Cyberaanval treft IT-systemen van stad Luik

Meerdere diensten van de stad Luik zijn niet bereikbaar vanwege een aanval op de IT-infrastructuur van de stad. Er zou losgeld door de criminelen geëist zijn, wat zou duiden op een aanval met ransomware.

Het stadsbestuur van Luik meldde maandag slachtoffer te zijn geworden van een IT-aanval die zijn diensten treft, zonder verdere details te geven over de impact en de aard van de aanval. Volgens RTBF lagen in ieder geval maandag veel departementen van de stad volledig stil, waaronder die voor de burgerlijke stand, stedenbouw en districtsgemeenten. Afspraken met burgers voor bijvoorbeeld de afgifte van reisdocumenten kunnen daardoor niet doorgaan.

Het personeel van het stadsbestuur kreeg de opdracht om werk-pc's niet aan te zetten om verdere verspreiding te voorkomen. RTBF claimt informatie te hebben waaruit zou blijken dat de criminelen losgeld eisen en de site speculeert dat het om Ryuk-ransomware gaat. Onduidelijk is of er data gestolen is. Luik heeft naar eigen zeggen 'internationale deskundigen' in de arm genomen om de aanval te onderzoeken.

Reacties (78)

Ruuuuuubje 22 juni 2021 10:26

Eigenlijk hoop ik dat deze trend een wake up call word om IT systemen beter te beveiligen.

Het uitgangspunt kan toch zijn segmenteren en bij ransomware een dag terug kunnen draaien? Ok, je bent een dag werk kwijt, maar beter dan miljoenen aan losgeld (plus de boodschap die dat uitzend)

Blokker_1999

België
Ransomware
Beveiliging en antivirus

@Ruuuuuubje • 22 juni 2021 12:16

Telkens zie je dit soort reacties en denk ik van: neen, je mag zoveel investeren als je wenst maar je zal nooit enige garantie hebben dat je niet getroffen zal worden.

Netwerken worden al zwaar gesegmenteerd de dag van vandaag. Overal firewalls tussen, alleen dat verkeer toestaan dat je moet toestaan. Maar als men eenmaal binnen geraakt, en dat is vaak eenvoudiger dan je denkt, dan gaat men gewoon op zoek naar alle kwetsbaarheden die men kan vinden. Soms een update die nog niet is toegepast, soms een zero-day waarvoor zelfs geen patch beschikbaar is, soms een gebruiker die onvoorzichtig is geweest.

Je dringt binnen en je dringt verder door. Je laar je malware zijn werk doen. Enkele dagen, enkele weken soms zelfs enkele maanden en dan sla je toe, dan pas maak je je aanwezigheid bekend. De segmentering heb je al lang doorbroken. De backups? Ook geinfecteerd. De recovery? Dagen zoniet weken werk aan een aanzienlijke kost vanwege de benodigde expertise die je zelf niet hebt.

BytePhantomX @Blokker_1999 • 22 juni 2021 14:08

Netwerken worden al zwaar gesegmenteerd de dag van vandaag. Overal firewalls tussen, alleen dat verkeer toestaan dat je moet toestaan.

Dit soort aanvallen vinden overwegend toch echt plaats in netwerken waar geen segmentering is, elk systeem wordt beheerd met domain admin rechten, service accounts domain admin rechten hebben en er naast anti-virus geen enkele detectie en monitoring in gebruik is.

Als aanvallers nog steeds in een uurtje Domain Admin worden, mag je jezelf serieus afvragen of je goed bezig bent. En dat heeft niets te maken met zero-days, niet patchen van systemen of gebruikers die ergens op klikken. Een recente write-up met veel details: https://thedfirreport.com...teral-movement-in-1-hour/

Blokker_1999

België
Ransomware
Beveiliging en antivirus

@BytePhantomX • 22 juni 2021 18:43

Niemand zegt dat het in een uurtje moet. Maar 1 enkele 0-day kan voldoende zijn om het heel snel te laten gaan. Het enige wat ik trouwens leer uit de link die jij post is dat men daar een aanvaller heeft binnengelaten en die zijn basis werd uiteindelijk gelegd met malware die 4 jaar oud is op het moment van schrijven.

Leg me trouwens eens uit waarom in een goed beveiligd systeem een aanvaller niets zou hebben aan een welwillende gebruiker die iets open klikt of een 0-day waar, zoals de naam al aangeeft, niet eens een fix voor bestaat omdat de exploit zelf nog niet bekend is bij het grote publiek?

Ik vind het ook knap dat jij zomaar kunt concluderen dat zulke aanvallen overwegend plaatsvinden in domeinen waar geen segmentering plaatsvind. Heb je daar ook maar enig bewijs van?

Verwijderd @Blokker_1999 • 22 juni 2021 18:43

De backups? Ook geinfecteerd. De recovery? Dagen zoniet weken werk aan een aanzienlijke kost vanwege de benodigde expertise die je zelf niet hebt.

En zie hier het verschil tussen een Enterprise Backup Platform en een rsync scriptje. Anomaly detection + reports en je komt direct te weten wanneer er een abnormaal aantal bestanden aangepast is op NAS, VM, etc. sinds de laatste incrementele backup. Snapshots en backups zijn toen nu toe meer dan voldoende om je tegen crypto malware te bewapenen. Recovery time is ook geen probleem wanneer je genoeg data movers hebt en van een disk-based systeem hersteld.

FastFred @Ruuuuuubje • 22 juni 2021 10:52

Alle vormen van uitvoerbare bestanden als bijlage op het spamfilter af vangen zonder mogelijkheid om die vrij te geven. Macro's in Office bestanden worden door het spamfilter eruit gehaald en bijlages die niet gescand kunnen worden omdat ze bijvoorbeeld een wachtwoord hebben worden niet doorgelaten.

Daarnaast hebben we Citrix XenApp gemanaged door Ivanti, die alle uitvoerbare bestanden die niet geautoriseerd zijn door ons gewoon weigert te starten.

Project segmentering van ons netwerk en beperken van rechten tot alleen het noodzakelijke is binnenkort ook klaar.

En oja backup, tussen 6:00 en 23:00 ieder uur een backup van kritieke servers (file, database servers, domain controllers etc.). En binnenkort gaan we over op Veeam met Insider Protection.

[Reactie gewijzigd door FastFred op 23 juli 2024 07:07]

Sluuut @FastFred • 22 juni 2021 11:24

Leuk wat je verteld, maar dit is slecht een begin van de wapening tegen ransomware. Ransomware komt in 95+% van de gevallen via e-mail binnen, dus het is slim om daar de focus op te leggen.

Maar het kan natuurlijk via e-mail ook binnenkomen als link-in-link-in-link waarvan een exploit vaak op een legitieme plek in de cloud (bv dropbox) gehost word, wat door email scanners heel lastig onderzocht/gescanned kan worden. Of b.v. als QR code met daarin een verwijzing naar een malafide website.

Naast e-mail zijn er natuurljik nog talloze andere wegen, denk b.v. aan de recente Exchange lekken en het Netscaler lek wat pas gepatched was nadat het al weken/maanden bekend en gebruikt was.

FastFred @Sluuut • 22 juni 2021 12:52

Ivanti blokt alle uitvoerbare bestanden die niet door ons geautoriseerd zijn, ongeacht hoe ze bij ons komen.

