REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn

Ransomwarebende REvil heeft de cyberaanval op Kaseya opgeëist. De bende zegt dat een miljoen systemen geïnfecteerd zijn en eist 70 miljoen dollar aan losgeld. De aanval heeft afgelopen weekeinde bij veel bedrijven tot problemen geleid.

REvil heeft bevestigd achter de aanval te zitten in een post op het eigen Happy Blog op zijn darkwebsite, ontdekte The Record. De bende zegt dat na betaling van losgeld alle klanten binnen een uur weer bij de bestanden kunnen. Het is onbekend of Kaseya daarop in zou willen gaan.

Intussen is duidelijk dat Nederlandse onderzoekers het lek bij Kaseya ook hadden gespot en bezig waren met het bedrijf om het te fiksen toen de aanval kwam. Dat schrijft Vrij Nederland. De vrijwilligers van Dutch Institute for Vulnerability Disclosure waarschuwden veel systeembeheerders op tijd, waardoor in plaats van 2250 nog maar 140 ip-adressen kwetsbaar waren.

Bij deze supply chain attack was het doelwit Kaseya VSA, een softwarepakket waarmee it-dienstverleners de systemen van hun klanten kunnen beheren. De aanvallers verscheepten hun malware in Kaseya VSA en konden zo de systemen van de klanten van de beheerders infecteren. Op 2 juli was de schatting van Kaseya dat 'niet meer dan 40 klanten' getroffen waren. Hoeveel klanten van die klanten getroffen zijn door ransomware, is nog niet bekend.

REvil was eerder ook verantwoordelijk voor de ransomware-aanval op de Amerikaanse vleesverwerker JBS. Die betaalde het losgeldbedrag van 11 miljoen euro om zijn data ontsleuteld te krijgen.

Reacties (165)

bruudt 5 juli 2021 13:40

Opvallend dat er in de berichtgeving vooral over gevolgen wordt gesproken en niet over de oorzaak:
1. de ransomware is als een waar Trojaans paard binnengefietst via een hot fix van Kaseya. Blijkbaar niet getest, automatisch geïnstalleerd. Hoe?!
2. De ransomware werd gesideload via een aangepaste Windows Defender DLL die gesigneerd was met een geldig doch verlopen certificaat. Hoe?!
3. Medio mei werd door MalWareHunterTeam op Twitter al gesproken over deze nieuwe werkwijze met Sodinokibi om Windows Defender te omzeilen. Was blijkbaar niet nodig om te fixen...

Beetje triest dat Kaseya in de slachtofferrol duikt, de impact probeert te bagatelliseren( minder dan 40 bedrijven wereldwijd) en dat gedaan wordt dat het om een zeer geavanceerde aanval zou gaan, want dat valt nogal tegen.

GeroldM @bruudt • 5 juli 2021 21:28

Certificaten worden niet of niet op tijd gecheckt of deze certificaten zijn gerevoked of niet. Er mag dan wel een eind datum zijn vermeld in het certificaat, om het helemaal ongeldig te verklaren moet deze ook worden gerevoked en deze revoke lijst moet ook nog eens worden gecommuniceerd naar de computer die van het certificaat gebruik maakt.

Dat is een probleem van het huidige certificaten concept, niet per se van Kaseya of van de organisaties die gebruik maken van Kaseya. Het distributeren/communiceren/toepassen van revoke lijsten zou je ze wel aan kunnen schrijven.

Veel organisaties hebben deze stappen allang geautomatiseerd, maar die zijn bevolkt met kundig personeel.

Iedereen snapt het nut van certificaten, maar zijn waarschijnlijk niet bekend met de wijze waarop revoke lijsten moeten worden verwerkd in de beheerssystemen die zijn opgezet voor ze. Of men verwacht dat als de einddatum aanbreekt het certificaat automatisch ongeldig word.

Nalatigheid met controle op de Kaseya bestanden die gedistributeerd worden naar hun klanten, dat valt Kaseya wel te verwijten. En dat er geen actie werd ondernomen na op de hoogte te zijn gesteld van een nieuwe aanvalsmethode, die bal ligt ook bij Kaseya.

Blokker_1999

Ransomware
Beveiliging en antivirus

@bruudt • 5 juli 2021 21:02

Hoewel het hoe zeker belangrijk is, ligt de focus nu vooral op de gevolgen. Een inbraak bij 1 dienstverlener heeft immense gevolgen voor vele bedrijven. Die impact is enorm groot. Belangrijkste in de eerste plaats is de gevolgschade beperken en mensen inlichten over eventuele hinder die zij ervan kunnen ondervinden.

Alles wat men kan schrijven over de oorzaak is speculatie, en daar help je niemand mee verder. Een eindrapport over dit probleem zal nog weken, zoniet maanden op zich laten wachten. Wat helpt het dan dat de meida nu gaat speculeren en vingerwijzen?

Dracozirion @bruudt • 6 juli 2021 16:23

De Windows Defender DLL (ik denk dat je EXE bedoelt) werd niet aangepast, dit is gewoon een versie waar een DLL sideload exploit in zit die MPSVC.DLL op dezelfde locatie als waar de EXE staat probeert te laden.

S.McDuck 5 juli 2021 08:43

Crpto is evil, bedrijven zijn stom want ze hebben hun IT niet op orde, beunhazen in de IT, gebruikers zijn superdom en verkeerde managers op de verkeerde plek. Mooi altijd om te zien hoe tweakers in deze topics altijd los gaan.
Zelf sluit ik me aan bij de stelling:
Het is niet de vraag of het fout gaat maar wanneer het fout gaat. Probeer je BCM in aansluitende processen op orde te hebben en het zoveel lastig mogelijk te maken om in dit soort situaties te komen. Voorkomen doe je het nooit. Als je een target bent komen dit soort groepen /aanvallen een keer binnen.

digi-savvy @S.McDuck • 5 juli 2021 09:08

beunhazen in de IT

In Nederland is het redelijk op orde als je hoort en leest wat er geïnfecteerd is geraakt. Het kan beter, maar om het nu beunhazen te noemen... Eén MKB beheer organisatie meldde dat er maar een uur aan data kwijt was, en ze volop aan het restoren waren. Helaas voor die paar klanten die in dat uur iets besteld hadden, maar ik denk dat het wel heel netjes is. En gezien de misbruikte kwetsbaarheid kan je het dat beheerbedrijf eigenlijk ook niet kwalijk nemen dat het toch nog bij een paar bedrijven misging en ze de back-ups nodig hadden....

Powermage @digi-savvy • 5 juli 2021 09:33

Zelfs compleet gepatchte VSA servers waren vatbaar, en dit lek maakte het mogelijk users/MFA en alles te omzeilen.

Bedrijven die geraakt zijn werden de users afgesloten en alle clients kregen malware gepushed....

Nee, als MSP ben je gewoon t haasje van een probleem bij een leverancier.
Wat ik zo zie lijken de meeste getroffenen de backups op orde te hebben gehad en konden vrij snel dingen herstellen, dit had echt wel anders kunnen aflopen.

EchoWhiskey @S.McDuck • 5 juli 2021 20:09

beunhazen in de IT, gebruikers zijn superdom

En jij bent niet superdom en hebt werkelijk overal verstand van...
Je kan zonder problemen je eigen auto repareren, je OLED TV heeft ook geen geheimen meer en je bent volledig zelfvoorzienend $_/-\o_$

Natuurlijk zijn er een helehoop gebruikers, administrators etc die onvoldoende kennis hebben en die kennis ook helemaal niet willen hebben. Daar zijn specialisten voor, en die kan je inschakelen.
Dat daar inderdaad beunhazen tussen zitten is helaas het geval, maar dat kan je gebruikers niet (altijd) aanrekenen.

S.McDuck @EchoWhiskey • 5 juli 2021 22:04

releaxed, qoute de rest van de zin erbij, lees de zin nog is helemaal en dan komt het helemaal goed. En dan als je helemaal zen bent lees je mijn laatste deel van de post en dan zie je dat het best mee valt

EchoWhiskey @S.McDuck • 6 juli 2021 07:34

Was inderdaad een primaire reactie.... I stand corrected
Zal voortaan proberen het hele stuk te lezen

Head up

pcxs @S.McDuck • 5 juli 2021 16:23

Het grootste probleem is dat de daders nooit gepakt worden en al is het wel zo dan is het een werkstrafje.

Met alle technieken die we hebben moet zo'n persoon of groep toch opgespoord kunnen worden.

Uiteraard heb je gelijk managers zitten op de verkeerde plek maar vergeet ook niet dat het grootste deel van die managers niet eens weet wat er op de werkvloer speelt.
En ook 100% beveiliging lukt nooit maar ja zolang de hackers vogelvrij zijn zal er altijd wel een lek ergens gevonden worden.

Als de straffen voor dit soort figuren eens een factor 1000 hoger word plus compleet kaalplukken dan los je al veel meer op.

En ja hackers heb je nodig om de lekken te vinden maar degene die het te doen is om geld en om bedrijven plat te gooien mogen ze van mij een kogel geven.

goarilla @pcxs • 7 juli 2021 14:50

Het grootste probleem is dat de daders nooit gepakt worden en al is het wel zo dan is het een werkstrafje.

Ooh jawel:
https://www.itnews.com.au...10-years-in-prison-563484
https://krebsonsecurity.c...-tied-to-clop-ransomware/

En ook 100% beveiliging lukt nooit maar ja zolang de hackers vogelvrij zijn zal er altijd wel een lek ergens gevonden worden.

Als de straffen voor dit soort figuren eens een factor 1000 hoger word plus compleet kaalplukken dan los je al veel meer op.

Ze worden al kaalgeplukt. Hoe denk je dat Ukraine 6 miljard aan cryptocoins in handen heeft gekregen ?

En ja hackers heb je nodig om de lekken te vinden maar degene die het te doen is om geld en om bedrijven plat te gooien mogen ze van mij een kogel geven.

Ja want de Verenigde Staten, een land met enorm repressieve gevangenisstraffen (3-strikes) en ook nog executies, is een superveilig land ivg met ons.

pcxs @goarilla • 9 juli 2021 15:15

In NL worden ze bijna niet gepakt en daar lopen er ook zat van rond.
En worden ze gepakt krijgen ze taakstrafje, kijk maar naar de oplichters met spoofing etc.

Natuurlijk zijn er andere landen waar zwaar gestraft word maar bv 10 jaar voor zo'n groep is bar weinig gezien de slachtoffers.
Sluit ze maar op eigen kosten levenslang op of voer de doodstraf voor dat soort figuren in.

En ook Amerika is de kans dat je gepakt word te klein, geloof maar als het Witte Huis gehacked word dat het niet lang duurt voor de daders gepakt worden en die straf zal echt wel een factor 100 hoger zijn dan normaal.

toro 5 juli 2021 09:30

Maak een lijstje van alle Tweakers nieuws artikelen de laatste 20 jaar wat betreft ransomware aanvallen en weet je dan wat er dan iedere keer maar dan ook echt iedere keer weer naar voren komt?

Dat men Microsoft Windows (client/server) gebruikte.

Het lijkt wel een taboe hier op Tweakers om dat te zeggen terwijl het feitelijk zo is en als je het niet gelooft gebruik dan de zoek functie hier op de site.

Na de ransomware aanval komt altijd naar buiten dat men Microsoft Windows gebruikte.

Wat ook iedere keer naar voren komt als men daar naar wijst op de FP onder het nieuws artikel dat de comment dan als een gek wordt gedownvoted alsof men aan het trollen is.

Kom op het is onze data die in die systemen staan en nu dus zo meteen weer tegen elke hoogste bod word verkocht keer op keer op keer.

Waarom leert men niet van de geschiedenis van de cyberaanvallen met ransomware aanvallen?

Zijn we zo gebrainwasht dat bedrijven alleen nog maar Microsoft producten gebruiken omdat dat de norm de standaard is al vele jaren?

Bedrijven hebben het zelfs zo goed in ieder geval in Nederland dat men zichzelf kan verzekeren tegen Cyberaanvallen dat men na de aanval gewoon verder kan gaan met hun bedrijfsvoering.

Maar ondertussen ligt onze data op straat en gaat men gewoon verder met het gebruiken van Microsoft Windows producten maar daar word na de aanval totaal niet meer nagekeken.

De verzekering heeft uitbetaald maar naar onze data kunnen wij fluiten die is ondertussen al vele malen verhandeld aan derden.

Werkt dit gewoon niet elkaar in de hand?

Waarom blijven we dit ieder keer weer doen en waarom word er nergens aan de bel getrokken van ja stop even dit kan toch niet goed zijn om hier mee eindeloos door te gaan?

Ik heb makkelijk praten vanachter mij toetsenbord maar ik zie echt helemaal niemand die de vinger op de zere plek duwt, laat staan die kant op wijst of zelfs maar kijkt.

Dit blijft maar komen de ransomware nieuwsartikelen dit gaat echt niet stoppen en dit gaat echt niet weg.

En ondertussen staat mijn data (feit) en die van jou ergens nu of straks te koop op het internet en is handen van derden.

Het is als een eindeloze visuele cirkel waar we met zijn allen zijn in beland en nooit meer uitkomen lijken te komen door dat men telkens hetzelfde doet.

Ik gebruik dagelijks Microsoft producten en ben zelfs Windows 7 bèta tester geweest maar ik ben niet naïef dit is gewoon niet goed.

Waarom word hier nooit naar gekeken?

pang-frang-punk @toro • 5 juli 2021 10:00

Omdat men eenvoudigweg op zoek gaat naar het systeem met de meeste gebruikers om daar dan de zaak uit te buiten.
Stel dat in jouw utopie iedereen morgen omschakelt naar Linux.
Dan is er binnen de kortste keren een enorme sloot aan exploits gevonden binnen Linux, want dan valt er daar ineens iets te halen.
Zelfde is gebeurd met Apple zodra dit populair werd.
Kip en ei verhaal.

mphilipp @pang-frang-punk • 5 juli 2021 12:12

Probleem met Linux is dat er meerdere distro's zijn en zelfs binnen dezelfde distro zijn er verschillende smaken qua setup en geïnstalleerde versie van software. Alleen de kernel zal in veel gevallen hetzelfde zijn (behalve bij de slimmerds die zelf een kernel compileren met alleen dat wat ze nodig hebben). Dat maakt het denk ik wel lastig om specifieke aanvallen uit te voeren die dan ook een groot aantal systemen treffen. Windows is een alles-in-1 systeem, net als iOS. Bij die systemen zit alles er in, of je het nu gebruikt of niet. Linux kan je zelf aan en uitkleden hoe je dat wilt, en dat gebeurt vaak ook. Firewall-only systemen, webservers, database servers, elk met alleen de dingen die ze nodig hebben (als je slim bent). Dus voordat je de hele IT infra op die manier plat legt, ben je wel een stuk verder.

Exploits zat in Linux, wat dat betreft is open source geen garantie op lekdichtheid om het zo maar eens te noemen. Ook geen garantie dat ze (tijdig) ontdekt worden. Je moet er wel met een bepaalde blik naar kijken.

pang-frang-punk @mphilipp • 5 juli 2021 14:20

Ik heb het specifiek over gevallen van cross compilation vanuit dezelfde codebase. Stel dat er terug een heartbleed achtige bug wordt gevonden. Als ik ht me goed herrinner was dit kwetsbaar via het openssl package dat op zo goed als elke distributie te vinden was.
Maar we zitten op dezelfde lijn denk ik. Ik had het vooral over het feit dat de meest gangbare systemen het eerst zullen worden aangevallen, welke smaak van OS hier dan ook op te vinden is.

goarilla @pang-frang-punk • 5 juli 2021 15:55

Dan is er binnen de kortste keren een enorme sloot aan exploits gevonden binnen Linux, want dan valt er daar ineens iets te halen.

Die sloot is er nu al hoor. Maar de meeste ransomware start door menselijke fouten (klikken op een uitvoerbaar bestand in een phishing mail, USB stick, ...). En je kan misschien bijna alles toetimmeren (group policies met software restriction policies, mail scanners, firewalls, IDS/IPS, een competente up-to-date crew,...) maar uiteindelijk vereist je business externe software die zich moet kunnen gedragen binnen die omgeving en data-uitwisseling met derden en als dat niet lukt of moeilijk te behelpen is binnen die omgeving dan voer je de touwen. Het is altijd een afweging.

coolkil @pang-frang-punk • 5 juli 2021 10:44

Op desktop/laptop inderdaad ja. Maar kijk naar servers en het verhaal wordt aanzienlijk anders.

Kijk alleen al naar Azure. Microsoft zijn eigen cloud omgeving. Volgens de statistieken is ongeveer 50% van wat er in Azure draait Linux gebaseerd. Daarnaast is ongeveer 75% van alle webservers gebaseerd op Linux.

[Reactie gewijzigd door coolkil op 27 juli 2024 11:47]

Djerique @coolkil • 5 juli 2021 11:21

Op desktop/laptop inderdaad ja. Maar kijk naar servers en het verhaal wordt aanzienlijk anders.

Hoe zit het dan met mobile?
Het overgrote deel van wereldwijde users zijn mobiele gebruikers.

pang-frang-punk @Djerique • 5 juli 2021 11:32

Ook op mobile worden gigantisch veel exploits gevonden en gepatcht natuurlijk.
Maar de servers zijn daar een apart verhaal. Ernstig veel on prem servers zijn steeds de dupe van die attacks, omdat dat net de systemen zijn die makkelijk aan te vallen zijn.
Cloud is geen gouden oplossing natuurlijk voor dit soort problemen, maar de systemen die daar draaien zijn vaker up to date dan de om prem varianten, alleen al omdat de technieken in de cloud bvb geen machines met xp of vista of heel veel windows 7 meer zullen draaien daar.
Ten slotte heb je op veel linux servers natuurlijk geen gui. Hiermee is de attack vector al veel kleiner geworden, maar niet onbestaande.

coolkil @pang-frang-punk • 5 juli 2021 12:04

Cloud helpt hier niks tegen. Je kan al je machines draaien in een cloud en nog steeds een ransomware aanval krijgen. Wanneer je een Saas dienst afneemt is de kans kleiner dat je via een Saas dienst zelf gehackt wordt. Echter kan achterliggende platform alsnog gehackt worden. Uiteraard kan het natuurlijk wel zo zijn dat de eigenaar van de Saas oplossing meer aandacht voor de beveiliging heeft dan een onpremise omgeving van een 'standaard' beheerteam zou krijgen.

pang-frang-punk @coolkil • 5 juli 2021 14:21

Mee eens. Ik had het in dit geval over overduidelijk niet langer patchbare systemen. Het voorbeeld van een on premise xp: in Azure vindt je deze normaalgesproken gewoonweg niet meer terug.

coolsmoe @pang-frang-punk • 6 juli 2021 10:45

Toen Veeam met hun restore naar Azure uitkwam heb ik dat eens geprobeerd met een Windows server 2003 32 bit om te zien wat er zou gebeuren. En die startte gewoon alsook de software (o.a. Oracle dabase) die erop draaide.

Maar weet niet of het nu nog lukt, dat is al wel even geleden.

pang-frang-punk @coolsmoe • 6 juli 2021 12:18

Dat denk ik ook wel, dat dat zou lukken, maar de kans is al kleiner dat nieuwe toestellen nog met oude OS versies worden opgespind.

Blokker_1999

Ransomware
Beveiliging en antivirus

@coolkil • 5 juli 2021 21:06

Het is heel moeilijk om over servers een goed beeld te vormen. Slechts een klein deel van alle servers zijn benaderbaar via het internet en wat je ziet is niet altijd representatief voor wat er in realiteit gebruikt wordt. Zo kon je vroeger, en ik vermoed vandaag nog altijd, menig IIS server vinden die zich rapporteerde als een Linux machine dankzij de revese proxy die er tussen zat.

Maar als ik puur naar de onderneming kijk waar ik vandaag werk, dan hebben we misschien een tiental servers die rechtstreeks te benaderen zijn vanop het internet waarvan de helft niet eens Windows draait. Maar kijk ik dan naar de honderden servers die we intern draaien, dan is +90% ineens wel Windows. En mijn huidige firma is daar zeker niet uniek in.

coolkil @Blokker_1999 • 5 juli 2021 23:16

In de omgevingen waar ik me vaak bevind zie je juist altijd een mix. Inderdaad honderden Linux machines en honderden Windows.

Of het voor ransomware veel uitmaakt vraag ik me af. Een brakke Linux machine is net zo goed een groot probleem als een brakke Windows installatie.

Aan het eind van de dag is het ook een kwestie van perspectief de ene it'er heeft een focus op Windows en ziet alleen maar Windows de andere ziet vanwege een focus op Linux alleen maar Linux. Wat dat betreft zijn de cijfers uit Azure een mooie maatstaf. Namelijk 50/50

Moraal van het verhaal: het maakt niet uit wat je draait. zorg voor degelijke patch management, heb een goede netwerk architectuur waarin isolatie wordt toegepast en zorg dat je klaar bent voor als een ransomware infectie gebeurt zodat je weet wat je moet doen

[Reactie gewijzigd door coolkil op 27 juli 2024 11:47]

Blokker_1999

Ransomware
Beveiliging en antivirus

@toro • 5 juli 2021 10:41

Waarom word hier nooit naar gekeken?

Weet je wat ook elke keer opvalt? Ze gebruiken x86 systemen. Misschien zit daar het probleem wel. Of er werken mensen met die computers. Die moeten we ook maar uitsluiten. Misschien is het wel omdat in alle gevallen de input via toetsenbord en muis gaat. Tijd voor tablets?

Of misschien kijk je gewoon naar het verkeerde. Ja, er wordt in dit geval Windows gebruikt. Maar wat is de aanvalsvector? Het lijkt erop dat dat niet Windows is, maar beheerssoftware van Kaseya waarin de fout zit. Denk je dat die fout er niet had ingezeten als er iets anders gebruikt zou worden? En hoe kan jij daar zo zeker van zijn?

Windows domineert op bedrijfssystemen omdat geen enkele andere leverancier zo een ecosysteem kan bieden waarbij alles zo netjes integreert maar ook waarbij alles gedurende 10 jaar na introductie ondersteund wordt. Tel daarbij de fenomenale neerwaartse ondersteuning en vertel mij dan eens wat een even goed alternatief is.

En denk je nu echt dat als morgen niemand nog Windows zou gebruiken, dat de ransomware makers zich dan niet op andere platformen zouden richten? Hoge bomen vangen veel wind en op de bedrijfs ICT markt is Windows veruit de hoogste boom.

robertpNL @toro • 5 juli 2021 10:49

Er is al een Linux variant van REvil ransomware uitgelekt. Als iedereen over gaat op Linux, krijgt Linux de focus. Heel simpel.

En de schuld bij een OS neerleggen is niet relevant. De groep verscheepte hun backdoor in het update release proces. Kwestie van wachten tot de update is uitgerold en dan overgaan tot actie. Dat heeft niets te maken met het OS, gebruik maken van OS zwakheden etc. Nee, het zat gewoon in de software.

HADES2001 @toro • 5 juli 2021 11:24

als 99% van de gebruikers linux draaide las je dit bericht over linux en waren er mensen als jij die nu verbaast zijn waarom niemand Windows gebruikte want die lees je nooit in het nieuws!

Waarom draait de wereld trouwens niet op commodore 64's? nog nooit iemand gehoord die daarop gehackt is.

Theo @toro • 5 juli 2021 12:44

Ik heb zelf ook nog even wat extra onderzoek gedaan. Het blijkt dat 100% van alle door REvil gehackte systemen op stroom werken. Ook alle hacks waar data is gesloten die kwamen heel toevallig van servers en systemen die op stroom werken. En als je kijkt naar de manier hoe de hackers binnen zijn gekomen dan gebeurde dit ook via routers en firewalls die op stroom werken..

Misschien moeten we niet zo naïef zijn en computers en netwerkapparatuur niet zomaar meer op stroom aansluiten; want dan worden we ook niet zoveel meer gehacked....

Een gemene deler hoeft niet altijd een oorzaak of aanleiding te zijn.

Xfade @toro • 5 juli 2021 17:59

Naïef om te denken dat er niet naar gekeken wordt.

Ze zitten ook allemaal aan het internet. Is dat überhaupt wel nodig voor al die machines ?

Blokker_1999

Ransomware
Beveiliging en antivirus

@Verwijderd • 5 juli 2021 21:17

Als je vindt dat er gemismodereerd wordt, dan kan je dat op het forum melden, dat moet hier niet.

En maakt hij een punt? Hoeveel malware aanvallen zijn vandaag nog het gevolg van exploits in het OS zelf? De grote meerderheid komt toch echt via andere applicaties. Hell, dit nieuwsbericht gaat over 1 van de grootste aanvallen van afgelopen jaren. In 1 klap honderdduizenden systemen besmet. En weet je wat, Windows was niet eens datgene waar de kwetsbaarheid in zat.

Natuurlijk, de schuld steken op Windows is eenvoudig. Maar er zijn andere gemene delers, nog grotere. Die kan je ook de schuld geven.

En in plaats van af te geven op MS, zou je ook eens kunnen zeggen hoe dat jij het zou oplossen. Wat voor systeem zou jij gebruiken dat even goed integreert met elkaar, dat gelijkaardige functionaliteit biedt terwijl het even beheersbaar en gebruiksvriendelijk is.

Ik zie het vaak genoeg: oh maar je kan oplossing X nemen, en dan moet je die plugins erbij nemen en daar wat sourcecode vandaan halen die je handmatig moet compileren en voor de configuratie moet je op 17 plaatsen zijn want het zijn eigenlijk verschillende programma's die met elkaar moeten samenwerken en dan heb je uiteindelijk 75% van je functionaliteit terug voor maar 3 keer meer werk bij het opzetten ervan.

Maar het is wel open source hoor, mag je gratis gebruiken. Bespaart je geld.

Verwijderd @Blokker_1999 • 6 juli 2021 00:10

Windows was niet eens datgene waar de kwetsbaarheid in zat.
Nou, als je even inleest dan zie je dat Windows Defender gebruikt wordt om de boel te encrypten:
mpsvc.dll - the encryptor payload that is sideloaded by the legit Defender .EXE
Ik wil niet zeggen dat daar de kwetsbaarheid zat maar hoe is het in vredesnaam mogelijk dat Windows Defender gebruikt wordt om malware te faciliteren... Dat zou toch letterlijk onmogelijk moeten zijn voor een security product van Microsoft?

Verder worden er met grote regelmaat exploits in Windows gebruikt. Afgelopen maand nog...
PuzzleMaker attacks exploit Windows zero-day, Chrome vulnerabilities - Two of the zero-days used were patched by Microsoft on Tuesday.. Maar misschien herinner je WannaCry beter (waar het voor velen begon)? Of het Exchange incident? En ik weet niet of je PrintNightmare meekrijgt maar we hebben nog steeds geen patch.. En ik kan je garanderen dat er heel veel programeurs bezig zijn om deze exploit verwacht te krijgen in hun laatste crypto malware platform. Microsoft geeft trouwens in zijn eigen advisory aan: Due to legacy configurations and backwards compatibility, some of these groups may contain Authenticated Users or Domain Users, which would allow anyone in the domain to exploit the domain controller.

Het is ook een beetje onzinnig om dit te stellen gezien iedere patch Tuesday het een race is om exploits te maken voor de laatste security fixes als ze er al niet zijn... Dit is niet een vreemde stelling mag ik hopen?

Wat voor systeem zou jij gebruiken dat even goed integreert met elkaar, dat gelijkaardige functionaliteit biedt terwijl het even beheersbaar en gebruiksvriendelijk is.
Nou, we gebruiken Chromebooks, Windows laptops (met de printspooler uitgeschakeld momenteel

), Macbooks... Whatever de gebruiker wil, eigenlijk... Dat bedoel ik trouwens met 'Een diverser landschap (qua besturingssystemen) zou zeker helpen met impact beperking'. Wij wedden niet op 1 paard.

Ik zie het vaak genoeg: oh maar je kan oplossing X nemen,
Een beetje rare reactie, ik raad niets specifiek aan. Enkel dat mensen niet geheel op 1 leverancier moeten leunen. Microsoft doet het verder prima met hun Office/Microsoft 365 gebeuren als je maar dat ouderwetse domein gebeuren loslaat. Maar daar blijven ze gewoon aan vasthouden.....

Neem een Active Directory server. Zo'n ding bevat letterlijk alle belangrijke gegevens in je netwerk, het zijn de kroonjuwelen van je organisatie. Maar die server moet direct en vrijwel ongefilterd beschikbaar zijn voor al je werkstations om in te kunnen loggen. Dit is techniek uit Windows 2000 (waarschijnlijk zelfs NT 4). En dat bedoel ik met de legacy waar Microsoft eens een streep door moet zetten. Microsoft is koning van de legacy en dit achtervolgt hun al jaren. Ze moeten harde wijzigingen gaan maken om dit op orde te krijgen.

Knoose @souplost • 5 juli 2021 14:09

Ik gebruik primair linux op mijn apparaten. Ondertussen heb ik ook een redelijke weerzin jegens Microsoft/Windows (puur subjectief) dus ik ben niet onsympathiek naar jouw rant.

Echter leef ik niet in de veronderstelling dat linux per definitie een veiliger OS is. Zoals anderen hier terecht opmerken, als de hele wereld nu overstapt op linux zal dat de grootste target worden.

gabba25 5 juli 2021 08:01

Ik begin dan toch wel te twijfelen aan dit soort software. Sure, het helpt ontzettend, maar je ziet ook hoe kwetsbaar het kan zijn. Laatst was precies hetzelfde geval bij solarwinds. Het zet je wel aan het denken in elk geval.

Mexxwelll @gabba25 • 5 juli 2021 08:57

Ik hoop dat het mensen aan het denken zet.

Backup software, draait dat als domain admin, of is het account lid van de backup operators groep?

Monitorings software, kijk een naar minimum permission requirements.

Domain admins groep, is het echt nodig om daar zoveel objecten in te hebben?

Admin tiering, ander account voor de domain controllers, servers en werkstations?

Heb je monitoringsservers draaien voor al je klanten, moet deze toegang tot het internet hebben? Ofwel blokkeer potentiële command en control servers, etc.

[Reactie gewijzigd door Mexxwelll op 27 juli 2024 11:47]

SteefOne @gabba25 • 5 juli 2021 08:38

Het zet je zeker aan denken. Maar wat bedoel je met 'dit soort software'? Dit zou immers bij ieder softwarepakket kunnen gebeuren, en Solarwinds was ook niet een bepaald kleine speler.

Als het je aant denken zet en doet twijfelen, wat is dan jouw filosofie hierachter? Zelf software ontwikkelen oid?

Eonfge @SteefOne • 5 juli 2021 09:40

Ik denk dat @gabba25 zich (terecht in mijn ogen) zorgen maakt over de schaal waarop dit soort bedrijven opereren. Als een Kaseya of Solarwinds nu wordt getroffen door een aanval, dan heeft dat meteen impact op 10%-30% van de industrie.Als organisaties op kleinere schaal zouden werken, dan is de impact niet zo groot als zo'n bedrijf vroeg of laat gehackt wordt.

SteefOne @Eonfge • 5 juli 2021 21:40

Dat is zeker waar. Maar als bedrijf wil je toch zo groot mogelijk worden/groeien in de markt lijkt me. Ik kan mij moeilijk voorstellen dat bedrijven zeggen; sorry we nemen geen nieuwe klanten meer aan want anders worden we te groot.

Ik ben het met jullie eens hoor, maar mis even de oplossing voor dit soort scenario's. Ik kan er zelf niet 123 een verzinnen.

GeroldM @Eonfge • 5 juli 2021 21:54

"There is strength in numbers", zo gaat de uitspraak. Maar je hebt wel degelijk gelijk. Door alles te centraliseren, reduceer je de "numbers".

Maakt het makkelijker en efficienter om systemene te beheren, maar maakt het hele systeem ook zwakker. Op welk vlak neem je dan als bedrijf het risco? Bedrijven die software als Kasya aanschaffen nemen het risico voor lief en hebben op dat moment hun budget voor elkaar. Compleet begrijpbare redenering.

Nu blijkt dus dat er wel degelijk een risico is en als Kaseya betaald, dan word dat wel doorberekent aan huidige en toekomstige klanten.

Aangezien dit soort high tech-tech aanvallen op steeds grotere schaal worden toegepast, misschien word het dan tijd om sommige barbaarse/middeleeuwse praktijken weer in te zetten voor de afschrikwekkende werking. Het zijn tenslotte niet meer dan dieven. Dus per aanval 1 hand (de dominante eerst) eraf bij iedere hacker die betrokken is. En dat keihard zonder enige vorm van medelijden handhaven.

Als dat een paar keer is uitgevoerd, dan zullen er toch een boel personen zijn die van zulke aanvallen af zullen zien. Een aparte ruimte in ambassades voor deze ongein, maak er video's van en verspreid deze.

Natuurlijk is dit niet hoe er opgetreden dient te worden. Het is onmenselijk, we zijn ondertussen dat nivo hopelijk wel ontstegen.

Maar het deel van het zaaien van echte angst bij dit soort personen en/of organisaties lijkt me wel effectief. De manier waarop dit dient te gebeuren, is me nog onduidelijk.

Aduen 5 juli 2021 07:41

Ik begin steeds meer het gevoel te krijgen dat cryptocurrency geen goed idee was.
Wel veel respect voor DIVD en Wietse Boonstra $_/-\o_$

edit:
De scorekaart geeft toch weer een mooie verdeling weer

Cryptocurrency zal vast blijven bestaan maar niet in de huidige vorm. Dit is op papier heel leuk maar in de realiteit werkt het alleen maar corruptie in de hand. Het was voor de Crypto's nog best lastig om 70.000.000$ op je bankrekening te laten storten na je iemands computer ontvoert.

Ik vind de argumenten die ik hier lees en allemaal +1's krijgen bijster zwak...

@NielsFL Criminelen zijn al verboden
@Djerro123 Nee niet als het internet, we hebben het over Cryptocurrencies
@t-force "onafhankelijk van een overheid of bank geldzaken regelen en je assets echt in eigen beheer hebben", uiteindelijk wil je ook wegen, infrastructuur, huizen, sociale vangnetten. Je kan het niet allebei krijgen, het heet belasting en is uiteindelijk toch ergens goed voor
@Vic-Green Hard rijden is al verboden, net als marktmisbruik.

[Reactie gewijzigd door Aduen op 27 juli 2024 11:47]

t-force

@Aduen • 5 juli 2021 15:23

Je kunt ook belastingen betalen in crypto!
Of je crypto omzetten naar EURO en dan overmaken.

Dat er belasting moet worden betaald om NL in stand te houden en ook te onderhouden zoals we dat als maatschappij willen snap ik 100%. Ik ben ook niet tegen het betalen van belasting.

Wel tegen de complete surveillance die overheden willen op alles dus ook de onderlinge geldstromen.
Soms krijg ik het gevoel dat de belastingen andersom werken.
In principe betalen we belastingen omdat we willen dan de overheid bepaalde zaken voor ons regelt.
Het lijkt erop dat het andersom is. De overheid regelt en controleert alles en geeft ons een klein beetje geld terug om er nog een beetje leuk leven van te maken.
Dat is eigenlijk al aan de gang. De overheid controleert alle geldstromen, roomt ze af en wil het liefst af van alle fysieke betaalmiddelen om dezelfde reden. De overheid heeft eigenlijk de hele economie overgenomen door de toelages, subsidies, uitkeringen en nu ook tijdelijke voorzieningen zoals TVL en NOW etc. Zie bijvoorbeeld de discussie over basisinkomen. Daarmee trekt de overheid de hele economie langzaamaan helemaal naar zich toe.

Het zou beter zijn als de overheid transparanter is over de budgetteringen van alle behoeften van maatschappij en dit eenduidig en ook eenvoudig verdeeld over de inwoners. En met eenvoudig bedoel ik dus ook begrijpelijk voor elke burger.

Het maakt dan eigenlijk ook niet meer uit hoe we die belasting betalen. Met EURO, US$, BTC, ETH, ADA, goud, zilver etc etc.

Djerro123 @Aduen • 5 juli 2021 08:28

Net als het Internet, wat een ellende is daar vandaan gekomen zeg.

Vic-Green @Djerro123 • 5 juli 2021 08:58

Exact

NielsFL @Aduen • 5 juli 2021 08:59

Zinloze discussie. Cryptocurrency gaat nooit meer weg.

De regels zijn inmiddels al zo streng dat een daadwerkelijk verbod voor criminelen geen verschil gaat maken.

Sheean @NielsFL • 5 juli 2021 10:48

"strenge regels". Toch wonderlijk. Het is niet alsof je anders een tikkie of een envelop met een paar miljoen naar anonieme hackers in Rusland/Iran/China/waardanook kan sturen. Maar met een crypto? Geen probleem! Absolute waanzin. Zolang zulke grote sommen met geld eenvoudig en zonder noemenswaardig inperkingen kunnen worden rondgestuurd blijft dit probleem alleen maar groter worden. Als die crypto-handelaren zo nodig bankje willen spelen dan hebben ze zich maar aan dezelfde regels te houden. Dan is het snel gedaan met deze onzin.

Vic-Green @Aduen • 5 juli 2021 07:50

Geef Cryptocurrency maar weer de schuld

fsoldt @Vic-Green • 5 juli 2021 08:06

Het verkleint de pakkans aanzienlijk.

d5stick @fsoldt • 5 juli 2021 08:16

Klopt maar iets is niet slecht omdat het door iets anders mis/gebruikt wordt.
Anders kan je heel veel zaken afschaffen die criminaliteit bevorderen en in de hand werken maar men veel in het dagelijks leven gebruikt.

Mathijs B @d5stick • 5 juli 2021 08:39

Draai het eens om. Waar is cryptocurrency goed voor?

t-force

@Mathijs B • 5 juli 2021 08:56

- onafhankelijk van een centrale bank (lees aub Geldmoord van Edin Mujagić)
- voor de meeste crypto's geld ook dat ze geen inflatie kennen. Zelfs Klaas Knot van DNB waarschuwt voor een langdurige hoge inflatie.
- onafhankelijk van een overheid of bank geldzaken regelen en je assets echt in eigen beheer hebben.
- (centrale)banken straffen sparen af door negatieve rente en maximale spaartegoeden van € 100.000,- zie ook ING en ABN-AMRO en Rabo
- crypto's zoals Cardano kennen een staking vergoeding (een soort van rente) die kan oplopen tot 6%

etc etc.

CamelKnight @t-force • 5 juli 2021 09:44

Het grootste nadeel van cryptocurrency is dat het zo volatiel als de pest is. Je weet nooit of je CC morgen, of zelfs over een uur, nog evenveel waard is. En dan hebben we het niet over een paar cent verschil, maar over vele duizenden euro's verschil.
Elon Musk tweet over crypto: alles dik de lucht in, stijgingen van meerdere procenten en de wereld juicht.
Elon Musk tweet een gebroken hart over crypto: alles in dikke mineur. Maar liefst 5% waarde vermindering. Na 1 tweet.

/edit/ hilarisch dat deze post gewoon als 'ongewenst' wordt gemarkeerd. Wellicht moet je je dan even beter in hoe volatiel (of zoek de beschrijving van het woord op) cryptocurrency is

[Reactie gewijzigd door CamelKnight op 27 juli 2024 11:47]

t-force

@CamelKnight • 5 juli 2021 11:20

De volatiliteit zal afnemen zodra het meer en meer gemeengoed gaat worden.
De markt is eigenlijk nog te klein ten opzicht van die van het fiat geld en daardoor inderdaad te manipuleren. Het zijn trouwens niet die tweets die de prijzen hebben bepaald maar meer de acties van bijv, China.
Op zich is het goed dat die miners in China zijn gestopt. Dat betekend dat de andere miners meer 'kans' maken en de verdeling eerlijker wordt. China had zo'n beetje 65% van de mining capaciteit staan.
De prijsdalingen afgelopen weken waren een gevolg van het plots verkopen van de bitcoins van die Chinese miners.
Vorige week waren de koersen alweer aan het stijgen.

CamelKnight @t-force • 5 juli 2021 12:37

Het zijn trouwens niet die tweets die de prijzen hebben bepaald maar meer de acties van bijv, China.

Niet?
https://www.ad.nl/geld/bi...t-van-elon-musk~a8570d13/
https://www.crypto-inside...t-100-na-elon-musk-tweet/
https://www.want.nl/elon-musk-anonymous-bitcoin-tweet/
https://www.cnbc.com/2021...-tweets-breakup-meme.html

t-force

@CamelKnight • 5 juli 2021 12:58

Elon Musk heeft zeker invloed gehad. Maar minder dan iedereen wil doen geloven.
Het is wel nieuwswaardiger om Elon Musk te noemen dan andere voor de meeste mensen lastig te begrijpen marktinvloeden.

Net zoiets als dat sommigen zeggen dat de toevloed van immigranten de huizenprijzen doen stijgen.
Natuurlijk heeft bevolkingsgroei en gezinssamenstellingen invloed op de druk op de huizenmarkt. Maar als het geld niet beschikbaar is dan kunnen er ook niet hoge bedragen worden geboden. En laat nu dat geld in enorme hoeveelheden beschikbaar zijn gesteld door de ECB. En nog gratis ook. Banken krijgen negatieve rentes als ze lenen van de ECB.
Maar dat eerste krijgt gewoonweg meer aandacht in het nieuws.

Mijn punt is gewoonweg dat crypto's niet perse de oplossing zijn. Maar meer een gevolg van het ontbreken van een goede oplossing voor de centrale baken/inflatie problemen.

En ja criminelen maken net als bij US$ gebruik van alle nieuwe technieken en voorzieningen die ze maar kunnen krijgen. Net zo iets als encryptie. Daar zijn criminelen ook verzot op. Maar verbieden werkt ook negatief voor de gewone man die niks crimineels wil doen. Hetzelfde geld voor crypto's.

digi-savvy @t-force • 5 juli 2021 09:15

voor de meeste crypto's geld ook dat ze geen inflatie kennen

Ehhhh.... volgens mij werkt inflatie net iets anders. Inflatie is het gevolg van het duurder worden van producten uit de prijsindex, dat betekent dat je met je crypto munt in principe daar ook last van hebt, maar door de prijsstijging van die munt (door oa beleggen) is de inflatie niet of minder merkbaar. En deflatie is veel vervelender dan inflatie.

t-force

@digi-savvy • 5 juli 2021 10:47

Lees aub het boek van Edin en je zult begrijpen dat inflatie een gevolg is van de geld creatie.
Dat zien we feitelijk ook. Door de enorme Opkoopregelingen van de ecb is geld feitelijk gratis.
De huizenprijzen stijgen giga daardoor. Wat vreemd is dat huizenprijzen en dus woonlasten niet meegerekend worden in de inflatie. Dat is iets wat Klaas Knot wel voorstelt trouwens.

De centrale banken streven naar een inflatie van 2%. Reken maar eens uit wat 2% inflatie doet met je spaargeld over 10 jaar. Of bijv. 40 jaar gespaard pensioen vermogen.
En de feitelijke inflatie is vele malen hoger. Helaas.

Crypto’s zijn hiervoor niet dé oplossing. Maar een gevolg van het feit dat er nog geen oplossing is voor dit probleem.

digi-savvy @t-force • 5 juli 2021 11:55

Het lastige is dat crypto's ook uit het niets gecreëerd zijn en ook bijgemaakt worden... Dus wat dat betreft niet veel nieuws onder de zon. Alleen de basis is (nu) nog wat instabieler, zie volatiliteit.

t-force

@digi-savvy • 5 juli 2021 12:46

Voor de meeste crypto's geld dat ze beperkt zijn in de creatie.
Zoals bijv. 23milj. voor bitcoin.

Van de EURO en US$ bijv. maken ze er zonder enige onderliggende waarde miljarden bij. Elk jaar weer.
Volgens mij is in de 2016-2020 administratie in de US bijna 20% US$ bijgemaakt! Ofwel een inflatie van 20%. En onder de huidige administratie willen ze er weer extreem veel bijmaken om al die dure plannen te betalen.

[Reactie gewijzigd door t-force op 27 juli 2024 11:47]

Sharky @t-force • 5 juli 2021 09:18

Ik ben niet zozeer tegen crypto, maar de argumenten die jij gebruikt worden al jaren opnieuw en opnieuw gebruikt terwijl ik ze niet heel sterk vind. Onafhankelijkheid van een bank heeft vast voordelen, maar brengt inherent nadelen met zich mee zoals de onvoorspelbaarheid van CC. Ik ken een paar mensen die leuk verdiend hebben met CC, maar die hebben alleen iets aan het echte geld dat ze ermee hebben verdiend. Vooralsnog is het alleen interessant voor mensen die er mee handelen (of hebben gehandeld). Ik heb het gevoel dat het bejubelen alleen wordt gedaan door mensen die telkens dezelfde argumenten nodig hebben.

DuneDude @t-force • 5 juli 2021 11:45

Je argumenten zijn gericht tegen de 'gevestigde' orde maar zijn niet inherent het domein van CC. Immers een unieke hash vertegenwoordigd geen enkele economische waarde, geeft je geen enkele garantie en bestaat alleen bij de gratie van het vertrouwen in een algoritme. Het stelt letterlijk NIETS voor. Tevens is de geboden anonimiteit ideaal voor afpersingspraktijken. Je kunt maar beter schelpjes gaan verzamelen of theezakjes, dan ben je ook onafhankelijk van de bankiers. Dat voldoet ook aan je argumentatie, dan heb je pas echt je assets in eigen beheer.

D-e-n @d5stick • 5 juli 2021 08:40

Nou ja, als een systeem overduidelijk een aantrekkingskracht uitvoert op criminaliteit en verder niet meer is dan een middel to speculatie is het de vraag of je het niet gewoon moet verbieden wel gerechtvaardigd.

Vic-Green @D-e-n • 5 juli 2021 08:58

Ik ga toch ook niet alle M3`s, AMG`s enz verbieden omdat het een overduidelijk een aantrekkingskracht uitvoert op te hard rijden?

janbaarda 5 juli 2021 07:43

Uit nieuwsgierigheid de web site van Vesa bezocht:

Security Shield IT Security
Automate software patch management and vulnerability management to ensure that all systems are up to date
Control access with 2-factor authentication (2FA)
Manage backups (BDR) and antivirus/antimalware (AV/AM) from a single UI
Stay Secure

Lijkt mij dat ze niet geheel nakomen wat beloofd is ...

Het gevaar van uniformiteit en gecentraliseerd beheer wordt steeds duidelijker. Het is misschien tijd om te wat meer variaties aan te brengen e/of segmentering van netwerken en beheer. Niet alle eieren in een mandje.

[Reactie gewijzigd door janbaarda op 27 juli 2024 11:47]

Frij5fd @janbaarda • 5 juli 2021 08:12

En/of misschien naar minder systemen? Geen Windows PC's maar domme terminals en minder dedicated servers (al dan niet gevirtualiseerd)? Dan hoef je minder systemen te beheren en kan dat weer meer met "de hand", met eigen scripts etc. De systemen die je dan wel nog hebt draaien moet je dan wel veel aandacht geven, omdat het meer single points of failure worden. Waarschijnlijk duurder en autonomie van gebruikers met laptops is dan verdwenen....

Djerro123 @Frij5fd • 5 juli 2021 08:35

Hoe had dit hier geholpen dan?
- Geen Windows PC's maar domme terminals --> dit heeft niks met werkstations te maken maar met servers die een cliënt hadden geïnstalleerd om beheerd te kunnen worden. Door met domme terminals te werken weet je uit zeker dat op maandagochtend niemand meer kan werken.
- minder dedicated servers (al dan niet gevirtualiseerd) --> dan had je toch nog steeds hetzelfde probleem als nu? Je vergroot echter de attacksurface voor meerdere applicaties, meer software op een enkele machine maakt beheer nog complexer: ik kan product A niet updaten want dan werkt product B niet meer. Dus ik laat die patch maar even achterwege totdat *oeps product A is al geëxploiteerd*. Met containers kan dit wel (veel beter) maar ja niet al je software komt in containers.

Cergorach

Beveiliging en antivirus

@Djerro123 • 5 juli 2021 09:43

dit heeft niks met werkstations te maken maar met servers die een cliënt hadden geïnstalleerd om beheerd te kunnen worden.

RMM software, zoals Kaseya VSA, wordt gebruikt voor zowel servers als werkstations.

Dit probleem heb je gewoon ook met elk ander stuk software wat wordt gebruikt in de hele organisatie, bij iedere organisatie. Be it Windows of Linux, browsers, hardware, backup software, AV, etc. We hebben ze allemaal gehad de afgelopen jaren. De enige oplossing is geen PC meer gebruiken, al het personeel ontslaan en de gegevens verbranden. Dat is natuurlijk geen optie...

DigitalExorcist @Frij5fd • 5 juli 2021 08:46

Een cloud (al dan niet private) gaat je niks helpen bij een dergelijke aanval. Servers worden, ongeacht wáár ze draaien. ook gewoon encrypted. Er zijn ook voorbeelden zat van Onedrives en Dropboxen die encrypted raken dus of je nou centraliseert of niet maakt niks uit.

Fenkenstrain @DigitalExorcist • 5 juli 2021 09:16

Behalve dat in deze specifieke aanval OneDrive wel degelijk data beveiligd had.
Ik ken mensen die bezig zijn met deze ransom attack omdat hun klanten daar last van hebben gehad en via hen krijg ik te horen dat alle OneDrive data unaffected is dankzij de security layer binnen Microsoft.

Neemt natuurlijk niet weg dat dit nooit kan gebeuren, maar het kan je kansen dus wel vergroten om er beter van af te komen.

Scriptkid @Frij5fd • 5 juli 2021 09:46

Cloud adverteerd niet voor niets dat je moet kijken naar serverless compute,

dan heb je letterlijk 0 servers te beheren.

Dennisb1 @Scriptkid • 5 juli 2021 10:33

Tot de data dwars door de wolk naar beneden valt omdat ze gehackt worden.
Niks is veilig.

Scriptkid @Dennisb1 • 5 juli 2021 12:10

Verschil is alleen dat security budget bij cloud is meerdere miljard en het wordt streng toegepast,

Security beleid onprem moet elkjaar goedkoper en steeds mee consensus,

Ik voor bijna maandelijks security checks uit bij bedrijven op een O365 tenant maar meerendeel scoort niet boven de 50% doordat men niet weet hoe het werkt of toch kosten wil besparen op security.

[Reactie gewijzigd door Scriptkid op 27 juli 2024 11:47]

GeroldM @Scriptkid • 5 juli 2021 23:18

Uh, security bij de cloud-boeren word wel professioneler aangepakt, maar als dat betekent dat hun services duurder worden dan die van de concurrent, dan word in het security-budget echt wel als eerrste in gesneden.

Stel je eens voor, zo'n cloud-boer ondergaat een heftige aanval en kan net niet aan zijn overeenkomsten met jou als klant voldoen.
- Ben jij de enige klant? Nee.
- Hoeveel personeel en/of technische resources zijn er beschikbaar om dit probleem op te lossen? Zonder duidelijke opgaaf, is dat maar een gok. Aangezien de cloud-boer winst wil maken, zullen extra resources en/of personeel maar mondjesmaat beschikbaar zijn. Want dat zijn kosten die moeten worden doorberekend en bederft het winst-perspectief.
- Ben jij een grote klant? Niet als persoon, kan je verzekeren dat beschikbare resources/personeel eerst voor (echt) grote klanten worden ingezet en jij als (ech) kleine klant als laatste aan de beurt komt. Veel geluk met het verhalen van geleden verliezen, ook al staat dat in het contract dat je met hen hebt afgesloten.
- Heb jij als klant genoeg fondsen om de geleden verliezen op te vanen en de periode tussen probleem en uitbetaling van verzekeringen te overbruggen? Je kan alsnog in problemen komen als je je bezig houdt met B2B, zelfs al is de periode kort en je aan je betalingsverplichtingen kan blijven voldoen.

Financieel gezien zijn cloud-oplossingen niet schrikbarend veel goedkoper of duurder dan eigen hardware/software/personeel. Al lijkt dat op het eerste gezicht wel zo te zijn.
Je loopt echter wel een groot risico met bedrijfs-continuiteit, al lijkt dat op het eerste gezicht juist andersom te zijn.
Cloud-boeren hebben wel een voordeel qua gemak.

Scriptkid @GeroldM • 6 juli 2021 08:35

Als MSFT kan ik zeggen dat we genoeg resources paraat hebben als er issue in het Azure landschap zijn. En veelal is het ook vrij snel binnen SLA weer opgelost, Het maakt niet uit of het een kleine of grote klant is alle klanten worden asap weer online gebracht. Grote klanten hebben vaak een Premier support contract met dedicated support engineers en krijgen daardoor extra hulp maar daar betalen ze ook een premium fee voor.

Is het buiten SLA opgelost doen ze ook niet moeilijk over geld terug gave.

Het gaat hier niet over securtity die je out of the box krijgt zoals het datacenter, maar we hebben het over de security die jij als klant moet inrichten voor je eindgebruikers en admins, (PAW , JEA , JIT, Passwordless, Zero trust , PIM, AIP, MFA) om je ingress points en accounts veilig te houden.

Neem bijvoorbeeld PAW, een van de beste counter measures tegen elevated credential theft, dit promoten we inmiddels al weer jaren als MS en het is een hele simpele aanpassing in je beheer,helaas is de markt adoptatie nog steeds maar extreem laag. Zelfde geld voor MFA zie nog steeds zoveel Global admins die niet op MFA required staan, Of global admin die als service account op een script server scripts draaien, Allemaal easy targets voor attackers.

J_van_Ekris @Frij5fd • 5 juli 2021 10:51

En/of misschien naar minder systemen? Geen Windows PC's maar domme terminals en minder dedicated servers (al dan niet gevirtualiseerd)? Dan hoef je minder systemen te beheren en kan dat weer meer met "de hand", met eigen scripts etc. De systemen die je dan wel nog hebt draaien moet je dan wel veel aandacht geven, omdat het meer single points of failure worden. Waarschijnlijk duurder en autonomie van gebruikers met laptops is dan verdwenen....

De gedachte dat je domme terminals moet gaan gebruiken is eigenlijk de basis van al die clubs die Citrix of RDP etc. inzetten als beveiligingsoplossing. En in mijn beleving is het een ontzettend domme aanpak. Immers je moet nog ergens de applicatie runnen: dus dat wordt een dik uitgeruste Citrix/RDP farm die bij voorkeur bovenop de SAN zit met een extreem dikke netwerkpijp ertussen. Als iemand dan een verkeerde link heeft dan heeft die aanval krankzinnig veel CPU-cycles en bandbreedte om de encryptie door te voeren. Met dikkere clients heb je in ieder geval nog de voordelen van een wat lagere bandbreedte en wat CPU-beperkingen, waardoor je wat reactietijd wint en dus je IDS wat reactietijd kan hebben.

Containers zijn een redelijk goed werkend lapmiddel (op dit moment!), maar verre van voldoende. Je loopt nog steeds risico dat je hele systeem er aangaat als er een container lek is.

Als je dit echt op wil lossen moet je echt fundamenteel anders over je infrastructuur gaan denken, met gelaagde architecturen en intelligente beveiligingslagen ertussen. Maar dat is wel afscheid nemen van al je investeringen van de afgelopen drie decennia.

Scriptkid @J_van_Ekris • 5 juli 2021 12:17

Kopt daarom zie je met cloud de verschuiving weer naar cpu naar de end user met API en zero trust,

User krijgt gewoon een mobile device naar keuze, (Is hij ook happy),

En hij werkt via 0 trust tegen APIs

goarilla @Scriptkid • 5 juli 2021 16:31

Dus alles web enabled en sessies onafhankelijk en least privileged opzetten ?

Scriptkid @goarilla • 6 juli 2021 08:21

vanaf beheer -> PAW pc , met zero trust en MFA en passwordless, JEA en JIT

Als user, API based , zero trust, MFA , password less

Bijde AI implementaties (AAD P1 ingeregeld) op de zero trust authenticatie patronen icm MFA

laurens0619 @janbaarda • 5 juli 2021 07:59

Precies dit
Een it organisatie wordt als volwassen gezien als zaken gecentraliseerd zijn, alles in 1 ad. 1 centrale management tool etc

Dat is het ook qua management

Qua ransomware kom je bijna beter weg als je je it flut geregeld hebt en er geen centraal beheer is… (gekscherend bedoeld)

[Reactie gewijzigd door laurens0619 op 27 juli 2024 11:47]

Raymond Deen @laurens0619 • 5 juli 2021 08:56

Meh, ieder z’n eigen beveiliging laten regelen is ook niet verstandig omdat dat te veel vrijheid geeft en daardoor niet goed gaat.
Centraal beheren van spullen gewoon goed regelen en daarbij ook intern op het netwerk beveiliging op orde hebben niet te vergeten.
Backups volgens goede strategie regelen en die los koppelen van de rest van het netwerk en regelmatig controleren, bijvoorbeeld op omvang bij incrementele backup dan weet je meteen dat er iets geks aan de hand is wanneer die ineens 10% groter is.

GeroldM @Raymond Deen • 5 juli 2021 23:36

Ik merk dat er amper mensen in militaire dienst hebben gezeten. Wat leer je daar als eerste? Uitschakelen van communicatie. Op welke manier dan ook. Want dan valt alles als een kaartenhuis om.

Ja, alles centraal regelen is makkelijk en efficienter. Dat is zeker waar. Maar je creeert er ook een probleem mee. En ja, zo'n centraal punt is veilig totdat het niet zo is. En dan is het gelijk een enorm probleem, waarbij jouw goed opgezette systeem alsnog als een kaartenhuis in elkaar dendert.

Redunantie is de oplossing in het militaire landschap. Maar dat is een kostbare grap. Zelfde principe zou je ook toe kunnen passen door hetzelfde systeem bij meerdere cloud-boeren op te zetten. Maar dan is het niet gemakkelijker of goedkoper meer dan eigen software/hardware. En waarschijnlijk ook niet veiliger, want elke extra complicatie introduceert extra aanvalsvectoren.

Maar goed, het komt zoals altijd uit op de vraag: Op welk risicovol "paard" ga je wedden?

laurens0619 @Raymond Deen • 5 juli 2021 09:00

Klopt helemaal. Centraal management heeft super veel voordelen qua security

Maar het heeft dus ook zijn schaduwkant. Als je endpoint management (die system rechten heeft) geraakt wordt, hoe had je dit kunnen voorkomen?
Ik denk dat het geluk van deze ransomware is dat het geen domain admin attack is (waar de backups ook vaak geraakt worden) en er veel mensen kunnen leunen op de backup. Ook al heb je de backup, herstel doe je niet zomaar even

Raymond Deen @laurens0619 • 5 juli 2021 15:34

Toch het netwerk in compartimenten verdelen.
Zo'n endpoint management systeem heeft natuurlijk niets van doen met backup servers en dergelijke, dus die zouden ook niet onder dat beheer moeten vallen.
Ik zie vaak zat dat het beheer van werknemer devices ook apart van server-beheer wordt gedaan en dat lijkt me een goede praktijk, want dat is ook een heel andere tak van sport.

laurens0619 @Raymond Deen • 5 juli 2021 15:59

Vaak wel apart beheer afdeling maar waarschijnlijk wel dezelfde software
Dus dan was je nog nat gegaan…

Cergorach

Beveiliging en antivirus

@laurens0619 • 5 juli 2021 09:51

Qua ransomware kom je beter weg als je je it flur geregeld hebt en er geen centraal beheer is

Absoluut niet! We hebben dit al jaren geleden gezien waarbij organisaties waarbij het juist bagger geregeld was juist allemaal last hadden van malware. Want omdat er niets centraal is geregeld zoals backups, updates, AV, beveiling, kan ransomware binnenkomen op traditionele manieren. En omdat het toch allemaal niet centraal is geregeld komt men er pas weken/maanden later achter en dan is er nog geen backup, want dat is (centraal) niet geregeld.

Ik vind dergelijke uitspraken van een CISO dan ook bijzonder vreemd!

Ben het met je eens dat je niet alle eieren in een mandje moet doen. In dit geval bv. je backup solution helemaal los van de rest van de rest van je infra. Dus zeker niet je backup servers laten beheren door je RMM, los van het (A)AD, etc.

laurens0619 @Cergorach • 5 juli 2021 10:17

Ik denk dat mijn punt niet goed overkwam (heb mijn post aangepast)

Natuurlijk is centraal en beheerde IT omgeving de juiste stap voor security. 100% eens

Het heeft alleen zijn keerzijde en dat is dat de ransomware aanvallen van tegenwoordig het centrale management stuk aanvallen. Dus domain admin/ beheer software

Dus door je centralisatie gaat je likelihood van een aanval drastisch omlaag maar de impact kan dus veel hoger zijn.

natuurlijk betekent dat niet dat je moet ophouden met centraal it, je moet alleen de keerzijde erkennen en daar oplossingen voor verzinnen. Die oplossingen kunnen alleen ten koste gaan van je centrale it.

[Reactie gewijzigd door laurens0619 op 27 juli 2024 11:47]

Cergorach

Beveiliging en antivirus

@laurens0619 • 5 juli 2021 10:31

Die oplossingen kunnen alleen ten koste gaan van je centrale it.

Ook daar ben ik het niet geheel mee eens, complete integratie en centraal beheer zijn twee verschillende zaken imho. Het voorbeeld van de backupsoftware maakt de situatie niet minder centraal, alleen gescheiden van de rest van je infra. Meerdere van hetzelfde gebruiken zorgt voor meer attackvectors en de impact wordt er niet minder om, tenzij je je organisatie opsplists, maar dan komt A niet bij B.

Gezien de stelling "It's not IF, it's when.", betekend dat je als je meerdere producten uit hetzelfde segment gaat gebruiken je impact per hit kleiner is, maar dat je gewoon meerdere hits hebt en heb je uiteindelijk dezelfde schade tegen een veel hogere kostenpost.

laurens0619 @Cergorach • 5 juli 2021 10:35

Ben ik met je eens zo simpel is het niet.
Ik chargeer graag om een punt duidelijk te maken, vandaar

Laat ik het bij het punt houden dat de hackers van tegenwoordig achter centraal management oplossingen aangaan en je die dus adequaat moet beveiligen.

[Reactie gewijzigd door laurens0619 op 27 juli 2024 11:47]

J_van_Ekris @laurens0619 • 5 juli 2021 10:54

Qua ransomware kom je bijna beter weg als je je it flut geregeld hebt en er geen centraal beheer is… (gekscherend bedoeld)

Als je punt is dat je centrale management ook gelijk je achilleshiel is ben ik het met je eens.

Maar als het flut geregeld is wordt in praktijk je attacksurface groter (want dat ene brakke tool is altijd wel ergens door iemand in gebruik) en je hebt nul controle. Maar er is een verschil tussen centrale tools vs. decentrale tools en centrale policies. Ik geloof wel in decentralisatie en vele beveiligingslagen.

laurens0619 @J_van_Ekris • 5 juli 2021 11:01

Dat eerste bedoelde ik ja

gintoki @janbaarda • 5 juli 2021 07:48

Unified attack management

darkvader 5 juli 2021 07:55

Bij Kaseya kun je een script vinden om te kijken of een systeem is geïnfecteerd of niet.

Tomatoman @darkvader • 5 juli 2021 09:12

Ik heb even op de website van Kaseya gekeken wat ze over de aanval aan nieuws naar buiten brachten, maar dat is helemaal niets. Ongetwijfeld kun je wel wat vinden als je dieper de vele artikelen induikt, maar naar de buitenwereld presenteren ze het op hun site alsof er niets vermeldenswaardigs is gebeurd.

Powermage @Tomatoman • 5 juli 2021 09:32

https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Dat valt an sich wel mee toch?

cracking cloud @Powermage • 5 juli 2021 09:36

Dan moet je al helemaal naar een helpdesksite, als je die al kan vinden. Op de homepage en onder de kopjes Blog, News en Press Releases is helemaal niks te vinden.

edit: ook als je naar Support gaat (via de knop op de homepage) zie je wel een lijst met artikelen maar niks over de aanval.

[Reactie gewijzigd door cracking cloud op 27 juli 2024 11:47]

Powermage @cracking cloud • 5 juli 2021 15:07

De helpdesk site, noc of status pagina is een van de eerste plekken waar ik als beheerder naartoe ga, niet naar de commerciele front-end van de website.

Tomatoman @Powermage • 5 juli 2021 10:06

Zoals @cracking cloud al vermeldt, is dat artikel goed verstopt. Verder doet Kaseya flink zijn best om de omvang van het probleem te bagatelliseren:

quote: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
Kaseya’s VSA product has unfortunately been the victim of a sophisticated cyberattack.   Due to our teams’ fast response, we believe that this has been localized to a very small number of on-premises customers only.

 
En vervolgens schrijven ze dat al hun datacenters offline zijn en dat alle klanten met eigen servers hun servers niet mogen aanzetten. Ongeacht of al die servers besmet zijn, hebben 20.000+ klanten voorlopig een probleem, zelfs als hun data niet versleuteld is.

Cergorach

Beveiliging en antivirus

@Tomatoman • 5 juli 2021 10:06

Zolang de Kaseya klanten zelf maar zijn benaderd en gezien hoeveel beheerders er vrijdagmiddag/avond hiermee al bezig waren, is dat gebeurd. Geen enkel bedrijf gaat hiermee te koop lopen, niet MS, niet Apple, niet Google.

Vic-Green 5 juli 2021 07:49

Wacht maar tot zo na de Maandag ochtend dan kunnen pas zien hoe groot de hack echt is geweest.

henk717 5 juli 2021 09:55

Misschien deels offtopic maar ik kan mij voorstellen dat veel MSP's nu met de vraag zitten of zij Kaseya nog wel willen gebruiken en naar alternatieven zoeken. Jaren terug heb ik als helpdesk agent Kaseya gebruikt en de werking van dit pakket lijkt heel erg op N-central. Zaken als een monitoring dashbord die mijn werkgever had gebouwd zitten daar standaard in.

Dus mocht je niet langer vertrouwen hebben in dit pakket of om politieke redenen naar je klanten toe willen overstappen en daarmee kunnen tonen dat je de omgeving aan hebt gepast kan ik vanuit alle pakketen waar ik mee heb gewerkt N-central het beste aanraden voor Kaseya gebruikers. Vergelijkbare functies, vergelijkbare workflow en beide webbased.

[Reactie gewijzigd door henk717 op 27 juli 2024 11:47]

altan 5 juli 2021 09:58

Natuurlijk moeten de bedrijven ervoor zorgen dat ze de basis veligheidsmaatregelen in acht nemen. Maar ik vermoed dat zelfs daarmee dat REvil een manier zal vinden om binnen te komen. Ik vermoed ook dat deze hacking kennis (0-day exploits enzo) wordt wederzijds gedeeld met de Russische geheime diensten gezien het feit dat de Russische staat REvil geen strobreed in de weg legt.

Niet lang geleden schept Rusland op over de mogelijkheid on RuNet af te sluiten van de rest van het internet. Misschien is het tijd om dat van buitenaf af te doen, in ieder geval op een tijdelijke basis gezien de ononderbroken reeks hacks vanuit die kant. Hoewel het kan ook zijn dat zo'n maatregel geen beperkingen zou opleggen aan REvil.

Andere meningen?

HoppyF @altan • 5 juli 2021 10:06

Klinkt flauw maar wat dacht je van georganiseerd terug hacken en Russische overheden en bedrijven aanpakken? Dat voert de druk op zodat de Russische overheid wellicht wel maatregelen gaat treffen om dit soort activiteiten te gaan stoppen en de daders te berechten.

altan @HoppyF • 5 juli 2021 10:23

Ik ben geen voorstander van maatregelen die een "all-out" cyberoorlog zou kunnen uitlokken. De kunst is, lijkt mij, om maatregelen te nemen die 1.) beschermen 2.) een beetje pijn an de andere kant laten voelen en 3.) laten weten dat je meer troeven achter de hand hebben.

HoppyF @altan • 5 juli 2021 10:42

Men zou in ieder politieke druk kunnen uitoefenen op Rusland om deze hackergroep aan te gaan pakken. Werkt de Russische overheid mee dan volgen er uiteraard geen tegenacties.

altan @HoppyF • 5 juli 2021 11:07

Al ik me goed herinner heeft Biden al een lijstje gegeven aan Poetin van doelwitten waar ze zeker vanaf moeten blijven. Een redelijke staatshoofd zou dat dat niet interpreteren als een vrijbrief om de rest wel te blijven aanvallen, of laten aanvallen. De vraag is nu inderdaad wat moet je meer doen...

Op dit item kan niet meer gereageerd worden.

REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn

Lees meer

Ransomware in Kaseya-systemen

Reacties (165)

Lees meer

Ransomware in Kaseya-systemen

Reacties (165)

Sorteer op:

Weergave: