NWO werd via phishingmail door ransomware getroffen maar kan back-ups herstellen

De Nederlandse Organisatie voor Wetenschappelijk Onderzoek werd via een phishingmail geïnfecteerd met ransomware, zegt de organisatie. De NWO heeft back-ups gemaakt waarmee het netwerk wordt hersteld. De werkzaamheden hervatten deze week weer.

De NWO werd halverwege februari gehackt door de DoppelPaymer-ransomware. De organisatie zegt nu dat het op 8 februari is getroffen door middel van een phishingmail, al geeft het geen verdere informatie over hoe dat precies lukte. Volgens de organisatie waren er wel back-ups aanwezig. De NWO is momenteel bezig met het herstellen van het netwerk. Dat kan omdat er volgens de organisatie wel back-ups werden gemaakt. Ook over de vorm van die back-ups is verder niets bekend.

De back-ups die worden teruggezet lopen tot aan 5 februari, drie dagen voor de infectie. Onderzoeken en aanvragen voor subsidies die na die datum zijn ingeleverd zijn kwijt, zegt de organisatie. De NWO werkt momenteel samen met het Nationaal Regieorgaan Onderwijsonderzoek en het Nationaal Regieorgaan Praktijkgericht Onderzoek SIA aan een inventarisatie over welke andere informatie er nog kwijt is.

Ondertussen start de NWO het werk inmiddels weer op. Het is bijvoorbeeld weer mogelijk om subsidies aan te vragen. Wel waarschuwt de organisaties dat sommige deadlines vertraagd worden.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-03-2021 07:2888

18-03-2021 • 07:28

88 Linkedin

Lees meer

Politie pakt man op die verdacht wordt van het maken van phishingpanels Nieuws van 22 juli 2021
'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers' Nieuws van 14 mei 2021
Hack bij transportbedrijf AH betrof ransomware, levering kaas weer op gang Nieuws van 12 april 2021
Hackergroep Doppelpaymer zet NWO-bestanden online na weigering te betalen Nieuws van 25 februari 2021
Hackers Hogeschool en Universiteit Amsterdam zijn uit op 'financieel gewin' Nieuws van 19 februari 2021
Nederlandse Organisatie voor Wetenschappelijk Onderzoek is gehackt Nieuws van 15 februari 2021
Ransomwarecriminelen beloven gezondheidsorganisaties niet aan te vallen Nieuws van 20 maart 2020
Meer producten en artikelen
Beveiliging en antivirus Ransomware

Reacties (88)

-Moderatie-faq
88
85
29
1
0
45
Wijzig sortering
Infor40
18 maart 2021 07:37
Ik zou echt heel graag zien dat er eens een review/test komt met hoe je je privé kunt beschermen tegen diverse soorten ransomware. Hoe goed is bijv. de beveiliging in Win10 op dit gebied? Wat is de meerwaarde van AV-software? Hoe verhoudt zich het gebruikersgemak tegen de beveiliging?

Beschermen cloud-services nu wel of niet goed? Zitten daar verschillen in tussen ik noem maar wat Dropbox, OneDrive, etc.

Ben je met de standaard backup-mogelijkheden van Win10 en macOS goed beschermd of laat dat ook te wensen over?
bigbuddha
@Infor4018 maart 2021 07:42
En wat met ransomware die slaapt(al in de backup zit). Hoe kan je als privé of klein bedrijf daar tegen beschermen? Vragen vragen..
daredevil__2000
@bigbuddha18 maart 2021 09:52
Over het algemeen is het kenmerk van een ransomware welke al slapen aanwezig is dat deze wel alles reeds heeft versleuteld en dat de bestanden puur nog toegankelijk zijn door de aanwezigheid van de sleutel in het geheugen.

Wanneer je met enige regelmaat je backups test dan zou dit aan het licht moeten komen. Dit omdat je dan je backup terug zet naar een tijdelijke plek om te testen of de backup wel echt gelukt is. Doordat op deze tijdelijke locatie dan niet de sleutel in het geheugen aanwezig is zou je geen toegang moeten krijgen tot de door de ransomware versleutelde bestanden.
The Zep Man
@bigbuddha18 maart 2021 09:09
Simpele oplossing: backup server gebruikt deduplicatie, en alarmeert wanneer er plots veel meer nieuwe data wordt opgeslagen als dat gebruikelijk is. Dan weet je het al binnen één backupcyclus dat er iets mis is.

Je kan natuurlijk ook een analyse doen tussen de huidige backup en de vorige backup. Te veel wijzigingen zorgt dan voor een alarmsignaal.

[Reactie gewijzigd door The Zep Man op 18 maart 2021 09:11]

THM0
@The Zep Man18 maart 2021 09:56
Uitdaging is wel dat je moet weten dat je op dit soort signalen moet monitoren (en daarna het ook goed weten te implementeren). Daar begint het al bij kleinere bedrijven: niet de middelen om een fulltime security specialist in dienst te hebben. Dan moet je de toko nog weten te overtuigen dat ze in implementatie en monitoring van dit soort controls moeten investeren. En je dient je threat model continu te blijven aanpassen aan het huidige landschap.
Ga er maar aan staan als je een generieke IT-er bent bij zo'n bedrijf die eigenlijk overal van is op het vlak van IT.

[Reactie gewijzigd door THM0 op 18 maart 2021 09:57]

The Zep Man
@THM018 maart 2021 10:17
Uitdaging is wel dat je moet weten dat je op dit soort signalen moet monitoren (en daarna het ook goed weten te implementeren). Daar begint het al bij kleinere bedrijven: niet de middelen om een fulltime security specialist in dienst te hebben.
Je snijdt hiermee een groter probleem aan, dat niet enkel betrekking heeft op ransomware.

Niet investeren in informatiebeveiliging wordt steeds duurder.
FuaZe
@bigbuddha18 maart 2021 08:16
Door bestanden over te zetten op een HDD en deze te ontkoppelen?
Als de schijf los is van een PC, kan ransomware de bestanden niet aanpassen.
We hebben ook een apparaat dat schijven kan kopiëren, dus voor het restoren maak je nog een backup van je backup.
Dan doe je een clean install van je OS (om de ransomware, of de triggers daarvan te disablen).

Of bijvoorbeeld door code te pushen naar GitHub, daar kun je vorige versies nog inzien en ransomware zal niet snel zelf de geencrypte code gaan pushen.

Het is alleen een probleem als je de backup hebt gemaakt op het moment dat de helft van je bestanden al stiekem gelockt is.
Maar als je ook nog een 'cold storage' backup van de maand ervoor hebt, zie ik het probleem niet.

Bestanden veranderen zichzelf niet zonder OS waarin de cryptolocker wordt uitgevoerd.
uFx
@FuaZe18 maart 2021 09:07
Maar dat is niet helemaal de oplossing. Want bij slapende ransomware ben je dus bestanden aan het backuppen die versleuteld zijn. Het besturingssysteem kan ze nu nog gewoon lezen maar zodra de ransomware / aanvaller er voor kiest om de sleutel weg te halen zit je dus met waardeloze backups.

Oplossing hiervoor is natuurlijk om je gemaakte backup goed te controleren maar in veel gevallen gebeurt dit natuurlijk niet.
sygys
@uFx18 maart 2021 11:26
Wat ik niet snap is dat een volwassen OS als Windows niet ziet dat er een proces bestanden aan het versleutelen is. Ik kan er met mijn verstand niet bij dat dit niet heel eenvoudig op te lossen is. Als je de gebruiker geen rechten geeft om bestanden te versleutelen dan kan dit toch niet gebeuren? Hoe kan het dat deze processen kunnen blijven draaien?
Cerberus_tm
@sygys18 maart 2021 23:04
Tja, het proces moet inderdaad verhoogde rechten hebben. En om die te krijgen moet het een kwetsbaarheid in Windows uitbuiten. Helaas zijn onze besturingssystemen zo ingewikkeld dat er altijd 100,000 bugs in zitten die niemand nog kent.
Scriptkid
@bigbuddha18 maart 2021 08:09
zie mijn post below , full stack ATP van MS icm MCAS en AIR zijn een hele solide bescherming hier tegen die geen enkele 3rd party kan bieden.
m3gA
@Scriptkid18 maart 2021 08:54
Sentinel one. Carbon Black doen het allemaal. Persoonlijk vind ik Sentinel One zelfs beter. De vraag gaat trouwens over particulieren. Die hebben geen toegang tot deze tooling.
Mopperman
@m3gA18 maart 2021 09:02
Wij hadden ooit Cybereason op het werk - totdat we geraakt werden door een "slapende ransom" -
Resultaat:
1800 servers opnieuw installeren, backups recoveren en 6 weken aan data kwijt.

Sinds dien zitten we ook op Sentinel One.
Razwer
@m3gA18 maart 2021 10:06
BlackBerry Cylance PROTECT en Optics zijn in mijn ogen sterker met een veel volwassenere AI.
elsinga
@Infor4018 maart 2021 07:52
Ik maak backups op mijn Synology NAS, met een directe sync naar mijn 2e (oude) Synology NAS. Op mijn primaire NAS wordt dagelijks een BTFRS snapshot gemaakt, ik kan dus terug naar een vorige versie van elk bestand. Stel ik krijg malware, die mijn NAS bereikt, dan zie ik het ruimtegebruik de volgende dag exploderen omdat de snapshot ineens heel groot wordt met al die gewijzigde bestanden. Dan kan ik terug naar de versie van de dag er voor (na de Malware om zeep te hebben geholpen). Ik verlies dus hoogstens de data tot de vorige backup.

Ik verklein overigens de kans op besmetting door een custom DNS provider waar alle advertentie en malware domeinen worden geblockt. En let goed op bij het ontvangen van mail, wat weinig moeite kost omdat ik voor elk bedrijf een eigen mailadres gebruikt en dus mail van zeg de Rabobank met het AH mailadres is direct heel verdacht en hoogstwaarschijnlijk SPAM of erger.

En iemand die goed heeft opgelet weet dat de off-site backup nog mist. ;) Dat klopt... na het stoppen van Stack heb ik nog geen andere cloudstorage provider gevonden die mij minimaal 5TB kan leveren voor max 100 euro per jaar en waar ik ook echt gebruik van mag maken... Ik dacht dat MS365 Family (6TB voor 100 euro) wat kon zijn, maar tijdens de proefperiode bleek dat als je maar een beetje data die kant op kopieerde je account gelocked werd. Onbruikbaar dus voor iets anders dan spaarzaam documenten schrijven. Als iemand een tip heeft... graag!
BugBoy
@elsinga18 maart 2021 07:55
Kijk eens naar Backblaze. Goed betaalbaar als je een enkele computer moet backuppen.
RonnnL
@BugBoy18 maart 2021 08:09
Hmm, ik gebruik zelf ook Backblaze, en voor beperktere data-omvang is het een prima oplossing, maar als ik hun blog bekijk is het tarief 0.005 USD/GB opgeslagen data. Dat is dus zo'n 25 USD per maand bij opslag van 5 TB die Elsinga wenst. Jaarlijks telt dat dan toch aan.
niekkes
@RonnnL19 maart 2021 10:33
Aanrader inderdaad icm met CloudSync van Synology. Werkt heel goed. Als je gaat kijken denk ik dat je niet snel een goedkoper alternatief gaat vinden dat zo goed al ondersteund wordt door Synology.
air2
@elsinga18 maart 2021 07:59
Maar het gevaar is natuurlijk dat die malware je nas infecteerd en je btfrs snapshots om zeep helpt, want dat soort dingen is wat hier natuurlijk speelt. Oftewel je moet niet alleen een offsite backup hebben, maar die moet ook offline zijn. En daar loop je, vooral bij grote organisaties, tegen een probleem aan. Want dat is best intensief, of je moet met taperobots gaan werken, wat weer erg prijzig is.

edit: zoals hieronder aangegeven is het scenario natuurlijk niet heel waarschijnlijk voor thuisgebruikers. Maar voor een gerichte ransom aanval is dat natuurlijk wel waar je op richt, dat je de backupserver hacked en dan in dit geval de snapshots vernietigd. En zeker als er een synology of linux kernel of ssh server etc. zero day vrijkomt dan wordt het ineens wel een realistisch scenario.

[Reactie gewijzigd door air2 op 18 maart 2021 10:07]

Piemol
@air218 maart 2021 08:22
Is het onvoldoende bescherming (ik weet dat niet!) als de verbinding met de NAS (sftp/ssh) alleen opgezet wordt door/via een backupprogramma voor alleen het wegschrijven van backups?
Weet malware dan gebruik te maken van die verbinding om op de NAS te komen?
Dus de NAS is niet permanent als netwerkschijf o.i.d. verbonden.
Palmachius
@air218 maart 2021 08:22
In het meest waarschijnlijke scenario wordt er een Windows machine in je netwerk getroffen en zou de ransomware kunnen proberen alle netwerk shares (ook) te versleutelen. Het ligt niet echt voor de hand om de snapshots ook via een netwerk share beschikbaar te stellen, dus daar kan de ransomware niets mee. En dan nog, je kunt btrfs snapshots ook read-only maken. Ik gebruik daar zelf btrfs-snap voor.
SmokingCrop
@air218 maart 2021 08:40
Als je de connectie naar die 2e nas enkel voor backup gebruikt via bv. Synology Hyperbackup, waarbij je ook een aparte gedeelde map gebruikt waar enkel 1 apart account schrijf rechten op heeft, dan moet er al een kritieke kwetsbaarheid zijn die misbruikt wordt alvorens die 2e nas ook encrypted kan worden.
dixet
@elsinga18 maart 2021 08:23
iDrive personal, $99.50 voor 10 TB.
Daarvoor mag je met één gebruiker meerdere computers - inclusief NAS - backuppen. Gebruik het nu al een aantal jaar naar tevredenheid (al heb ik nog nooit een restore nodig gehad, wel 1x getest)
en nu nog in de aanbieding ook
elsinga
@dixet18 maart 2021 10:06
iDrive lijkt inderdaad niet verkeerd. Er is ook een package voor mijn Synology NAS. Maar even een jaartje proefdraaien.

Wel apart, na het opgeven van de encryption key kan ik in de webgui van iDrive nog steeds unencrypted bestanden downloaden.
elsinga
@dixet18 maart 2021 17:37
Inmiddels draait iDrive een tijdje, maar het schiet niet erg op... de throughput richting hun omgeving door de Synology client is traag. Maar goed, dat was Stack ook. We hebben een jaar om te testen voor $35,-. ;)
robbinonline
@elsinga18 maart 2021 08:02
Heb je wel eens naar backblaze gekeken?
Mavamaarten
@robbinonline18 maart 2021 08:24
Het smerige model van backblaze (correctie: Backblaze B2) is vooral dat je voor download meer betaalt dan upload. Als je dan een keer een grote backup moet terugzitten kan je nog gaan dokken, alleen niet aan de mannen van de malware.

[Reactie gewijzigd door Mavamaarten op 18 maart 2021 09:13]

wmkuipers
@Mavamaarten18 maart 2021 08:40
Kan toch prima zijn? Ik hoop er nooit gebruik van hoeven te maken, maar als ik m’n kritische bestanden eens moet herstellen uit AWS Deep Glacier dan weet ik dat herstel en data out me 50 euro gaat kosten. Opslag is praktisch centenwerk.

Ik heb zelf een risicoinschatting gemaakt dat ik het nodig heb voor een eens in de 10 jaar event, dus vind die kosten dan echt een compleet lachertje voor oerdegelijke betrouwbare opslag.
JustFogMaxi
@Mavamaarten18 maart 2021 08:40
Das een afweging, ga je die backup ooit nodig hebben? Zelfde als een hoog eigenrisico verzekering.

[Reactie gewijzigd door JustFogMaxi op 18 maart 2021 08:40]

lvdgraaff
@Mavamaarten18 maart 2021 08:57
Bij Backblaze Online Backup hoef je niet te betalen voor het downloaden van je data. Dat is alleen het geval als je bijvoorbeeld naar Backblaze B2 storage gaat.
HakanX
@elsinga18 maart 2021 08:06
Stel ik krijg malware, die mijn NAS bereikt, dan zie ik het ruimtegebruik de volgende dag exploderen omdat de snapshot ineens heel groot wordt met al die gewijzigde bestanden. Dan kan ik terug naar de versie van de dag er voor (na de Malware om zeep te hebben geholpen). Ik verlies dus hoogstens de data tot de vorige backup.
Van wat ik begreep doen de slimmere malware het een beetje bij beetje zodat het niet opvalt. Laten we zeggen dat je bestanden over een termijn van een maand encrypted zijn. Je hebt het niet gemerkt aan de grootte van je backups en na een maand krijg je een popup dat je moet betalen. Hoe ga je te werk? Eén voor één je bestanden controleren wanneer ze encrypted zijn en daarna de juiste versie herstellen? Is er geautomatiseerd software die kan herkennen wanneer de headers van de bestanden zijn gewijzigd om zo de juiste versie te herstellen? Als laatste wat ga je doen met belangrijke bestanden die je hebt aangemaakt of bewerkt in de periode van een maand terwijl de mallware aanwezig was? Daar heb je geen schone versie van namelijk.

Wat betreft off-site backup zet je 2e of 3e Synology of andere oplossing bij iemand anders in de meterkast. Genoeg horrorverhalen over cloudproviders gehoord. Sync je een foto van je kind toevallig, wordt het opeens aangemerkt als kinderporno en is heel je account geblokkeerd. Of een willekeurig ander reden, echt een persoon die specifiek naar jou situatie gaat kijken ga je bij die grote bedrijven niet vinden.

[Reactie gewijzigd door HakanX op 18 maart 2021 08:12]

mphilipp
@HakanX18 maart 2021 08:17
Van wat ik begreep doen de slimmere malware het een beetje bij beetje zodat het niet opvalt. Laten we zeggen dat je bestanden over een termijn van een maand encrypted zijn. Je hebt het niet gemerkt aan de grootte van je backups en na een maand krijg je een popup dat je moet betalen
Of erger: dat ie een maandje 'slaapt' en dán pas beetje bij beetje de boel encrypt. Dan zou je hooguit kunnen overleven als je een schema aanhoudt dat je steeds één maandbackup bewaart en die pas na laten we zeggen 3 of 6 maanden wegkiept.
Rukapul
@mphilipp18 maart 2021 08:51
Waarom wegkiepen?

Ik maak op m'n Linux (file) server met rsnapshot dagelijks een snapshot. Daar heb ik nu 11 yearly, 12 monthly en 7 daily incremental snapshots. Ca 2x per jaar wordt daar een kopie van gemaakt op een disk die een brandwerende kluis in gaat.

Omdat het incremental is valt de hoeveelheid extra ruimte reuze mee.
r2504
@elsinga18 maart 2021 08:22
Kijk eens naar Crashplan (spijtig genoeg alleen nog maar in een Pro versie te krijgen).
metalant
@elsinga18 maart 2021 08:37
Misschien ouderwets, maar misschien is opslag naar tape nog iets voor je?
ido_nl
@elsinga18 maart 2021 08:45
5tb is ook wel erg veel, je kan je afvragen of dat echt in een cloud backup moet staan.

Als data niet veel wijzigt zou je ook een usb disk bij je ouders kunnen leggen en alleen de meer dynamische data in de cloud kunnen zetten. Kan me niet voorstellen dat je de 5tb dagelijks nodig hebt.

Andere optie is nas ruimte delen met een vriend, dan kan je elkaars backup zijn.

Ik gebruik zelf synology cloud voor mijn configs en foto's. 300gb is voor mij dan genoeg.
quizzical
@elsinga18 maart 2021 08:57
Mijn oplossing is vergelijkbaar, maar ik heb die 2e NAS bij mijn vader geplaatst. Op die manier heb ik een off site backup en hij gebruikt hem ook voor zijn data (die dan weer naar de NAS bij mij kopieert).
Het is geen realtime snc bij mij maar een nachtelijke backup van de verschillen (met waarschuwing als er plots grote wijzigingen zijn).
Nick1402
@elsinga18 maart 2021 08:58
Je zou de data kunnen encrypteren en dan uploaden naar usenet.
IJsbeer
@elsinga18 maart 2021 09:10
AWS storage of Azure Blob storage? Je NAS kan daar prima naar backuppen. In ieder geval van Azure kan je ' Cold Storage' doen, wat nog goedkoper is en bedoeld is voor veel ' read only' data.

[Reactie gewijzigd door IJsbeer op 18 maart 2021 09:11]

walletje-w
@elsinga18 maart 2021 12:28
Kun je je 2e NAS niet simpelweg offsite neerzetten?
elsinga
@walletje-w18 maart 2021 17:34
Helaas niet, waarschijnlijk. Geen ouders meer, zoonlief woont nog thuis, dochterlief op kamers (en zonder plek om de ratelende schijven niet te horen). Dit was de eerste optie die ik had bedacht, maar helaas...
betwetor
@Infor4018 maart 2021 07:42
Ook voor mkb en iets groter is het niet een simpel verhaal.
spiree
@betwetor18 maart 2021 10:27
Absoluut, help in mijn vrije tijd wel eens wat mkb bedrijven met hun it. Maar wat je daar aantreft is 9 vd 10 keer echt vragen om problemen. Helaas leren ze het vaak pas nadat ze 1 keer getroffen zijn door ransomware...
betwetor
@spiree18 maart 2021 16:16
Doe ik ook, en ook al is het zo dichtgetimmerd als dat realistisch is, op het moment dat er ergens een zerro day gebruikt wordt, ga je nat.
melcon
@Infor4018 maart 2021 08:17
De 3-2-1 regel volgen:
https://www.veeam.com/blo...20backup%20copy%20offsite.
marino_centrino
@melcon18 maart 2021 11:09
Dat is een goede als het om fysieke risico's gaat, zoals disk failure, brand etc.

Voor ransomware heb je het risico dat bestanden corrupt raken. Dan kan je backup mechanisme er voor zorgen dat ook de backups corrupt raken en heb je er niks meer aan.

Dus de vraag is terecht en blijft voor veel mensen een bedreiging. In hoeverre beschermen besturingssytsemen, antivirus software, cloud services etc tegen ransomware? Hoe zeker ben je dat ransomware je backups niet weet te bereiken? Kun je er bijvoorbeeld bij een offsite cloud backup op aan dat je terug kunt naar oudere versies van je bestanden?

Edit: ik zie hieronder wat suggesties voor professionele services, maar ik ben benieuwd hoe toegankelijk die zijn voor consumenten.

[Reactie gewijzigd door marino_centrino op 18 maart 2021 11:11]

Jan Onderwater
@melcon18 maart 2021 08:19
Goeie
supersnathan94
@melcon18 maart 2021 12:18
Die dekt niet de lading hoor.

Zolang je namelijk geen geversioneerde backups hebt die na opslaan read only worden ben je alsnog de sjaak doordat je ransomware die backups eerst gaat versleutelen en daarna pas gaat manifesteren op je systeem. Dus voordat je doorhebt dat je data corrupt is zijn je backups al gone. Het enige wat helpt is versionering in je backups die je daarna niet overschrijfbaar maakt.

Voor thuisgebruik is iets als dropbox/onedrive/iCloud daar dus heel geschikt voor. Daar wordt versionering in de cloud read only beschikbaar gesteld.

Via externe applicaties (maar ook via windows of macOS native) heb je nog steeds files op disk die benaderbaar zijn met de juiste rechten. Zelfde geldt voor NAS equivalent met shares. Zolang het overschrijfbaar is ben je de sjaak.
twiFight
@supersnathan9418 maart 2021 14:51
Waar jij op doelt is dan ook geen backup, maar een sync. Die twee dingen worden helaas te vaak door elkaar gehaald. Als jij je bestanden synct met 'de' backup dan heb je dat probleem ja. Als je niet synct maar aparte backups maakt dan worden die niet overschreven (en ja, dat moet je inderdaad ook afvangen, want ransomware zal dat wel proberen).

Van hoeveel dagen/weken/maanden je oude backups laat staan moet iedereen voor zichzelf bepalen.
supersnathan94
@twiFight18 maart 2021 15:45
Nee dat is helemaal niet wat ik bedoel. Ook incrementele backups kunnen overschreven worden. Time machine is bijvoorbeeld geen sync maar een geversioneerde backup. Alleen is dat wel een niet beveiligd bestand waar ransomware gewoon overheen kan schrijven. Is niets anders dan files on disk. Kun je met een andere computer namelijk ook zo bij.
blorf
@Infor4018 maart 2021 08:07
Bij dit geval, phishing-mail dus, was het volgens mij een goed idee geweest om gebruikerspermissies goed in te stellen. Een mail voor een gewone gebruiker moet niet de rechten hebben om programma's uit te voeren die onbekend zijn of op een vreemde locatie staan.
air2
@blorf18 maart 2021 10:09
Maar in combinatie met een zero day (of een niet up to date server) doen die er niet zoveel toe. Ja gebruikersrechten moeten uitterraard goed staan. Daarnaast, als iemand rechten heeft om b.v. bij de subsidie database te kunnen om entries te bewerken, tja dan kan die daar dus bij en dan kan de ransomware daar ook bij. Dus als je maar een gebruiker in de juiste positie treft kan het toch ineens best wel kritische data zijn die gehusseld wordt.
blorf
@air218 maart 2021 10:22
Een zero-day met remote code-execution mogelijkheid en privilege escalation als gevolg. Dan heb je een probleem maar die kans is zeer klein. En dan heb je ook geen phishing-pagina meer nodig tenzij je een zero-day hebt gevonden die werkt in de browser bij normale gebruikers die dan ergens op moeten klikken.

Wat betreft die database is het handig om aan te geven dat het database-programma zelf schrijftoegang heeft. Hetl liefst gespecificeerd tot directories en niet meer dan dat. Het hoort niet vanzelfsprekend te zijn dat de gebruiker daar ook zomaar kan schrijven met een ander programma.

[Reactie gewijzigd door blorf op 18 maart 2021 10:23]

Anand
@Infor4018 maart 2021 08:07
Eens. Dat zou nou eens een mooi Premium artikel zijn.
Scriptkid
@Infor4018 maart 2021 08:06
One drive gebruiken met de detectie rules voor crypto lockers ,

Onedrive blocked dan de upload van encrypted files , en als er een paar toch door komen (eerste paar tot de detectie ze ziet) kan je de previous version terug zetten.

Ik werk zo al jaren niks meer lokaal wat je nodig hebt opslaan alles op de D partitie met ODB ,
Reinstall is dan ook <5 min

Daarnaast moet je zorgen dat je defender ATP op de mailbox en je client hebt draaien (Dit is wel een kosten overweging als je dit ook prive wilt doen)
Infor40
@Scriptkid18 maart 2021 20:08
En staan die detectie rules standaard aan of moet je daar ook echt iets voor doen?
Scriptkid
@Infor4019 maart 2021 00:10
https://www.microsoft.com...activetab=tab%3aprimaryr1

ligt aan het licentie type dat je hebt, voor M365 family en personal wel, voor losse ODB niet.

https://support.microsoft...fd-40f4-acc7-b8c12c73637f

[Reactie gewijzigd door Scriptkid op 19 maart 2021 00:12]

Infor40
@Scriptkid19 maart 2021 07:30
Thanks!!
klakkie.57th
@Scriptkid18 maart 2021 09:06
Sta me toe, toch enigszins mijn bedenking te hebben bij de detectie mogelijkheid van Microsoft ... Ook zij werden slachtoffer van de "solar-winds" hack.

wie beschermt je als Microsoft getroffen wordt ?
Razwer
@Scriptkid18 maart 2021 10:16
En de recente Exchange vulnerability/hacks van Hafnium? Ik kan je vertellen dat wanneer je security producten van een ander bedrijf zou hebben (een willekeurige next-gen AV boer) de hacks niet zouden werken/lukken.
Gooi alle eieren maar in hetzelfde mandje. Wanneer de paashaas struikelt heb je niks meer.
Scriptkid
@Razwer18 maart 2021 13:01
Ik volg je even niet want MS heeft die signature beschikbaar gemaakt voor alle andere 3th party`s die het daarna ook zijn gaan toevoegen aan hun signature en databases.

Daarnaast draaien veel onprem servers juist met 3th party inspectie op de voordeur en 3th party agents op de server en geen van die 3th party`s deed detectie.

Daarnaast is geen enkel bedrijf beschermd tegen o-day exploit dat is een kip en ei , je moet eerst het exploit bekend hebben voor je remediation kunt maken. dat is juist het verschil met O365 waar servers tegen de baselines en behavior analyse lopen , dat zijn zaken die vaak onprem veel te duur zijn om te implementeen als security.

Maar goed zou je eens een vorbeeld willen geven van een software vendor waar dan geen vulnerabilities voorkomen of die de hafnium attack wel detecteerde voor Januari 2020

Kun je ook even aangeven waarom MS dan Leader is in meerdere Gartner onderzoeken :
https://techmoneyfit.com/...-gartner-magic-quadrants/

[Reactie gewijzigd door Scriptkid op 18 maart 2021 13:05]

Razwer
@Scriptkid18 maart 2021 13:50
Gartner kijkt niet naar kwaliteit maar naar functionaliteit. Daarnaast is het zo dat hoe meer vriendjes je bent met de Gartner analysts hoe beter je score is. Gartner kan je redelijk makkelijk om de tuin leiden als je slim te werk gaat, maar niet iedereen werkt op die manier.

Signature based AV loop je altijd achter de feiten aan. Er moet altijd eerst iemand de Sjaak zijn alvorens je een signature kan maken. AI based AV kan zeer zeker WEL beschermen tegen 0-day. Cylance uit 2015 stopt WannaCry (2017) zonder updates.
Daarnaast is Cylance BlackBerry Protect offline net zo goed als online, iets waar APT en andere vendors een puntje aan kunnen zuigen.

Ik snap dat je als werknemer alleen de evangelie van je eigen bedrijf predikt, maar als je jezelf een trusted security advisor wilt noemen hoor je ook buiten je eigen vaarwater de wateren te kennen en te respecteren. Wanneer je alleen een Microsoft stempeltje hebt kom daar dan ook eerlijk voor uit.
Scriptkid
@Razwer18 maart 2021 14:28
Ik geloof en sta volledig achter de oplossingen die MS bied zowel als mijn werkgever als mijn persoonlijke opinie daar verschuil ik me echt niet achter.

Wat ik meer proef is dat je denk ik niet de full security stack kent van MS, Meestal als ik ga vergelijken met andere vendors dan bied MS niet het kop stuk in de individuele pillar , maar als je de total sollution pakt is er geen 3rd party die in de buurt komt.

Juist de full stack is zeer belangrijk om je CISO en end users het makkelijker te maken en dat is toch de voordeur.
Razwer
@Scriptkid18 maart 2021 14:58
Let's agree to disagree.
En over Microsoft kennis... Ik acht het niet onmogelijk dat ik 3x zoveel MS certificeringen achter mijn naam heb staan dan wat jij (publiekelijk bekend gemaakt) hebt.

[Reactie gewijzigd door Razwer op 18 maart 2021 15:00]

Scriptkid
@Razwer18 maart 2021 16:42
Ik ben dan geinterreseert om wat te leren van je , kun je me helpen met alternative voor onderstaande scenarios:

Welke 3th party sortware kan dan bijvoorbeeld een email tegen houden voordat hij in de mailbox staat en dat correleren aan data op een 3de persoon zijn One drive en de file share van de onprem fileserver

Zijn er al 3rd parties die teams chat sandboxing doen ?

Zijn er al 3th parties die een azure account zijn tokens revoken op basis van een cryto locker upload naar ODB.

Zijn er al 3rd parties impementaties die cloud admin accounts recylcen na JIT?
Razwer
@Scriptkid18 maart 2021 17:08
Er zijn iig wel 3rd parties met betere spellingscontrole :+

Gezien inhoudelijk je bericht kant noch wal raakt is er heel veel te leren van me, maar daar zal een commerciele regeling getroffen moeten worden.

Ik wens je veel succes in de Microsoft wereld.
MiesvanderLippe
@Scriptkid18 maart 2021 08:26
Vind het echt zo onwijs flauw hoe het zwakke eigen security beleid van Microsoft nu de voornaamste motivatie is hun cloud producten te gebruiken... Exchange hack? Had je maar 365 moeten gebruiken. Gehackt via ons zwakke tekstverwerker? Tsja, had je ons cloud gebruikt niks aan de hand..

Edit: -1? Zijn er weer een paar vergeten hoe de moderatie functie werkt? Dit is letterlijk on-topic en op z'n hoogst een nulletje.

[Reactie gewijzigd door MiesvanderLippe op 18 maart 2021 09:55]

Scriptkid
@MiesvanderLippe18 maart 2021 09:38
Er zit een heel groot verschil tussen onprem en cloud technology op het gebied van security , authenticatie en detectie.

Kijk alleen al eens naar detectie, hoeveel beheerders controleren hun servers elke week op intrusion zoals webshells terwijl dat al jaren een issue is in onprem. ?

Hoeveel klanten doen al aan zero trust MFA voor alle authenticatie ??
Razwer
@Scriptkid18 maart 2021 10:08
Hoe "zero trust" is deze zelfbenoemde auth van MS? Microsoft is qua security "just not enough". Ze proberen het en het klootjesvolk trapt er in, maar voor ECHTE security moet je niet bij Microsoft wezen. Elke kenner zal dat beamen.
naaitsab
@Infor4018 maart 2021 07:56
Het is niet zo zeer een review of test maar meer een procedure. Software loopt bijna altijd achter op de virusbakkers.

Zorg dat je backups altijd op meerdere plekken hebt en bij meerdere diensten. Dus bijvoorbeeld een lokale NAS te preventie van je PC crash, backup naar de cloud en wellicht nog een sync van de NAS naar een ander huis/kantoor. Daarbuiten is de enige echte beveiliging tegen dit soort dingen de klassieke offline backups op bestandsniveau (in een OS kan een slapende cryptolocker zitten). Dus tapes/USB media of speciale DVD's met lange levensduur. Al is dat wat meer voor de bedrijven die zaken voor o.a. de belasting moeten bewaren.

Al blijft natuurlijk de beste anti-virus de persoon achter de knoppen. Open geen onbekende bijlages en bij twijfel gebruik iets van een sandbox. Tip hierin is dat Windows 10 Pro een ingebouwde Sandbox omgeving geniet. https://techcommunity.mic...ndows-sandbox/ba-p/301849
E Pericoloso
@Infor4018 maart 2021 08:12
Ik gebruik Avast Free geconfigureerd zonder shields en uitsluitend voor on-demand scans. Zo wordt Windows Defender niet verstoord. Malwarebytes Premium, mét shields actief, wil daarmee ook samenwerken.

Specifiek voor ransomware heb ik het Ransomeware Protection van Windows Security geactiveerd.

https://app.box.com/share...2zt0y6fn56nkujk01nz5r.jpg

[Reactie gewijzigd door E Pericoloso op 18 maart 2021 08:17]

Jan Onderwater
@Infor4018 maart 2021 08:18
1. Bij gebruik MacOS, altijd de laatste versie gebruiken
2. Gebruik alleen SW uit de Apple Store
3. Werk dagelijks onder een niet Root account
4. Zet in instellingen dat je alleen SW gebruiken wil die uit de Apple Store komt
5. Bezoek uit voorzorg geen sleazy websites, klik niet op popups
6. Gebruik een goede spamfilter op je email
7. Lees je in op wat een phisingmail is en reageer daar nooit op
8. Maak regelmatig backups van al je documenten
9. Zet geen persoonlijke gegevens op Facebook of andere sociale media, beter nog, gebruik geen Facebook.

Nog meer?
dgompie
@Infor4018 maart 2021 09:02
Ik gebruik zelf Linux voor zowel Desktop als servers en gebruik "borg" voor backups. Borg voegt alleen bestanden toe (en dan specifiek alleen de wijzigingen om ruimte te besparen). Je kunt vrij eenvoudig instellen hoeveel versies in het verleden bewaart moeten blijven. Backup kan naar een lokale schijf (maar die kan dan natuurlijk weer versleuteld worden door Ransomware) of naar een server. Als je de beveiliging van de server en borg goed op orde hebt, kun je alleen backups toevoegen en kan malware dus niet bestaande backups vernielen. Doet Timemachine voor macOS niet hetzelfde? Er zal ook wel iets soortgelijks voor Windows zijn.
Maurits van Baerle
@Infor4018 maart 2021 09:16
Wat macOS betreft, het viel me een tijdje geleden op een gewone gebruiker (jij dus) geen schrijftoegang heeft tot de TimeMachine backup. Aangezien de meeste ransomware onder jouw gebruikersrechten zal draaien kan het dus niet je backup encrypten.

[Reactie gewijzigd door Maurits van Baerle op 18 maart 2021 09:53]

spawnagain
@Infor4018 maart 2021 16:26
Check de videos van the pc security channel. https://youtube.com/c/thepcsecuritychannel

Hij doet tests met diverse antivirus programma's.
shaowoo
18 maart 2021 08:38
wat ik me afvraag...als ze op 8 feb getroffen zijn, dan zou het betekenen dat de hackers al veel langer binnen zijn. Een fishing mail an-sich leidt niet direct tot versleutelen van bestanden.

aanname:
1 fishing mail : tijd geleden veel eerder dan 6 feb
2 hackers drongen binnen en nestelen / laterale beweging etc
3 ransomware sloeg toe in de weekend (6-7 feb) en 8 feb maandag merkte men dat de bestanden versleuteld waren.

ik kan me voorstellen dat herstel langer dan 1 maand duurt, je moet alles opnieuw herstellen omdat je de backups van het O.S niet zonder terug kan zetten (vanwege aanname 2). Je zal dus alles opnieuw installeren en alleen data van de backup terughalen.Dan niet te vergeten of active directory nog betrouwbaar is..

hoop dat ze insight geven, net als bij universiteit Maastricht..

[Reactie gewijzigd door shaowoo op 18 maart 2021 08:39]

Pietervs
@shaowoo18 maart 2021 08:59
Hoeft niet per se.
Het kan ook zijn dat ze inmiddels achterhaald hebben dat er op 8 februari een phishingmail is ontvangen, of dat op die dag op een link in een phishingmail is geklikt (of allebei).
D.oomah
@shaowoo18 maart 2021 13:44
Zelf geven ze aan dat de hack is uitgevoerd op 13 februari. Hun eigen onderzoek zegt dat ze op 8 februari zijn binnengedrongen, dus ze hebben hier al aan gedacht.
humpus
18 maart 2021 09:00
Dit is misschien een heel domme vraag, maar als ik bepaalde map synchroniseer naar mijn Google drive, Onedrive, Dropbox, etc, dan worden de geïnfecteerde bestanden hierin toch ook naar de die service gesynct?

Wat heb ik dan aan mijn online backup?

Edit: of moet ik enkel mijn kopies gaan backuppen naar de Cloud? Maar daar speelt natuurlijk weer hetzelfde verhaal. Als de malware mijn bestanden geleidelijk aan besmet, zitten er sowieso besmette bestanden bij mijn kopies en dus ook in de Cloud.

[Reactie gewijzigd door humpus op 18 maart 2021 09:02]

oscarkortekaas
@humpus18 maart 2021 10:22
Nope, malafide bestanden worden niet gesychroniseerd naar je online opslag. Je zult alleen je lokale kopie kunnen weggooien en opnieuw beginnen.

https://support.microsoft...fd-40f4-acc7-b8c12c73637f
klakkie.57th
@humpus18 maart 2021 09:14
Tegen Cryptolockers is er niet 1 echte waterdichte oplossing.
Je mag dan wel "air-gapped / offline"backups hebben, maar wat als die ook al geinfecteerd werden ?
oppassen blijft dus de boodschap !
HhK1907
@humpus18 maart 2021 09:25
Dit zijn meestal geen constinue synchronisaties. Als je 1x per dag een backup draait, zijn de backup bestanden nog niet geïnfecteerd. Als je dan voor de backup synchronisatie er achter komt, dan stop je de synchronisatie en herstel je de backup.
MiesvanderLippe
18 maart 2021 08:30
Kwestie van tijd voordat de profi’s gewoon elke IP camera, elke switch, elke privé computer besmetten voordat de versleuteling start. Succes met het herstel van je back up, tot volgende maand!
Ngai
18 maart 2021 08:53
De NWO treft ons allemaal ;(
opa uche
18 maart 2021 12:46
Op dit moment zie ik idd ook geen goede oplossing voor mijn zaken thuis. Ben dus maar begonnen met het vullen van de externe 8TB schijf die ik dan maar eens per half jaar ga aanvullen en in de tussentijd off-site bij mijn ouders leg. Ik kan de PC volplempen met AV tools en scanners en dagelijks bezig zijn met de uitbreiding van het netwerk, maar heb ook nog wat andere dingen te doen geloof ik...

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee