Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Texaans schooldistrict betaalt half miljoen dollar losgeld na ransomware-aanval

Het Texaanse Judson Independent School District heeft meer dan 547.000 dollar aan losgeld betaald aan ransomware-criminelen die data van het schooldistrict hadden gestolen en deze online dreigde te publiceren. De directie wou voorkomen dat de data online verspreid werd.

"Om te voorkomen dat gevoelige en persoonlijke informatie op het darkweb verschijnt, hebben we een bedrag van 547.045,61 dollar aan losgeld betaald. Dit doen we om te voorkomen dat anderen deze informatie kunnen misbruiken", klinkt het in een mededeling. "We hadden geen andere keus en hadden het geld liever gebruikt om de noden van onze werknemers en studenten tegemoet te komen."

Het schooldistrict werd op 17 juni getroffen door een ransomware-aanval. Hierbij werd de persoonlijke informatie van meer dan 26.000 studenten en onderwijzers buit gemaakt. Ook de telefoonlijnen en de e-maildiensten werden door de aanvallers platgelegd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

05-08-2021 • 22:21

109 Linkedin

Reacties (109)

Wijzig sortering
En het tuig heeft nog meer geld om nog meer zero-days te kopen. Ik blijf erbij, afpersing betalen moet op dezelfde wijze strafbaar worden als de afpersing zelf.

En ja, ik ken alle overwegingen. De enige manier om dit te stoppen, is om betaling te verbieden. En zeker met publiek geld.
En nee, dat werkt niet. Als je zoiets gaat verbieden moet je ook andere dingen gaan verbieden. Staat er een dief voor je met een mes en eist hij je geld en GSM? Niet afgeven, want dat moedigt alleen maar aan. Ook dat moeten we dus verbieden.

En dan ga je zeggen: ja, maar daar wordt je fysiek bedreigt, dat is bij ransomware niet het geval. Wat denk je dat het effect is voor menig onderneming als ze niet snel kunnen herstarten en alle data verliezen? Juist ja, dat betekend vaak het einde van de onderneming. En hoeveel menselijke dramas gaan daar uit voort komen?

Ja maar, zal je zeggen, ze hadden dat geld maar vooraf in hun beveiliging moeten investeren. Al spendeer je enorm veel geld in je beveiliging, dat wil niet zeggen dat je alsnog niet getroffen kunt worden. De belangrijkste manier van binnenkomen in netwerken blijven menselijke fouten. We zijn en blijven imperfecte wezens die fouten maken. Een foutje op de firewall is snel gebeurd bijvoorbeeld. Een medewerker die op een link in een nauwkeurig opgestelde phising mail trapt. Zo gebeurd. Een medewerker die een USB stick op de parking vindt en deze in zijn computer steekt om eens te kijken wat er op staat? Zo gebeurd..

Je hebt toch backups? Ja, maar ooit al eens geprobeerd om een volledig bedrijfsnetwerk van backups te herstellen? Dat is niet op een dag gebeurd. Je moet eerst al op zoek naar backups die zelf niet geinfecteerd zijn, je kan dagen of weken aan werk verliezen. En dan moet je een restore gaan doen die maar weinig bedrijven ooit getest hebben, want een volledig bedrijfsnetwerk herstellen komt eigenlijk nooit voor. Zelfs dan kan het verlies aan data enorm zijn en te veel zijn voor de onderneming.

Hier is een schooldistrict getroffen. Ga jij aan studenten uitleggen dat ze hun jaar moeten overdoen omdat je de resultaten niet kunt terugvinden? Dat is zoals enige tijd geleden dichter bij huis. Een universiteit getroffen. Dan heb je de keuze: losgeld betalen of tegen vele studenten zeggen dat ze hun jaar zullen moeten overdoen. Hoe zou jij je als student gevoeld hebben?

Stellen dat men betalen moet verbieden is dus een veel te eenvoudige oplossing. Maar stel nu dat je het verbied. Ik wordt getroffen als bedrijf en ik mag niet betalen. Ik bel naar een bedrijf gespecialiseerd in deze zaken dat zich in 1 of ander exotisch land bevindt. Na enkele dagen kloppen ze aan mijn deur en laten ze me weten dat ze het kunnen oplossen maar wel met een onvoorziene kost van een paar honderdduizend euro. Ik heb dat er voor over en betaal het geld. Krijg er netjes een factuur voor.

Heb ik nu de wet overtreden? Nergens is mij gemeld dat ik losgeld heb betaald. Ik heb gewoon een externe firma ingeschakeld om het probleem op te lossen en heb er netjes een factuur voor terug gekregen die je kan terugvinden in mijn herstelde boekhouding.
Het kan inderdaad iedereen overkomen, maar in dit geval ben ik van mening dat ze niet hadden moeten betalen.
Het Texaanse Judson Independent School District heeft meer dan 547.000 dollar aan losgeld betaald aan ransomware-criminelen die data van het schooldistrict hadden gestolen en deze online dreigde te publiceren.
Het ging hier niet om het operationeel houden van de IT systemen, maar om te voorkomen dat privégegevens gelekt werden. In dit geval is er geen enkele garantie dat die data niet alsnog word verspreid. Tuurlijk als ze je systemen encrypten is het ook maar de vraag of ze daadwerkelijk de encryptie key leveren, maar dat risico kun je vaak mee nemen in je kosten calculatie. Vaak is het aanzienlijk goedkoper wanneer ze worden gedecrypt tegenover het terug zetten uit backup.
Tuurlijk wel, dat is net het hele businessmodel van zulke criminelen. There is honor amongst thieves.
Dat is geen garantie. Onder de radar proberen ze die persoonlijke gegevens misschien toch te misbruiken.

Die criminelen kunnen bv. rustig de gegevens analyseren, er zonen of dochters van politici uit selecteren, vervolgens met die gegevens doelgericht proberen in te breken in enkele mailboxen om nadien op het juiste ogenblik een grote som geld te ontvangen van een buitenlandse overheid om gevoelige mailtjes te lekken.

[Reactie gewijzigd door ejabberd op 7 augustus 2021 07:14]

Nou, dan zijn we dus vogelvrij in de digitale wereld. Gewoon betalen, maak ze nog rijker en geef ze nog meer mogelijkheden om jou uit te knijpen. Want publiek geld of bedrijfsgeld, jij als consument betaalt het.
Niet meer of minder dan in de echte wereld. Je maakt nog altijd zelf de keuze of je betaald of niet. Het is niet de overheid die het moet gaan verbieden want dan ga je menig slachtoffer of nog harder in de put duwen danwel zelf strafbare feiten laten plegen.
Als je zoiets gaat verbieden moet je ook andere dingen gaan verbieden. Staat er een dief voor je met een mes en eist hij je geld en GSM? Niet afgeven, want dat moedigt alleen maar aan. Ook dat moeten we dus verbieden.
Het verschil in dit geval is een kwestie van leven en dood. Niet helemaal 1 op 1.
En wie betaald de schade als ze de data openbaar maken omdat er niet betaald wordt? Dat zal toch ook publiek geld zijn.
Liever betaal ik daar aan mee dan dat ik criminelen financier. Schade is klote en als het slimme criminelen zijn is de schade groter dan de afperssom. Maar de overheid kan dan toch beter garant staan voor de schade dan voor de afpersing. En ja, soms is de schade onbetaalbaar (alle klanten van easytoys openbaar maken bijvoorbeeld).
Goed punt, maar ik denk dat dan een wet moet aangenomen worden dat als bedrijven doelwit zijn van een zero day exploit, de staat de schade betaald, maar dat kan denk ik nog lastig worden.
Dus door onkunde en nalatigheid van het getroffen bedrijf moet de overheid de kosten op zich nemen wat tenslotte onze belastingcenten zijn?
Hoe is doelwit/slachtoffer zijn van een zero day exploit onkunde?
Sorry ik bedoelde bedrijf achter het getroffen software. De software ontwikkelaar is dus verantwoordelijk en zou voor de schade moeten opdraaien, niet de overheid.
Ja goed punt, maar moet de overheid dan de software ontwikkelaar aanpakken voor de zero day exploit? Dat zou weer betekenen dat software ontwikkelaars geen fouten mogen maken, wat ook weer onmogelijk is.
Ja klopt, waar mens is worden fouten gemaakt. Waar fouten worden gemaakt is er altijd een schuldige, en dan heel zwart-wit zou de schuldige voor de kosten moeten opdraaien. Als ik een auto ongeluk veroorzaak draai ik ook op voor de kosten als schuldige ook al deed ik het niet expres ;)
Goede punten weer, ben het er mee eens, enkel zou de software dan wel een stuk duurder worden als ze deze schades moeten incalculeren, dus dan betalen de klanten het weer, het is echt een lastig verhaal zeg.
Wie zegt dat de data na betaling niet alsnog wordt "gebruikt"? Doorgaans stop afpersing nooit.
Lijkt mij dat de kans dat ze het nog een keer doen zelfs groter is omdat het is bewezen dat je bereid bent om te betalen...
Dat is natuurlijk extreem kortetermijndenken. Wie weet is de schade groter als je de criminelen niet betaalt. Maar als je de criminelen wel betaalt, zorg je ervoor dat misdaad loont. Dan gaat het dus door en door en door. Als criminelen geen geld meer krijgen voor hun ransomware-aanvallen, dan stopt het. Dus op de lange termijn ben je minder geld kwijt als iedereen stopt met betalen.
Zeggen dat het stopt als men stopt met betalen kan je net zo goed onder het mom van korte termijn denken stoppen, zolang we niet weten wat de interne schade is.
Nee, zeggen dat het stopt is zuivere logica. Criminelen hebben één doel: geld verdienen. Zodra dat weggenomen is, is er geen motivatie meer om door te gaan. Uiteraard zijn er nog andere soorten mensen die ransomware zouden kunnen gebruiken, bijvoorbeeld mensen met een wrok, die zuiver uit zijn op schade berokkenen. Maar dat is veruit de minderheid van de gebruikers van ransomware. Uiteindelijk zal dus onderaan de streep de samenleving minder geld kwijt zijn als er geen donaties aan criminelen gedaan worden, dan als we daar wel mee doorgaan. Wel betalen aan iets dat wel gebeurt is immers per definitie duurder dan niet betalen aan iets dat niet gebeurt.

[Reactie gewijzigd door Bart ® op 6 augustus 2021 13:43]