Sluuut @FastFred • 22 juni 2021 13:21

Ja maar niet alle exploits zijn uitvoerbare bestanden he? En niet alle ingangen zijn door Ivanti heen?

Heidistein @FastFred • 22 juni 2021 14:00

Maar ja... Die paar java applicaties vinden het nuttig dat java.exe uigevoerd mag worden. Die dus ook `java -jar exploit.jar` mag starten...

FastFred @Heidistein • 22 juni 2021 14:07

Dan moet die specifieke Java applicatie wel toestemming hebben om java.exe te mogen starten

BytePhantomX @Sluuut • 22 juni 2021 14:14

Het is vooral slim om als uitgangspunt te nemen dat een medewerker een keer een fout maakt en een aanvaller op een werkstation binnenkomt. Als je dat nu eens als uitgangspunt neemt, wat heb je dan om de organisatie te beschermen.

- Ga je het zien als er vanaf dat werkstation een scan wordt gedaan over je netwerk?
- Kun je vanaf dat werkstation alle servers in je omgeving zien?
- Kun je vanaf iedere client met RDP of SSH verbinden naar servers?
- Als een aanvaller op een server komt, kan hij dan credentials dumpen met mimikatz (of ander tools) zonder dat jij het ziet?
- Ga je het zien als er in je netwerk een powershell commando wordt uitgevoerd met de -enc parameter?
- Mogen de werkstations zomaar powershell uitvoeren?

Ja e-mail is zeker belangrijk, maar een goede beveiliging gaat er vooral vanuit dat je organisatie niet plat gaat als er een gat blijkt te zitten in je belangrijkste beveiligingsaanpak.

Blokker_1999

België
Ransomware
Beveiliging en antivirus

@FastFred • 22 juni 2021 12:20

Even een USB stick met malware op je parking komen leggen. Iemand neemt hem mee naar binnen, steekt deze in een computer om te kijken wat het is en ik ben vertrokken.

Een klant die bestanden doorstuurt maar geen gebruik maakt van email attachments (email is daar nooit voor bedoeld) maar, zoals het hoort, een filesharingservice gebruikt. Moet kunnen toch? Opnieuw heb je niets aan je attachment scanner.

Van zodra IT dingen gaat blokkeren gaan mensen er wegen rond zoeken om toch maar hun job te kunnen doen. Geloof me, heb al veel knutseloplossingen gezien omdat IT iets onmogelijk wenste te maken.

FastFred @Blokker_1999 • 22 juni 2021 12:51

Dan vangt Ivanti dat nog altijd af, niet geautoriseerde uitvoerbare bestanden worden gewoon geblokt, ongeacht de afkomst.

SadisticPanda @Blokker_1999 • 22 juni 2021 12:24

Mr robot much?

Blokker_1999

België
Ransomware
Beveiliging en antivirus

@SadisticPanda • 22 juni 2021 12:25

Nee, interne rapporten en eigen ervaring.

BytePhantomX @FastFred • 22 juni 2021 14:17

Draait Ivanti ook op servers? Is Ivanti onfeilbaar ten aanzien van 0-days? Is de enige manier waarop je iets kan doen in het netwerk middels Ivantie of kun je ook een netwerk inpluggen?

Misschien zijn jullie hele goede stappen aan het zetten, maar een product op zichzelf lost niets op. Een ook die backup oplossing, kun jij als beheerder de data wissen vanaf jouw remote werkplek? Zo ja, dan kan een aanvaller het waarschijnlijk ook.

wyll @BytePhantomX • 22 juni 2021 16:57

Draait Ivanti ook op servers? Is Ivanti onfeilbaar ten aanzien van 0-days? Is de enige manier waarop je iets kan doen in het netwerk middels Ivantie of kun je ook een netwerk inpluggen?

Dit idd, vertrouwen op de techniek is leuk maar ook die is feilbaar. Het nadeel is dat je als verdediger alles moet afdekken terwijl de aanvaller maar 1 gaatje nodig heeft om toch binnen te komen.
Al iets ouder maar toch:
https://www.securify.nl/a...ss-via-localhost-unc-path
https://www.securify.nl/a...see-command-line-argument

https://www.cvedetails.co...ti-Workspace-Control.html

gooos @Ruuuuuubje • 22 juni 2021 10:55

Zolang het nagenoeg onmogelijk blijft om daders wereldwijd op te kunnen sporen en aan te kunnen pakken zal het probleem alleen nog maar verergeren, ondanks dat bedrijven hun beveiligingsmaatregelen / -budget omhoog gooien.

Het enige wat wellicht iets kan uitmaken is als we wereldwijd een soort van CyberPol in het leven roepen zodat dergelijke groepen zich niet meer achter grenzen kunnen verschuilen, al dan niet met gedoog steun van een staat.

mister9 @Ruuuuuubje • 22 juni 2021 12:36

Dit is, met alle respect, heel ouderwets denken.
Ransomware wordt niet actief als het binnenkomt. Ransomware is weken of maanden aanwezig in je netwerk voordat het actief wordt.
Dus de ransomeware zit al weken in je backup zodat je die ook niet terug kunt zetten. En weken of maanden werk verliezen is ineens wel een potentiële motivatie om dan toch maar geld te betalen.

biglia @Ruuuuuubje • 22 juni 2021 15:26

Eigenlijk hoop ik dat deze trend een wake up call word om IT systemen beter te beveiligen.

Ach, in dit geval betreft het een instantie van de overheid. Dat betekent in België weer beperkte middelen voor IT met op de eerste plaats vastgelegde barema's/loonschalen voor IT personeel dat totaal niet kan concurreren tegen de privésector. De IT'ers zullen ongetwijfeld genoeg inzet tonen, maar de sterkere profielen met ambitie gaan daar niet werken.

elmariachi @Ruuuuuubje • 22 juni 2021 15:38

Het zou vooral ook een wake-up call moeten zijn om je eindgebruikers beter te trainen want de meeste ransomware komt binnen via eindgebruikers, niet door een brute hack op de systemen.
En eigenlijk is het een breder probleem, een maatschappelijk probleem durf ik het zelfs noemen. De meeste mensen zijn zich er niet van bewust welke gevaarlijke plaats het internet kan zijn, om maar het voorbeeld te geven van identiteitsfraude omdat men zo gemakkelijk op social media allerlei privé informatie te grabbel gooit.

smolders2007 22 juni 2021 10:24

Kan snel opgelost worden door cryptomunten als een normale bankrekening te gaan verplichten zodat de anonimiteit weg is.

jpsch @smolders2007 • 22 juni 2021 10:26

Je bedoelt met katvangers?

Lan Mandragoran @jpsch • 22 juni 2021 10:28

Katvangers zijn voor kleine bedragen leuk. Als je even een miljoen wilt overschrijven voor ransomware houdt elke bank dat tegen.

dingo35 @Lan Mandragoran • 22 juni 2021 12:05

Als je dat vanaf een particuliere rekening doet, houdt de bank dat misschien tegen, of stelt in ieder geval vragen..
Als je het vanaf een zakelijke rekening doet, kraait er geen haan naar. Enig idee hoeveel miljoenen er dagelijks in het bedrijfsleven rond gaan?

Heidistein @smolders2007 • 22 juni 2021 14:02

Ja, inderdaad! Dat kunnen we best in de wet zetten! Zullen die boeven zich even aan de wet moeten houden, nou nou nou!

Lan Mandragoran 22 juni 2021 10:05

De trend van ransomwareaanvallen is echt extreem zorgwekkend. Het blijkt veel te lucratief om bedrijven en publieke instellingen helemaal plat te leggen, aangezien die miljoenen betalen om de schade te beperken. Echt heel veel bedrijven betalen het losgeld omdat dat een stuk goedkoper is dan terugvechten. Wat we in de media zien is nog maar het topje van de ijsberg; het gros wordt verborgen gehouden.

En dit gebeurt niet alleen bij bedrijven die hun beveiliging totaal niet op orde hebben, maar ook bij bedrijven die wel 2FA hebben en alsnog platgaan met behulp van social engineering en wat handige exploits. Zo goed als alles is te hacken.

Ik verwacht dat dit probleem alleen maar erger gaat worden zolang het losgeld in crypto's niet te traceren blijft en daders niet op te sporen zijn. Pas als daar iets gaat veranderen kan werk worden gemaakt van opsporing van de daders.

nst6ldr @Lan Mandragoran • 22 juni 2021 10:11

Ik verwacht dat dit probleem alleen maar erger gaat worden zolang het losgeld in crypto's niet te traceren blijft en daders niet op te sporen zijn. Pas als daar iets gaat veranderen kan werk worden gemaakt van opsporing van de daders.

Shit, ik was nog bezig m'n bingokaart te pakken en daar komt de eerste verwijzing naar cryptovaluta alweer.

Was je alweer vergeten dat gewoon geld ook wordt gebruikt bij criminaliteit? Ook je conclusie dat dat de enige oplossing is en de verantwoordelijkheid helemaal uit handen ligt van de organisaties die worden gepakt is buitengewoon naïef.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@nst6ldr • 22 juni 2021 12:20

Was je alweer vergeten dat gewoon geld ook wordt gebruikt bij criminaliteit?

Hoe betrouwbaar is die info? Het aangehaalde rapport komt van een crypto / blockchain bedrijf. Het lijkt nogal biased en mist objectieve controleerbare onderbouwing op het eerste oog. Aannames en zo-zo onderzoek worden als harde cijfers gepresenteerd.

Het is ook net hoe je het leest. Men stelt bijvoorbeeld ook dat men tussen 20199 en 220 een toename van 311% ziet rond ransomware. Je leest het goed, een toename en wel van 311%

[Reactie gewijzigd door Bor op 23 juli 2024 07:07]

nst6ldr @Bor • 22 juni 2021 13:34

In dat geval zou ik op z'n minst een bron willen zien die deze ongefundeerde stemmingmakerij onderbouwt zodat we in ieder geval kunnen stellen dat mijn artikel niet betrouwbaar is:

Ik verwacht dat dit probleem alleen maar erger gaat worden zolang het losgeld in crypto's niet te traceren blijft en daders niet op te sporen zijn.

Crypto's worden nu vrijwel exclusief gebruikt voor ransomware/wapens/drugs/kinderporno omdat betalingen zo goed als niet te traceren zijn.

Extraordinary claims need extraordinary proof. Stellen dat mijn bron niet voldoet omdat de cijfers gekleurd gepresenteerd worden is nog steeds geen bewijs dat crypto's exclusief gebruikt worden voor criminaliteit. Dat het een toename van 311% is heeft minder relevantie dan dat het een buitengewoon insignificant deel van alle cryptotransacties is.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@nst6ldr • 22 juni 2021 13:52

Als we even kijken naar Bitcoin en een ander onderzoek;

We find approximately one-quarter of Bitcoin users and one-half of Bitcoin transactions are associated with illegal activity. Around $72 billion of illegal activity per year involves Bitcoin, which is close to the scale of the US and European markets for illegal drugs.

Uitgevoerd door;
Sean Foley, University of Sydney
Jonathan R. Karlsen, University of Technology Sydney
Tālis J. Putniņš, Stockholm School of Economics in Riga.

Het is net welk onderzoek je pakt en vooral bij het onderzoek wat jij aanhaalt; naar welke uitslag je op zoek bent. Feit is dat dit soort onderzoeken zeer moeilijk zijn om uit te voeren, juist mede omdat de houder van een wallet lang niet altijd bekend is en illegale activiteit zich vooral afspeelt in het duister zoals Darkweb etc.

[Reactie gewijzigd door Bor op 23 juli 2024 07:07]

rickboy333 @Bor • 22 juni 2021 22:29

Maar dan de vraag, stel je voor dat crypto's verboden worden. En de hele cryptomarkt zal geen cent meer waard zijn (in theorie), denk je daadwerkelijk dat de randsomes stoppen?

Criminelen gaan dan gewoon een andere methode gebruiken. Heel misschien dat je wat amateurs uit de lucht haalt. Maar die professionele criminele organisaties die zullen echt wel andere manieren vinden om aan geld te komen. Net zo anoniem als crypto.

nst6ldr @Bor • 22 juni 2021 22:16

Ik mis nog steeds de onderbouwing waaruit blijkt dat crypto's exclusief gebruikt worden voor criminele activiteiten, want dat is letterlijk wat er gesteld werd. Al je referenties naar artikelen die stellen hoeveel geld erin omgaat of hoe groot het aandeel is zijn irrelevant tenzij je weet te bewijzen dat dit de 90% benaderd.

Favrile @Bor • 22 juni 2021 14:57

Wil en ga me niet in de discussie mengen, maar als dat bedrijf samenwerkt met Europol moeten ze toch wel iets goed doen.

Favrile @Bor • 22 juni 2021 14:55

Sorry, foutje.

[Reactie gewijzigd door Favrile op 23 juli 2024 07:07]

Lan Mandragoran @nst6ldr • 22 juni 2021 10:21

Dit zijn wel echt twee joekels van drogredeneringen zeg. Het is een beetje alsof je automatische vuurwapens niet wilt reguleren, omdat ik vergeten zou zijn dat mensen ook vermoord kunnen worden met messen. Natuurlijk wordt 'gewoon geld' ook gebruikt door criminelen, naast de miljoenen legale toepassingen. Crypto's worden nu vrijwel exclusief gebruikt voor ransomware/wapens/drugs/kinderporno omdat betalingen zo goed als niet te traceren zijn. En dat is nou juist waarom ransomware zo populair is: de daders komen er mee weg omdat ze door crypto's niet te traceren zijn.

En natuurlijk zeg ik niet dat er geen enkele verantwoordelijkheid ligt bij organisaties die worden gepakt, dat verzin je ook al zelf. Ik zeg alleen dat het vrijwel niet te voorkomen is en het ook kan gebeuren bij organisaties die wel 2FA hebben mbv social engineering en wat exploits.

edit: ik ben benieuwd: hoe zie jij ransomwareaanvallen zonder je zonder crypto's? Denk je dat het net zo vaak en op dezelfde schaal zou gebeuren als nu? Ik ben benieuwd!

[Reactie gewijzigd door Lan Mandragoran op 23 juli 2024 07:07]

darkvader @Lan Mandragoran • 22 juni 2021 10:31

Ik kan me helemaal vinden in de mening dat Crypto's de oorzaak zijn van de toename van criminele acties in dit vakgebied.
Het zal zeker niet stoppen als deze in eens zouden verdwijnen maar het betaling systeem wat er nu is voor criminelen is echt wel de oorzaak van de explosieve groei van ransomware

Zolang er op een hoog niveau geen aandacht wordt besteed aan het tegen gaan van deze valuta zal het ook nog niet minder gaan worden.

rickboy333 @darkvader • 22 juni 2021 22:40

De groei heeft gewoon te maken dat het heel succesvol is om bedrijven te hacken en daar losgeld voor te vragen. Werknemers zijn te laks/onwetend om alles goed te controleren, en het losgeld betalen is bijna altijd goedkoper dan je data laten verliezen of alles van papier weer te digitaliseren. Die realisatie hebben criminelen nu pas door.

Als crypto verboden word, dan zal alles gewoon doorgaan. Alleen zal er een andere manier worden gevonden om anoniem betalingen te doen. Nee, als je dit probleem echt met wortel en tak wil elimineren, moet je er voor zorgen dat het op de een of andere manier onmogelijk word om versleutelsoftware via het netwerk te versturen, of dat bestanden niet meer versleuteld kunnen worden. Voor beide zou blockchain in theorie zelfs een oplossing kunnen bieden (maar die technieken zijn er nog lang niet).

RenaldoN @Lan Mandragoran • 22 juni 2021 10:31

en die crypto zal ergens ook weer omgezet moeten worden in geld dus dan zou je daar alsnog wat tegen kunnen doen. in principe is de volledige chain/wallet te volgen wat ermee gebeurd en kan een wallet gewoon op een blacklist gezet worden zodat hier lastig nog wat mee gedaan kan worden. ja de persoon achter een wallet is anoniem maar ook als men in euros betaald gaat dit bedrag langs zoveel andere banken en landen dat op het einde iemand zo goed als niet meer te traceren is of er gebruik gemaakt wordt van katvangers.

[Reactie gewijzigd door RenaldoN op 23 juli 2024 07:07]

kodak

Beveiliging en antivirus
Ransomware

@Lan Mandragoran • 22 juni 2021 10:41

Je eigen argumentatie dat het niet te voorkomen zou zijn lijkt net zo goed nergens op gebaseerd?
Het is nogal makkelijk om te stellen zonder duidelijkheid te geven waarom dat in de praktijk werkelijkheid zou zijn. Dat slachtoffers in het nieuws komen wil niet zeggen dat er dus alleen maar slachtoffers vallen en organisaties met een behoorlijke beveiliging het niet zouden afslaan.
Dus waaruit blijkt dat je eigen stellingen dan redelijk zijn?

nst6ldr @Lan Mandragoran • 22 juni 2021 10:51

Dit zijn wel echt twee joekels van drogredeneringen zeg.

You started it

Het is een beetje alsof je automatische vuurwapens niet wilt reguleren, omdat ik vergeten zou zijn dat mensen ook vermoord kunnen worden met messen.

En dan beticht je mij van drogredeneringen. Dit is gewoon false equivalency, als je mijn linkje erbij had gepakt dan had je geweten dat van alle crypto transacties slechts 2.1% daadwerkelijk met criminaliteit te maken hebben (en dat is een stijging van een eerdere 0.34% door ransomware). Dus dat je dat gelijk stelt aan gereedschap die gemaakt zijn om mensen mee uit te schakelen (en daar dus ook voor het overgrote deel voor ingezet worden), die vergelijking loopt natuurlijk zo krom als een banaan.

Natuurlijk wordt 'gewoon geld' ook gebruikt door criminelen, naast de miljoenen legale toepassingen. Crypto's worden nu vrijwel exclusief gebruikt voor ransomware/wapens/drugs/kinderporno omdat betalingen zo goed als niet te traceren zijn.

En dat is dus pertinent onwaar, je projecteert je eigen wereldbeeld.

En dat is nou juist waarom ransomware zo populair is: de daders komen er mee weg omdat ze door crypto's niet te traceren zijn.

Dit is gewoon Facebook wetenschap, want ook dit is niet waar (hoe vaak het ook herhaald wordt). Er zijn genoeg bedrijven (voorbeeldje) die nu al hulp verlenen bij autoriteiten in verschillende landen om geldstromen inzichtelijk te maken. Daar komt bij dat er nog voldoende andere factoren zijn waarmee je criminelen kan traceren.

En natuurlijk zeg ik niet dat er geen enkele verantwoordelijkheid ligt bij organisaties die worden gepakt, dat verzin je ook al zelf. Ik zeg alleen dat het vrijwel niet te voorkomen is en het ook kan gebeuren bij organisaties die wel 2FA hebben mbv social engineering en wat exploits.

Als je stelt dat het niet te voorkomen is, leg je de verantwoordelijkheid weg. Dit is een reden voor organisaties om niks te doen, 'want je houdt het toch niet tegen'. Punt is echter dat mensen ook eens moeten leren kijken naar backup en recovery strategieën.

edit: ik ben benieuwd: hoe zie jij ransomwareaanvallen zonder je zonder crypto's? Denk je dat het net zo vaak en op dezelfde schaal zou gebeuren als nu? Ik ben benieuwd!

Buitenlandse rekeningen, dead drops, money mules, eigenlijk alle methodes die werden toegepast voordat crypto's bestonden (eerste ransomware komt al in de jaren 80 voor overigens).

Lan Mandragoran @nst6ldr • 22 juni 2021 12:58

Ik heb je linkje erbij gepakt. Vooropgesteld lijkt het me bijzonder stug als Chainalysis alle illegale activiteit kan analyseren. Ik vind de methodiek vreemd, met name omdat ze onmogelijk alle adressen/wallets kunnen spotten die voor illegale doeleinden worden ingezet.

Maar nog los van de totaal onnavolgbare methodiek in dat rapport: je stelt dat slechts 2,1% van alle crypto-transacties met criminaliteit te maken heeft. Heel leuk en aardig, maar dat bewijst vooral dat er kennelijk veel transacties zijn. Ik heb het daarentegen over de vele betalingstoepassingen van 'normaal geld' versus de toepassingen van crypto's, die voor betaling ipv belegging zo goed als alleen voor ransomware/wapens/drugs/kinderporno worden ingezet. Volgens jou projecteer ik hierbij mijn eigen wereldbeeld, maar kun je uitleggen waarom? Wat zijn nou daadwerkelijk praktische toepassingen van crypto, anders dan als belegging?

Verder vind ik je reactie een beetje flauw en overdreven op de man. De eigenaren van wallets zijn in veel gevallen niet te traceren. Van bankrekeningen wel. Je kunt nu constant zo denigrerend mogelijk proberen te doen (met je beschuldiging van facebook wetenschap), maar je weet zelf ook wel dat het fundamentele verschil tussen giraal geld en crypto's is dat ubo's veel minder eenvoudig te traceren zijn. Je reactie dat er bedrijfjes zijn die kunnen helpen of je alternatieve jaren 80-oplossingen voor illegale betalingen veranderen daar niets aan.

Er is natuurlijk een reden dat alle ransomwareaanvallers betaald willen worden met crypto, hoe hard je ook blijft volhouden dat er niets aan de hand is.

nst6ldr @Lan Mandragoran • 22 juni 2021 13:48

Ik heb je linkje erbij gepakt. Vooropgesteld lijkt het me bijzonder stug als Chainalysis alle illegale activiteit kan analyseren. Ik vind de methodiek vreemd, met name omdat ze onmogelijk alle adressen/wallets kunnen spotten die voor illegale doeleinden worden ingezet.

Op gegeven moment moet het geld ook weer terugvloeien naar FIAT, dus zo gek is het niet. Totdat je in alle cybercrime hotspots van de wereld met crypto's je boodschappen kan doen en auto's kan kopen, ga je als crimineel op gegeven moment gewoon nat.

Volgens jou projecteer ik hierbij mijn eigen wereldbeeld, maar kun je uitleggen waarom? Wat zijn nou daadwerkelijk praktische toepassingen van crypto, anders dan als belegging?

nst6ldr in 'nieuws: CPB-directeur: Nederland moet cryptovaluta snel verbieden'

Verder vind ik je reactie een beetje flauw en overdreven op de man.

Je kunt nu constant zo denigrerend mogelijk proberen te doen (met je beschuldiging van facebook wetenschap),

Dat komt omdat ik zo langzamerhand moe word van mensen die groteske claims maken die overduidelijk zijn berust op onderbuikgevoel en daarbij nul moeite doen om een vorm van bewijs of logische beredenering mee te leveren.

maar je weet zelf ook wel dat het fundamentele verschil tussen giraal geld en crypto's is dat ubo's veel minder eenvoudig te traceren zijn. Je reactie dat er bedrijfjes zijn die kunnen helpen of je alternatieve jaren 80-oplossingen voor illegale betalingen veranderen daar niets aan.

Goed, ik ga deze bewering eens doortrekken naar de implicaties die je ermee maakt:

Preventie is onmogelijk, je stelt tenslotte alles in op het achteraf traceren van criminelen.
Geld traceren is de enige mogelijkheid om cybercriminelen te vinden.
Zonder crypto's hadden alle transacties via IBAN gebeurd.

Als ik dan even jouw bril opzet zou contant geld dus ook niet meer mogen? Er is namelijk geen praktisch nut te bedenken om bedragen als een ton of een miljoen contant te betalen, anders dan een transactie in het criminele circuit.

En dan de derde en laatste stap: zonder crypto en contant zal er ongetwijfeld een alternatieve manier toegepast worden. Hoe ver wil je gaan tot iedere transactie met goedkeuring van de FIOD is?

Er is natuurlijk een reden dat alle ransomwareaanvallers betaald willen worden met crypto, hoe hard je ook blijft volhouden dat er niets aan de hand is.

Wederom een implicatie: je stelt hier dat als crypto's niet meer bestaan, cybercriminaliteit niet meer rendabel kan zijn. Ik ga je dezelfde flauwe vraag stellen als je eerder bij mij deed: wat zie jij cybercriminelen doen als ze geen crypto's meer kunnen gebruiken? Ineens een nette burger worden?

Alles wat je schrijft lijkt wel gericht op gelegenheidscriminaliteit, daar ga je geen georganiseerde misdaad mee aanpakken, hooguit wat ergenis opleveren.

Lan Mandragoran @nst6ldr • 22 juni 2021 14:03

Goed, ik ga deze bewering eens doortrekken naar de implicaties die je ermee maakt:
Preventie is onmogelijk, je stelt tenslotte alles in op het achteraf traceren van criminelen.
Geld traceren is de enige mogelijkheid om cybercriminelen te vinden.
Zonder crypto's hadden alle transacties via IBAN gebeurd.

Wederom een implicatie: je stelt hier dat als crypto's niet meer bestaan, cybercriminaliteit niet meer rendabel kan zijn.

Ik lees met stijgende verbazing alle totaal voorbarige conclusies en onjuiste gevolgtrekkingen die je uit mijn berichten haalt. Je bent constant (bewust of onbewust) woorden verkeerd aan het interpreteren om ze vervolgens met veel bombarie af te schieten. Ik ga terug aan het werk, want dit gaat echt helemaal nergens heen.

SunnieNL

@Lan Mandragoran • 22 juni 2021 10:19

Het wel of niet hebben van 2FA heeft niet zo veel te maken met ransomware aanvallen en de beveiliging ertegen. Met 2FA kom je binnen op je pc of de diensten die je gebruikt. De ransomware komt dan weer binnen via die diensten (een link in de email bijvoorbeeld).

Een overgroot deel van de gelukte aanvallen komt voornamelijk omdat de beveiliging van de devices en servers niet up to date zijn. Patches vergeten te installeren, patches die later dan 14 dagen na uitbrengen worden geinstalleerd, oude software in gebruik, oude OS-en die nog ergens draaien en dienen als springplank.

Zeker met het remote work van het afgelopen jaar zijn devices minder gepatched. Deels omdat er geen remote management oplossing in place is waardoor devices alleen patches krijgen als ze binnen zijn. Deels omdat het patchen wordt neergelegd bij de gebruiker zelf, die dat domweg niet gaat doen.

En dan hebben we het nog niet over de bedrijven die de gebruikers maar gewoon local admin maken op hun laptop of voor remote work een RDP server rechtstreeks op het internet hangen.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 07:07]

leecher @SunnieNL • 22 juni 2021 12:36

En dan hebben we het nog niet over de bedrijven die de gebruikers maar gewoon local admin maken op hun laptop of voor remote work een RDP server rechtstreeks op het internet hangen.

Ik werk voor een bedrijf die dat niet doet. Ik gebruik de bedrijfslaptop dan ook niet en gebruik een grijze willekeurige laptop van coolblue die onze ICT'er eigenlijk niet af wilde geven.
Als ik geen dingen kan installeren kan ik ook geen adhoc problemen oplossen. Een formuliertje invullen en X dagen wachten tot ik een keer toestemming krijg om een stukje software te mogen installeren is niet werkbaar. Betrouwbaarheid van email en VPN is dusdanig slecht dat ik op een gegeven moment een eigen domein heb aangemaakt om communicatie met klanten te kunnen handhaven. Die gebruik ik al 2 jaar. Ondanks alle obstakels hebben onze mailservers een betrouwbaarheid van likmnreet, als reden wordt vaak opgegeven dat 'we weer worden aangevallen'. Vreemd. Concurrerende bedrijven hebben allemaal gebruikers met adminrechten en daar heb ik in de afgelopen 3 jaar nog nooit iemand gehoord over downtime vanwege aanvallen.

Men vergeet wel eens dat ICT ten dienste staat van, en geen doel is op zich. Sta je dan met je goede bedoelingen en al je beveiliging maar in de praktijk los ik alles als gebruiker zelf op anders kan ik niet werken. Er zit ergens een kantelpunt waarbij meer beveiliging juist zorgt voor minder veiligheid en daar zit onze club net overheen.

Amasik @leecher • 22 juni 2021 13:11

Als via jouw domein en eigen laptop de bedrijfsdata gehacked wordt, wie is er dan verantwoordelijk?

Finance is ook dienstverlendend, ga je dan uit naam van het bedrijf ook een externe bankrekening afsluiten omdat je interne accounts payable afdeling niet goed genoeg functioneert?

leecher @Amasik • 22 juni 2021 14:51

@SunnieNL
Ik zal niet in detail gaan waarom ik adhoc dingen moet kunnen installeren want ik heb geen zin om gedoxxed te worden

Het gaat om niet voorziene onvoorspelbare problemen waarbij ik snel een bijpassend stukje software moet kunnen pakken, of dat nou een gratis tekenprogramma is of een of ander java tooltje. Er is geen tijd om x uur te wachten op toestemming. De laatste keer dat ik het geprobeerd heb hadden ze er trouwens letterlijk 3 maanden voor nodig voordat er reactie kwam.

Waarom die mailserver onbetrouwbaar is geen idee. Ze halen rustig 2 dagen opeenvolgend de stekker eruit waardoor de hele toko niet kan werken. Inloggen lukt deze week uberhaupt niet sinds dat ik vorige week mijn wachtwoord moest wijzigen. Het zal wel, ik heb mijn eigen mail. Dat het niet goed geregeld is, nogal wiedes ja

@Amasik
Finance is ook niet bepaald dienstverlenend. Rekeningen worden vaak niet betaald, pas nadat de knuppel in het hoenderhok gaat komt men een keer over de brug. Dat gaat ten koste van de bereidheid van onze leveranciers om mij te helpen. Ga ik een externe bankrekening afsluiten? Nee, maar wat we wel doen is de geldstromen anders laten lopen. Als leverancier X wel regelmatig betaald krijgt dan zorgen we dat leverancier Y zijn spullen via X factureert, desnoods met een extra markup. Als ik wat nodig heb, bijv een beeldscherm of een telefoon, dan laat ik dat via X leveren ook al is dat helemaal niet hun business. Ik vroeg een tijdje terug een beeldscherm aan onze ICT, krijg ik een ding met alleen een VGA aansluiting. Zelfs de bedrijfslaptops hebben niet eens een VGA aansluiting meer.

Ik heb werk te doen. Als dat werk er niet is heeft onze Finance en ICT geen bestaansrecht. Met de huidige methodieken van Finance en ICT kan ik mijn werk niet doen dus als alles volgens hun eigen boekje zou moeten hadden ze inmiddels niet meer bestaan. Dit is een totale clusterfuck die nergens op slaat en ik kan er vooral hard om lachen. Ik heb leuk werk en als de boel in mekaar pleurt heb kan ik prima ergens anders aan de slag.

Wie is er verantwoordelijk? Ik zou het niet weten. Je moet het in deze context zien: Men deelt diezelfde bedrijfsgegevens met allerhande ZZP'ers. Ik heb wel eens rondgevraagd waar zij hun domeintjes hosten en waarom: Bij X en Y want die zijn het goedkoopst. Van zaken als 2FA hebben ze uberhaupt nooit gehoord. Aan de voorkant werpt ICT drempels op voor hun eigen mensen, aan de achterkant is het een grote gatenkaas waar uberhaupt niemand zicht op heeft.

Blokker_1999

België
Ransomware
Beveiliging en antivirus

@leecher • 22 juni 2021 19:25

Tsjah, en er zijn goede redenen waarom het lang kan duren voordat er goedkeuring komt. Hoe kan jij inschatten wat de gevolgen voor de onderneming zijn als jij een schijnbaar onschuldig en gratis tooltje gaat installeren? Ben jij advocaat? Lees jij de gebruiksvoorwaarden door bijvoorbeeld? Werk je voor security? Heb jij een inschatting gemaakt van de mogelijke impact voor de veiligheid? Ben je systeembeheerder? Kan jij de impact inschatten van dat tooltje?

Als je systeembeheerders er een rommeltje van maken, dan moet dat via de juiste weg aangekaard worden. Storingen kunnen voorkomen, kunnen soms moeilijk opgelost worden (ben zelf ook op zoek naar een emailserver probleem) en dat kan tijd kosten maar als er echt zo een grote storingen zijn over zo een lange termijn zie ik niet in hoe het management dat nog kan goedkeuren. Dan moet heel die IT afdeling toch echt opstappen en vervangen worden lijkt mij.

SunnieNL

@leecher • 22 juni 2021 12:50

Ze zijn er over heen, of hebben hun andere zaken niet goed voor elkaar. Waarom moet jij adhoc zaken installeren? Mis je software die je nodig hebt voor je werk? Waarom wordt dat niet geleverd?
Waarom gebruik je een eigen domein? Waarom is die mailserver onbetrouwbaar?
Het klinkt echt alsof de basis in het bedrijf sowieso niet goed geregeld is.

Ik ben normale gebruiker op mijn systeem en kan adhoc installeren als ik dat nodig heb. Met één druk op de knop kan ik dat aanvragen voor het proces wat (tijdelijk) die admin rechten nodig heeft. Geen belletje voor nodig.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@leecher • 22 juni 2021 15:09

Dus omdat het bedrijf zijn zaken in jouw ogen niet goed geregeld heeft breng je het bedrijf onnodig in gevaar door zelf zaken te gaan regelen die je blijkbaar vanuit het bedrijf niet mag waarbij je zelfs zo ver gaat om zelf een domein te registreren voor communicatie met klanten (waarbij de klanten vermoedelijk denken te communiceren met systemen van het bedrijf waar je voor werkt) en je geldstromen via 3en laat lopen? Dit alles terwijl je wel weet dat dit niet mag / eigenlijk niet kan? Bij menig bedrijf zou dit ontslag op staande voet betekenen, al dan niet met een proces er achteraan.

Juist dit soort knutsels maakt een bedrijf onnodig kwetsbaar. Het zorgt er voor dat risico's lastig zijn in te schatten, devices en data onbeheersbaar worden en de kans op malware behoorlijk toeneemt. Je werkt niet mee aan een oplossing maar wel aan het probleem.

leecher @Bor • 22 juni 2021 17:08

@Bor
Ik ben het met je eens

. Fun facts: De grijze laptop is besteld en geleverd door een leidinggevende, alle financiële transacties zijn niet mijn verantwoordelijkheid en worden gewoon voor getekend door degene die dat wel zijn (ja bestel AUB via leverancier X want anders duurt het te lang en is te moeilijk om in de administratie te krijgen). Dat bepaalde dingen 'niet mogen' is afhankelijk van aan wie je het binnen de club vraagt. Als een ICT meneer een 'computer says no' doet maar de afdelingschef moet een product afleveren dan worden de regels vloeibaar gemaakt.
Ik vraag dat soort dingen daarom aan de juiste mensen. Als men me daarom op staande voet wil ontslaan dan lach ik mij werkelijk een scheur in de broek. In het ergste geval kan ik aan de slag bij een bedrijf waar het beter is geregeld. Een proces zou ik ook met vertrouwen tegemoet zien want er is een prima paper trail van toestemmingen van mensen die daar wat over te zeggen hadden.

WoutervOorschot

@SunnieNL • 22 juni 2021 11:13

RDP is inderdaad veiliger via VPN, maar adminrechten op een PC is weinig mis mee. Helaas blijven vele softwarefabrikanten stug aan verouderde installers klampen die adminrechten vereisen om te kunnen installeren. Als je dan een enigszins bruikbare laptop wilt heeft de gebruiker die rechten dus nodig. Uiteindelijk moet je je binnenste ring en privileges accounts goed beveiligen, de end-user apparaten kan je toch niet dichttimmeren (anders werken mensen eromheen en dat is nog onveiliger.)

SunnieNL

@WoutervOorschot • 22 juni 2021 12:00

Pardon, admin rechten op een pc is weinig mis mee?? Das wel handig, als je dan een malware install per ongeluk aanklikt als gebruiker, heeft die in ieder geval gelijk de hoogste rechten om door te zetten. De UAC uitzetten is vast ook geen probleem voor je?

Er zijn zo veel mogelijkheden om gebruikers normale user rechten te geven waarbij ze nog steeds alles kunnen wat ze nodig hebben voor hun werk.

WoutervOorschot

@SunnieNL • 22 juni 2021 12:11

De UAC beschermt juist tegen willekeurige malware die adminrechten wilt verkrijgen. Natuurlijk moet dat aan blijven staan. Als je gebruikers alleen standaardsoftware nodig hebben dan hebben ze het inderdaad vaak niet nodig, maar in andere gevallen maak je het mensen alleen maar nodeloos ingewikkeld om hun machine te gebruiken en werk gedaan te krijgen. Is erg afhankelijk van wat voor bedrijf/organisatie we het over hebben overigens natuurlijk.

Wat ik bedoel is dat je je servers/binnenste ring moet beveiligen. Zelf adminrechten krijgen op windows terwijl je die niet vanuit AD krijgt is relatief erg makkelijk. Ook een willekeurig ander apparaat toegang geven op een netwerk is meestal niet moeilijk, zeker met thuiswerken en byod. Zodoende moet je echte beveiliging toch echt een laag verder naar binnen staan (je belangrijke data, processen en servers). Zoals je zelf al zegt, patchen is moeilijk, des te belangrijker dat het relatief weinig uitmaakt voor de rest van het netwerk of een machine gepatcht is of niet.

SunnieNL

@WoutervOorschot • 22 juni 2021 12:45

Je weet dat als je local admin rechten hebt, de UAC gewoon uitgeschakeld kan worden zonder dat je het als gebruiker weet? Er is echt in 90% van de gevallen niet nodig om iemand local admin te maken.
Ik ben geen local admin op mijn eigen privé laptop en loop tegen geen problemen aan. Kan alles doen wat ik wil. Op het moment dat ik het een keer wel nodig heb, dan kan ik dat met één druk op de knop activeren voor het proces dat die local admin rechten nodig heeft.
Daar dient ook de UAC voor. Als je een keer local admin rechten hebt, kun je die verkrijgen via de UAC. Daar heb je als gewone gebruiker geen admin rechten voor nodig.

Je wilt niet alleen de servers/binnenste ring beveiligen. De buitenste ring heeft immers toegang tot de binnenste ring. Als je de buitenste ring niet beveiligd kun je net zo goed ophouden. Begin daar eerst maar eens met te zorgen dat je local admin afneemt, de machines patched en goede zero trust access gebruikt (waarbij gebruikers sowieso geen toegang krijgen tot de binnenste ring tot zij helemaal safe zijn)

Als je eenmaal op de buitenste ring zit, is het een koud kunstje om binnen te komen. Bij BYOD praten we niet eens over de buitenste ring. Een BYOD zou altijd gezien moeten worden als een buitenstaander die via een jump op de (beveiligde) buitenste ring naar binnen mag.

WoutervOorschot

@SunnieNL • 22 juni 2021 13:45

Als je admin rechten hebt komt UAC tevoorschijn zodra een proces adminrechten wilt. Dat je als user die rechten aan een proces kunt geven betekend niet dat ieder proces die heeft (sterker nog, op windows default niet). Precies wat je zegt, je kunt met een druk op de knop een proces admin rechten geven zonder dat het dit standaard heeft, dat is hoe UAC en adminrechten op windows werken sinds vista. UAC zit alleen tussen gebruiker en proces, niet tussen gebruikers. Als een proces adminrechten wilt kun je deze als admin-gebruiker geven, als non-admin gebruiker kun je die niet geven.

End user apparaten zitten imho gewoon in dezelfde groep als byod devices, je kunt er immers op doen wat je wilt (ook admin worden al mag dat niet van domein-policy). Dan verschillen we denk ik alleen in wat we de buitenste ring noemen.

SunnieNL

@WoutervOorschot • 22 juni 2021 14:30

Waarom je niet wil dat gebruiker local admin zijn, ondanks de uac?
2 redenen:
a) mensen gaan gewoon op OK klikken met de prompt. Als ze credentials moeten ingeven denken ze 2x na voor ze zoiets gaan doen
b) mensen die local admin zijn kunnen de uac uitschakelen (en malware kan dit ook!). En dat wil je niet, je wil je endpoints secure hebben.

Door ze normale gebruiker te maken blijven moeten ze 2x nadenken als ze prompt krijgen. Ze moeten namelijk andere credentials invoeren en dat doe je minder snel dan gewoon op OK klikken. Ja dit is onhandig. En ja, er is software die dit makkelijker voor je kan maken. Het bedrijf waar ik voor werk maakt die software onder andere. Daarbij kun je vrij kieskeurig zijn bij welk proces een gebruiker dit wel makkelijk kan en wanneer niet, zonder dat je ze daadwerkelijk local admin rechten geef over alle instellingen. En daarmee kunnen ze de UAC dan ook niet uitschakelen. Wat ook wel een positief puntje is, want dan kan malware dat onderwater ook niet. En dat geen admin zijn, is ook helemaal geen probleem als het device niet van jou is.

Een full managed endpoint is ook een totaal andere groep devices dan een byod. Daar zit echt een mega verschil in. Een full managed endpoint heb je als bedrijf complete zeggenschap over. Een BYOD totaal niets, die zijn default non-managed en de gebruiker kan alles aanpassen wat hij wilt (het is ook immers zijn device).
Hoe vaak ik niet hoor: we willen BYOD maar dan willen we wel kunnen zeggen welke password policies, dat windows updates dagelijks moeten draaien, welke virusscanner je moet gebruiken, welke versie van de ica client er op moet staan, welke vpn software geïnstalleerd wordt, dat je wel of geen Windows Hello mag gebruiken, gebruiker geen local admin is, inventarisatie van welke hardware/software er allemaal op zit, etc.... Beste klant, misschien moet je nog eens kijken wat BYOD is, want je vraagt om alle eigenschappen van een Fully Managed device.

Verwijderd @WoutervOorschot • 22 juni 2021 15:03

Als je admin rechten hebt komt UAC tevoorschijn zodra een proces adminrechten wilt.

Niet als een malwaremaker niet wil dat jij zo'n dialoogbox voor je neus krijgt.

Uit deze Microsoft pagina:

One of the common misconceptions about UAC and Same-desktop Elevation in particular is: it prevents malware from being installed, or from gaining administrative rights. First, malware can be written not to require administrative rights. And malware can be written to write just to areas in the user's profile. More important, Same-desktop Elevation in UAC isn't a security boundary. It can be hijacked by unprivileged software that runs on the same desktop. Same-desktop Elevation should be considered a convenience feature. From a security perspective, Protected Administrator should be considered the equivalent of Administrator. By contrast, using Fast User Switching to sign in to a different session by using an administrator account involves a security boundary between the administrator account and the standard user session.

Google maar eens naar UAC bypass - ook malwaremakers doen dat.

Geef gebruikers die dat nodig hebben een extra admin account (naast hun gewone "ordinary user" account) en stimuleer het gebruik van dat gewone account voor dagelijks gebruik.

Dit systeem pas ik al toe sinds 1999 (NT4). Aanvankelijk was dat tobben maar tegenwoordig is er nauwelijks nog software die admin rechten (effectief lid van de local group Administrators) vereist.

En belangrijk tegen ransomware: zorg dat elk device een uniek beheerwachtwoord heeft (check bijv. Microsoft LAPS).

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:07]

t-force

@Lan Mandragoran • 22 juni 2021 11:20

Crypto's zijn dus wel te traceren dat is de basis van het hele systeem.
Het is alleen soms wat lastig te achterhalen wie de eigenaar is van een wallet. zeker als het een door iemand op zijn eigen computer gemaakte wallet is.

Die bitcoins die betaald zijn naar aanleiding van de Colonial Pipeline hack zijn door de FBI geconfisqueerd juist omdat ze traceerbaar zijn.

Zie:
nieuws: Justitie VS haalt grootste deel van losgeld Colonial-oliepijpleiding ...

[Reactie gewijzigd door t-force op 23 juli 2024 07:07]

Yoshi @zx9r_mario • 22 juni 2021 10:48

dat verschuif dan gewoon. Er zijn trouwens al Linux machines ook onderhevig geweest aan dit soort aanvallen (via bv Drovorub) (en succesvol). Als je admin er niet in slaagt je netwerk te segmenteren, je patches up-to-date te houden, er wat mooie filosofieën rond te plakken,2FA, elevated rechten protocollen, disaster recovery plannen op voorhand maken (en weet ik veel wat nog allemaal). Dan maakt het machine waarop het gebeurt werkelijk geen fluit uit. Het feit dat iemand al dan niet Windows gebruikt maakt dus wat dat betreft niet veel uit. Dat het aantal lekken hoger is, dat is zonder twijfel waar. Maar stel dat Windows maar 10% van de markt zou uitmaken, dan was het plaatje wel anders geweest. En dat is dan los van zero-day lekken in software en hardware die gebruikt worden door organistaties (VPN, Switches, protocollen, ...)

Als je denkt dedicated hacker-groeperingen uit te schakelen enkel en alleen door te switchen van OS, dan ben je gewoon onderdeel van het probleem lijkt me. De wereld is zo simpel niet

[Reactie gewijzigd door Yoshi op 23 juli 2024 07:07]

Pablo @zx9r_mario • 22 juni 2021 12:31

ongetrainde en ongeintereseerde pc gebruikers zijn in mijn optiek een groter bedrijfsrisico.
Of bezuinigen op je IT security....

Rutger Muller @zx9r_mario • 22 juni 2021 10:17

Mee eens, maar bijna mag niet gezegd worden op Tweakers. Zelfs al is Windows security niet slecht tegenwoordig, een brede/communale switch naar Linux (en bijv. open source backup systemen) is nodig als culturele verschuiving. Security by obscurity/proprietary zal nooit beter zijn.

Daarnaast, regelmatig en redundant backuppen naar write-only / WORM media. Write once read many.

[Reactie gewijzigd door Rutger Muller op 23 juli 2024 07:07]

psychicist @Rutger Muller • 22 juni 2021 16:55

Ik zou niet weten waarom het niet gezegd zou mogen worden. Windows heeft fundamentele problemen die simpelweg niet door Microsoft opgelost worden. Zo heeft Linux ook problemen en is ook niet perfect.

Er moet gewoon over heel de linie gewerkt worden aan de veiligheid van software in plaats van te wijzen naar een concurrerend product dat ook problemen zou kunnen hebben. Het is echter een feit dat het grootste gedeelte van alle ransomware en andere aanvallen Windows betreft.

Wat mij betreft mag dat zo blijven, maar het kost overheden en bedrijven bakken met geld. De ezel stoot zich iedere dag aan dezelfde steen, maar dat krijg je, als veiligheid niet een absolute prioriteit is bij het opzetten van IT-systemen.

Zero Trust is daar een begin in en misschien moeten overheden en bedrijven dan maar de hulp van Google en andere bedrijven inroepen, als ze het zelf niet kunnen. In Microsoft heb ik al decennia lang totaal geen vertrouwen.

[Reactie gewijzigd door psychicist op 23 juli 2024 07:07]

Rutger Muller @psychicist • 22 juni 2021 20:48

Je ziet het, ik krijg een 0 rating. Offtopic/irrelevant . Dat is ook wat men zei in vorige ransomware discussies: het spectrum security through obscurity VS directe publieke openheid over bugs/issues zou niet meer relevant zijn. Sterker nog, gesloten security zou meer focus hebben, en meer expertise. Ik heb daar echter toen geen goed argument voor gehoord. Lijkt mij zeker relevant, tenzij we de bredere uitrol van Linux opgeven...

[Reactie gewijzigd door Rutger Muller op 23 juli 2024 07:07]

zvbhvb 22 juni 2021 16:55

Vanwege attachments en 0days zal je nooit of te nimmer een randsomeware aanval kunnen afslaan.

Mensen moeten kunnen blijven solliciteren en publiceren toch?

ejabberd 23 juni 2021 07:08

Wel opvallend...

...vorige week was er een boodschap voor China op onder meer de NAVO-top en die instellingen liggen in België,
...vorige week nam het Belgische parlement een resolutie aan over de Oeigoeren waarvan China eiste dat de fout werd rechtgezet,
...de woordvoerder van Buitenlandse Zaken in China was daarbij ook specifiek scherp voor volksvertegenwoordiger Samuel Cogolati omdat die "opzettelijk leugens en valse informatie verspreidt, waardoor de belangen en soevereiniteit van China ernstig geschaad worden" (zie bovenstaande link waarom). Die man man is ook gemeenteraadslid in Hoei, een klein stadje in de provincie Luik.

Zou het kunnen dat de aanvaller niet het risico wilde lopen dat een cyberaanval op een onbeduidend klein stadje niet opgepikt zou worden door de pers? En misschien wilde de aanvaller ook niet dat lokale oppositieleden in Hoei, zoals Cogolati, politiek voordeel kunnen halen als alle IT plat ligt?

Operativus 23 juni 2021 14:46

In de organisatie waar ik werk wordt vooral met Kladblok gewerkt. Als mensen thuis willen werken slaan ze hun documenten in TXT formaat op en mailen ze die naar hun persoonlijke email thuis. Dit om te voorkomen dat iedereen zomaar een USB stick van huis meeneemt want dat is hartstikke gevaarlijk natuurlijk. Soms willen ze plaatjes toevoegen maar dat gaat niet met kladblok dus dan gebruiken we ms paint.

Zeror

22 juni 2021 09:38

Laat die criminelen maar voor straf de Montagne de Bueren 100x op en af lopen. Dat zal ze leren.

Rouwette @Zeror • 22 juni 2021 09:40

De trappen in Landgraaf heeft meer treden.

bapemania @Rouwette • 22 juni 2021 09:42

De trappen in Landgraaf heeft meer treden.

Precies dan moeten ze eerst van Luik helemaal naar Landgraaf lopen, het " waarom?" Gaat dan sowieso aan ze knagen.

Verwijderd @quinn77 • 22 juni 2021 10:43

Windows 3.1 was waarschijnlijk ook veiliger geweest.

Maar zonder dollen; een beetje malware dat naar binnen komt middels links of macro's in excel's ofzo; dat is al voldoende om een hele infrastructuur in kaart te brengen, een nieuwe payload ervoor te ontwikkelen en toeslaan wanneer iedereen aan de borrel zit.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:07]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (78)

Sorteer op:

Weergave: