Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Ict-beheerder van notarissen Managed IT blijkt slachtoffer van ransomware-aanval

Managed IT, de ict-beheerder van 96 notariskantoren die afgelopen vrijdag gehackt was, waardoor notarissen maandag niet konden werken, blijkt slachtoffer te zijn geworden van een ransomware-aanval. Dat zegt het bedrijf tegen Tweakers.

In de e-mailreactie die de algemeen directeur en securityofficer van het bedrijf schreven na vragen van Tweakers, meldt Managed IT dat het op 16 april slachtoffer is geworden van een 'aanval op de IT-systemen waarbij een belangrijk deel van de infrastructuur versleuteld is geraakt'.

Northwave Security, dat het bedrijf bijstaat, heeft de sleutel weten te bemachtigen om de gegevens te ontsleutelen, waarna Managed IT opnieuw volledige controle heeft gekregen over de systemen. Het bedrijf verduidelijkt dat hiervoor betaald is omdat er 'geen realistisch alternatief was'.

De algemeen directeur en securityofficer schrijven dat de aanval enkel gericht was op het bedrijf en niet op klanten, de 96 notariskantoren die gebruik maken van hun ict-diensten, waaronder ook cloudopslag. Het bedrijf zegt dat er na onderzoek van Northwave 'geen enkele reden is om aan te nemen dat er bedrijfsdata of klantgegevens gestolen zijn'.

Managed IT verwacht in de loop van vandaag alle klanten toegang te geven tot hun systemen zodat zij hun werkzaamheden kunnen hervatten. Intussen blijft het controleren op eventueel achtergebleven kwetsbaarheden. Ook heeft het bedrijf aanvullende beveiligingssoftware geplaatst in de systemen en voert het versneld multi-factorauthenticatie bij klanten in. Ook heeft het aanvullende back-upmaatregelen getroffen die worden uitgebreid.

In een reactie zegt de woordvoerder van de KNB, de beroepsvereniging van notarissen, blij te zijn dat er geen klantgegevens gelekt lijken te zijn. "Dat is goed nieuws. Het scheelt enorm dat er geen gegevens verdwenen zijn. We hopen dat deze hack als een waarschuwing dient voor notarissen en leveranciers. Kijk bij jezelf binnen of de beveiliging op orde is."

Update 14.25 - Northwave Security en Managed IT verduidelijken dat er is betaald aan de aanvaller voor de sleutels om het systeem te ontsleutelen. Welk bedrag daarvoor betaald is, wil het bedrijf niet zeggen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

21-04-2021 • 12:28

112 Linkedin

Reacties (112)

Wijzig sortering
Volgens het eerdere artikel van Tweakers is Managed IT gespecialiseerd in:

naast volledig ict-beheer voor bedrijven, onder andere diensten voor het beschermen tegen malware en ransomware,

De ironie is dan wel heel groot in dit geval.
De ironie is een stuk minder als je bedenkt dat iets als specialisme brengen bij een commercieel bedrijf niet zomaar wil betekenen dat je dat er dan maar standaard bij krijgt.

De vraag is dus wat een bedrijf met dat specialisme bedoelt en wanneer en hoe dat van toepassing zou zijn op de bedrijfsvoering die is getroffen. Het is erg makkelijk om iets als een specialisme te accepteren zonder te bedenken wat ze er werkelijk mee bedoelen om er vervolgens ironie in te willen zien.
Het gaat er niet om of de klant het er wel of niet bij krijgt, maar het feit dat Managed IT een specialist schijnt te zijn in bescherming tegen ransomware.

Nu zijn ze zelf getroffen terwijl zij deze bescherming (al dan niet optioneel) aanbieden.
Dan is de ironie wel daadwerkelijk aanwezig.
Dat lijkt je interpretatie van de woorden van Tweakers? Ik lees namelijk niet dat ze dat als bedrijf zo zouden stellen. Komt ook vreemd over, want een bedrijf specialist noemen is maar zo beperkt van toepassing als je mensen hebt en die zijn zelden allemaal in hetzelfde of op gelijke manier gespecialiseerd. Het komt er dan alsnog op neer wat de betekenis is, in plaats van het maar letterlijk te nemen.
Gevalletje de kinderen van de schoenmaker lopen zelf op klompen?
Ze zijn in ieder geval ervaringsdeskundigen nu :P
Heeft niks te maken met het erbij krijgen of niet. Managed IT vrkoopt zichzelf als anti-ransomware specialist en wordt vervolgens zelf slachtoffer van ransomware. Dat is ironisch, ongeacht wat hun klanten voor pakket afnemen.

/edit - en ja, ze zetten zichzelf neer als specialist
https://www.managed-it.nl...ed_Malware_Protection.pdf
"Doordat al deze beveiliging ook op netwerkniveau aanwezig is, kan worden voorkomen dat Ransomware verbinding maakt met het Internet. De Ransomware code wordt niet uitgevoerd en sleutels kunnen niet uitgewisseld worden."

[Reactie gewijzigd door Anders op 21 april 2021 15:15]

Dus als jij als bedrijf mensen kan inhuren om een bepaalde dienst te kunnen leveren als klanten daar voor kiezen maakt voor jou een bedrijf al specialist? Dat lijkt me een behoorlijke afzwakking van de betekenis tussen iets aanbieden en de werkelijkheid.
Ik stel niet dat ze geen specialisten zouden hebben op dat gebied, maar er is nu eenmaal een verschil tussen iets voor je klanten kunnen betekenen of het zelf allemaal ook toepassen. Of denk je dat een bakker perse zijn eigen brood gaat eten als zijn klanten er gebruik van willen maken? Nee, het is voor de verkoop, niet om het zelf te accepteren.
Eat your own dog food, als je naar de markt toe verkondigt dat je gespecialiseerd bent in ransomware beveiliging, wordt verwacht dat je dat intern ook bent.
Cisco wordt ook wel eens gehackt.
Sonicwall wordt ook wel eens gehackt.
Pentagon is ook wel eens gehackt..

Elk bedrijf kan zoiets gebeuren aangezien niets waterdicht is.
Er is nog een groot verschil tussen 'hacken' en slachtoffer worden van ransomware. Dat je te allen tijde kan gehacked worden, akkoord, er zijn nog een hoop vulnerabilities die nog niet ontdekt zijn en dus uitgebuit kunnen worden, maar tegen ransomware kan je gewoon gewapend zijn, genoeg producten die encryptie opsporen en meteen het bijhorende process killen en de betreffende toestellen isoleren.
En ook dan loop je altijd achter de feiten aan en zal er een keer een moment zijn dat het raak is.
precies - er gewoon vanuit gaan dat je 'eens de lul bent', en vooraf nadenken hoe die schade (data verlies / versleuteld) kunt beperken. Vraag is niet of, maar wanneer :)
Cisco wordt ook wel eens gehackt.
Sonicwall wordt ook wel eens gehackt.
Pentagon is ook wel eens gehackt..

Elk bedrijf kan zoiets gebeuren aangezien niets waterdicht is.
Ik snap je reactie maar deze gaat hier niet op. Je kunt niet roepen dat je gespecialiseerd bent in ransomware en dan alsnog losgeld moeten betalen.
Als je gespecialiseerd bent in ransomware dan zorg je dat je data ergens unmutable staat opgeslagen.

En als je dat niet gedaan hebt dan is dat prima, maar roep dan niet dat je daarin gespecialiseerd bent.
Onzin. Een voetballer kan een vrije trap specialist zijn, houdt niet in dat hij elke vrije trap raak schiet.
En zo kan ik nog wel duizenden voorbeelden noemen. Het is pas een probleem als je constant faalt in waar je goed in zou moeten zijn.
Als je gespecialiseerd bent in ransomware dan zorg je dat je data ergens unmutable staat opgeslagen.
Dat is wel wat simpel beredeneerd, een modern groot IT systeem is niet alleen een paar TB aan data op een NAS. Ja, de originele en bekende ransomwareaanvallen zijn vaak het versleutelen van wat data en evt het weggooien of ook versleutelen van backups. Maar dat is niet het hele spectrum van ransomwareaanvallen. Je kan ook credentials van managementlagen veranderen zodat je nergens meer admin rechten hebt (en in wezen iemand anders je apparatuur beheert). Als je dat wilt herstellen ben je tonnen zo niet miljoenen kwijt aan het on-site factory default resetten van die apparatuur en weer werkend herconfigureren.

Nog een leuke klap op de vuurpijl in zo'n geval: out of band management van servers kapen zodat je ze dreigt uit te zetten, of dat van de APU's en ga zo maar door. Airco-apparatuur kapen en elk uur 1 graad warmer instellen... Noem het ransomware 2.0 maar dat simpele wat data 'unmutable opgeslagen hebben' is slechts een van de zaken die je op orde moet hebben om tegen 'ransomware' beschermd te zijn.
[...]


Dat is wel wat simpel beredeneerd, een modern groot IT systeem is niet alleen een paar TB aan data op een NAS. Ja, de originele en bekende ransomwareaanvallen zijn vaak het versleutelen van wat data en evt het weggooien of ook versleutelen van backups. Maar dat is niet het hele spectrum van ransomwareaanvallen. Je kan ook credentials van managementlagen veranderen zodat je nergens meer admin rechten hebt (en in wezen iemand anders je apparatuur beheert). Als je dat wilt herstellen ben je tonnen zo niet miljoenen kwijt aan het on-site factory default resetten van die apparatuur en weer werkend herconfigureren.
In dit geval was het dus wel degelijk voldoende om een immutable offsite backup te hebben.

Het was niet mogelijk voor Managed IT om terug te vallen op back-ups. Het bedrijf had weliswaar back-ups op een andere locatie, maar die waren ook versleuteld omdat alles was verbonden. Er was geen offline back-up van de data van het bedrijf.

Bron: nieuws: Data ict-bedrijf Managed IT was versleuteld met Bitlocker en losgeld ...

Maar je hebt gelijk. Immutable backups zijn niet de holy grail. Het is een extra laagje om op terug te kunnen vallen.
Het is ook maar de vraag of ze die bescherming bij hen afnemen. Veel eindgebruikers leven nog met de gedachte dat IT door één partij geleverd wordt, terwijl het over grote deel aan IT partijen vandaag de dag een MSP is, waarbij een klant gewoon uit de services kan kiezen wat ze wel of niet willen afnemen.
Dan zal nu blijken hoe effectief hun mitigerende maatregelen zijn.

Edit: niet zo geweldig kennelijk ...

[Reactie gewijzigd door mac1987 op 21 april 2021 19:01]

Als de klanten niet gericht het doel waren, hoe kan het dan dat een hele ASP omgeving down gaat?
Is het een eindgebruiker geweest die op een verkeerde executable heeft geklikt of een admin die onoplettend is geweest. Het lijkt mij namelijk niet dat een eindgebruiker zoveel rechten heeft om een hele omgeving om te krijgen.

We lezen vaker over zulke zaken (ook hier op T.net) maar die background informatie ontbreekt namelijk heel vaak. Ik snap dat imagoschade daarin een aandeel kan zijn (hoewel het kwaad al is geschied), maar vanuit mijn perspectief zou ik deze informatie toch graag openbaar hebben. Dan kan iedereen hier van leren lijkt me.
JIj publiceert wel alle interne zaken van wat er bij jullie op het werk gebeurt?
Nee en dat is ook niet mijn punt.

Waar het mij om te doen is is de les die we hier allemaal uit kunnen opmaken. Beveiliging gaat ons allemaal aan en kan altijd beter/scherper/slimmer etc..
Ik hoef geen gedetailleerd verslag te zien maar ben gewoon nieuwsgierig hoe het fout heeft kunnen gaan en hoe wij (lees: iedereen die hier interesse in heeft) hier ook op kan acteren.
Is het een human error geweest, firewall/servers niet gepatched. Eindgebruiker met een stompzinnige klik op een .exe.

Nu blijft de oorzaak, naar mijn idee, vaak binnen gesloten kringen.

[Reactie gewijzigd door Dograver op 21 april 2021 13:02]

Genoeg zaken bekend, maar wil wel een ad-hoc samenvatting geven. Hoog over kun je drie fases onderscheiden. 1. Binnenkomen, 2 Lateraal door het netwerk gaan en domain admin worden en 3 ransomware uitrollen.

Binnenkomen
- phishing (universiteit maastricht)
- open RDP (hof van twente)
- vpn zonder mfa met leaked credentials direct toegang
- 0-days (exchange, pulse etc.)

Lateraal bewegen
- geen netwerk segmentatie (zie tiering model Microsoft) waardoor je vanaf 1 systeem naar elk ander systeem kan verbinden inclusief rdp, powershell etc.
- domain admin gebruiken om alles te beheren (tot aan werkplekken aan toe), service accounts die domain admin zijn, of organisaties waar alle 80 medewerkers domain admin zijn.
- wachtwoorden in plain tekst bestanden
- gebrekkige patching waardoor je van systeem naar systeem kan gaan door gebruik van bv eternalblue
- geen monitoring die een port scan detecteerd

Ransomware uitrollen
- backups wissen (vooral als backup beheer domain joined is), geen offline backup
- AV uitschakelen
- ransomware uitrollen (die ook db's down brengt en versleuteld)
Inderdaad, meer achtergrond informatie over de gemaakte fouten kan helpen deze te voorkomen in andere organisaties. Alleen stellen "Kijk bij jezelf binnen of de beveiliging op orde is" heb ik net zoveel aan als mijn moeder die vroeger zei "doe je voorzichtig" als je buiten ging spelen. :/
'geen enkele reden is om aan te nemen dat er bedrijfsdata of klantgegevens gestolen zijn'.
Aldus Muhammad Saeed al-Sahhaf, de PR medewerker van "Managed IT" Dat datadiefstal bij ransomware-aanvallen de norm is, is een reden om aan te nemen dat wel bedrijfsdata en/of klantendata gestolen zijn.
Lijkt verdacht veel op een tactiek geleend van AlleKabels :+
Zal me niks verbazen als er straks iets heel anders naar buiten komt als dit (imo) feelgood verhaal.
Dit lijkt in mijn ogen in de verste verte niet op AlleKabels. De hack was kortgeleden, de klant(en) zijn zo te zien ingelicht, en er is relatief snel actie ondernomen. Dat alles kun je van AlleKabels niet zeggen.

Het enige wat ik wel met je eens ben is dat ik graag van de IT club hoor waaruit zij opmaken dat er geen data gelekt is. Want de uitspraak van de KNB ("er is geen data verdwenen") zegt natuurlijk niks.
Er zit natuurlijk wel een cryptische zin het verhaal
'geen enkele reden is om aan te nemen dat er bedrijfsdata of klantgegevens gestolen zijn'.
Zolang je hier geen onderzoek naar hebt gedaan, heb je ook geen reden om dit aan te nemen..

Ik ben geen expert, maar als ze zouden zeggen, "Op basis van
- controle logs (server, maar wellicht ook netwerkactiviteit)
- ervaring werkwijze groep waaraan we hebben betaald
- ..
hebben we geen enkele reden om aan te nemen...."
dan is het statement al wat meer waard.

Maar verder eens, bij allekabels was er van het begin af aan duidelijk dat er data gestolen was
"datadiefstal tegenwoordig bij ransomware-aanvallen wel de norm is"
Dit inderdaad ... lijkt me op wat paniekvoetbal om nu al met zo'n statement te komen.
en voert het versneld multi-factorauthenticatie bij klanten in.
Een IT bedrijf dat voor notariskantoren automatisering organiseert heeft eerst een ransomware aanval nodig om dit te gaan doen?
IT bedrijf betekend niet gelijk dat ze verstand hebben van informatiebeveiliging. Er zijn zoveel IT bedrijven doe hun beveiliging niet op orde hebben.
Dan zou je verwachten dat een groep Notariskantoren de leveranciers een aantal voorwaarden oplegt (zoals MFA beveiliging)...
Denk je dat een Notaris kantoor iets weet van IT ? Daarom leggen ze het weg bij een "specialist".
Ik bedoelde eigenlijk; als je een notariskantoor start, dan moet je aan bepaalde vereisten voldoen neem ik aan, waaronder de manier van behandelen/opslaan van "notarisgegevens". Dat uit handen geven betekend die bepaalde vereiste bij die partij leggen (toch?)
Nou die aanname kan direct richting rijk der fabelen, ik heb eerder dit jaar bij verkoop en aankoop van woningen uit moeten leggen waarom ik mijn ID bewijs niet per e mail wilde aanleveren en uiteindelijk zelf betaald heb voor een dienst met veilige filetransfer mogelijkheden.

Bij 1 notaris (T&K) vond men dit maar "overdreven" en vond de notaris in kwestie het nodig om een sneer te geven tijdens het tekenen waar de kopende partij bij was, totaal ongepast.

Ik heb op het punt gestaan om een officiële klacht in te dienen bij de kamer van het Notariaat omdat men na toezeggingen en menig aandringen het alsnog voor elkaar kreeg om een compleet koopcontract (voorzien van namen BSN nummers geboorte data etc etc ) inclusief ongecensureerde ID bewijzen van de koper via mail te te sturen.

Vooralsnog had ik andere prioriteiten.
Maar als mij 1 ding akelig duidelijk is geworden is dat een dergelijk groot kantoor als T&K qua IT totaal geen kaas heeft gegeten en zeer slordig met persoonsgegevens omgaan en dit geen incident is.
Je kan alsnog een klacht indienen over Teekens Kartsens, zie niet in waarom je dit niet zou willen doen.
Notariskantoren zijn vaak kantoren van 2 a 10 medewerkers. Daar zit echt geen kennis van informatiebeveiliging en ook geen kennis van informatiebeveilgingseisen voor leveranciers. Daarom huren ze externe partijen in zoals Managed IT.
En de ICT voor notariskantoren is een concurrerende markt. Notarissen zijn vaak zo a-technisch als maar kan. Ze kiezen al snel de goedkoopste. En zo krijg je deze situatie. Beveiliging krijgt onvoldoende prioriteit en notarissen willen er ook niet voor betalen.

[Reactie gewijzigd door sniper20 op 21 april 2021 19:37]

Haha, herinner je diginotar nog? Het door de notarissen opgezette SSL uitgeefluik wat zo lek was als een mandje? Notarrisen zijn geen IT'ers maar gewoon mensen en iedere beveiliging die je inbakt levert frustratie op bij mensen die productie moeten maken.
Wie weet hebben ze de beveiliging wel op orde maar vergeet niet dat alles gehackt kan worden. Ze hacken zelfs het pentagon bij wijze van, dus hoe ver kan je gaan in je security is de vraag. Je hoort bijvoorbeeld de laatste tijd ook dat security bedrijven zelf slachtoffer worden van aanvallen. Dus dan kan je misschien alles veilig achter een dikke sonicwall firewall hebben liggen van 10k, als die sonciwall dan via een 0day wordt gehackt heb je er nog niks aan..
Als ze pas in april 2021 en na een randsomware aanval beginnen met MFA, dan hadden ze het niet helemaal op order.
Dit blijft natuurlijk een terugkomend probleem.

Ik kan mij niet voorstellen dat er geen enkele Sr. engineer daar het voorstel heeft gedaan om dit in te voeren. Zulke plannen worden vaak vanuit hogerhand geweigerd ivm kosten. In alle gevallen zeer kwalijk.

Bij dergelijke bedrijven mag van mij dan ook alle hel losbarsten. Jammer voor hen/haar klanten natuurlijk. Maar heb er geen medelijden mee.
Processen, software of features implementeren kost geld. De kans is groot dat dit allang is voorgesteld, maar dat de klanten niet het nut inzagen van de extra kosten en het daarmee niet is geïmplementeerd. Ook al kan je een ijsberg aan een Eskimo verkopen, zijn sommige eigenaren in de MKB net ijsberen: "Nee dankje, m'n huidige ijsberg is goed genoeg!".

In het verleden meegemaakt met bv. XP machines binnen bedrijven die men niet wilde vervangen, was niet nodig, etc. Ongeacht hoe netjes je dat ook beargumenteerde, het duurde natuurlijk niet lang voordat daar doodleuk ransomware op draaide.

Als IT bedrijf heb je bepaalde verantwoordelijkheden die contractueel zijn vastgelegd, zodra activiteiten daarbuiten vallen zal daar voor betaald moeten worden en als de klant dat niet wil ga je dat echt niet uit eigen zak doen, want dat is het begin van het einde voor een IT bedrijf. Het ligt natuurlijk heel erg wat voor contracten, wat daar onder valt, etc.
Met een dergelijke gedachtegang, schaad je dus je eigen bedrijf.
... maar dat de klanten niet het nut inzagen van de extra kosten en het daarmee niet is geïmplementeerd.
Je laat toch niet de veiligheid van je eigen bedrijf leiden door wat 'de klant denkt dat goed is' ?
Dat is het meest kromme argument ooit. Je zou als dienstverlener de keuze moeten maken voor de klant.
Als de klant niet wilt, ontbind je. Je staat toch garant voor een goede/veilige dienstverlening lijk me.

Je kan er donder op zeggen dat Managed IT nu in gebreken word gesteld. Een argument als "Dat is wat de klant wilt" gaat ze hier niet redden.
Er wordt gesproken over MFA bij de klant te implementeren. Als de klant dat niet wil dan is dat einde verhaal.

Binnen je eigen organisatie is dat een heel ander verhaal natuurlijk.
Je staat toch garant voor een goede/veilige dienstverlening lijk me.
Nee, je staat garant voor waar de klant voor betaald. Zoiets is contractueel vastgesteld, elk IT bedrijf dat een absolute veilige dienstverlening garandeert is niet te vertrouwen. Daarnaast is een 'veilige' IT omgeving voor een bank een heel ander verhaal dan een 'veilige' omgeving voor een schildersbedrijf. IT budgetten voor de MKB lopen enorm uit elkaar, ook geheel afhankelijk van de eigenaren van die bedrijven.

Don't get me wrong, er zijn zat IT pruts bedrijven. Maar hier op oa. Tweakers.net zijn er veel te veel mensen die maar wat roepen en er absoluut geen ervaring of inzicht in hebben.

Misschien dat Managed IT in gebreken kan worden gesteld doordat ze hun eigen IT niet op orde hadden, maar niet direct voor het niet implementeren van MFA. Maar het lijkt me geheel sterk als inderdaad klopt dat geen data van de klanten was gelekt en dat ze voorzorgsmaatregelen hebben genomen door de boel te blokkeren. Hoogstens dat ze buiten een SLA komen door het niet beschikbaar wezen van de systemen.
Als MFA bij de klant het probleem was dan zou alleen die klant geraakt mogen zijn. Nu is de gehele omgeving geraakt. Er was iig geen scheiding tussen klanten onderling en beheer.
Als de inbraak kwam door/vanuit de beheerder zelf dan kan je de klanten niet de schuld hiervan geven.
Vergis je niet dat notarissen afhankelijk zijn van procedures die niet zomaar even wijzigen. Zelfs al klinkt het voor jou redelijker, een ander kan om andere redenen misschien makkelijker vast houden aan wat bekend is. Een ander middel is niet zomaar beter als je ook andere maatregelen treft.
Tja - het voornaamste wat notarissen beheren is data. En dus kun je daar best iets meer moeite voor doen, toch?

Overigens: de oplossing was betalen... dus hadden ze ook geen recente backup.... :?
Of ze hadden een backup, maar die is overwritten met ransomware data ;(
Of ze hadden een backup, maar die is overwritten met ransomware data ;(
Uit het artikel:
meldt Managed IT dat het op 16 april slachtoffer is geworden van een 'aanval op de IT-systemen waarbij een belangrijk deel van de infrastructuur versleuteld is geraakt'.
Het zou wel erg sneu zijn als je backup maar 5 dagen terug gaat ...

Ik gok zo maar dat er meer versleuteld is dan alleen de bestandsdata..
Wat is transactionele data van meer dan 5 dagen terug nog waard? In feite moet je de laatste dagen dan replayen in je applicaties, zodat de applicaties weer met elkaar gaan praten en onderling transacties gaan doen zodat het geheel weer consistent is.
Maar in de backup (die dan niet versleuteld is) staat toch niet alleen data (mag ik hopen)?

Het is wel treurig dat het zo makkelijk blijkt om het backup-systeem dus ook te versleutelen. Wat dus kan als de ransom-ware al langer actief is maar niet wordt opgemerkt.
Maar stel: de laatst beschikbare backup (dus niet versleuteld) is X dagen oud maar omdat dan X dagen aan mutaties verloren raakt kun je deze niet gebruiken. Wat heb je dan nog aan backups?
Het is weer anders als blijkt dat door een andere oorzaak backups niet beschikbaar zijn (disk/tape defect / fouten in backup-scheme). Maar uitgangspunt is: er is een backup-schema zodat teruggegrepen kan worden. En dan toch betalen? Dat betekent dus dat de gemiste gegevens (de mutaties sinds X dagen geleden) niet op een andere manier kunnen worden teruggehaald. Het zou kunnen dat de transactie-backups dus ook waren versleuteld.
En ik kan begrijpen dat de gegevens die worden bijgehouden door notarissen bijzonder gevoelig zijn qua volledigheid. Zeer goede kandidaat dus voor ransom-ware...
Maar nog geen 2fa toepassen is niet zomaar te weinig moeite doen om de gegevens goed te beheren. Beheren is meer dan alleen maar toegangsmiddelen toepassen die jou of mij bevallen. Het is ook meer dan een backup hebben. Het gaat vaak ook om andere belangen, zoals vertrouwen in een bestaand of ander middel (2fa is niet zomaar veiliger of werkbaarder, bijvoorbeeld bij risico op sim swapping of vervangingsregels voor tokens of terug zetten van backups). Maar nog belangrijker, het kan zelfs nauwelijks verschil uitmaken bij deze situatie van ransomware.
Dit jaar 2 x een notaris gehad (kopen en verkopen van een huis) Beiden hadden al heel lang een MF op bijna alles. Zorggroep (vaak ook oudere systemen) dito. Enz enz. Ik moet eerlijk zeggen dat ik juist bij notarissen geen MF anno nu best opvallend vind.
Het zal je verbazen hoe weinig bedrijven dit nog doen. Gemak gaat vaak boven moeite moeten doen. Ik heb zelfs bij bedrijven gewerkt waar m'n mond open viel zo 'open' was de ICT. Helpdesk medewerker die gewoon Global Admin waren in O365, geen MFA te bekennen en een super zwak wachtwoord beleid.

Ik begrijp nog steeds niet dat bedrijven zijn die niet begrijpen dat 'hoe minder rechten hoe beter' van groot belang is. Bij bepaalde functies/ account types wil je gewoon altijd MFA aanhebben staan. Zeker met accounts die belangrijke / gevoelige rechten hebben. Zoals een O365 Global Admin.
en een super zwak wachtwoord beleid.
Het niveau van "Welkom1"? ;-)
leg ik hier wekelijks uit. kwartje rol, maar valt nog niet.
en voert het versneld multi-factorauthenticatie bij klanten in.
Ik denk dat het hier gaat om de nuance. Daarnaast kan ik mij voorstellen dat notarissen redelijk kritische zijn over wijzigingen. Ik werk voor een managed hosting provider en wij zijn zelf ook (altijd) bezig om de beveiliging aan te scherpen en zelfs bij collegae hebben we soms moeite om dit er doorheen te drukken.

Wij hebben MFA gewoon afgedwongen. In het afgelopen jaar zijn er denk ik 3 soorten bijgekomen die twee keer per dag om een MFA code vragen en als de gebruiker het niet goed insteld zelfs vaker en dan zie je dat mensen best creatief worden om dit te omzeilen.

MFA is misschien een paar seconde moeite, maar als je het niet gewend bent breekt het wel elke keer je workflow.
en als de gebruiker het niet goed instelt
Kan je niet een instructie maken die eigenlijk niet fout kan gaan in dat geval?

Aan de andere kant, ik weet het, gebruikers...
[...]


Kan je niet een instructie maken die eigenlijk niet fout kan gaan in dat geval?

Aan de andere kant, ik weet het, gebruikers...
Onderschat gebruikers inderdaad niet. Daarnaast hebben we allemaal een eigen laptop/werkstation waarop we vrij zijn om te doen en laten wat we willen. Dit betekend dat we te maken hebben met Linux, Windows, MacOS en zelfs daarbinnen verschillende versies van Shell, ssh-agent, Windows subsystem for Linux en noem maar op dus er is wel een voorbeeld configuratie maar het is aan jouw om die werkend te krijgen.
Vergeet ook niet dat er kosten ook aan 2FA kunnen zitten, die kosten moeten gedekt worden door de klanten. Je wil niet weten hoe ik bij sommige van onze klanten moet leuren en sleuren om ze er van te overtuigen dat het extra maandbedrag de extra security laag dubbel en dwars waard is.

Vaak moeten wij eerst een phishingsimulatie uitvoeren om een klant te overtuigen, en dan nog zijn er klanten die het dubbeltje nog eens een aantal keer omdraaien.
Ransomware is echt een mega probleem en het wordt alleen maar erger.
Elk bedrijf, groot en klein kan zomaar van de 1 op de andere dag gehackt worden en je hele bedrijf is naar de knoppen. En je kunt er eigenlijk gewoon niets aan doen.

Je beveiliging op orde hebben is natuurlijk wel belangrijk, maar alles is te hacken uiteindelijk dus hoe zeker ben je dat je zelf nooit slachtoffer wordt?
Back-ups en de realiteitszin hebben dat het niet de vraag is of je een keer gepakt wordt maar wanneer.
Zorgen dat je disaster recovery plan op orde is en test dit regelmatig, ook met externe partijen.
Dit en nog veel meer.
Probleem: dit kost veel geld en tijd.
Een goede risico analyse voorleggen bij het management wil ook wel eens helpen om dingen intern voor elkaar te krijgen. Elk bedrijf, groot of klein is hier uiteraard verschillend in.

Nee niet alles is waterdicht te krijgen, maar dit moet je accepteren.
Er worden meer bedrijven gehackt dan er in het nieuws komen. Bedrijven die alles op orde hebben hoeven dan ook niet in het nieuws te komen omdat ze snel weer in de lucht zijn.
Daarnaast zijn niet alle bedrijven even aantrekkelijk om te hacken en komt het meeste gevaar van binnenuit.
Backups zijn ook niet altijd veilig. Je hoort vaak dat de ransomware al maanden aanwezig is, dus hoe lang ga je backuppen en hoe weet je of die backups wel veilig zijn is de vraag. En dan ook nog, stel dat je een maand oude backup hebt die veilig is, ben je nog een maand aan data kwijt wat een ramp is voor de meeste bedrijven.
Een backup die je niet met regelmaat test is geen backup maar een kopie.
Ja en als de ransomware wel aanwezig is maar niet actief kan je testen tot je een ons weegt...
Lijkt mij niet helemaal waar. Voor ransomware zou de key in het geheugen moeten zijn. als je een backup restored naar een ander dedicated systeem waar die sleutel niet op aanwezig is zou je het gelijk moeten kunnen zien.

Ransomware wordt actief op het moment dat de aanvallers de sleutel uit het geheugen wissen.

(Correct me if I'm wrong)
Kun je dan niet alleen data (veilige data) eruit laten filteren zodat je in elk geval nog iets hebt. Sowieso database backups zullen geen randsomware (actief) bevatten?

Ik weet het niet of dat kan. Je zult wel veel moeten scannen of er code in verborgen is natuurlijk. Het is natuurlijk wel een risico. Als dat veilig kan kun je daarna je systemen weer optuigen en heb je tenminste nog zo veel mogelijk?

[Reactie gewijzigd door pookie79 op 21 april 2021 16:03]

Ja misschien dat zoiets zou kunnen. Je database gegevens uit een sql database bijv zou je nog moeten kunnen benaderen.
Bestanden versleutelen zichzelf niet, dat doet een proces. Als een proces bij je backup kan, zit daar je eerste fout.

Het lijkt me nogal voor de hand liggen dat je je backup op een ander netwerk hebt draaien dat verbonden is met een diode waar je kantoornetwerk alleen schrijfrechten heeft in een drop-folder (en dus niks mag zien) en het backup netwerk intern een folderstructuur heeft waarmee het automatisch archiveert (eventueel automatisch laten scannen op executables/macro's die je niet wilt, desnoods laat je alarm afgaan als er meer dan gebruikelijke hoeveelheid bestanden wijzigen).

Als je slim bent bouw je die machine virtueel en laat je iedere dag/2-dagen/week/maand (kijk naar je risico's) een kopie van de disc image wegschrijven naar een offsite storage (het liefst in een standalone netwerk). Vervolgens iedere X interval even met een schone laptop de laatste image mounten en hier en daar een document bekijken.

Als je dat als bedrijf al niet voor elkaar hebt dan heb je inderdaad niks wat test waardig is. Maar dan moet je je ook afvragen waar je mee bezig bent.

[Reactie gewijzigd door nst6ldr op 21 april 2021 16:27]

Back-ups werken niet tegen een ander groot probleem; al je gestolen data openbaar of verkocht aan wie dan ook.
Klopt, imago schade is voor veel bedrijven een groot probleem.
Je kan nog zo goed aan dataminimalisatie doen, er zijn nou eenmaal gegevens die je moet bewaren.
De juiste versleuteling op je gegevens doet al een hoop, maar ook dit is lastig voor veel bedrijven zo blijkt uit het recente verleden.

Wanneer het goedkoper is om de ransomware sleutel te kopen dan de gevolgen te aanvaarden is het een werkend systeem, kijkend vanuit de crimineel. Ik denk dat niemand zijn of haar bedrijf over de kop zou laten gaan vanuit een principe.
Wanneer het goedkoper is om de ransomware sleutel te kopen dan de gevolgen te aanvaarden is het een werkend systeem, kijkend vanuit de crimineel. Ik denk dat niemand zijn of haar bedrijf over de kop zou laten gaan vanuit een principe.
Juist daarom zou het betalen van het losgeld vervolgd en beboet moeten worden. Andere stimulatie voor bedrijven is er niet zolang de veiligheid van (onze) klantgegevens een financiële afweging is.

Eigenlijk is de IT de enige branche waar dit 'normaal' is. Als je chemische stoffen wilt opslaan, papieren aktes, explosieven of andere zaken die schadelijk kunnen zijn, dan kom je er niet onderuit om dit aan normeringen te laten voldoen en dit ook te laten auditen. Voor persoonsgegevens gaat dat anders, namelijk kijken wie het hardste 'ontzorgen' kan roepen, een smak geld betalen en er niet meer naar omkijken.
Hadden ze maar de "experts" in dienst moeten nemen die op het fora allemaal zo goed weten.... ;-)
Het is niet perse meer of erger nu dit in het nieuws komt. Van veel pogingen tot besmetten of inbreken hoor je waarschijnlijk zelden iets in het nieuws en dat ook dit bedrijf getroffen is verandert niets aan de situatie dat je hoe dan ook te maken kan krijgen met een besmetting als je met elkaar communiceert. Wat dus helpt is beginnen met bewust zijn dat dit jou en je dienstverleners kan overkomen en je dus maar beter je gegevens niet van een situatie afhankelijk kan laten zijn.
Back-up werkt dan wel tegen versleuteling, je kunt data zo terugzetten, het werkt niet tegen een ander groot probleem; al je klant data openbaar of verkocht aan wie dan ook.
Ook daar hebben ze al wat voor gevonden.
De randsomware infecteert wel maar is pas na een x aantal weken of maanden actief. Met een backup terugzetten bestaat de kans dat je ook de randsomware terugzet.

Ook bij dit soort zaken is er een evolutie gaande.
Ja klopt maar dan nog verlies je veel tijd en geld. Ooit toen crypto nog klein bier was een grote fileserver moeten restoren uit backup. Dat heeft toch bijna heel het weekend geduurd voor die ettelijke TB's terugstonden.
Stel dat je 100 servers mag gaan restoren ... dat kost je wel tijd en geld.
En je kan een bedrijf nooit 100% hackvrij maken.
Wanneer iemand 100 servers moet restoren zegt het mij dat de segmentatie misschien niet helemaal op orde is ;)
Wel de regels zijn wat aangepast. Hackers infiltreren een bedrijf en zien dat ze eerst root zijn overal. Dit kan maanden duren. Ook backups worden aangepast en dan op 1 weekend .... pats volledige lockdown. Dus segmentatie of niet ... met kerberos golden ticket ... game over.
Laatste back-up die in orde is kan met ransomware al weken tot maanden oud zijn.
Zou het schelen als je alleen de platte data al gebackupped hebt?
Je back-up hoeft nog niet encrypted te zijn door de ransomware om al wel tijden lang geïnfecteerd te zijn. Terug zetten is dan niet de oplossing en je krijgt er ook geen reports van. Je komt er pas achter als je een back-up terug zet er merkt dat je er niets mee bent opgeschoten.
Dat zou kunnen, maar verschillende backup software checkt ook de files die worden gebackupped op malware. Denk bv. aan je verwacht een .docx en de file is dat niet, natuurlijk is die detectie methode veel complexer dan dat. Als je backupserver zelf geïnfecteerd is, dan heb je inderdaad een veel groter issue.
We moeten die ransomware aanvallen gewoon bekijken alsof het een non-virtuele aanval is, een fysieke inbraak in een gebouw bijvoorbeeld, dat kan je ook nooit volledig vermijden, maar dan doet de politie onderzoek naar de daders en daar zijn ze al vrij ver mee gevorderd qua kennis en ervaring maar virtueel komen ze véél te kort, er is amper kennis en/of ervaring bij de onderzoekers en ze wimpelen het steeds af met 'we hebben de IP's van de CnC's maar ja, dat zijn internationale IP's, we geven dat door aan interpol, we zien wel maar meestal stopt het daar', shja, dat is wel héél gemakkelijk.. Dringend tijd dat er meer overkoepelende en internationele samenwerkingen komen hiervoor + dat ze eens betalen volgens de markt, als ik bij ons in België die vacatures zie bij de federale politie bijvoorbeeld, dat is de helft dan wat de privé betaald, zo trek je geen toppers aan..
Ik heb zo is gesolliciteerd op een functie in de hoop dat er toch wel te onderhandelen viel. Niet zo, loon is vast. Vraag me ook af wie zon job dan wil doen ....
"Het bedrijf maakt niet verduidelijkt niet of er betaald is voor de sleutel."

Typo: maakt niet duidelijk of verduidelijkt niet.

Verder kan ik me niet voorstellen dat ze zomaar aan de sleutel zijn gekomen, dus daar is voor betaald.
En de data die niet gestolen is: dat zullen we snel genoeg horen, aangezien ze melding zullen moeten maken als dat wel zo is geweest.

Oftewel: hier komt vast een update op.
Er zijn heel veel verschillende vormen van ransomware. Niet alle vormen zijn sterk ontworpen en criminelen (her)gebruiken vormen waarvan te herstellen is zonder iets van een crimineel te hoeven kopen. Daarom bestaat het initiatief van https://www.nomoreransom.org/nl/index.html ook al een aantal jaar.

Niet alle criminelen zijn even handig met versleutelen, staan er niet bij stil dat ransomware niet zomaar werkt of nemen zelfs de gok om met zwakke ransomware geld te verdienen in de hoop dat genoeg slachtoffers niet de juiste kennis hebben of inhuren.
No More Ransom is een fantastisch initiatief maar is vooral op individuën gericht. Dat was bij de oprichting in 2014 bijzonder handig maar inmiddels zijn er nog maar weinig individuele gebruikers die worden getroffen door ransomware. De echte kracht van NoMoreRansom zit em nu vooral nog in de samenwerking tussen bedrijven en autoriteiten, en niet meer echt in technische oplossingen. Ik kan me niet herinneren dat er de laatste jaren via NoMoreRansom een decryptor beschikbaar is gesteld waarmee een bedrijf weer operationeel kon worden. Het zou in theorie hier kunnen zijn gebeurd maar het lijkt me heel sterk.

Het zou ook kunnen dat ze het zelf ontsleuteld hebben omdat er zoals je zegt slechte encryptie is gebruikt. Maar in de meeste gevallen vertelt een bedrijf dat dan wel, en hier zijn ze wel erg vaag...
Het zou ook kunnen dat ze het zelf ontsleuteld hebben omdat er zoals je zegt slechte encryptie is gebruikt. Maar in de meeste gevallen vertelt een bedrijf dat dan wel, en hier zijn ze wel erg vaag...
Het lijkt me redelijker om te bedenken dat niet alle bedrijven dezelfde prioriteiten hebben. Bijvoorbeeld om liever aandacht te geven aan herstel voor klanten en opsporing om erger te voorkomen, en minder om algemeen iets in het nieuws details te verkondigen. Maar de rest doet dan iets anders klinkt als makkelijk over een kam scheren om te kunnen suggereren.
Dat bedrijf heeft zichzelf volstrekt ongeloofwaardig gemaakt. Het verkoopt nota bene een eigen product waarmee ransomware te voorkomen zou zijn:

https://www.managed-it.nl...ed_Malware_Protection.pdf
Steeds vaker zijn bedrijven slachtoffer van Ransomware, Phishing en andere internet gerelateerde aanvallen.
(...)
Endpoint Security beveiligd [sic] apparatuur van uw gebruikers tegen veel vormen van Malware.
(...)
Doordat al deze beveiliging ook op netwerkniveau aanwezig is, kan worden voorkomen dat Ransomware
verbinding maakt met het Internet. De Ransomware code wordt niet uitgevoerd en sleutels kunnen niet
uitgewisseld worden
Volstrekt ongeloofwaardig is wel heel sterk uitgedrukt. Het is zeker een flater, maar er komen natuurlijk wel continu nieuwe soorten ransomware, nieuwe toegangsmethoden, enz. Geen enkele beveiliger zal alles 100% kunnen voorkomen. Of het hier gaat om echte incompetentie / onderschatting / gebrek aan kunde, of gewoon om iets dat door de mazen heen is gekomen, kunnen we volgens mij alleen zeggen met een stuk meer informatie. Misschien zijn er Tweakers die weten hoe deze IT-partij opereert en of dit vaker is voorgekomen?
Het is zeker een flater, maar er komen natuurlijk wel continu nieuwe soorten ransomware, nieuwe toegangsmethoden, enz.
Dat doet niet af aan het feit dat ze geen deftige disaster recovery procedure hebben, of klaarblijkelijk überhaupt een vorm van bedrijfsvoering op beveiliging. Beveiligen doe je niet alleen aan de voordeur, je regelt ook de tent zo in dat je na dit soort ellende hooguit één ochtend aan het recoveren bent. Niet criminelen moet betalen.

'Volstrekt ongeloofwaardig' is precies de term die je mag hanteren.
En het ergste is dat deze dienstverlener ook oplossingen biedt voor malware en ransomware aan bedrijven. Nou, het vertrouwen in hun producten/diensten is dan wel tot een nulpunt gedaald denk ik.
> Het bedrijf zegt dat er na onderzoek van Northwave 'geen enkele reden is om aan te nemen dat er bedrijfsdata of klantgegevens gestolen zijn'.

> In een reactie zegt de woordvoerder van de KNB, de beroepsvereniging van notarissen, blij te zijn dat er geen klantgegevens gelekt lijken te zijn. "Dat is goed nieuws. Het scheelt enorm dat er geen gegevens verdwenen zijn.

Leuk wat die woordvoerder zegt, maar dat er geen enkele reden is om aan te nemen dat iets niet gebeurd is betekent absoluut niet dat het niet gebeurd is.
Dat was dus ook exact mijn gedacht. Het is niet verdwenen, dat is het enige dat ze met 200% zekerheid kunnen zeggen. En zelfs dat laatste is wat kort door de bocht, want dat hebben ze dan wel op heel korte tijd uitgezocht :-).
Zolang we blijven betalen voor het ontsleutelen van de data na dit soort aanvallen blijven dit soort aanvallen dus ook gebeuren en, durf ik zelfs wel te stellen, toenemen. Ik zou dus zeker niet gezegd hebben dat er betaald is, in het belang van andere bedrijven. Een duivels dilemma of je wel of niet betaald, dat begrijp ik best.


Om te kunnen reageren moet je ingelogd zijn


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True