Data ict-bedrijf Managed IT was versleuteld met Bitlocker en losgeld is betaald

De data die versleuteld werd bij de aanval op ict-beheerder Managed IT vorige week, werd met Bitlocker versleuteld. Dat vertellen Managed IT en securitybedrijf Northwave tegen Tweakers. Er is losgeld betaald om dat ongedaan te maken.

Bij de ransomware-infectie op de ict-beheerder, heeft een voor Northwave onbekende hackersgroep toegang gekregen tot het netwerk, waarna het Bitlocker aangezet heeft waardoor het volledige systeem van Managed IT kon worden versleuteld. Dat vertelt Pim Takkenberg van Northwave, die in opdracht van Managed IT onderzoek doet naar de aanval.

Dat maakt de aanval minder gebruikelijk dan een reguliere ransomware-aanval waarbij criminelen met malware een systeem versleutelen. "We zien deze werkwijze wel vaker, maar het is dus technisch gezien geen ransomware geweest", aldus Takkenberg. Omdat er 'geen realistisch alternatief' was volgens Northwave en Managed IT, heeft de ict-beheerder besloten het losgeld te betalen dat de aanvallers hebben gevraagd. Het bedrijf wil niet zeggen hoe hoog dat losgeld was.

Ransomware-infecties via Bitlocker zijn zeldzaam, maar niet onbekend. "Als aanvallers toegang hebben tot een netwerk zie je het wel eens voorkomen, maar niet heel vaak", zegt Dave Maasland van beveiligingsbedrijf ESET. "Omdat Bitlocker een legitiem proces is is het lastig daar cijfers van te verzamelen."

Het was niet mogelijk voor Managed IT om terug te vallen op back-ups. Het bedrijf had weliswaar back-ups op een andere locatie, maar die waren ook versleuteld omdat alles was verbonden. Er was geen offline back-up van de data van het bedrijf.

Volgens Takkenberg zijn er geen aanwijzingen dat de aanvallers gevoelige data hebben gestolen, bijvoorbeeld van de notariskantoren die klant zijn bij Managed IT. "In gesprekken met de aanvaller hebben zij niet gedreigd met het stelen, achterhouden of verspreiden van data en we hebben geen rare pieken gezien in het dataverkeer die duiden op het stelen van data."

Northwave zegt dat de aanval puur gericht was op Managed IT als it-provider en dat de aanvallers niet de indruk wekten een idee te hebben dat het een beheerder was voor notarissen, waarmee ze toegang hadden tot potentieel gevoelige data, zoals aktes of kopieën van paspoorten die op de servers van de beheerder zouden kunnen staan. "Ze wilden gewoon snel geld cashen", stelt Takkenberg.

Het beveiligingsbedrijf heeft nog niet kunnen achterhalen hoe de aanvallers in de eerste plaats toegang kregen tot de systemen. "We zijn 24/7 bezig geweest met het opschonen van de systemen en met controleren op malware." Daardoor is nu wel al een groot deel van de 150 klanten, waaronder 96 notarissen, die maandag niet konden werken vanwege de hack, alweer in de lucht. De rest volgt later vandaag.

Door Stephan Vegelien

Redacteur

Feedback • 21-04-2021 17:38201

21-04-2021 • 17:38

201 Linkedin

Lees meer

Hackers kregen bij ransomwareaanval op Bose toegang tot data van ex-werknemers Nieuws van 25 mei 2021
'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers' Nieuws van 14 mei 2021
Belangrijke Amerikaanse oliepijpleiding werkt niet meer door ransomware Nieuws van 10 mei 2021
Ict-beheerder van notarissen Managed IT blijkt slachtoffer van ransomware-aanval Nieuws van 21 april 2021
96 notariskantoren geraakt door hack bij ict-beheerder Managed IT Nieuws van 19 april 2021
Datalek bij Allekabels betrof niet 5000 maar 3,6 miljoen mensen Nieuws van 15 april 2021
Meer producten en artikelen
Netwerk en systeembeheer Hack Ransomware

Reacties (201)

-Moderatie-faq
201
197
98
5
0
78
Wijzig sortering
jcbvm
21 april 2021 17:44
Blijft een lastig dilemma dit, aan de ene kant ben je geneigd geld te betalen om je data terug te krijgen, aan de andere kant wil je juist niet betalen anders moedig je dit soort acties juist aan.
jdh009
@jcbvm21 april 2021 17:59
Nadeel is dat het als maatschappij goedkoper is om niet te betalen, echter als je bedrijf slachtoffer is kantelt het plaatje en kan het dus goedkoper zijn om de gok te nemen en toch te betalen. Dat zie je bij dit geval en zag je ook bij bijv. de Universiteit van Maastricht een tijdje geleden. Misschien een gezamenlijk potje aanmaken als bedrijf/overheid/verzekeraars/fonds om de kosten voor herstel deels te vergoeden i.p.v. het losgeld betalen, met de nodige garanties en eventuele terugbetalingen (slecht beheer mag niet beloond worden).

Ik weet dat het een lastig iets is om losgeld betalen strafbaar te stellen maar zou er wel voor zorgen dat er vanuit Nederlandse bedrijven niet meer betaald wordt. Lastige is wel dat betaling vaak niet vanuit het bedrijf zelf gedaan wordt (maar door een ingehuurd bedrijf o.i.d.) en dus niet altijd of lastiger te checken. Je wilt in ieder geval niet dat misdaad loont.

[Reactie gewijzigd door jdh009 op 21 april 2021 18:03]

Ayporos
@jdh00921 april 2021 19:24
"Managed IT"... ja niet dus.

Als ik in de markt was en op zoek naar een bedrijf om mijn IT te managen.. dan zou ik dít bedrijf dus toch wel even overslaan.

Hoe moeilijk is het om je backup locatie in te stellen met correcte rechten en versioning zodat je reeds gemaakte backups van bestanden niet kunt overschrijven zonder een admin wachtwoord in te voeren wat enkel en alleen handmatig ingevoerd word wanneer periodiek ouwe meuk gecleaned wordt?.. volgens mij niet zo enorm moeilijk namelijk. :Y)

Dat er sowieso live accounts zijn die rechten hebben om bitlocker encryptie aan te kunnen zetten op je backup volume(s) lijkt me een erg frappante configuratie.. al ben ik niet super bekend met hoe die rechten werken onder AD.. maar het lijkt me dat dát niet de bedoeling is? :/

[Reactie gewijzigd door Ayporos op 21 april 2021 19:27]

sprankel
@Ayporos21 april 2021 23:04
al ben ik niet super bekend met hoe die rechten werken onder AD
van minst naar meest
-local guest user
-local non admin user
-ad non admin user
-local admin user
-domain admin user

Wat hier hoogst vermoedelijk gebeurd is, men is erin geslaagd domain admin user te worden waarna men simpel group policies heeft uitgerold om bitlocker overal aan te zetten. Normaal worden de bitlocker recovery keys op je domain controllers bewaard maar dat zal uitgezet geweest zijn. Eenmaal je controle kwijt bent over je domain controllers kan je enkel nog via de domain recovery key controle terug halen, dat is een lange key die aangemaakt word bij het de initiele aanmaak van het domein, ligt als het goed is verspreid in 2 kluizen waarbij je minstens 2 personen nodig hebt om er aan te geraken. (maar die key is wel vaker verloren gegaan met de tijd)

Bitlocker is op zich het issue niet, het issue is dat men het volledige domein heeft overgenomen en dan ben je wat rechten betreft alles kwijt waarbij alle domein joined computers zo goed als volledig gecomprimeerd zijn, domain controllers kan je inbeelden als de CEO van je computers/servers, ook al heeft die geen rechten om iets te doen, dan past de CEO simpelweg de rechten aan om het toch te mogen doen. De enigste reden dat men dan bitlocker gebruikt is omdat men dusdanig veel macht heeft dat dit de simpelste manier is terwijl users gewoon een melding krijgen, u administrator heeft bitlocker aangezet. In linux termen, je bent root van elke computer die je tegenkomt.

En als dan nog altijd geen belletje is gaan rinkelen, terwijl het al véél te laat is, dan zal het belletje nooit rinkelen. Als een van mijn domain controllers gecomprimeerd is, dan klop ik hem desnoods met een hamer in elkaar.

Lesson learned: sommige IT admins beseffen niet wat er gebeurd als hun account gecomprimeerd word en sommige bedrijven beseffen nog altijd niet het nut van cold storage. In high security omgevingen is de domain admin rol uitgeschakeld en opgesplitst in meerdere limited admins.
Ayporos
@sprankel22 april 2021 19:20
Ja ik snap dat dus niet, waarom je backup servers op zelfde domein als je productieomgeving met zelfde accounts?
Waarom geen apart domein met aparte accounts met aparte rechten welke backups pullt en waar push commandos vanuit je productie domein niet toegestaan zijn... isoleer die 2 systemen/omgevingen dusdanig dat er alleen maar lees dataverkeer mogelijk is tussen die 2 (backup server leest productiedata om die te kopiëren en productie server leest backupdata om die te restoren) en dan ben je, zolang je backups lang genoeg bewaart en/of versioning aanhoudt, gewoon veilig.. toch? :>

Hoeft dus, mits mijn bovenstaande scenario geen complete onzin is, niet eens per se cold storage te zijn.
Zo zie je maar weer dat het niet per se super handig is om álles gekoppeld te hebben aan één account/domein systeem.

[Reactie gewijzigd door Ayporos op 22 april 2021 19:23]

goarilla
@sprankel24 april 2021 23:24
s/gecomprimeerd/geencrypteerd/g ?
Deralte
@goarilla10 mei 2021 08:10
Hij werkt vast vaak in het Engels en heeft zich vergist bij het vertalen van het woord compromised. Kan gebeuren bij het snel zijn :)
p.m.
@Ayporos21 april 2021 19:40
Hoe moeilijk is het om je backup locatie in te stellen met correcte rechten en versioning zodat je reeds gemaakte backups van bestanden niet kunt overschrijven zonder een admin wachtwoord in te voeren wat enkel en alleen handmatig ingevoerd word wanneer periodiek ouwe meuk gecleaned wordt?.. volgens mij niet zo enorm moeilijk namelijk.
Soms zitten ze al tijden geduldig in je netwerk te wachten, totdat de retentie van je backups bereikt is en je enkel backups hebt die ook besmet zijn. Niet iedereen heeft de luxe om z'n backups meerdere maanden of langer te bewaren.
jdh009
@p.m.21 april 2021 20:19
Dit, zaken zoals zero days kun je niet voorkomen. Hoe up to date je ook bent. Je moet dus altijd naar de casus zelf kijken en of je het zou kunnen hebben voorkomen. Waaruit je zelf en mogelijk andere ook leering uit kunnen trekken. Echter, het is het niet altijd te voorkomen, gezien in elke stuk software wel fouten zitten.

Aanvullend op je backups, bij de Universiteit van Maastricht bleken ze 15 oktober binnen gekomen te zijn en de uitrol van de ransomware begon pas 23 december. Je hebt er alleen niets aan als de hackers je back-ups ook te pakken weten te krijgen zoals bij het Hof van Twente.
harakiri576
@p.m.21 april 2021 21:45
is het nu echt luxe om business critical data lange termijn bewaren? wat staat er tegenover, je bedrijf kapot gaan? misschien niet dus.
daredevil__2000
@harakiri57622 april 2021 09:55
Is totaal geen extra luxe maar gewoon het goed opzetten van je backup en disaster recovery strategie. Ik kan zonder problemen 7 jaar aan data terug halen indien dat gewenst zou zijn. Iets wat wij wettelijk ook verplicht zijn.
Yggdrasil
@daredevil__200022 april 2021 11:19
Maar zou je het terugzetten van je volledige omgeving naar de staat van 7 jaar geleden een succes willen noemen?
daredevil__2000
@Yggdrasil22 april 2021 11:23
Nee ik was niet van plan om naar de staat van 7 jaar terug te gaan. Een deel van de data dient wettelijk wel minimaal 7 jaar beschikbaar te blijven. Maar als je zo ver terug moet gaan dan heb je sowieso al een uitdaging op andere vlakken ;)
timberleek
@harakiri57622 april 2021 09:13
Dat is een makkelijk statement om te maken.

Maar ellenlange opslag kost gewoon goed geld. Goed geld dat jouw bedrijfsvoering en dus jouw product duurder maakt.

Waar ligt de grens? Die zal altijd lastig blijven.


Afhankelijk van het soort werk kun je je ook afvragen hoe nuttig oude data nog is
daredevil__2000
@timberleek22 april 2021 09:53
Maar ellenlange opslag kost gewoon goed geld. Goed geld dat jouw bedrijfsvoering en dus jouw product duurder maakt.
Ik weet niet wat voor bedrag jij bedoeld met goed geld mijn mijn cold backup gaat ruim 7 jaar terug en heeft in totaal misschien €5000 gekost. Kwestie van een juiste backup strategie passend bij je bedrijf
p.m.
@daredevil__200022 april 2021 10:00
Da's geen enterprise omgeving met duizenden VM's....
daredevil__2000
@p.m.22 april 2021 10:11
Ook daar zijn gewoon betaalbare oplossingen voor passend bij de omvang van het bedrijf. Genoeg betaalbare storage oplossingen welke je met elkaar periodiek de gewijzigde data kan laten syncen zonder dat je gebruiker/server segment bij deze extra storage kan komen. Los nog van het feit dat je van een IT bedrijf van deze omvang toch mag verwachten dat ze een degelijke monitoring ingericht hebben op de systemen. Een afwijkende piek in de load van je storage door het plotseling gaan encrypten van je storage met bitlocker hoort je echt wel op te vallen.
SkyStreaker
@Ayporos21 april 2021 21:40
"Managed IT"... ja niet dus.
Dit is en blijft, hoewel je punt valide is, makkelijk gezegd in een wereld waar ook menselijke fouten gewoon gemaakt worden en geëxploiteerd worden.
Ayporos
@SkyStreaker22 april 2021 19:15
En dat is waar backups voor zijn...
Als je niet op je backups kunt vertrouwen, dan heb je je 'IT' niet goed 'gemanaged' om om te kunnen gaan met die menselijke fouten. ;)
unaco
@Ayporos21 april 2021 21:56
Eenvoudig genoeg: combinatie O365 met e-mail oplossing die ‘integreert’ met O365 / AzureAD op basis van de OneTimeToken.

Stel niet dat dat hier het geval is maar zou zomaar kunnen gezien de mailhost.
metalmania_666
@Ayporos22 april 2021 01:37
De meeste bedrijven hebben een 14 tot 30 dagen strategie om back-ups te bewaren.
Alleen de verplichte gegevens voor de wetgeving worden langer bewaard..

Als aanvaller kan je hier op inspelen door de ransomware pas na een dag of 40 actief te maken.
daredevil__2000
@Ayporos22 april 2021 10:05
Je hoeft zelfs nog niet eens aan de slag met rechten om te voorkomen dat je backups overschreven kunnen worden. Het is meer een kwestie van een juiste backup strategie met backup tiering. Als wij geraakt zouden worden door een cryptolocker/ransomware dan zouden wij maximaal een paar dagen terug vallen.

Daar naast zouden bedrijven er goed aan doen om honeypots in te richten binnen hun omgeving. In het geval van een cryptolocker krijgen wij automatisch alerts dat er iets mis is. Onder andere met bijvoorbeeld netwerkmappen waar normaal niemand bestanden in zal plaatsen. Zodra er wel bestanden geplaatst worden of de bestanden worden gewijzigd dan gaan er direct meerdere alerts uit. Dit is gewoon een standaard beschikbare functionaliteit welke binnen windows server al aanwezig is zonder dat er aanvullende licenties benodigd zijn.

Dit uiteraard naast scheiding van de gebruikers segmenten, de server segmenten, het backup segment enz.
plumbumber
@Ayporos26 april 2021 13:15
Probleem is ook vaak dat de cryptolocker pas na maanden activeert, dit betekend dat elke backup gewoon geinfecteerd is.
HenkEisDS
@jdh00921 april 2021 20:04
Een klassiek prisoners dilemma inderdaad.
harakiri576
@jdh00921 april 2021 21:46
met die beleid verminder je de neiging om goede it team te betalen. omdat deels van schade is betaald door anders.
Robbedem
@jdh00921 april 2021 22:14
Idd, daarom lijkt het mij goed dat als een bedrijf losgeld betaalt, ze evenveel moeten betalen aan een fonds dat helpt om ransomware te besstrijden.
Jeanpaul145
@jdh00921 april 2021 23:08
Misschien een gezamenlijk potje aanmaken als bedrijf/overheid/verzekeraars/fonds om de kosten voor herstel deels te vergoeden i.p.v. het losgeld betalen
Nou gegeven dat genoeg consumenten daar dan weg zouden lopen ("kunnen hun core business niet eens onder controle houden") is het verlies niet enkel in een eenmalige som uit te drukken. Afhankelijk van het business model zijn dat namelijk waarschijnlijke recurrente inkomsten.
lucatoni
@jdh00922 april 2021 06:03
Kosten voor herstel te vergoeden? Zonder betaling is de kans klein dat het versleutelde gedeelte te herstellen is. Dan is het meer een kostenpost om opgelopen schade te compenseren. Maar bij bv de universiteit van Maastricht is de geleden schade enorm.

Mijn advies zou juist zijn om verplicht een bedrag opzij te moeten zetten voor cyber security (controles). Aandacht voor cyber security is helaas nog steeds beperkt.

En misschien nog wel belangrijker: Het niet betalen van losgeld gaat niet per definitie betekenen dat dit soort aanvallen ophouden.
_Pussycat_
@lucatoni22 april 2021 07:46
Als iedereen ophoudt te betalen (of bv. iedereen in NL) zou het snel voorbij zijn. Maar dat te bereiken is moeilijker, zie normale misdaad en afpersing.
lucatoni
@_Pussycat_22 april 2021 08:55
Ik denk niet dat het snel voorbij zou zijn. Die gasten blijven dit doen en blijven geld vragen, ook om eigen imago hoog te houden. Als bedrijven de deuren wagenwijd open laten staan en het amper moeite kost, dan blijft dit, of bedrijven wel of niet betalen.
_Pussycat_
@lucatoni22 april 2021 10:18
Om een imago hoog te houden blijven ze hacken? Net zoals inbrekers lege schuren blijven openbreken, puur om te laten zien dat ze het kunnen? Lijkt me niet echt het geval. In Italië was trouwens een groep ondernemers die zich samen hebben gesloten om bij afpersing door de Mafia niet te betalen. Zelfs dat heeft al wat succes gehad.

Dat iedereen geen ransomware betaalt lijkt me echter heel erg hypothetisch. Maar een aantal bedrijven zouden een soort keurmerk kunnen maken dat zij nooit betalen (op de een of andere manier in de groep afgedwongen) om minder doel zijn.
timberleek
@_Pussycat_22 april 2021 09:17
Als iedereen ophoudt te betalen omdat er een potje is. Hoeft een willekeurige ransomware verspreider enkel geduld te hebben tot die pot leeg is. Of de regeling vervallen.
AJediIAm
@timberleek22 april 2021 18:57
Geld is niet het enige wat er toe doet.
Het heeft niet zo veel zin om gecompenseerd te worden voor de schade als je je bedrijf vervolgens op kunt doeken en al je werknemers op straat staan.
Zelf per wet verbieden van losgeld betalen houdt niet altijd stand als de belangen maar groot genoeg zijn.
timberleek
@AJediIAm22 april 2021 22:40
Klopt helemaal, als je het verbiedt zul je waarschijnlijk alleen maar schimmige constructies krijgen dat je een "verzekering" hebt lopen bij een buitenlandse partij die voor jou de betaling alsnog doet. Of andere constructies
Nystran
@jdh00922 april 2021 16:54
Nadeel is dat het als maatschappij goedkoper is om niet te betalen
Dat hangt van aannames aan elkaar. Ik weet niet of er ook papieren backups van akten zijn, maar als dit niet zo is, heb je in één keer bijna 100 notariskantoren die niet meer kunnen zeggen of een akte door hen gepasseerd is.

Worst case: iedereen kan claimen dat een willekeurig document bij een notaris gepasseerd is, notariële aktes in Nederland hebben geen waarde meer. Ineens blijken er honderden aktes die aanspraak maken op de erfenis van een willekeurige BN-er. Ik hoop dat het kadaster het bezit van huizen goed geregistreerd heeft.
matty___
@jcbvm21 april 2021 17:47
Als je geen backups hebt is er toch geen andere mogelijkheid. Verlies van de data is veel duurder.

Je zou toch denken dat je snapshots hebt waarbij je gewoon kunt terug vallen op de laatste niet encrypte of denk ik nou weer te makkelijk?
Zwatelaar
@matty___21 april 2021 18:23
Die snapshots hadden ze dus wel, alleen die sukkels hadden dat op hetzelfde systeem staan. Systeem stuk/verloren/gehacked/ransomware = alles kwijt.

Daarvoor is de 3-2-1 regel voor backups. Een bedrijf die zich hier niet aan houdt, mag zich geen IT bedrijf noemen.

Was ik klant bij hun, zou ik ze zelfs aanklagen voor ernstig nalatig handelen.
Zebby
@Zwatelaar21 april 2021 18:28
De meeste slimme ransomware wachten weken voordat het toeslaat, zodat ook alle backups de malware bevatten. Zet je die terug, gebeurt er gewoon hetzelfde. Het is verre van onmogelijk, maar ook niet makkelijk, daarom gebeurt het zo vaak.

Gezien ze betaald hebben zullen ze wel zo'n verzekering hebben afgesloten die dat vergoed.
nst6ldr
@Zebby21 april 2021 18:35
En daarom test je je backups: een ongeteste backup is geen backup maar een kopie.

Sowieso moet je je backups niet op hetzelfde netwerk maken als waar de productie desktops op draaien. Voor een bedrijf dat zichzelf profileert met een ISO norm in betrouwbaarheid zijn ze weldegelijk bijzonder nalatig.

[Reactie gewijzigd door nst6ldr op 21 april 2021 18:35]

Blokker_1999
@nst6ldr21 april 2021 19:07
En als men bitlocker aanzet en de key in TPM laat staan kan je weken of zelfs maanden wachten totdat alle backups zijn aangetast. Gaat men restoren, dan haalt hij die key ook weer netjes uit zijn TPM. En dan ineens maak je als hacker de TPM leeg, forceer je een reboot van de meeste systemen en merkt men pas dat alles encrypted is.
Houtenklaas
@Blokker_199921 april 2021 22:46
En daarom is een uitstekende systeembeheerder iemand die rekening houdt met deze scenario's en mitigerende maatregelen bedenkt om situaties als deze te voorkomen. Plannen maakt en voorlegt aan het management met een gedegen stuk risico analyse er bij. Kan je het je permitteren als je data verliest? Is dat erg? Historische data van 10 jaar geleden zal minder erg zijn als de data van gisteren. En daar maak je dan ook een plan op. En dat plan test je met regelmaat. En ga uit van het ergste scenario om te kijken of je dan je data (en systemen) kunt herstellen. Herijk je met flinke regelmaat je scenario's en werp je drempels op in je TI, in je IT, segmenteer je je netwerk, maak je meerdere lagen om het zo lastig mogelijk te maken om binnen te komen. Heb je naast je backups ook je softwarebeheer, licenties, versiebeheer, patchbeheer op orde ...

Als je kunt verzinnen dat een hacker je TPM kan leegkieperen is dat mooi, nog mooier is als je daar een maatregel voor verzonnen hebt dat je dat kunt opvangen. En die kan echt zo simpel zijn als een backup testen op een separate machine of je die kunt uitlezen en restoren. Zoals @nst6ldr al zegt, een ongeteste backup is op zijn best een kopie. Mijn vroegere leermeester zei altijd: een ongeteste backup is erger dan waardeloos.
T.C
@Houtenklaas22 april 2021 00:00
Zelfs 10 jaar oude data is in sommige industrieën nog steeds noodzakelijk.

Ik werk als consultant in de farmaceutische industrie.
2 jaar geleden werkte ik bij een bedrijf waar malware al een paar jaar eerder de boel vernielde.
Deze club betaalde niet, gewoon uit principe.
Nog steeds hadden ze er last van en dat maakte mijn werk ook wat lastiger.

Ze hadden er deels van geleerd.
USB-poorten werkte niet voor andere apparatuur dan door hun geleverde... CD werkte ook niet.... gedownloade bestanden (zowel websites als e-mail) werkte wel weer.
nst6ldr
@Blokker_199921 april 2021 19:29
Waar ben je dan mee bezig om met dezelfde systemen de backups te controleren?
Zwatelaar
@Zebby21 april 2021 18:40
We hebben niet alle details dus gedeeltelijk moeten we speculeren.

Maar voor mij blijft: als ik klant was en moest te horen krijgen, we hebben geen goede backups, heel snel weg bij die toko. Ja maar het is best moeilijk? Ga jij even fietsen, daarvoor betaal ik je toch? Als het makkelijk was deed ik het zelf en had ik jou ook niet nodig.

Ze hadden een simpel kopieerstrategie maar absoluut geen backupstrategie. Net als dat RAID geen backup is. Waarom? Omdat het op hetzelfde systeem staat.
klakkie.57th
@Zwatelaar21 april 2021 19:17
Een algemene verzekering die uitbetaalt is ook een strategie ..
Zwatelaar
@klakkie.57th21 april 2021 19:26
Helpt alleen in geval het om ransomware gaat met alleen financiële schade.
Nogsteeds hebben ze geen goede backupstrategie en zou ik er niet willen blijven.
klakkie.57th
@Zwatelaar21 april 2021 19:49
Ze hadden toch backups op een andere locatie ? Dan hebben ze toch een backup strategie , alleen eentje die gevoelig was voor ransomware
Zwatelaar
@klakkie.57th21 april 2021 20:55
Prima, dan blijf jij wel als klant. Ik ben weg bij dit soort sukkels.
harakiri576
@klakkie.57th21 april 2021 21:47
maar dan is er geen neiging meer om goede it beveiliging hebben. lekker draai die win95's en betalen voor verzekering, klaar is kees, he.

zeker niet de bedoeling.
TheGhost
@Zwatelaar22 april 2021 09:10
[...] Maar voor mij blijft: als ik klant was en moest te horen krijgen, we hebben geen goede backups, heel snel weg bij die toko. [...]
En waar wil je heen zonder je data dan? Als klant lig je plat en kun je niks... Je kan niet de volgende dag meteen bij een andere leverancier je systemen en dus je bedrijf weer up-and-running hebben...

Je zou ook kunnen zeggen; Dit is vervelend, wel leven allebei nog, iedereen leert hiervan en we gaan gewoon samen verder (althans; in ieder geval tot de contract termijn verloopt).

Als de garage een fout maakt bij onderhoud aan je auto, ga je dan ook meteen naar een ander "omdat het prutsers zijn" ?
Zwatelaar
@TheGhost22 april 2021 12:32
Als, als, als.... Het is natuurlijk allemaal hypothetisch, want ik zit niet echt bij deze toko. Maar NEE, ik zou dit soort “rule #1 mistakes” echt niet vergeven. Ik vertrek en daarbij maakt de actuele beschikbaarheid van mijn data geen verschil. Als deze echt kwijt is, dan komt het niet magisch terug als ik wel blijf. Als het tijdelijk is, dan komt dat later wel. Het blijft MIJN data natuurlijk.

Wat betreft die garage (I love car analogies), een fout bij onderhoud is wel heel algemeen omschreven. Als ze een zodanig ernstige fout maken dat je echt niet mag verwachten van welke basismonteur dan ook (want in die categorie stop ik de fout van dit topic), dan ben ik weg. Zoiets als: ze doen olie in mijn koelvloeistof en koelvloeistof in mijn olie.
Anoniem: 162126
@Zebby21 april 2021 19:10
Als je backup nu alleen je data bevat en geen executables zie ik niet zo 1, 2, 3 in hoe dat zou moeten gebeuren.
GORby
@Zebby21 april 2021 20:38
Daarom zet je meldingen aan bij onverwacht veel wijzigingen in je backup. Tenzij de ransomware enkel de bestanden gaat encrypten die ook effectief door gebruikers bewaard worden op dat moment, gaat dit toch snel opvallen in veel omgevingen.

Wanneer er altijd al heel veel bestanden wijzigen wordt het iets moeilijker, maar kan er toch nog een vorm van detectie zijn. Zet een honeypot op, met bestanden die normaal niet wijzigen, en zet daar een alarm op als dat toch gebeurt.

Laat de backupserver controleren of de inhoud van de bestanden overeenkomt met de extensie voor bepaalde bestandstypes. Als dat ineens niet meer het geval is voor een hoop bestanden, dan moet er ook een belletje gaan rinkelen.
Gadgettweaker
@Zwatelaar21 april 2021 21:56
3-2-1 regel maar toch nog geconnecteerd aan een netwerk heb je geen reet aan. Je backus moeten offline en geisoleerd staan
Zwatelaar
@Gadgettweaker21 april 2021 23:54
Dat is precies mijn conclusie.

Als de systemen in verbinding staan, dan is het gewoon 1 systeem. Problemen kunnen overspringen. Al staan se op 2 locaties, je houdt gewoon jezelf voor de gek.

Dus geen gedegen backup strategie.
Emin3m
@Gadgettweaker22 april 2021 07:54
en hoe doe je dat precies?
Gadgettweaker
@Emin3m3 mei 2021 13:04
Een geisoleerde vault voor de backups + immutability van de backups + deep scanning software dat backups controleerd op vreemde patronen/ encrypted files
jcbvm
@matty___21 april 2021 17:49
Die backups kosten uiteraard ook geld, dus ja dan krijg je de afweging hoeveel het je waard is.
harakiri576
@jcbvm21 april 2021 21:48
zeker maar een fractie van de schade die ontstaat van een ransomware.
beerse
@matty___22 april 2021 11:53
Het mooie in het bovenstaande bericht is dat deze organisatie wel degelijk backups had. Helaas waren dit online backups en zijn die daarmee ook meteen versleuteld....
Rataplan_
@jcbvm21 april 2021 18:52
Er is nog een overweging als het je eigen data is. Maar als het over klant data gaat zoals hier... Heb je eigenlijk weinig keuze tenzij je je hele klantenbase ook de afgrond in wil gooien..
Enerzijds is dit soort ellende vaak te voorkomen door relatief simpele zaken als MFA en fatsoenlijk toegangs/ rechtenbeheer. Anderzijds is dit het laagste soort tuig in mijn boekje, wat ontzettend hard bestraft zou moeten worden. Een inbreker kan je nog in zn pens slaan als je m tegenkomt en dan overdragen. Maar dit soort laag tuig krijg je nooit in levende lijve te zien.
mac1987
@jcbvm21 april 2021 18:56
In principe niet. Met notariële akten is de schade echter potentieel enorm en niet per definitie alleen financieel. Ik kan me voorstellen dat je in zo'n geval toch geneigd bent te betalen
Verbaast me wel dat dit soort belangrijke informatie niet gedeeld wordt met meerdere partijen om redundancy te creëren.
sokolum01
@jcbvm21 april 2021 21:13
Wel, als het je maar bitcoin kost, ben je goedkoper uit dan een complete security infrastructuur met een offline vault.
Oon
@jcbvm22 april 2021 00:04
Ik denk dat het 99.999% van de partijen het op dat moment echt niet boeit of je zulke acties aanmoedigt, die willen gewoon hun netwerk terug
Tozz
@jcbvm22 april 2021 09:52
Helaas is dit gewoon verzekeringswerk. Voor een verzekeraar is het goedkoper om uit te betalen dan de schade van 'herstel' te vergoeden. Verzekeraar kiest gewoon de goedkoopste weg, en dat is losgeld betalen.

Niet anders dan met bv. een boete voor door rood rijden. Een verzekeraar voor juridische bijstand kan besluiten om gewoon de boete te vergoeden aan de polishouder, in plaats van de rechtszaak met het OM aan te gaan. Voor de verzekeraar goedkoper.
mvrhrln
21 april 2021 17:44
"In gesprekken met de aanvaller hebben zij niet gedreigd met het stelen, achterhouden of verspreiden van data en we hebben geen rare pieken gezien in het dataverkeer die duiden op het stelen van data."

Ja want die t@ringlijers zijn ook echt te vertrouwen. man man man.

enne, geen offsite backup?

"Het beveiligingsbedrijf heeft nog niet kunnen achterhalen hoe de aanvallers in de eerste plaats toegang kregen tot de systemen. "We zijn 24/7 bezig geweest met het opschonen van de systemen en met controleren op malware." Daardoor kan nu wel al een groot deel van de 150 klanten, waaronder 96 notarissen, die maandag niet konden werken vanwege de hack, alweer in de lucht. De rest volgt later vandaag."

Ze weten niet wat er aan de hand is, maar ze kunnen wel weer verder met de systemen?

[Reactie gewijzigd door mvrhrln op 21 april 2021 17:45]

Cergorach
@mvrhrln21 april 2021 17:57
enne, geen offsite backup?
Wel offsite backup (die gekoppeld is aan de rest van de systemen), maar geen offline backup.
SunnieNL
@Cergorach21 april 2021 18:13
ook apart ja.. ze maken dus gewoon een backup van een VM. Dat is de enige manier hoe de andere kant ook bitlocker actief heeft kunnen krijgen (tenzij ze daar ook bitlocker hebben aangezet, maar gezien ze praten over een backup ga ik er vanuit dat die vm's uit stonden).

Wel interessant, ik wist niet dat je bitlocker actief kan maken op een virtuele harddisk en ik dacht dat Microsoft een masterkey had voor bitlocker, maar die is er dan dus blijkbaar ook niet :)

Overigens is dit een offsite backup die blijkbaar ook live is. Normaal zou je offsite een backup kunnen hebben die elke 24 uur en 48 uur overschreven wordt. Deze lijkt 1:1 live te zijn, waardoor data tegelijkertijd encrypt werden op de hoofdlocatie als de backup locatie. Maar dat is echt ruk.
Want dat zou inhouden dat als er iets mis gaat bij het wegschrijven van data, die data ook direct op de backup is aangepast en je dus eigenlijk niet terug kan.

Wat ze gebouwd hebben is dan ook niet echt een backup maar meer een recovery site voor als de hoofdsite eruit knalt.

[Reactie gewijzigd door SunnieNL op 21 april 2021 18:17]

SanSnoopy
@SunnieNL21 april 2021 18:53
Back-uplocatie waarschijnlijk ook gewoon maar een Windows-machines geweest in het domein waar BitLocker op is geconfigureerd, staat los van de bron.

Windows VM's op hyper-visors of in de cloud zijn gewoon Windows-machines, dus ook gewoon compatibel met BitLocker.

Back-ups werken vaak met één of ander vorm van versiebeheer, ofwel via aparte bestanden per back-up, of bijv. één grote gededupliceerde pool met metadata per back-up. Waar het risico zit, is dat de locatie waarop beiden staan ook maar gewoon een schijfpartitie in Windows kan zijn. En dus in één vlotte ruk encrypteerbaar.

Implementatie van een back-upstrategie is altijd een afweging tussen kosten en baten. Dit kan gerust een berekend risico zijn geweest. Het is geen ideale wereld, ik ken hopen klanten die in gelijkaardige situaties kunnen belanden en daar zelf voor kiezen door niet extra te investeren.

En volledig veilig zijn is onmogelijk. Als ze jou willen hebben, dan zitten ze binnen :)
Rataplan_
@SunnieNL21 april 2021 18:55
Welnee, ze kunnen ook een domain joined remote backup server hebben die altijd online is, waardoor bij een compromised account ze ook daar gewoon bij kunnen.
Immutable backups of bv backups naar tape die eens geschreven niet 1-2-3 gemuteerd kunnen worden hebben al vaak hun waarde laten zien.
SPee
@SunnieNL21 april 2021 20:20
Die masterkey hadden de hackers. Zelf hadden ze waarschijnlijk geen bitlocker aangezet, waardoor dit probleem kon ontstaan.
Het.Draakje
@Cergorach21 april 2021 18:20
Aangezien het gekoppeld is spreek je over een backup op het wan (i.p.v. lan) maar niet over off-site.

Een backup is pas een backup als het niet automatisch benaderbaar is, op een andere locatie ligt en waarvan (op zijn minst periodiek) gecontroleerd is dat het gerestored kan worden. Al het andere is slechts een extra kopie.
SanSnoopy
@Het.Draakje21 april 2021 18:44
Naah, is gewoon off-site en het zijn back-ups. Terminologie staat los van kwaliteit. In de cloud stockeren is bijv. ook off-site. En die automatisch benaderbare cloud-storage kan met immutability gerust een degelijke back-uplocatie zijn.

Jouw laatste zin gaat over goede, betrouwbare back-ups. Bij mij ligt de drempel tussen back-up & kopie op onafhankelijkheid van de primaire data.
Groningerkoek
@mvrhrln21 april 2021 17:51
Het verdienmodel van die lui houdt alleen stand als ze betrouwbaar zijn.
nst6ldr
@Groningerkoek21 april 2021 18:03
Nee hoor, weet jij wie deze aanvallers zijn? Opereren ze onder dezelfde naam als vorig jaar?

Ik val in de herhaling dus ik link deze wel gewoon.
Luca
@nst6ldr21 april 2021 18:12
Je vorige post zit wel een flaw in. Een 'commerciële organisatie' is niet per se een bedrijf. Een organisatie van hackers kan ook een commerciële organisatie zijn.
Arloid
@Luca21 april 2021 18:59
Het is ook geen commerciële organisatie, ze bieden geen product, dienst of ander gewild effect waar je geld aan wilt uitgeven. Het zijn criminelen die zich bezig houden met digitale "afpersing".

Als je ze ook nog eens commercieel gaat noemen dank je eigenlijk legitieme organisaties af.
Luca
@Arloid21 april 2021 19:02
Ik denk dat je een beetje teveel waarde hecht aan het woord organisatie, aangezien die term heel breed en weinigzeggend is. Je hoeft geen product of dienst te leveren om een organisatie te zijn.

Er is ook nog een verschil tussen organisatie als "bedrijfsvorm" of organisatie als iets algemeners. Ik zou zeggen Google het woord organisatie eens en kijk hoe breed de term is.
Arloid
@Luca21 april 2021 19:05
De nadruk light ook bij "legitiem". ;)
Gajus hoort daar niet bij.
Groningerkoek
@Arloid21 april 2021 19:29
Je kunt zoveel herdefiniëren als je wilt maar als het een samenwerking betreft van mensen met als doel om geld te verdienen dan is het een commerciële organisatie, of dat nu gaat om Apple, 5 meisjes die samenwerken met hun limonadeverkoop of 5 criminelen die afpersen. Dat het woord organisatie vaak wordt gebruikt in samenhang met legitieme bedrijven moet niet als inperking van de ruimere betekenis van het woord worden gezien.
Arloid
@Groningerkoek21 april 2021 19:45
Dat is ook niet mijn punt, het gaat er om of een organisatie "commercieel" of "crimineel" is.
Groningerkoek
@Arloid21 april 2021 20:09
Mijn punt is dat een organisatie prima beiden kan zijn. Wil je het iets anders uitdrukken kun je ook zeggen "Criminele organisatie met commerciële activiteiten" maar dat zou weer suggereren dat men ook andere activiteiten heeft, wat raar zou zijn als alles wat de organisatie doet in het teken staat van winst maken.
Groningerkoek
@nst6ldr21 april 2021 19:31
Wie weet wat ze allemaal doen, men kan aan het bedrijf dat bemiddelt aangeven dat men informatie over de betrouwbaarheid in kan winnen bij andere bedrijven waar men al reeds mee gehandeld heeft zat manieren om identifiers te hanteren al was het maar een codewoord als chocoladetoffee.
kuurtjes
@Groningerkoek21 april 2021 18:02
Hackers hebben inderdaad ook een naam hoog te houden. En losgeld brengt veel meer op dan de data door te verkopen. Voor een unieke gestolen dataset van een grote naam ga je waarschijnlijk maar 4 cijfers krijgen, terwijl je met ransomware gemakkelijk 6 cijfers kunt ontvangen. Spijtig natuurlijk maar ja.
gabba25
@mvrhrln21 april 2021 18:09
Waarom kan een notariskantoor niet doorwerken als er bij de leverancier een hack is? Waarom zijn ze daarvan afhankelijk?
Felyrion
@gabba2521 april 2021 18:17
Ik kan me diverse redenen voorstellen.
- Hosted Desktop omgeving binnen DC leverancier
- Private cloud binnen DC leverancier
- Aanbieden van Software/Platform/Inrastructure as a Service
r_bleumer
@gabba2521 april 2021 21:25
Heb op een notariskantoor gewerkt. Aktes worden aan de hand van standaard sjablonen gemaakt en aangepast. Vaak worden aktes pas op het laatste moment, vlak voor passeren uitgedraaid.

Zodra je db offline is, werkt je CMS niet meer, en kun je dus geen aktes maken.
field33P
@gabba2521 april 2021 18:14
Software draait offsite, de database van notariële aktes staat offsite, redenen te over.
gimbal
@gabba2521 april 2021 18:27
Het is niet veel anders als dat ze alles op het eigen computernetwerk hadden en dat gehacked werd - dan hadden ze net zo hard platgelegen. Sterker waarschijnlijk was de downtime nu korter.
Blokker_1999
@gabba2521 april 2021 19:06
Als al je documenten digitaal zijn opgeslagen en je kan die niet meer benaderen, dan kan je niet veel meer doen. Alles is digitaal de dag van vandaag en documenten staan centraal opgeslagen zodat iedereen in het kantoor deze kan bekijken, bewerken, ... .
Houtenklaas
@gabba2521 april 2021 22:03
Blijkbaar staat er data daar die ze nodig hebben. En blijkbaar is er dus niet zo heel goed over nagedacht wat de gevolgen zijn als dat zou gebeuren, het "Risk-management". 80X een remote server op locatie met een veilig update mechanisme had een hoop leed kunnen voorkomen. Maar daar zullen ze wel opnieuw over nadenken nu denk ik.
Rataplan_
21 april 2021 17:44
Een IT bedrijf wat zelf geen offline backup heeft... Dat zou je als IT'ers in 2021 na alle ransomware nieuwsberichten die haast dagelijks komen toch beter mogen verwachten.
Blokker_1999
@Rataplan_21 april 2021 19:09
Ik snap niet dat men offline backups nog zo vanzelfsprekend vindt wanneer bedrijven vaak honderden terabytes aan data hebben staan.
FreshMaker
@Blokker_199921 april 2021 19:17
Ik snap niet dat men offline backups nog zo vanzelfsprekend vindt wanneer bedrijven vaak honderden terabytes aan data hebben staan.
Mijn stokpaardje is altijd, als de data niet offline beschikbaar is, is het niet waardevol genoeg om te bewaren.
Als jij honderden terabytes kan beheren, zul je zorg moeten dragen dat je het werkelijk beheerst, daar hoort nu eenmaal een offline kopie bij.

Nu zal al die data ( in dit geval ) niet op één locatie staan, maar zorg dan per locatie voor adequate opslag.

Controleer daarbij gelijk even of het wel noodzakelijk is, dat je alles bewaart .. is al die data niet per ongeluk een verzamelwoede, die uit de hand is gelopen.
netman
@FreshMaker21 april 2021 22:20
Honderden terabytes is niet uitzonderlijk veel.. Een beetje organisatie gaat al snel in de petabytes.
Je hebt helemaal gelijk dat je daar goed over na moet denken hoe je dingen beheert.

Schonen is natuurlijk mogelijk maar is vaak duurder dan extra storage aanschaffen. Ooit discussie gehad met storage beheerder toen de storage vol dreigde te lopen. Die wilde de hele organisatie afdelingsschijven laten schonen . Een snelle rekensom leerde dat de geinvesteerde tijd voor schoning niet terug te verdienen was.
.
Zer0
@netman21 april 2021 22:57
Een snelle rekensom leerde dat de geinvesteerde tijd voor schoning niet terug te verdienen was.
En nu mag men het alsnog gaan doen, alleen dan om AVG compliant te zijn, want in al die oude "rotzooi" die men nooit weggooit staan mogelijk persoonsgegevens :P
netman
@Zer022 april 2021 09:14
persoonsgegevens op afdelingsschijven is per definitie een no-go dus dat probleem was er gelukkig niet
Zer0
@netman22 april 2021 10:19
Ja... en daar hielden mensen zich 15 jaar geleden aan....toen dacht men daar niet echt over na, als ze dat nu al doen.
Blokker_1999
@FreshMaker22 april 2021 11:00
Als je een bewaarplicht hebt van alle data waarmee je werkt gedurende +10 jaar, dan kan je niet zomaar opschonen. Je data moet dan gewoon beschikbaar blijven. En nee, niet alle data staat op 1 locatie, maar alle data staat wel redundant over meerdere locaties voor failover en er zijn wel backups die ook weer op andere locaties staan, maar wel online.
FreshMaker
@Blokker_199922 april 2021 11:41
Beschikbaar is niet hetzelfde als online ...
Data van x jaar en ouder mag best een periode overheen gaan om terug te vinden.

In mijn omgeving moeten we net zo goed 10 jaar bewaren, maar de data ouder dan 2 jaar moet/hoeft pas na 72u beschikbaar gemaakt worden.
Dat staat bij ons nog 'ouderwets' op tape's :+
5 / 10TB LTO tapes zijn heerlijk, snel niet ... maar wel betrouwbaar
Houtenklaas
@Blokker_199921 april 2021 20:38
Veel data die je moet bewaren vanuit de belastingdienst kan je prima met een "cold storage" behouden, grote onzin om dat online beschikbaar te hebben. Storage wordt steeds goedkoper, dus slaan we steeds meer online op terwijl dat vaak helemaal niet nodig is. Altijd blijven nadenken. Behandel je netwerk en IT alsof er elke dag een ramp kan gebeuren en je je data weer terug wilt kunnen halen. Dan is het testen op een separaat systeem ineens erg voor de hand liggend en het met regelmaat ervan testen idem.

Je kan je ook afvragen waarom (afkloppen) de heel grote bedrijven met inderdaad dit soort hoeveelheden data tot nu toe niet gehacked zijn. Ik vermoed omdat die bedrijven dit soort scenario's kennen en ze er ook op inspelen. Die hebben een CERT, doen met regelmaat disaster recovery testen en meer van dat. het eenmansbedrijf op de hoek is niet interessant voor dit soort boeven dus wat overblijft zijn dit soort bedrijven. Te groot voor een servet, te klein voor een tafellaken. Willen concurrerende diensten aanbieden voor een prijs die eigenlijk niet kan. En daar komen we nu anno 2021 achter waar de "snag" zit. Zie het maar als leerproces. De heel simpele vraag is: Als ik vandaag als mijn data in mijn netwerk kwijt ben, besta ik dan over 6 maanden nog. En als dat risico bestaat dat het antwoord "nee" is, dan kan je een goed besluit nemen. Je neemt het risico en hoopt op het beste of je neemt maatregelen.

In mijn ogen is het evident dat bedrijven die maatregelen nemen zullen overleven, de rest zal afsterven.
mae-t.net
@Blokker_199922 april 2021 22:07
Dus je zou niet denken: hoe meer data een bedrijf heeft hoe kwetsbaarder het is dus hoe noodzakelijker om goede backups te hebben?

Overigens heeft een hooguitmiddelgrote ICT-beheerder meestal geen honderden terabytes aan data nodig voor de eigen bedrijfsvoering.

Zou het gaan om data die ze voor hun klanten beheren, en dus mogelijk wel honderden terabytes, dan is het des te onbegrijpelijker dat ze kennelijk niet goed over de infrastructuur nagedacht hebben. Dan bedoel ik niet alleen het maken van offline-backups, maar ook het read-only opslaan van afgehandelde stukken. Zeker in het notariaat lijkt me dat een voorwaarde die je aan archivering moet stellen.

[Reactie gewijzigd door mae-t.net op 22 april 2021 22:13]

Zodiac
@Rataplan_21 april 2021 18:52
Nederland is al van de overmatige regelgeving, maar eigenlijk zou je toch bijna willen dat bedrijven verplicht wordt gesteld om een aantal basiszaken goed op orde te hebben, waaronder het hebben van (offline) back-ups...
eltweako
21 april 2021 17:44
Bitlocker inzetten als ransomware, dat is ook een manier om veel (geautomatiseerde) systemen voor de gek te houden.

Je ziet steeds vaker "innovatieve" oplossingen die (ransomware) aanvallen detecteren door de activiteit op het systeem te analyseren. Echter kan ik me voorstellen dan het inschakelen van Bitlocker nog niet meteen iets is om alarm te slaan. Het zal waarschijnlijk voor te veel false positives gaan zorgen, denk dat het dan tijd is om de aanpak te herzien.

Wat overblijft is een IT Firma welke alweer zijn backups niet op orde heeft.
Hoe kan het zijn dat je als MSP je hele netwerk inclusief backups aan elkaar geknoopt hebt in 2021?
Het is toch niet meer uit te leggen dat je geen off-line back-ups hebt en/of een back-up die los staat van je productie netwerk?
Het bedrijf had weliswaar back-ups op een andere locatie, maar die waren ook versleuteld omdat alles was verbonden.
Dit leest voor mij meer als "We hadden een replicatie op een andere locatie, maar die is vrolijk de versleutelde systemen gaan repliceren".
Cergorach
@eltweako21 april 2021 18:04
Dit leest voor mij meer als "We hadden een replicatie op een andere locatie, maar die is vrolijk de versleutelde systemen gaan repliceren".
Ik lees het eerder als dat het aan hetzelfde AD netwerk hing of werd beheert via dezelfde beheer software. Waardoor zodra een aanvaller toegang daar toe heeft, deze toegang heeft tot alles.
eltweako
@Cergorach21 april 2021 18:17
Kan ook, beide zijn natuurlijk geen back-up.
Cergorach
@eltweako21 april 2021 19:08
Natuurlijk is het backup, maar geen goede, aangezien beide aangevallen kunnen worden. Je kan ook een backup maken die iemand zo mee kan nemen, het is een backup, maar niet goed beveiligd.
eltweako
@Cergorach21 april 2021 19:13
Je hebt inderdaad gelijk, er zijn verschillende soorten back-up.
Deze back-up zal zeker bij kunnen dragen bij een incident van technische aard. Maar is onbruikbaar in dit geval.
nst6ldr
@eltweako21 april 2021 18:26
Bitlocker inzetten als ransomware, dat is ook een manier om veel (geautomatiseerde) systemen voor de gek te houden.
Het is wel één van de manieren hoe je met een relatief lage 'footprint' je doel kan bereiken. Ik weet nog van vroeger in de spyware dagen hoe volume shadow copy misbruikt werd om virusscanners te overrulen/misleiden: haalde de AV de executable weg, zetten Windows 'm doodleuk terug.

Zoals je ziet kan dit nog steeds, maar het laat tegenwoordig wel een audit trail achter in Windows waardoor beveiligingsonderzoekers makkelijker de malware kunnen vinden en onderzoeken.
klakkie.57th
@eltweako21 april 2021 19:25
Dit gaat waarschijlijk over petabytes aan data, dat offline backuppen kost aardig wat dus misschien was een verzekering goedkoper
r_bleumer
@klakkie.57th21 april 2021 21:26
Valt wel mee. Veel notarieel werk zijn gewoon documenten zonder al te veel graphics.
mae-t.net
@r_bleumer22 april 2021 22:09
Maar die moeten alsnog wel op een fatsoenlijke resolutie en bitdiepte beschikbaar zijn om de echtheid te kunnen verifiëren.
Houtenklaas
@klakkie.57th21 april 2021 20:45
Maar hoeveel is "oud" en hoeft niet meer realtime beschikbaar te zijn? Ik ken weinig bedrijven in NL waar data in dit volume dagelijks nodig zijn en die zitten dan vaak in de BV Nederland en financiële sectoren. En daarna droogt het hard op. De verzekering voor dit soort grappen zal of skyhigh de hoogte in schieten, of allerhande clausules krijgen om onder betaling uit te komen. Of beide. Maar verzekeren zal in de nabije toekomst zeker niet meer goedkoper zijn.
zx9r_mario
@eltweako21 april 2021 18:21
Windows Home als server inzetten. Die heeft geen bitlocker :+
breaky73
21 april 2021 17:45
Dus toch maar weer maar old-school dagelijks tape back-ups gaan draaien...
kowlier
@breaky7321 april 2021 17:55
niets old-school aan tapes, wij gebruiken die ook nog om een backuphistoriek bij te houden, volledig los van het netwerk.
Liberteh
@breaky7321 april 2021 17:53
Of je scheidt de boel via VLAN's... die mogelijkheid hebben de netwerk apparatuur waarschijnlijk al zonder extra kosten.
batjes
@Liberteh21 april 2021 18:01
Tenzij je je netwerk goed inricht, bereik je met VLAN nou niet echt veel extra veiligheid. Als ze geen deftig backup beleid hebben, verwacht dan absoluut niet dat ze dan wel een deftig netwerk beleid hebben.
Liberteh
@batjes21 april 2021 18:12
Je mag toch wel enige expertise verwachten bij een club als deze. Echter verteld het nieuwsbericht ons al genoeg. Tapes zullen hierbij dan ook niet helpen. Je zou helemaal geen banden moeten willen met zo'n bedrijf. Maar een begin is zeker VLAN's. Dit soort aanvallen zijn veelal grotendeels geautomatiseerd en wat je zo snel niet kan zien zal je ook niet verder proberen uit te buiten (backup netwerk)
batjes
@Liberteh21 april 2021 18:20
VLAN's kunnen zeker helpen, geen idee of deze malware slim genoeg is, maar als je je netwerk niet deftig opzet prik je zo door die VLANs heen en is het meer schijnveiligheid. Maar je hebt een punt, alle beetjes helpen. Genoeg malware zal niet eens de moeite nemen om te checken voor VLAN's, maar dat is een aanname.
r_bleumer
@batjes21 april 2021 21:29
Je zet je backup-server achter een firewall en laat alleen connecties van de backupserver naar de agents toe. Alle andere traffic drop je. Dan heb je uitermate effectief je backupserver tegen ransomware beveiligd.
kodak
@Liberteh21 april 2021 18:38
Expertise verwacht je niet zomaar, het moet ergens uit blijken. Als we bij de eerste de beste bestaan van een bedrijf (wat iedereen kan en mag starten zonder enige kennis) al expertise verwachten omdat ze geld verdienen dan ligt de lat wel erg laag. Het is geen beschermd beroep en je hebt soms al genoeg aan klanten die nog minder kennis hebben om geld te verdienen.
Myri
21 april 2021 17:43
de aanvallers niet de indruk wekten een idee te hebben dat het een beheerder was voor notarissen, waarmee ze toegang hadden tot potentieel gevoelige data, zoals aktes of kopieën van paspoorten die op de servers van de beheerder zouden kunnen staan
Het beveiligingsbedrijf heeft nog niet kunnen achterhalen hoe de aanvallers in de eerste plaats toegang kregen tot de systemen
Breng zo vooral niet op ideeën...

[Reactie gewijzigd door Myri op 21 april 2021 17:44]

Sircuri
@Myri21 april 2021 17:45
Hmm, morgen weer en dan het tien-voudige vragen aan losgeld. Goed plan inderdaad.
TigerXtrm
21 april 2021 21:18
Dan ben je als IT partij ook gewoon niets meer waard. Als je je eigen netwerk niet eens kan beveiligen :')
tweaker2010
@TigerXtrm21 april 2021 23:30
De meeste IT 'partijen' weten niet eens dat er aanvallers binnen zijn geweest.. monitoring kost ook geld.
Losgeld betalen lijkt een slecht idee, maar wellicht voor dit bedrijf nog de minst slechte oplossing.
bones
21 april 2021 17:44
Geen offline backup? Lijkt me best nalatig van een ict beheerder.
citruspers
@bones21 april 2021 18:09
Hoe zou jij een offline backup op schaal toepassen dan? Afgezien van immutable volumes via AWS (nog steeds niet offline, maar zelfde doel), of elke nacht heen en weer naar het DC om schijven om te prikken zie ik namelijk niet zo veel mogelijkheden.
IStealYourGun
@citruspers21 april 2021 18:27
Je hebt tegenwoordig backup/storage systemen die communiceren aan de hand van een api en daardoor moeilijker kunnen worden aangevallen.
klakkie.57th
@IStealYourGun21 april 2021 19:30
Moeilijker, niet onmogelijk.
Performante S3 storage is gewoon pokke duur.

Dit is een voorbeeld en dan heb je enkel de software nog niet de hardware.
https://min.io/pricing 10$ per TB per maand. Als de klant , dit niet wil betalen ... t’ ja wat doe je dan. Klant is koning uiteinddlijk
r_bleumer
@klakkie.57th21 april 2021 21:27
In het notariaat gaat geld om. Veel geld, Heel veel geld. Daar kijken ze niet op een paar Euro's. Als hun primaire proces plat ligt, gaat het per notaris om 250€ / uur minimaal.
J-roenn
@citruspers21 april 2021 18:56
Taberobot?
Johan9711
21 april 2021 17:46
Dan ben je ICT-leverancier in een sector waarin data safety enorm belangrijk is, en heb je niet eens een offline backup 8)7
zx9r_mario
@Johan971121 april 2021 18:19
Zeker bij notariskantoren
narimantos
@Johan971121 april 2021 20:37
Kan je een sector opnoemen waar data safety niet enorm belangrijk is tegenwoordig? Sinds de AVG hebben alle bedrijven een hogere eis kwa datasafety, zelfs de groenteboer. Of zie ik het verkeerd?

[Reactie gewijzigd door narimantos op 21 april 2021 23:26]

Triblade_8472
21 april 2021 18:28
"Het bedrijf had weliswaar back-ups op een andere locatie, maar die waren ook versleuteld omdat alles was verbonden. Er was geen offline back-up van de data van het bedrijf."

Dit is dus keihard verwijtbaar. Offline backup - altijd. Geen online Immutable, gewoon draadje (of tape) eruit.
klonic
@Triblade_847221 april 2021 23:58
‘Verwijtbaar’ wellicht was deze policy gewoon bekend bij de afnemen en wilde deze niet 20% extra betalen voor de offline backups.
Triblade_8472
@klonic22 april 2021 07:22
Als jij als sales blijft volhouden dat online perfect veilig is (wat ik in de praktijk daadwerkelijk meemaak) dan is dat zeker wel verwijtbaar!

Klanten zijn géén expert en moeten op jouw kunde kunnen vertrouwen!
klonic
@Triblade_847222 april 2021 09:11
Maar je weet niet of dat (dat sales stelt dat 'het online perfect veilig is') ook voor dit bedrijf geldt. Ik vind het dus wat voorbarig om dan te stellen dat dit verwijtbaar is.

Daarnaast laat een goede inkoper zich vergezellen door een expert (of doet een expert het voortraject). Ook is het idee van een offline backup toch juist best bekend? Persoonlijk heb ik al mijn data op mijn NAS staan en 2 off-line backups waarvan een in een andere stad deze backups wissel ik elke 6 maanden ofzo uit (dat is handig in geval van brand, overstroming e.d).
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee