Coalitie van bedrijven met Microsoft, McAfee en Citrix wil ransomware aanpakken

Een coalitie van negentien bedrijven, waarvan het merendeel beveiligingsbedrijven, heeft de Ransomware Task Force opgericht. Het doel is om door samenwerking verschillende niveaus in de aanvalsketen van ransomware aan te pakken om de dreiging tegen te gaan.

Onder de negentien oprichters van de Ransomware Task Force zijn naast Microsoft, McAfee en Citrix de beveiligingsbedrijven Aspen Digital, Rapid7 en Team Cymru. Verder zijn organisaties als The Global Cyber Alliance en The Institute for Security and Technology betrokken, aldus de mededeling van laatstgenoemde.

De deelnemers zijn van mening dat ransomware een te grote dreiging is om als enkele organisatie aan te pakken. Binnen twee tot drie maanden willen ze een pakket maatregelen samenstellen, gericht op verschillende onderdelen in de ransomwareketen. Daarnaast willen ze gaten vaststellen die er nu nog bij de bestrijding zijn. Uiteindelijk moet de samenwerking een breedgedragen roadmap voor de bestrijding van ransomware opleveren.

De dreiging van ransomware is in de afgelopen jaren toegenomen en inmiddels gaat het om een miljardenindustrie waar professionele en goed georganiseerde bendes achter zitten. Bij de bestrijding werken autoriteiten al regelmatig samen. Een bekend samenwerkingsverband is No More Ransom, dat Europol in 2016 begon.

Reacties (59)

Anonymoussaurus 22 december 2020 15:29

Goed initiatief, maar verbaasd me dat ze zich niet meteen aansluiten bij "No More Ransom": https://www.nomoreransom.org/nl/partners.html.

Verwijderd @Anonymoussaurus • 22 december 2020 16:09

Omdat die meer op de opsporing is gericht (veel politie). hier gaat het om mechanismen om het te verhinderen.

Anonymoussaurus @Verwijderd • 22 december 2020 16:16

Niet helemaal. McAfee heeft zich er ook bij aangesloten. Ik zeg niet dat er een direct verband is tussen de twee. Plus dat het No More Ransom gaat over het aanbieden/produceren van decryptietools. Tevens gaat het ook over het preventieve deel: https://www.nomoreransom.org/nl/about-the-project.html

De "No More Ransom" portal is een initiatief van het Team High Tech Crime van de Nederlandse politie, Europol's European Cybercrime Centre, Kaspersky en McAfee met als doel slachtoffers van ransomware te helpen bij het herstellen van hun versleutelde bestanden zonder de criminelen te betalen.

Omdat voorkomen beter is dan genezen richt het project zich op het informeren van gebruikers over de werking van ransomware en de maatregelen die hiertegen genomen kunnen worden. Hoe meer partijen dit project steunen hoe beter het resultaat kan worden. Dit initiatief staat open voor andere publieke en private partijen.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 12:28]

edeboeck @Anonymoussaurus • 22 december 2020 15:58

Goed initiatief, maar verbaasd me dat ze zich niet meteen aansluiten bij "No More Ransom": https://www.nomoreransom.org/nl/partners.html.

Zeker omdat McAfee al bij No More Ransom betrokken is

himlims_ @Anonymoussaurus • 22 december 2020 15:52

dat klinkt logisch "gaan we dat sowieso niet doen"

5pë©ïàál_Tèkén 22 december 2020 16:43

Particulieren/consumenten zijn al geen sterren met het up to date houden van soft/firmware, bij bedrijven (vooral overheden) is dit helemaal een ramp. Zo lang bij bedrijven (niet allemaal!) een cultuur heerst van 'het werkt toch, het is zo duur en oh ja, we hebben een admin pasje van de afdeling) is het dweilen met de kraan open. Beveiliging in het systeem werkt niet als de plakbriefjes met wachtwoorden aan de monitor hangen of men geen zin heeft 'in het gekloot met privé en werk mailboxen'.
Er hoeft slechts een zwakke link in de keten te zitten en de boel valt om. Helaas wíllen overheden niet de stappen zetten die nodig zijn om dit gesodemieter buiten de deur te houden. Zo lang er een honger is naar achterdeurtjes (en achterkamertjes

) is de mindset bij overheden niet op orde.
ICTers hebben jaren geroepen 'ooit gaat het mis!' en werden weggezet als paranoia en kijk-mij-eens-belangrijk-wezen. Nu is het moment dat de zwakheden (waar tig duizend systemen op zijn gebouwd) worden opgezocht, uitgebuit en verkocht.
Zoals bij alles geldt - wie niet horen wil, moet maar voelen. De tijd van (niet) luisteren is voorbij

K-aroq @5pë©ïàál_Tèkén • 22 december 2020 23:12

Een groot deel (binnen organisaties) gaat fout omdat de IT afdeling gewoon niet goed is om het belang van ICT te communiceren naar mensen voor wie ICT slechts 1 van de vele aspecten is waar ze rekening mee moeten houden. ICT opleidingen (of ICT-ers zelf) zouden er goed aan doen om studenten te leren hoe ze moeten communiceren in een groter geheel. Leg voor niet-technische mensen eens uit waarom je moet upgraden bijvoorbeeld. Maar ook als er nieuwe software is: leg eens uit wat het voordeel voor de gebruiker is.

Harm_H 22 december 2020 15:55

Hoe kan een bedrijf zich verdedigen tegen sleeper ransomware? (ransomware die zich pas na 3 maanden activeert en dus ook in je backups zit)

twiet @Harm_H • 22 december 2020 16:04

In het geval van sleeper ransomware is een 'bare metal restore' of 'snaphost backup' niet aan te raden. Je restoret een besmet systeem.

Dus wat je in zo'n geval kunt doen is je operating systeem en applicaties installeren vanaf scratch. Dus Windows vanaf een Windows ISO bestand dat je downloadt vanaf het internet en op een USB stick zet.

Daarna je applicaties vanaf het originele installatiemedium (internet, USB, CD). Daarna restore je de data en configuratie specifiek vanaf je backup. Denk aan databasedumps die je restoret in je databaseserver, ini bestanden, etc.

Het is veel meer werk én je moet het regelmatig oefenen en documenteren, maar in dit geval de enige manier om weer door te kunnen.

nst6ldr @Harm_H • 22 december 2020 16:43

Het is niet opgelost door ff te klikken op StopRansomware.exe, er is een reden dat cybersec een aparte discipline in de branche is geworden. Huur eens een beveiligingsarchitect in, die heb je maar tijdelijk nodig en het plan wat hij voor je kan schrijven is goud waard (mits je 'm natuurlijk uitvoert).

Naast technische maatregelen zijn er ook organisatorische en bedrijfsmatige maatregelen te nemen namelijk. Reken erop dat er grote noodzakelijke wijzigingen gaan gebeuren in de beheerorganisatie van je bedrijf.

Aetje @nst6ldr • 24 december 2020 11:02

... en gezeur van gebruikers. "Waarom kan ik deze files niet meer via Dropbox overzetten? Dit heeft altijd gekund!

"

De gemiddelde gebruiker - zeker management en de management assistenten - wil geen gebruiksgemak opofferen voor veiligheid. En daardoor zul je dit soort issues blijven houden.

Pinkys Brain @Harm_H • 22 december 2020 16:44

Back-ups controleren op een geïsoleerd ultra paranoide systeem. Moet alleen maar bij de opslag kunnen, een mail sturen voor status/waarschuwingen en SSH toegang hebben.

De beheer laptops moeten helemaal niks anders op het internet kunnen doen behalve SSH naar die systemen, hebben ze ook geen updates nodig. Als er nieuwe software moet worden geïnstalleerd dan eerst maar in drievoud schriftelijk aanvragen.

dasiro 22 december 2020 15:32

ik snap dat ze dingen wat gecoördineerder willen aanpakken, maar dit is de zoveelste samenwerking tussen bedrijven en een paar overheden (of instanties) en ondertussen blijven er aanvallen komen.

Je zou bijna denken dat de GCA hiermee zegt dat ze gefaald hebben als je hun tagline leest:

Cyber risk is an international challenge that requires a coordinated approach and nontraditional collaboration. That’s why GCA takes a global view. We have built a partnership network that spans every sector and more than 30 countries, bringing together partners and professional communities to provide concrete, measurable solutions to reduce cyber risk. From New York, London, Brussels, and around the globe, we unite the best and brightest cyber minds to do good.

nu gaan we dus coalities van allianties krijgen en dat zou dan de oplossing moeten brengen? "Oplossingen" komen als het puntje bij paaltje komt nog steeds van de individuele bedrijven en die zullen zichzelf eerder op de borst kloppen dan hun babbelkabinet credit geven.

K-aroq @dasiro • 22 december 2020 22:56

Of de IT wereld gaat eindelijk eens leren van andere industrieen. Het zal tijd worden dat de IT wereld eens volwassen wordt. Kijk naar de telecomsector. Daar worden nieuwe zaken eerst gezamenlijk door leverancier en providers gestandardiseerd in 3GPP voordat er producten gemaakt gaan worden. Zonder zo'n aanpak was het bijvoorbeeld onmogelijk geweest om met een willekeurige telefoon (ongeacht te technologie) een willekeurige andere telefoon te bellen. Of mobiel internet. Pak een willekeurige 4G telefoon en je kunt je aanmelden. Ongeacht wie het netwerk heeft geleverd. Of kijk naar de autoindustrie. Als die net zo zouden werken als de IT wereld had ieder merk zijn eigen soort brandstof gehad.

hiostu @K-aroq • 22 december 2020 23:04

In de IT zijn ook veel dingen gestandaardiseerd, TCP, IP, DNS, HTML, CSS, JSON, etc. In de auto industrie zijn net zo veel niet gestandaardiseerd te vinden. Je kunt niet zo maar een auto aanpassen met onderdelen van een willekeurige andere fabrikant.

Aetje @K-aroq • 24 december 2020 11:05

De protocollen waar de IT wereld op draait zijn vaak verouderd en lastig bij te werken omdat dat de compatibiliteit met oudere systemen onderuit gooit. Zie IPv6. Zie DNSSec. Zie POP3/SMTP. Zie FTP.

Er komt langzaam verandering in, maar de adoptie van IPv6 en geharde vormen van DNS lopen nog wat achter.

HerrPino 22 december 2020 16:14

Ransomware moet toch middels hardware en OS kernel en driver aanpassingen aangepakt kunnen worden? Het moet door een kernel en de hardware gezien kunnen worden dat een drive encrypt wordt?

nst6ldr @HerrPino • 22 december 2020 16:44

Nee, het lezen, schrijven en overschrijven van bestanden is legitiem gebruik van je filesystem.

Fox Hound @nst6ldr • 22 december 2020 16:58

Toch vraag ik me af of het echt niet herkaanbaar is. Tools als Hitman Pro lijken wel op basis van gedrag encryptie te kunnen herkennen en stoppen/terugdraaien. Als je iets dergelijks op OS niveau implementeert zou je misschien al een goede stap kunnen zetten.

Da Mad CoWw @Fox Hound • 22 december 2020 18:48

Er zijn tegenwoordig oplossingen die dit kunnen, CryptoSpike bijvoorbeeld gaat interageren met een NetApp storage oplossing (via fpolicy) en gaat afwijkende access patronen herkennen, rapporteren en blokkeren. Dit is echter enkel nog maar voor file access mogelijk en niet voor block access. Maar toch al een stap in de goede richting, en ik denk dat AI in dit soort uitdagingen een belangrijke rol zal spelen

K-aroq @Da Mad CoWw • 22 december 2020 22:58

Maar dan gaan ransonware makers het nog iets slimmer doen waardoor het geen afwijkend patroon meer is.

Neocortex-re @Fox Hound • 23 december 2020 18:30

Een vals positief trekt dan wel je bedrijfsproces onderuit. Liever niet in de operatiekamer.

Stijn98765 @nst6ldr • 22 december 2020 20:01

Als ik op OneDrive veel bestanden op korte tijd verwijder/aanpas dan krijg ik ook een mailtje om het eventueel ongedaan te doen.

K-aroq @Stijn98765 • 22 december 2020 22:57

Als ransomware bouwer ga je dan dus niet in korte tijd veel dingen verwijderen of aanpassen.

Snekerman 22 december 2020 19:45

Ik werk bij een onderneming met meer dan 10 miljard omzet per jaar.

Wij als locatie hebben dit jaar 2x ransomware gehad. Op een systeem die met windows XP waar een programma (zonder licentie) op stond die wij nodig hadden om producten naar binnen te draaien.

De eerste keer kwam ik erachter en belde ik onze (op locatie) 'ICT man'.
Deze kwam kijken en na een paar minuten zei hij "Ik denk dat, dat betalen word."

Waarop ik telefonisch contact heb opgenomen met een collega (die redelijk veel weet van ICT) en die adviseerde me contact op te nemen met onze oude systeembeheerder.
Dit dus gedaan en na een paar uren deed alles het weer.
Enkele maanden later hetzelfde probleem.
En daarna is er geupgrade van windows XP naar windows 7 en tevens het wachtwoord gewijzigd.

De ervaring leert mij dus, dat ransomware vooral op gedateerde systemen voorkomt, en dit eigenlijk te wijten valt aan het niet investeren in upgrades. Of is dit bij andere ransomware aanvallen niet het geval?

Finger @Snekerman • 22 december 2020 19:59

Ik ken meerdere getroffen bedrijven, maar allemaal hadden ze gewoon aardig up to date software. Maar meestal een zeer matige ICT. De meeste van die bedrijven hebben dan ook gewoon betaald. 1 daarvan is een opleidingsinstituut en uit angst alle examen projecten en data kwijt te zijn hebben ze de 10.000 euro maar betaald. Voor dat soort bedragen denk ik dat velen maar betalen. De meesten zijn besmet door laptops die prive zijn maar toegang tot de servers hadden.

[Reactie gewijzigd door Finger op 23 juli 2024 12:28]

ari3 23 december 2020 00:30

Tja, eerst een inherent onveilig besturingssysteem op de markt brengen en dan een lapmiddel op de markt brengen om het veiliger te maken. Leuk voor de Microsoft-aandeelhouders, maar moreel verwerpelijk.

erwn 22 december 2020 15:45

Wat een hoop cynische reacties, waarom? Ransomware is een groot probleem en initiatieven daartegen zijn toch op z'n minst het voordeel van de twijfel waard. Laten we hopen dat ze iets bereiken.

Publiek-private samenwerking is ook niet per definitie verkeerd. Ik kan me voorstellen dat samenwerking tussen politiediensten en gespecialiseerde bedrijven gewenst is tegen zo'n veelkoppig monster.

Harm_H @erwn • 22 december 2020 16:00

Wat een hoop cynische reacties, waarom?

Des te minder beweging, des te cynischer?

En misschien dat Ransomware niet verslagen wordt hierdoor, omdat ze het zelf niet kunnen. De IT'er kan het niet. Bedrijven betalen gewoon.

[Reactie gewijzigd door Harm_H op 23 juli 2024 12:28]

K-aroq @YangWenli • 22 december 2020 23:00

Dat komt alleen maar omdat de overheid meer verplichtingen heeft tot openheid. Een gemiddeld bedrijf hoeft hier niets over te communiceren. Maar het klinkt altijd wel lekker populistisch, een beetje schoppen naar de overheid.

Simon Weel 22 december 2020 15:28

Mooi initiatief. Ik heb het idee dat het eigenlijk een taak voor de overheid is, maarja, overheid en ICT....

lenwar

Beveiliging en antivirus
Microsoft

@Simon Weel • 22 december 2020 15:38

Dat ligt er aan. Opsporing en informeren: Inderdaad overheid. Maar technologie om het te detecteren en af te wenden zal toch echt bij de techbedrijven vandaan moeten komen.

Het is effectief een en-en.

B64

@Simon Weel • 22 december 2020 15:47

Hoezo, de overheid is toch ook niet verantwoordelijk voor de kwaliteit van het slot dat jij op je voordeur hebt zitten? Organisaties en individuen zijn primair zelf verantwoordelijk voor het buiten de deur houden van ongewenste gasten, zowel in de echte als in de digitale wereld.
Los daarvan heeft de overheid natuurlijk een belangrijke rol in het opsporen van daders, en het oprollen van criminele organisaties en netwerken.

Simon Weel @B64 • 22 december 2020 17:18

de overheid is toch ook niet verantwoordelijk voor de kwaliteit van het slot dat jij op je voordeur hebt

Nou, toevallig ben ik werkzaam in de bouwwereld en de overheid heeft in het Bouwbesluit wel degelijk randvoorwaarden gesteld aan de kwaliteit van hang & sluitwerk. Ik kan me voorstellen dat de overheid ook eisen stelt aan de kwaliteit van een digitaal slot? Maar zover zijn we nog niet, geloof ik....

K-aroq @Simon Weel • 22 december 2020 23:04

Precies. De overheid moet kaders stellen. Net zoals in het bouwbesluit kan dat ook prima voor ICT. En daar hoef je helemaal geen ICT expert voor te zijn. Liever niet zou ik bijna zeggen (als je teveel weet van een bepaalde technologie is het moeilijker om verder te kijken, je ziet al gauw de huidige beperkingen). Je wilt neutraal beschrijven waar iets aan moet voldoen. Het is dan aan de industrie om systemen te ontwikkelen die daar aan voldoen.
Voor een slot zal de overheid zeggen dat het een bepaalde tijd moet duren voordat het te kraken is. Hoe je dat bereikt is niet aan de overheid. Hetzelfde moet er gebeuren voor cybersecurity.

Simon Weel @Mushroomician • 22 december 2020 17:25

Met bedrijven die straks rijker zijn dan overheden

Hmm, ik zie het verband met het topic niet? Maar grote bedrijven zijn allang rijker dan de overheid. Toen Ronald Reagan op voorspraak van Milton Friedman de laatste 'beveiliging' van het kapitalistische model uit de weg ruimde (simpel_mode: tegenover x bedrag geld staat y hoeveelheid goud), konden bedrijven geld gaan maken. En dat doen ze. De gedachte dat de overheid degene is die geld maakt klopt dan ook allang niet meer.....

Pinkys Brain 22 december 2020 15:52

Ik zie ramingen voor de totale economische schade van ransomware van honderden miljarden snel afgaant op biljoenen. Dan moeten we ons als maatschappij ons toch eens gaan afvragen, is cryptocurrency ons dat waard? Ik zeg nee.

Ransomware gecombineerd met elektriciteitsverbruik voor cryptocurrency haalt vrijwel zeker een biljoen+ weg van wereldwijde nuttigere productiviteit. Elk jaar.

Cryptocurrency is een ramp die zelfs iets als de Irak oorlog laat verbleken op economisch gebied. Ik snap niet hoe een weldenkend mens het kan ondersteunen.

[Reactie gewijzigd door Pinkys Brain op 23 juli 2024 12:28]

edeboeck @Pinkys Brain • 22 december 2020 16:01

Ik zie ramingen voor de totale economische schade van ransomware van honderden miljarden snel afgaant op biljoenen. Dan moeten we ons als maatschappij ons toch eens gaan afvragen, is cryptocurrency ons dat waard? Ik zeg nee.

Dat argument kun je gebruiken voor alle valuta (je hebt nog genoeg belastingparadijzen waar anonimiteit gegarandeerd is)... ik neem aan dat je dan niet voorstelt om geld in z'n geheel af te schaffen?

Pinkys Brain @edeboeck • 22 december 2020 16:20

Ik ben voor afschaffen van physiek geld en het afsluiten van swift van banken in landen die zich niet aan goede transparantie regels houden.

Ik ben niet zo bang van de Nederlandse regering maar ik vind wel dat georganiseerde criminaliteit gevaarlijke vormen aanneemt.

batjes

Microsoft

@Pinkys Brain • 22 december 2020 17:27

Nee dankje. Mijn bank, of wie dan ook die daar toegang tot heeft, de overheid bv, hoeft echt niet te weten waar en hoe ik overal mijn geld maar uitgeef. Ik PIN genoeg uit gemakzucht, maar betaal ook nog genoeg contant. Zelfs voor iets simpels als boodschappen doe ik het regelmatig nog contant.

Ik pleit liever voor een algemene betere aanpak van criminaliteit. Het is mooi dat bedrijven elke keer het voortouw nemen, maar overheden zouden hier ook wel wat meer op mogen inzetten.

K-aroq @batjes • 22 december 2020 23:07

Wat is volgens jou een betere aanpak van criminaliteit? Zoals je het nu zegt is het een beetje een loze kreet. Is het kinderen vanaf jongs af aan monitoren en bijsturen? Of misschien direct opsluiten bij een overtreding? Of pleit je voor keiharde straffen voor iedereen en alles? Of wil je juist praten met criminelen om ze zo te verbeteren? Allemaal opties om het beter aan te pakken. En ook niet onbelangrijk: hoeveel geld heb je er voor over? Mag de belasting 1, 2 of 10% omhoog?

batjes

Microsoft

@K-aroq • 23 december 2020 00:23

Beginnen bij het omhoog halen van het aantal misdrijven dat opgelost wordt, dat is in Nederland minder dan 25%. Beschamend laag, helemaal als je nagaat dat de meeste aangiftes alleen maar gedaan worden vanwege een verzekering of werkgever die dat eist. Dat zijn bananenrepubliek cijfers.

Als je ook ziet hoe los oplichters gaan op plaatsen als Marktplaats of Whatsapp en hoe belachelijk veel aangiftes er binnen moeten komen voordat er uberhaupt een agent naar gaat kijken (of hoe vaak mensen afgewimpeld worden als ze een aangifte komen doen). Het is een natuurlijk process dat hoe minder criminelen een strobreed in de weg gelegd wordt, hoe verder de gemiddelde crimineel elke keer gaat. Elke keer een klein stapje. Waarom niet, het risico is veel te laag.

Veel grote digitale aanvallen hebben hun origine in landen als Rusland, China etc. Wat niet zonder reden is, in plaats van dat we een hand uitreiken om met ze samen te werken. Zitten we ons liever druk te maken en vingers te wijzen naar de overheden zelf. Reken er maar op dat er vanuit het westen net zo hard richting die landen door criminelen aangevallen wordt om dezelfde redenen. Zo houden we die criminaliteit ook in stand.

Als er meer geld nodig is om criminaliteit beter aan te pakken, het zij zo. Het levert maatschappelijk een veelvoud op. Het is een investering, geen weggegooid geld.

[Reactie gewijzigd door batjes op 23 juli 2024 12:28]

Proliges @Pinkys Brain • 22 december 2020 16:33

Waar doel je op? wat heeft ransomware met cryptocurrency te maken?

Kun je ook die ramingen delen? Ben wel benieuwd naar meer info.

xouns @Proliges • 22 december 2020 16:58

Ik denk dat @Pinkys Brain er op doelt dat door cryptocurrency anonieme transacties kunnen worden gedaan (makkelijker dan reguliere geldtransacties) wat ransom ware vergemakkelijkt. Doordat het betalingsverkeer anoniem is kan je het adres van je wallet gewoon op het scherm van de getroffen gebruiker tonen zonder risico.

Pinkys Brain @Proliges • 22 december 2020 17:07

Alle ransomware gebruikt cryptocurrency, het maakt het veel laagdrempeliger en minder risicovol.

Mcafee heeft een raming voor cybercrime in het algemeen, maar ik neem aan dat een significant percentage veroorzaakt word door of ransomware of de pogingen om binnen te dringen voor ransomware.

https://www.mcafee.com/bl...cybercrime-on-government/

Neocortex-re @Pinkys Brain • 23 december 2020 18:38

Daar heb je wel een punt. Er is enorm geïnvesteerd om het reguliere betalingsverkeer te monitoren en opvallende stromen te signaleren. Vroeger kon je je geld naar Luxemburg brengen en dan was je uit het zicht van de autoriteiten. Dat is niet meer. Grote sommen contant is meteen MOB-waardig.

Dan is er nu cryptocurrency. Door de grote volatiliteit onbruikbaar als handelsvaluta. De verwerkingstijd van een transactie is onbruikbaar sloom. Door het gebrek aan onderliggende economische entiteit is de waarde puur virtueel. De koerswisselingen zijn alleen acceptabel voor criminelen die geen keus hebben. Het elektriciteitsgebruik is een schande in deze tijd.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: