zou niet eens geopend zijn 'op advies van onze adviseurs'. Daardoor is ook niet bekend hoe hoog het gevraagde bedrag is.

Ritzau zegt dat het probeert alle geïnfecteerde computers en servers schoon te maken en weer online te brengen. Het is niet duidelijk of het dan gaat om het verwijderen van de ransomware of om schone installaties en welke informatie dan behouden blijft of verloren gaat. Ritzau zou hulp krijgen van zijn verzekeringsmaatschappij en worden bijgestaan door experts om een aanval in de toekomst te voorkomen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

26-11-2020 • 08:52

70 Linkedin

Submitter: erwn

Reacties (70)

Wijzig sortering
Blijf erbij, betalen aan ransomware-makers moet net zo strafbaar zijn als het maken daarvan. Alleen op die manier kunnen we tot betere beveiliging en het eindigen van dit fenomeen komen.
Dat klinkt wel erg makkelijk, maar als je de Universiteit Maastricht bent en je hebt geen backups, dan is betalen toch echt de betere keuze versus het verliezen van grote hoeveelheden data waaronder werk waar mensen maanden van hun leven in hebben gestopt. En dat geldt voor veel bedrijven, de backups zijn vaak niet op orde.

[Reactie gewijzigd door Chris7 op 26 november 2020 09:19]

Ja dat lijkt wel zo, alsof het de beste optie is, maar in werkelijkheid laat je je gewoon keihard afpersen waarmee je de criminelen zwaar beloont voor hun destructieve, maatschappij-ontwrichtende hack. Dat is niet bespreekbaar wat mij betreft voor een overheidsinstelling.

Kijk, als er nou mensenlevens mee gemoeid waren, bv zoals in een gijzelaars-situatie, dan heiligt het doel alle middelen: dan mogen de tonnen wat mij betreft over de tafel om levens te redden (dan mag er ook met scherp geschoten worden trouwens), en dat opsporen en de financiele schade komt dan later wel. Maar als het puur om een gigantische hoop administratieve rompslomp in een onschuldige onderwijssetting gaat: dan zou puur een financiele overweging inderdaad verboden moeten zijn. College's van bestuur van grote universiteiten beheren miljoenen euro's belastinggeld / studiefinanciering, opgehoest door de studenten en de rest van werkend nederland, en het zou strafbaar moeten zijn om vele tonnen daarvan zomaar over te maken naar onbekende sujetten omdat ze toevallig heel smiechterig de bestandjes op het netwerk gelocked hebben.

Dan maar een achterstand van een half jaar. Het zal heus niet het ergste zijn wat een universiteit overkomt.

En wat bedrijven in de commerciele sector doen moeten ze zelf weten trouwens.

[Reactie gewijzigd door Znorkus op 26 november 2020 09:27]

Dan maar een achterstand van een half jaar. Het zal heus niet het ergste zijn wat een universiteit overkomt.
En de studenten zijn dan 'collateral damage'?
Die studenten zijn ook "collateral damage" als je miljoenen losgeld betaald.

En wat betreft gijzelaars situaties, ook daar moet je geen losgeld betalen.
Velen hier zullen te jong zijn om het zich te herinneren. Maar er is een periode geweest dat er elke paar maanden een vliegtuig gekaapt werd. Vrijwel geen enkel land ging echter op de eisen in. En daardoor is het fenomeen ook relatief snel weer verdwenen.

Er zijn landen waar aan de lopende band buitenlandse hulpverleners gegijzeld worden. Maar daarbij valt duidelijk op dat het dan de hulpverleners zijn van landen die betalen. Ze gijzelen niet de hulpverleners uit landen die niet betalen en hun special forces er op af sturen.

De ervaring leert duidelijk dat niet betalen de beste lange termijn oplossing is.

[Reactie gewijzigd door mjtdevries op 26 november 2020 11:43]

En dat geldt voor veel bedrijven, de backups zijn vaak niet op orde.
Als er in een loods brand uitbreekt en achteraf blijkt dat het bedrijf in kwestie niks aan brandveiligheid deed en niet verzekerd was, dan heeft niemand daar medelijden mee. Dat zou hier net zo hard moeten gelden. 100% zekerheid bestaat niet, maar dat is geen rectificatie om nul inzet op dat vlak te vertonen.

Daar komt bij dat ransomware een bedrijfsmatige economische cyclus volgt: met het losgeld van de ene hack, kan je op darkweb marktplaatsen de zero day voor je volgende hack bekostigen. Daarmee werk je jezelf op van kleine lokale basisschool naar universiteit of ziekenhuis, en vanaf daar de opstap naar een multinational.

Dus alles bij elkaar genomen: ja, betalen bij ransomware zou verboden moeten zijn, en het ondersteunen van een dergelijke transactie ook. Gelukkig leven we in 2020 en heeft de industrie dus +/- 15 jaar de tijd gehad om dit te aan te zien en deze dreiging op te nemen in hun bedreigingsmodel. Mocht er ondanks de investeringen toch een infectie plaatsvinden, dan heb je door gebruik van de juiste controls dit vroeg genoeg door, en met goede compartmentalisering valt de schade mee. In ieder geval voldoende om dit te laten dekken door de verzekering.

[Reactie gewijzigd door nst6ldr op 26 november 2020 11:29]

Als er in een loods brand uitbreekt en achteraf blijkt dat het bedrijf in kwestie niks aan brandveiligheid deed en niet verzekerd was, dan heeft niemand daar medelijden mee. Dat zou hier net zo hard moeten gelden. 100% zekerheid bestaat niet, maar dat is geen rectificatie om nul inzet op dat vlak te vertonen.
Ik vind dit toch een andere situatie. Hier breekt (kortsluiting o.i.d.) geen brand uit, het gaat hier om professionele groep brandstichters die in elke ruimte een brandje stichten en het automatische blussysteem saboteren. Dus wat wil je doen aan brandveiligheid...

Als deze groep malwaremakers besloten heeft om jou aan te vallen, ben je nergens. Maandenlange voorbereidingen. En bijna geen enkel bedrijf zal en public zeggen dat er losgeld is betaald, maar vaak komt het later wel of niet uit dat het daadwerkelijk wel is gebeurd...
[...]

Ik vind dit toch een andere situatie. Hier breekt (kortsluiting o.i.d.) geen brand uit, het gaat hier om professionele groep brandstichters die in elke ruimte een brandje stichten en het automatische blussysteem saboteren. Dus wat wil je doen aan brandveiligheid...
Onzin. Vergelijk het dan met inbraak: als je zorgt dat je de basis op orde hebt, dan is ieder ander doelwit makkelijker.
Als deze groep malwaremakers besloten heeft om jou aan te vallen, ben je nergens. Maandenlange voorbereidingen.
Dat valt voor 99% tegen te houden, en de overige 1% is prima te overleven. En ja, reeds ervaring mee, mijn organisatie wordt met regelmaat bestookt. Het probleem is dat bedrijven het niet willen, de investering is nooit tastbaar, alleen het gebrek eraan.
En bijna geen enkel bedrijf zal en public zeggen dat er losgeld is betaald, maar vaak komt het later wel of niet uit dat het daadwerkelijk wel is gebeurd...
Een rechercheur van de politie kan dat prima achterhalen hoor, desnoods FIOD erbij, rekeningen en boekhouding openslaan en gaan met die banaan.
Het betalen van die ransomware is reden nummer 1 dat het nog gebeurd. Je zit die criminele activiteiten glashard rendabel te maken en dus ook voor de toekomst te faciliteren als je dat doet. Ik vind toch zeker dat dat consequenties mag hebben.

Ik snap dat je in een lastig parket zit als je dataredundancy niet op orde is en je als random manager die keuze moet maken met tig bedrijfsbelangen in je nek, maar als je jezelf op dat punt bevind ben je al over zoveel koffietafels gestruikeld dat dit meer een soort consequentie is van je eigen acties dan dat je echt een slachtoffer bent van invloeden van buitenaf.

Dit probleem blijft zichzelf voeden als er niet op hoger niveau bepaald wordt dat het betalen van losgeld geen optie is.
Als je opslag array in elkaar klapt ben je je data ook kwijt en kan je ook niet even een bitcoin ergens tegenaan gooien om het weer terug te krijgen dus mensen moeten echt om die psychologische wortel heen die ze wordt voorgehouden door die criminelen.

En erna ook. Hoe ga je om met je security? Hoe weet jij dat die criminelen niet meer met je bestanden en systemen gedaan hebben dan alleen versleutelen?

[Reactie gewijzigd door Polderviking op 26 november 2020 15:30]

Ik weet dat dit het duivelse dilemma is. Maar op die manier stopt dit nooit.
Zorgen dat je je beveiliging enz op orde hebt?

Dan stopt het ook.

Als je geen goede backups ed hebt, dan is betalen m.i. in uiterste geval toegestaan anders ben je als bedrijf failliet. Wil jou dan wel eens horen als jij daar werkt en je baan kwijt bent.
Wil jou dan wel eens horen als jij daar werkt en je baan kwijt bent.
Dat is natuurlijk nogal een dooddoener, zo kun je geen enkele boetes of regels instellen. "Ja we zijn gehackt en onze klantgegevens liggen op straat, maar als je ons die boete geeft gaan er banen verloren!" of "Ja we vervuilen de omgeving, maar we hebben wel vijfhonderd man in dienst en als je het schoonmaken bij ons verhaalt raken al die banen verloren!" zijn toch ook kulargumenten?

Losgeld betalen is een mooie ver-van-mijn-bedshow als het over internet gaat maar in feite zitten we wel met zijn allen miljoenen het criminele circuit in te pompen.
Dan is dat een bedrijfsrisico waar je mee moet kunnen leven. Net als je door uitval van personeel of leverancier te weinig inkomsten dreigt te hebben je ook niet onbevoegd personen toch laat werken of je je spullen op de criminele markt gaat halen om toch maar te blijven bestaan. Een goede ondernemer dekt die risico's af en je baan of bedrijf verliezen is niet het einde van de wereld.

[Reactie gewijzigd door kodak op 26 november 2020 12:43]

Wil jou dan wel eens horen als jij daar werkt en je baan kwijt bent.
Er zijn zoveel manieren waarop je door regulatore factoren je baan kan verliezen. AVG boete's bijvoorbeeld. Is toch meer van hetzelfde? Een backupbeleid hebben die ergens op slaat lijkt me gewoon een aftakking van diezelfde straat.
Als "stel je voor dat je je baan verliest" aan de basis moet liggen van dingen waar wel en geen regels tegen verzonnen (mogen) worden dan kan je niets doen en moeten bedrijven min of meer een absolute vrijbrief krijgen...

Het betalen van losgelden aan criminelen die je word documentje kunnen gijzelen, ter dele omdat je eigen backup strategie niet voldoende dekt of in zijn geheel afwezig is is gewoon een handeling die tegen het algemene belang werkt.

[Reactie gewijzigd door Polderviking op 26 november 2020 14:17]

O, mij kun je daar zeker op aanspreken. Ik ben de backup-meister bij ons op de zaak. Ik zorg ervoor dat alles wat ik kan backuppen, gebackupped wordt. Onze strategie bestaat uit:

- Snapshots in previous files
- Snapshots op SAN niveau
- Replicatie naar 2e locatie, op file gebied, op VM gebied en op mail gebied
- Backup to disk
- Backup to tape (die uiteraard offline gaan, ieder kwartaal een set de kluis in)

Volgens mij hebben we dat wel aardig ondervangen. Daarnaast natuurlijk op alle servers en endpoints een recente managed virusscanner met behavioural scan. Firewall die alles in sandboxed VM test, geen executable stuff via de mail binnenlaten, en binnenkort gaan we wat mij betreft de oude office-filetypes blokkeren. Daar moet nog even op gebroed worden, qua gevolgen.
Toevoeging: zorg voor een standalone computer waarmee de backups regelmatig gecontroleerd worden op leesbaarheid. Test ook af en toe je recovery scenario's, al is het maar op een virtuele representatie van je netwerk.

Een ongeteste backup is geen backup, maar pandora's doos.

[Reactie gewijzigd door nst6ldr op 26 november 2020 12:14]

Uiteraard doen we dat. Regelmatig wordt er ter test een VMetje terug gezet, of files. Overigens ook nog wel eens niet ter test :-)
Klopt, backups in order hebben is een prima defensief middel tegen ransomware. Toch zijn er veel meer dingen die je kunt doen, om gevaren als ransomwaren te ondervangen.

- Patching, meer dan alleen WSUS (dus wel alle applicaties patchen, niet alleen MS), en een scanner zoals Nessus om te piepen als je achterloopt.
- User training en testing op een regelmatige basis, met name op spoofing en social hacking
- Cental logging, zoals Splunk, zodat ALS je een issue hebt, je snel ziet waar de source is
- Action plan, wat zijn de grote lijnen die we ondernemen -ALS- we een issue hebben. Het is wel zo fijn dit al eens besproken, bedacht te hebben. (nee dit is niet een one- man operatie)
-Behavural real time monitoring, zoals Crowdstrike of ahnLab; hou je AD en file servers in de gaten; vinden er dingen plaats die buiten het normale plaatje vallen (een search op .docx files, bulk encryption, veel snelle file modifications tegelijkertijd) dan wordt IT gewaarschuwd
- Standaard real time monitoring, zoals PRTG or SCOM; gaan er systemen plat?
- In de mail kan er wel wat meer geprotect worden, bijvoorbeeld door de O365 filters, of als je nog on premises mail hebt door eerst een goede (cloud based?) spam/malware filter (ironport, fireeye) er op los te laten.
-DNS resolutie, dat kan beter dan alleen die MS DNS... InfoBlox kan je vertellen of je DNS misbruikt wordt om data naar buiten te smokkelen, maar ook gewoon een simpele pi-hole kan al een boel verbeteren
- en dan je internet traffic natuurlijk, zorg dat er geen crap binnen komt, dus proxy-en die hap.
- Lest best: multiple authentication, verschillende fijne oplossingen beschikbaar en vaak prima te combineren met oplossingen as Okta en Azure AD

[Reactie gewijzigd door Frost_Azimov op 26 november 2020 15:19]

Bij ons gerbuiken we sinds kort Sentinel One, met verregaande monitoring van je oa je laptop en de daarop aanwezige applicaties. In chrome zit zelfs een module die je niet kunt verwijderen, en die zal voor firefox en edge ook wel komen :?

Nadeel,, het bedrijf ziet alles wat je op je laptop doet.
Bij mijn werkgever doen we alles wat jij noemt + alle Macro filetypes van office blokkeren als mail attachments, en we draaien Carbon Black die nagenoeg alle installaties en executables blokkeerd dat niet whitelisted is, en individuele computers in een sandbox gooit als er vermoed wordt dat er iets mis is. Dit werkt tot de dag van vandaag uitstekend.

[Reactie gewijzigd door lagonas op 26 november 2020 11:57]

Die Macro types staan sowieso al geblocked. Wil alleen liefst ook de oude types blocken zoals DOC enz.

Dingetje daarmee is wel dat ons ERP pakket alleen die oude types kan rondmailen. En iedereen vindt die wekelijkse urenoverzichten erg handig.
Houd er rekening mee dat je ten minste drie maanden terug moet, dat is de tijd dat een dergelijke situatie vaak ongemerkt gaande is. Als data van gisteren net zo belangrijk is, dan zou dat meteen ook al off site en gecontroleerd leesbaar beschikbaar moet zijn.
Iedere dag lukt sowieso niet, maar ook wekelijks is al niet te doen vanwege de kosten van tapes. Iedere week 400€ wegleggen is niet te doen. Nog los van de milieu-impact.
Houd er rekening mee dat je ten minste drie maanden terug moet, dat is de tijd dat een dergelijke situatie vaak ongemerkt gaande is.
Hoe bedoel je dit precies?
Zo'n infectie kan iig idd lang "slapend" in je PC zitten maar als het daar om gaat is die drie maanden ook maar arbitrair.
Als dat ding bestanden begint te versleutelen wordt dat toch pittig snel helder. Zeker als je als ICT-er een beetje bovenop systemen zit die spontaan traag worden. Of hoge CPU usage registreren in je remote management pakketje.

[Reactie gewijzigd door Polderviking op 27 november 2020 00:39]

Die drie maanden is de minimale span waar je rekening mee moet houden. Ransomeware is vaak al maanden lang in de infra aanwezig om op de achtergrond zijn werk te doen, om vervolgens toe te slaan en de actuele omgeving te versleutelen.

Je kunt immers niet bovenop iets zitten waarvan je niet weet dat het al aanwezig is. Een beetje ITér gaat er van uit dat de buitenwacht al (maanden) binnen is.
Maar wat heeft de universiteit er nu van geleerd? Duur maandje storing, meer backups maken, maar wat verandert er nu daadwerkelijk?

Dat de backups niet op orde zijn is een fout van management en/of de IT-beheerders, maar ik vind het geen geweldige reden om geld in het criminele circuit te pompen. De universiteit heeft zich in de media mooi als slachtoffer opgesteld, een consultancybureau ingehuurd om een praatje te maken van wat er beter kan en toen waaide het allemaal weer over.

Losgeld betalen is makkelijker en goedkoper dan een paar jaar investeren in bedrijven. Cyberverzekeringsbedrijven weten dat en als (forensisch) herstel goedkoper is dan betalen, vergoeden ze de boel alleen als je betaalt. Zolang betalen een optie is, hoeft er geen geld te worden gestopt in betere beveiliging en backups omdat de ROI op goed degelijk handelen gewoon te laag is.
Voor diegene die het interessant vinden. Fox-It heeft onlangs een blogpost geplaatst over threat actor TA505, van de ransomware aanval op de Uni van Maastricht.
Maar is het verliezen van data door zo'n ransomware aanval niet praktisch hetzelfde als het verliezen door andere oorzaken? Het verschil is alleen wel dat er een kans is om de data terug te krijgen, maar er is ook zeker een risico dat de data niet vrijgegeven wordt na betaling.
In beide gevallen geldt dat als er een goed backup-plan is, dat de meeste data terug te halen is, en betaling bij ransomware niet nodig is.
Maar is het verliezen van data door zo'n ransomware aanval niet praktisch hetzelfde als het verliezen door andere oorzaken? Het verschil is alleen wel dat er een kans is om de data terug te krijgen, maar er is ook zeker een risico dat de data niet vrijgegeven wordt na betaling.
In beide gevallen geldt dat als er een goed backup-plan is, dat de meeste data terug te halen is, en betaling bij ransomware niet nodig is.
Er is vaak een prima backup-plan. Maar wat is reëel en haalbaar.

Ransomware kan soms al maanden in een backup zitten. En als je al op een backup van een maand terug zit, wat is die data dan nog waard (het zijn dan al oude gegevens).
Maar je kunt wel controleren of je backups wel intact zijn. Dat lijkt me toch wel haalbaar?
Het moet vaak eerst een keer goed fout gaan voordat bedrijven een fatsoenlijk budget hebben voor ICT.
Jezelf een universiteit noemen en geen backups hebben....
Geen backups... dat is schuldig verzuim... nog een extra boete er bovenop !
Helaas is dit niet altijd mogelijk. Of je vindt het oké om een bedrijf failliet te laten gaan puur omdat je dan geen ransom betaalt?
Eigenlijk een goede vraag. Wat voor consequenties zouden er moeten horen bij incompetentie met betrekking tot (klant)gegevens bij bedrijven?

Misschien is het handig om er gewoon een boete op te zetten (laten we zeggen, je betaalt het losgeld aan de ransomwaremakers en nog een keer aan Justitie) zodat verzekeraars niet meer kunnen eisen at hun klanten steeds losgeld gaan betalen. Of we maken het strafbaar voor verzekeraars om betalen aan te raden of af te dwingen.

Zodra men stopt met betalen, stoppen ook de ransomwareaanvallen zoals we ze nu zien. Zodra betalen duurder en vervelender wordt dan het inrichten van goede backups, zullen bedrijven stoppen met betalen.

Het hoeft misschien niet per se strafbaar te zijn, we zouden ook een regeling kunnen maken dat zodra een bedrijf losgeld betaalt voor ransomware, hun IT de komende paar jaar door een erkend beveiligingsbedrijf geaudit wordt met dikke consequenties als ze falen. Een soort van onder curatele staan, maar dan met betrekking tot digitale infrastructuur. Het bedrijf blijft bestaan, de banen blijven behouden, maar de directeur moet opeens een tweede telefoon voor candy crush om geen virussen meer op het bedrijfsnetwerk te krijgen. Als je het zo aanpakt dat de top zich belemmert voelt in hun vrije keuzes als het fout gaat, worden er waarschijnlijk ook betere beslissingen gemaakt.

Ik vind persoonlijk dat er in ieder geval iets moet gebeuren om te zorgen dat bedrijven er niet zo makkelijk van af komen. Als we niet op tijd een regeling hebben, dan wordt "ik heb geen backups" binnen de kortste keren even maatschappelijk geaccepteerd als het "ik ben niet zo goed met computers" dat je als smoesje hoort van mensen wiens hele baan bestaat uit het bedienen van computers. Niet competent kunnen handelen mag geen excuus zijn, het is een probleem.
Het is niet enkel een probleem van beveiliging, de drempel voor afpersers is nu ook veel lager geworden. Je kan op zich al een grote klap uitdelen door de link tussen cryptocurrencies en het normale betalingsverkeer te verbreken (en dan bedoel ik niet crypto op zichzelf verbieden, maar wel de mogelijkheid om ze legaal voor echt geld te kopen/verkopen). Als de afpersers niet meer ontraceerbaar geldstromen kunnen wegsluizen leg je de drempel voor dit business model al veel hoger. Bedrijven of personen afpersen voor fysiek losgeld met een koffertje met cash of goud onder een brug enzo, dat is een heel wat groter risico voor de afperser.
Je gaat er even vanuit dat een perfecte backup strategie bestaat. En dat als een bedrijf gegijzeld is, ze dus blijkbaar hun IT niet op orde hebben. Zo makkelijk is dat niet. Elk bedrijf kan worden gehacked en elk bedrijf kan een succesvolle ransomware aanval te verduren krijgen. Daar kan geen IT beveiliging tegenop.

Het is een illusie om te denken dat je je hier 100% tegen kunt bewapenen.
Het is zeker waar dat elk bedrijf gehackt kan worden en dat je nooit alles backupt. Dat hoeft ook niet, alleen de data waar je bedrijfsproces van afhankelijk is, hoeft goed te worden gebackupt.

Als je je Excel-sheets backupt en dan je browserfavorieten en kladbloknotities kwijtraakt in een backup is dat kut, maar overkombaar. Als je je verstuurde facturen kwijtraakt (en klanten zijn van het type dat ze later zeggen dat ze er nooit een ontvangen hebben) dan ben zit je diep in de problemen, maar de nieuwsbrieven van marketing hoeven nou niet bepaald ieder uur veilig te worden gesteld.

Je backupstrategie hoeft niet perfect te zijn, alleen goed genoeg. Schade loopt je bedrijf sowieso op als je gehackt wordt, je moet je er alleen tegen wapenen.

Bij de bedrijven waar de backups lokaal staan zodat ze mee worden versleuteld vraag ik me altijd af of ze het zouden overleven als er wordt ingebroken en de dieven de laptops en de NAS meenemen. Best realistisch, want laptops en computers zijn makkelijk mee te nemen en te verpatsen. Servers nog beter, die zijn snel veel geld waard.
Servers stelen bij een inbraak om door te verkopen? Succes daarmee, ik geloof niet dat inbrekers alle servers uit een rack gaan schroeven om vervolgens die (soms lood)zware dingen te verplaatsen tijdens een inbraak :) Maar ik kan me vergissen.

Wat betreft de plaatsing van de backup... die is ergens bereikbaar op je netwerk, aangezien je er dagelijks data naar toestuurt. En dus ook toegankelijk voor een crimineel. Het zal niet altijd makkelijk zijn, maar als je maanden bezig bent in een netwerk met het vooruitzicht op een beloning van 100 duizenden euro's, dan heb je ook genoeg tijd om je daar op te richten.
De meeste bedrijven hebben gelukkig niet zoveel servers (of ze staan in datacenters) maar de gemiddelde MKB (of een MKB die te snel gegroeid is) zal nog wel eens wat kritieke NAS-en op kantoor hebben staan.

Je hebt op zich gelijk dat een APT met zicht op grote beloning de tijd kan nemen om manieren te bedenken zodat ze write-only backups te verzieken, maar die criminelen kun je ook wegjagen door het betalen van losgeld te verbieden. Als ze zo slim zijn om diep een bedrijf in te kruipen, weten ze ook dat er in Nederland niet betaald mag worden en dat de directie liever haar geld kwijt is dan haar vrijheid.

Als het einddoel sabotage is (zoals bij het virus dat MAERSK toen een tijd plat legde) helpt dat natuurlijk niet om de criminelen te ontmoedigen, maar dan helpt betalen ook niet om je data terug te krijgen.

De enige gevallen waarbij ik zou denken dat het verbieden van losgeld geen goede oplossing zou zijn, zijn hacks door automatische scripts die niet weten in welk land of welk bedrijf ze zitten, zoals bijvoorbeeld dat ransomwarevirus dat per ongeluk bij een ziekenhuis binnenkwam. Dat is ook precies het soort infectie waar een goede backup/beveiligingsstrategie je tegen beschermt.
Servers nog beter, die zijn snel veel geld waard.
Waarom denk je dat?
Die dingen raak je volgens mij aan de straatstenen niet kwijt.

De meeste bedrijven kopen gewoon in bij vaste en vooral ook bekende leveranciers, ook als je tweedehands/refurb koopt, en het aantal particulieren dat een server wil hebben is echt nihil.

Inbrekers hebben m.i. veel meer aan honderd werkplekken die je voor 200 euro per stuk kan verpatsen aan elke willekeurige jan doorsnee die een computer zoekt.
Kijk maar eens naar de tweedehands servermarkt waar je als inbreker mee moet concurreren. Genoeg grootbedrijven/enterprises die nog steeds zeg maar even op kalenderbasis servers inkopen en weer van de hand doen die perfect te gebruiken zijn in het MKB en gekocht kunnen worden voor een relatieve habbekrats.
Dan ga je toch niet dealen met zo'n bobo die hardware aan je wil verkopen die harstikke heet is en feitelijk op elk moment in beslag genomen kan worden?

Ook in de praktijk meegemaakt.
Ruim tien jaar geleden hebben ze bij mijn werkgever ingebroken. Alle pc's in mijn netwerk waren weg maar de serverruimte, die ze wel opengebroken hebben, hebben ze verder met rust gelaten. Inclusief een server en twee (catalyst) switches die er gewoon los lagen en niet eens uit 't rack getild hoefden te worden.
Volgens mij zijn die dingen echt te veel gezeik voor mensen op zoek naar het snelle geld.

[Reactie gewijzigd door Polderviking op 27 november 2020 01:10]

Mee eens en ik denk dat dit ook in een breder kader past:

De misschien cliché observatie is dat hoe hoger in de boom, hoe meer verantwoordelijkheid ze claimen met dito salaris, maar hoe minder verantwoordelijkheid ze nemen.

Als je zoveel verantwoordelijkheid claimt, dan mag je ook ter verantwoording worden geroepen.

En ik denk dat de dreiging van celstraf de enigen methode is om deze groep mensen in het gareel te krijgen.

Zolang het lekken van persoonsgegevens of andere schade door slecht ICT-beleid geen consequenties heeft, gaat er niets veranderen. En de huidige AVG legt boetes op en boetes zijn niets anders dan 'the cost of doing business' voor deze mensen.

Celstraffen.
En de huidige AVG legt boetes op en boetes zijn niets anders dan 'the cost of doing business' voor deze mensen.
Nee, dat is een grote misvatting.
Zo was het in het verleden, maar AVG heeft daar juist verandering in gebruikt. De boete kan namelijk zo hoog oplopen dat geen enkel bedrijf dat kan wegboeken als "the cost of doing business"

Daarom dat bedrijven nu ook ineens druk bezig zijn met de AVG. De meeste regels zaten al 10 jaar eerder in de Nederlandse wetgeving, maar de boetes waren zo laag dat niemand zich er druk over maakte.

En niet alle ransomware aanvallen zijn het gevolg van nalatigheid. Er zijn ook aanvallen met zero-day vulnerabilities
Ik hoop dat je gelijk hebt, maar ik heb er gewoon niet zoveel vertrouwen in, om heel eerlijk te zijn. Ik ben misschien een beetje te cynisch. Dat de AVG tot hele hoge boetes kan leiden, wil niet zeggen dat ze ook worden opgelegd.

Ik heb dit artikel uit Mei jl. gevonden.

3 Miljoen boetes aan 5 bedrijven.

Ten eerste vind ik dat nogal weinig bedrijven straf hebben gehad. Ten tweede vraag ik me af wat het bedrag per bedrijf was en hoe dat zich verhoudt tot de omzet (jouw punt).

Ik geloof gewoon veel meer in persoonlijke, hoofdelijke aansprakelijkheid.
Ik lees hier nogal eens de toon van: als je succesvol gegijzeld bent, dan eigen schuld dikke bult. Had je je eigen IT maar beter op orde moeten hebben. Zo simpel is dat niet. Deze criminelen zijn niet meer de script kiddies van vroeger, maar zeer goed georganiseerd, met veel financiële steun en heel veel tijd om jouw netwerk te onderzoeken, aan te vallen en een ideale aanvalsvector te bedenken. Daar kan geen beveiliging tegenop. En als je zegt dat jouw (zakelijke) netwerk wel voldoende is beveiligd, dan weet je niet waarover je het hebt.

Dus het is te makkelijk om te roepen dat ze geen losgeld moeten betalen en dan maar falliet moeten gaan, want eigen schuld = dikke bult. De wereld is wat complexer dan dit.

Wat eventueel wel een idee is, zoals @GertMenkel ook voorstelt, is om audits te laten doen als verzekeringsmaatschappij, als zoiets mis gaat. Om te kijken of je adequate maatregelen had getroffen om dit mogelijkerwijs te voorkomen. Bijvoorbeeld als je een verzekering wilt afsluiten hiervoor, dat je aan een aantal richtlijnen moet voldoen en dit moet bewijzen bij een schadeclaim. Dat lijkt mij zinvol.

[Reactie gewijzigd door segil op 26 november 2020 11:39]

Daar kan geen beveiliging tegen op klopt niet. Omdat je beveiliging hoe dan ook niet 100% kan zijn wil dat niet zeggen dat het niet helpt. En ransomware is er in heel veel varianten net zoals er criminelen zijn in alle soorten en maten. Ja, als jij last hebt van een crimineel die heel veel skils, geld en tijd heeft en het echt op jou voorzien heeft dan heb je een probleem. Maar heel veel van deze ransom problemen begint met stomme fouten, gemakzucht en gebrek aan inzicht. Veel ransomware komt binnen omdat iemand lukraak maar een bijlage en software start. Om dat vervolgens te doen op een it-systeem dat onvoldoende gepatched of slecht gescheiden is in rechten. Dan kan je wel zeggen dat het niet de eigen schuld zou zijn maar die crimineel zorgt er niet voor dat jij, je medewerkers of de directie genoegen nemen met dat soort gebreken.

Dat soort audits achteraf is geen oplossing voor het probleem. De schade is er dan al. Het lijkt veel meer zin te hebben dat mensen die ondernemer of medewerker zijn zich bewust worden van het gebrek aan kennis wat ze hebben en iedereen aan IT geld kan verdienen maar dat weinig zegt over de kwaliteit. Het zou al heel wat zijn als ondernemers zich eens bij het in dienst nemen en het kopen en afnemen van diensten en producten eisen gaan stellen aan kwaliteit op gebied van beveiliging. En daar dan ook geld voor vrij maken dat er dus meer kosten en tijd aan kunnen zitten. Maar dat lijkt nog niet zo heel populair te zijn. Want tijd en geld zijn ook leuk te gebruiken om meer winst uit te keren of om je onderneming uit te breiden (of zelfs in stand te houden).

[Reactie gewijzigd door kodak op 26 november 2020 13:07]

Als je je wilt verzekeren tegen losgeld, dan kan het wel zin hebben dat de verzekeraar stelt aan welke eisen je moet voldoen. Dan is het aan jou als bedrijf om dat te implementeren. Net zoals ook een inboedelverzekering kan verlangen dat je sloten en andere beveiliging voldoet aan een bepaalde keurmerk. Zo kan een verzekeraar voor losgeld ook eisen dat je beveiliging aan bepaalde normen voldoet.

Ik denk dat dat een goede stap is. En als dan achteraf blijkt dat een bedrijf die normen niet gevolgd, dan ook geen schade uitkering.
Moedig besluit om niet te betalen en daarmee criminele activiteiten te ondersteunen. Zo te zien ook goede back-ups gemaakt, of de ransomwareaanval was niet zo geavanceerd, aangezien ze regelmatig lang in je netwerk blijven en daarmee ook je back-up servers infecteren. Kunnen veel bedrijven nog wat van leren.
Een slim bedrijf zet de backups ook niet op hetzelfde netwerk en maakt ze read-only.
En "slimme" cybercriminelen maken software die vaak lang inactief blijft om op backups terecht te komen zodat terugzetten ook niet altijd helpt.
Het is en blijft jammer genoeg een kat en muis spel.
Wanneer je backup-software dan merkt dat er heel veel bestanden wijzigen, dan moet er toch ook ergens een belletje gaan rinkelen. Dat kan bij vrij eenvoudige oplossingen al (Synology NAS bijvoorbeeld).

Wanneer de inhoud van bestanden wijzigt, waardoor die niet meer overeenkomt met het bestandstype, dan zou dat ook een alarm moeten geven. Zijn er dan nog geen oplossingen die op een dergelijke manier beveiligen tegen cryptolockers?

Een honeypot waar bestanden in staan die normaal nooit gewijzigd worden, zou toch ook al aardig wat moeten detecteren in een vroeg stadium?
Hoe zit het dan als je backup alleen data bevat (dus: documenten, databases etc) - hoe kan er dan alsnog weer een besmetting uit de backup plaats vinden? Kan je dan niet een 'schone' installatie doen van servers en werkstations en de backup van die data terug zetten?
Data wordt ook versleuteld, dus zal je ook moeten ontsleutelen met de ransome sleutel.
Bovendien staan in documenten ook links en uitvoerbare code als macro's e.d.
Die data is dan al versleuteld voordat het in de backups terecht komt. Als je dat lang genoeg doet, heb je uiteindelijk geen onversleutelde backups meer.
(ook @Gorby) Je hebt gelijk als het alleen data zou zijn dan heb je gelijk. En deze data zou je dan offline moeten opslaan en beveiligen tegen overschrijven (al dan niet met behoud van vorige versies).
Ransomeware kan in sommige gevallen wel kijken of je backup systeem online komt en dan toeslaan (vandaar beveiligen tegen overschrijven).

Probleem is niet iedereen doet backups op die manier en ook niet vaak genoeg om niet toch een hoop schade op te lopen.
Zo te zien ook goede back-ups gemaakt, of de ransomwareaanval was niet zo geavanceerd..
Goede backups? Waar ziet u dat dan?
Niet geavanceerd? Waar haalt u al die informatie vandaan?
Ik zie het niet terug in het artikel.
Ook goede backups helpen je maar voor een deel.

Als de datum van infectie maar ver genoeg terug ligt, kun je a) nauwelijks vinden wanneer ze precies binnen zijn gekomen, en b) alles tussen datum van infectie en datum van uitvoering van de aanval niet zomaar even weggooien. Dat kan een paar maanden of zelfs meer dan een jaar zijn.

Mijn ervaring is dat vooral (b) een absoluut probleem is.
Ja, precies daar doel ik ook op. Back-up servers kunnen geinfecteerd zijn, herstellen in deze context interpreteer ik dan ook dat ze de data niet verloren zijn (aanname) en niet simpelweg een image terugzetten. Het zeker weten dat malware niet toevallig in je back-ups is geslopen moet te achterhalen zijn en de beslissing welke backups je terug gaat zetten is dan inderdaad erg belangrijk.
Ik denk dat ie hierop doelt: "Het persbureau zegt dat het bezig is zijn computers te herstellen."
Schijnbaar kunnen ze dus herstellen en hebben ze dus backups die niet geïnfecteerd zijn.
computers herstellen kan ook door overal alleen een nieuw schoon image over heen te zetten.
Computers en data zijn twee verschillende dingen. Computers en servers herstel je redelijk snel... Data is een heel ander verhaal.
Dat ligt maar net aan je infrastructuur. Met een beetje pech ben je als nog weken of zelfs maanden bezig als je infrastructuur maar ingewikkeld genoeg is.
Nou, niet helemaal. Als je geavanceerde malware hebt, die zich bijvoorbeeld vestigd in de MBR kan je zoveel schone images terugzetten als je wil, maar de malware blijft op het systeem staan. Herstellen interpreteerde ik hierin wel zodanig dat ze ook data hebben kunnen behouden. Ik kan me niet voorstellen dat je systemen in zo'n korte tijd hebt onderzocht en zeker wist of je de data kwijt bent of nog echt kan herstellen.
MBR is niet zo'n probleem, da's onderdeel van de disk of SSD. Die wordt gewist. Jij bedoelt vermoedelijk de UEFI partitie in flash?
Het is wel het voordeel van nieuws. Het per definitie volatiel. Je archief is vervelend om te verliezen, maar de core business zit voor een belangrijk deel in de hoofden van mensen en is meestal een paar uur oud. Het nieuws van morgen kan niet in een gisteren versleutelde computer zitten.

Vergelijk dat met de hierboven al ergens genoemde aanval op de Universiteit van Maastricht. Daar zijn jaren van onderzoek relevant. Metingen, interviews met proefpersonen etc. Die zijn onvervangbaar zonder vaak jaren werk opnieuw te doen.
Ook voor nieuws lijkt een archief me wel relevant. Je hebt het nodig om gebeurtenissen in context te kunnen plaatsen, feiten te controleren, uitzoekwerk voor achtergrondverhalen, al deels geschreven postuums, etc.

Een persbureau is misschien meer op de dagelijkse gebeurtenissen gericht dan andere redacties, maar ze zullen genoeg data hebben. Niet vergelijkbaar met een universiteit, maar net zo goed voldoende om te verliezen.
Hopelijk kunnen de Denen en wij dit op de voet blijven volgen. Ik zou wel willen weten hoe ze hier uit komen En of ze daarna er een groot redactioneel artikel aan besteden over hoe ze waren voorbereid. Wat voor backups ze wel en niet gebruiken en hoe dat heeft uitgepakt. Al is het alleen maar als voorbeeld hoe het ook kan.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True