Via welke wegen openbaar? Zorg in het strafrecht ervoor dat dit gelijk gesteld wordt aan heling. Natuurlijk, in de praktijk zal het niet eenvoudig zijn om dit in te perken en alle schuldigen daadwerkelijk te vervolgen, maar we zullen er toch werk van moeten maken om te voorkomen dat dit een steeds groter probleem wordt.
Dit is echt te kort door de bocht. In de ideale wereld werkt dit. Maar helaas leven we daar niet in. Als niemand meer losgeld betaald, zoeken ze wel een andere manier om aan geld te komen. En dan wil ik wel geloven dat je gegevens sowieso op straat liggen. Eens die garantie heb je natuurlijk niet. Een beter oplossing zou zijn dat er meer gedaan wordt aan security en dat natuurlijk op alle lagen (mens, software en hardware). Voorkomen is beter dan genezen.
Het is eenvoudig te voorkomen: ontkoppel je machines van het internet en plak alle USB poorten dicht. Of gebruik alleen software die 100% veilig is. Het is een utopie om te denken dat dat ineens wel gaat gebeuren.
Jij hebt het over een utopie maar noemt ook "software die 100% veilig is", waarmee je eigenlijk al aangeeft hoe ver je van de realiteit af staat. Om nog maar te zwijgen over het ontkoppelen van het internet en afplakken van USB poorten.
Dat is zo'n beetje van hetzelfde kaliber als "voorkom slachtoffer te worden in het verkeer door nooit je huis te verlaten".
Volgens mij ben ik behoorlijk reëel door aan te geven dat het vrijwel niet te voorkomen is met de huidige hard- en software. Tijdens mijn opleiding werd er al gesteld dat de enige veilige computer op de bodem van de oceaan ligt in een blok beton gegoten. Dat was 20 jaar geleden en lijkt nog steeds te kloppen.
Maar wat heb je aan zo’n advies? Het is hetzelfde als je voet amputeren om te voorkomen dat je een ingroeide teennagel krijgt. Het zal altijd een compromis blijven tussen veiligheid en functionaliteit.
Oh? Moet er een internet verbinding zijn met de school administratie? Moet iedereen vanaf zijn werkplek mailen/surfen en de gegevens van alle leerlingen zien? Zolang dat gemeengoed is blijf je hiertegenaan lopen.
Jij wilt de administratie airgappen?...
Waarom denk je dat een organisatie een administratie bijhoudt? Omdat ze daar geld aan verdienen? Of omdat ze dit nodig hebben zodat ze weten waar het geld heen gaat/vandaan komt en de belastingdienst dat ook verplicht?...

Jij gaat dan een airgapped administratie instellen, die vervolgens met USB sticks data moet overhevelen naar normale verbonden computers zodat facturen verzonden kunnen worden, rekeningen ingevoerd kunnen worden en de data daadwerkelijk gebruikt kan worden...?

Totaal onwerkbaar natuurlijk. Makkelijk om vanaf de zijlijn overal 'airgap' tegen te roepen maar niet realistisch.
Moet er een internetverbinding zijn met de ... administratie? Ja natuurlijk, dat begrijp je zelf ook wel.

Moet iedereen vanaf zijn werkplek kunnen mailen? Nee ik heb graag dat medewerkers niet kunnen communiceren vanaf hun werkplek en het per briefpost/USB stickjes moeten doen, vooral die laatste is lekker veilig, toch?...
Nog los van thuiswerken met de hele covid ellende waar jouw voorstel is dat mensen gewoon niet kunnen werken of dat elk bedrijf dedicated kabels naar elk huis van hun medewerkers aanlegt? :+

Je advies 'koppel alles los en gooi je pc in de ocean' is natuurlijk dan ook totaal nutteloos, ik heb nog beter advies in die categorie: Koop geen pc en maak geen gevoelige data, kan er ook niets gehackt/verloren gaan. Jouw pc op de bodem van de ocean zou nog altijd opgevist kunnen worden :+

Zeker als je dit 'advies' brengt als beter alternatief op beveiliging opschroeven, backups maken en testen en gebruikers de risico's bijbrengen/leren.
Draai het eerst eens om: welk deel van de school heeft wel internet nodig? En ook voor e-mail zijn andere oplossingen denkbaar (heb al meegemaakt dat Outlook via RDP draaide). Het standvastig vasthouden aan de oude gedachte dat alles met iedereen moet praten houd een cultuur van pappen en nathouden in stand (pappen en nathouden is dus: patchen tot je een ons weegt, backups draaien en terugzetten testen en dan wachten tot je gehacked wordt en erachter komen dat je backups als 3 maanden ook encrypted waren). Het is tijd voor een frisse blik op dit probleem imho.
Jouw RDP werkt zonder internet/netwerkverbinding?...
Of Outlook nou lokaal, vanaf het netwerk over RDP of in de cloud over RDP draait maakt weinig tot niets uit.
Wat is die frisse blik dan? Zoals ik al zei; het is lekker makkelijk ergens tegenaan te roepen dat het fout en stom is, maar kom dan eens met een realistisch idee ipv alleen maar de huidige methoden af te kraken?

Je kraakt backups af als pappen en nathouden, wat stel je dan voor als beveiliging tegen malware, hardware falen en menselijke fouten zoals het verkeerde bestandje verwijderen? Geen backups dus, maar wat dan wel? Je backups zijn door ransomware encrypted? Geen probleem dan pak je de offsite backup erbij en anders de offline backup, daarom heb je de 3-2-1 backup methode, daar ben je op voorbereid, kwestie van beveiliging serieus nemen.

Beveiliging is wel even wat meer dan beschermen tegen 1 specifieke ransomware.

Klagen kan iedereen, daar heb je geen kennis voor nodig, maar kom nou eens met een daadwerkelijke toevoeging op het probleem?

[Reactie gewijzigd door RGAT op 6 augustus 2021 14:06]

Je vraagt me om met een frisse blik te komen en ik zeg dat je moet beginnen met omdraaien: leg maar uit wie er internet nodig heeft voor zijn werk. Pas als dat klopt krijg je internet. Daarnaast geen attachments via mail. Daar zijn betere oplossingen voor (file exchange achtige zaken). Dan de mono IT cultuur die ervoor zorgt dat 1 hack op veel plekken werkt. Gooi je Windows AD de deur uit en gebruik iets anders. Uitbesteden van beheer aan centrale providers? Doe het niet (zie recent solarwinds). Alternatieven genoeg maar ik zie iedereen dezelfde richting inlopen onder het mom van 'iedereen doet het zo'

Kleine toevoeging over backups: een backup van.meer dan 30 dagen terug is voor veel mensen al onbruikbaar. Ik zeg niet dat je geen backups zou moeten draaien, maar het is niet de oplossing tegen ransomware.

[Reactie gewijzigd door latka op 7 augustus 2021 00:45]

En dan zit je dus precies te denken zoals we vandaag over beveiliging denken, niets frisse blik maar exact hetzelfde ;)
Voor alle functionaliteit moet een use-case zijn, niets gaat open zonder een eis daarvoor, als iemand geen rechten nodig heeft krijgt diegene ze niet, als iemand geen toegang tot shares etc. nodig heeft hebben ze die niet.
Het blokeren van attachments is een fix voor een specifiek iets, wat al vele jaren toegepast wordt. Net zoals geen USB sticks/poorten. Hier zeg je dus niets nieuws.

Gooi je Windows AD de deur uit, en dan? Dan maar geen useraccounts? Waarom zou je AD weggooien, waar gaat het concreet mis wat je probeert op te lossen door AD weg te gooien?

Uitbesteden van beheer aan centrale providers is slecht want het gaat wel eens mis? Gevalletje verkeerde conclusie trekken, of denk je dat de gemiddelde eenmanszaak de ICT goed voor elkaar heeft?... Denk je dat Tims Tuinplanten BV een veilige webserver heeft gehost, of dat die MSP die ze inhuurden een veiligere omgeving neergezet heeft?

Alternatieven genoeg zeg je steeds, noem dan eens de eerste... Tot nu toe impliceer je dat backups nutteloos en ouderwets zijn, Windows AD weg moet, MSPs een groter beveiligingsrisico zijn dan niets doen en dat we alles maar lukraak moeten airgappen...

Gaan we het dan zo doen? Alles waar iets mee mis is permanent verwijderen ipv de problemen oplossen? AD heeft wel eens lekken gehad == delete! Windows en Linux hebben lekken gehad == delete, hardware lekken bestaan dus geen fysieke apparatuur meer gebruiken... Ja dat is 'frisse blik' :+
Waarom doe je dan zo'n backup? Voor worst case toch? Nu zeg je, heeft geen zin want zo'n oude backup is pointless.. Of toch voor worst case? Zoals bvb.. AL uw data ontoegangelijk? :P

Natuurlijk is een 'oude' (per definitie altijd dus) backup "niet up to date' maar als je als bedrijf vind dat je toch nooit zo'n backup zou kunnen gebruiken, waarom dan backups hebben ;D
Ik zeg toch: er moet een compromis blijven tussen veiligheid en functionaliteit. Als iets niet nodig is, sluit je het af, maar er zijn altijd situaties waarbij iets wel nodig is en je het niet kan afsluiten omdat je anders het werken onmogelijk maakt of sterk belemmert.
Lol!
Tegenwoordig zouden we bezorgd zijn dat de computer al compromised is voordat die in het beton is gegoten omdat er ergens een chip ter grote van een rijst korrel is toegevoegd.
We weten niet wat er gebeurd is, enkel dat het gebeurd. Bij deze school maar dit komt dagelijks gewoon voor. Neemt niet weg dat we ons mogen afvragen hoe partijen omgaan met data. Hier zijn specifieke regels en richtlijnen voor, en toch weet vaak men niet eens basale regels te volgen. Wat lotka voorsteld is niet realistisch, maar moeten we maar accepteren dat onze data zo maar op straat kan komen? En als dat daadwerkelijk het geval is, dat data veiligheid zo moeilijk realiseerbaar is, moeten we het misschien niet omdraaien en dwingen dat bedrijven geen persoonlijke data verzamelen? Immers waarom heeft iedere site al mijn gegevens nodig, een wegwerp email is naar mijn inziens in veel gevallen afdoende.
Mee eens, als ze dat 1/2 Miljoen in beveiliging hadden gestoken was het ook voor de toekomst beter beschermd. Een PEN-test had de zwakheid in het systeem waarschijnlijk wel aan het licht gebracht.

Vergeet niet dat vooral de zwakke broeders worden aangevallen.
Nieuws gevolgd de afgelopen paar jaar? Het komt zo verschrikkelijk vaak voor dat er in allerlei soorten software (te beginnen met Windows) lekken ontdekt worden waar mensen nog nooit eerder aan hadden gedacht (en die dus ook niet meegenomen worden in wat voor pen test dan ook). Denk aan de Print Spooler ellende van net een paar weken geleden. Zelfs een volledig gepatcht en up to date systeem was daar kwetsbaar voor op het moment van publicatie.

Daarnaast is de mens nog steeds de zwakste schakel in je beveiliging. Zeker op een school, waar veel leerlingen zonder ook maar enige overweging iedere link aan zullen klikken die ze tegenkomen. Nee, een half miljoen is niets om dat goed te beveiligen.
Die Windows lekken kun je gewoon op rekenen, een blijvend fenomeen. Dat wil niet zeggen dat je als bedrijf niks tegen kan doen. De Jericho groep heeft jaren geleden al aangegeven hoe een generieke beveiliging bewerkstelligd kan worden.
Dat geldt voor elk OS....
/sarcasm on
Zoals ze vroeger zegde dat virussen gemaakt zijn door anti virus software bedrijven worden randomware aanvallen door security firmas gestart voor meer geld te krijgen voor Security appliances en pen tests :Y)
/sarcasm off
That's the spirit! Misschien de politie afschaffen, want dat werkt van geen meter. Hoe veel honderden jaren hebben we al politie en noch steeds hebben ze het misdaad probleem niet opgelost. Sterker nog elke keer als ze weer criminelen in het gevang weten te stoppen komen er meer bij.
We moeten criminaliteit bij de bron aanpakken, door ouders die meer kans hebben om criminelen voort te brengen te sterilisatie ;)

Punt van @r_bleumer is toch simpel als wet te implementeren en te testen. Denk zelf dat als dit op minimaal Europees niveau wordt uitgerold, het best zou kunnen helpen. (Zeker als de rest van de wereld: Amerika, Canada, Australië, Z-Korea, Japan, Goot-Brittannië).
TINA, There is no alternative. Het wordt erger en erger, en een andere methode is er eigenlijk niet. Hoe zeer je ook beveiligt, backupt en je best doet, je krijgt niet alle gaten gedicht. Er is altijd wel weer ergens een zero-day oid.
Dat geld ook voor de beveiliging van een huis. Het enige dat je kan doen is het zo moeilijk te maken. Er is nooit iets 100% waterdicht. Denk je hier ook van, laat die sloten maar zitten, ze komen toch wel binnen? Als organisatie heb je ook een plicht dat je jouw sloten in orde hebt. En wat ik in een andere comments ook al gezegd heb, de sloten zijn nog lang niet altijd in orde of de sloten worden niet eens op slot gedaan.

Verder ben ik er niet op tegen dat er kritisch gekeken wordt of de boeven betaald moeten worden. Misschien dat er een onafhankelijke club moet komen die kan beoordelen of dat in dit geval rechtvaardig is. Maar om nu te zeggen, straf allen, neen.
Nee, als je de parallel trekt moet je m goed doen. Ik verbied organisaties niet om sloten op te zetten, integendeel. Ik verbiedt het organisaties om inbrekers die hun pand aan het plunderen en vernielen zijn af te kopen.
Ik probeer niet te suggereren dat je pleit voor minder of geen beveiliging, tuurlijk niet. Excuus als dit wel zo overkomt. Maar snap je niet, dat wanneer je bij voorbaat al verbied dat bedrijven losgeld betalen de criminelen wel een andere manier verzinnen om met jouw data geld te gaan verdienen? Ik denk ook dat de school uit het artikel niet helemaal zelf bedacht heeft om dit losgeld te gaan betalen. Vaak zal er wel een cybersecuritybedrijf tussen zitten die ook de bemiddeling e.d. doet. Meer law en order heeft nog nooit gewerkt om criminaliteit tegen te gaan. Het verandert alleen maar.

Ik denk dat we hierover niet eens zullen worden, helaas.
Ik besef dat dat dan nog steeds zou kunnen, en natuurlijk ook al gebeurde, maar dat het wel eens dusdanig weinig lucratief zou kunnen zijn, dat we een stuk minder ransomware attacks zouden kunnen zien.
Dan wordt het ordinair stelen en doorverkopen...
Maar da's bij gebrek aan afnemers een stuk minder lucratief.
Dat is niet wat ik zei. Problemen lossen zich niet op om zomaar overal straffen op de gaan zetten. Misschien is de data wel zoveel waard dat de getroffen partij die boete maar op de koop toeneemt. Heb je daar wel over nagedacht?
En het mooiste is nog jouw contradictie in je eigen verhaal. Het wordt tegenwoordig steeds meer genoemd. Dat ook gevangenissen niet werken en ook dit verhaal bij de bron aangepakt moet worden, betere opleiding, banen, (geestelijke) gezondheid e.d. Is dit de oplossing? Nee, je hebt altijd rotte appels, daar verzin je dan weer wat anders voor.
Daarnaast slaat de radicale voorbeelden in jouw reactie nergens op, niemand heeft het over steriliseren, politie afschaffen e.d. Dit probleem en de oplossing vergt iets meer nuance.
Mijn reactie over beter “voorkomen dan genezen” is hier compleet terecht. Er worden nog steeds applicaties geschreven waarbij er 0 rekening met veiligheid wordt gehouden, door deadlines e.d. Er zijn nog steeds bedrijven waarbij de Wifi-wachtwoorden nog op a4’tjes door het gebouw te vinden zijn. Er zijn nog steeds bedrijven waarbij de computers unlocked onbeheerd zijn. Er zijn nog steeds incompetente systeembeheerders die hun systeem niet op orde hebben. Er zijn nog steeds mensen die klikken op onbetrouwbare linkjes. Ik denk dat we zo nog wel even door kunnen gaan.
Vergeet ook niet dat bij een data-lek jouw gegevens ook op straat kunnen liggen. Door misschien wel prima voorkombare fouten. Dus jij hebt liever dat jouw gegevens gestolen worden en vervolgens ergens gedumpt wordt?
Je hebt 200% gelijk. Voorkomen is ALTIJD beter dan genezen. Je hebt gelijk dat je ook of voornamelijk naar security moet kijken, echter dat is een zeer groot en oneindig project, wat moelijker en complexer is dan nu een verbod op financieel gewin doen van de ransomware pleger.
Ja, gegevens zullen verkocht kunnen worden om geld te verdienen, echter de kans dat het uitkomt lijkt mij ook vrij groot (al zou het maar zijn dat iemand een plea-deal doet bij een ander vergrijp).

Wij hebben ook een meldplicht voor datalekken tegenwoordig.
De boete die je daarbij kan krijgen is maximaal 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet van de organisatie. Dus voor datalekken heeft de wetgever wel voor deze weg gekozen.

Voeg je aan zo'n boete systeem ook een eventuele gevangenisstraf toe voor medewerkers en/of CEO en dan denk ik dat een groot deel van de mensen afhaakt.
Wellicht dat bedrijven in wat meer "makkelijker" landen (bv. Rusland, Syrie, China, Noord-Korea) minder problemen hebben om die gegevens te kopen, maar meteen als ze de gegevens legaal proberen te gebruiken binnen bv. de EU, dan zouden ze aangepakt kunnen worden.

De wetgeving van bv, de VS voor boycotten Iran werkt zo goed, dat bijna geen Westers land zaken durft te doen met Iran, omdat bijna alle bedrijven wel een band hebben met de VS.
Zelfs al heb je geen vestigingen of banden met de VS, kan je nog geraakt worden omdat andere bedrijven die wel banden hebben met de VS dan geen zaken met jouw mogen doen.
Dus bepaalde wetgeving kan best hard ingrijpen in een probleem.
Ik hoop daarom dat de impact op verbod "betalen" dit ook zal hebben.
Juridisch gezien bedoel je afdreiging ipv afpersing.
De enigste manier op dit te stoppen? Hier heb je een link met dat de dader evengoed geld heeft ontvangen zonder dat de ransomware betaald was.
https://tweakers.net/nieu...verkocht-bij-veiling.html
Hoe houdt niet betalen dit dan tegen? Mogelijk zal er wel een verschuiving komen van doelwitten maar het zal zeker niet stoppen. Bedrijven die dan aangevallen worden zullen dan misschien wel informatie hebben die de concurrentie wel wil hebben. Of misschien blijven webwinkels ook wel interessant dat die data in het geheim aan Google of Facebook verkocht wordt voor nog meer persoonlijke reclame bijvoorbeeld. 5 cent per complete gebruiker (naam, geboortedatum, adres, telefoonnummer, emailadres, ect) en 2 cent per bestelling die in het laatste jaar is gedaan bijvoorbeeld dan zou dit best kunnen oplopen bij de juiste webwinkels. Facebook zou het misschien wel interessant vinden wat ik bij bol.com heb gekocht.
En jij denkt dat Facebook/Google dit gaan kopen?
Hackers willen zo snel mogelijk hun geld innen, daarbij kan data soms enorm waardevol zijn voor het getroffen bedrijf, maar nutteloos voor concurrenten (als die er überhaupt zijn.)

Ik ben dus ook voor, voor het verbieden van betalen van losgeld.
Wat nou als je in de wet zegt dat een ieder die zorgt dat de een ransomware pleger geld verdient aan zijn daad, strafbaar is met een boete van de zoveelste categorie of max. 3 jaar gevangenis en je doet ook aan ketenaansprakelijkheid (een IT die zo bv. plotseling een decoder in handen krijgt van zijn baas, is verplicht dit te melden, anders is ook hij strafbaar)
Verjaringstermijn maak je meteen 15 jaar. Dan zit iedere CEO en medewerker tot 15 jaar na het betalen op hete kolen.
Dan komt er waarschijnlijk een constructie die ervoor zorgt dat de data "wit gewassen" is zoals bij geld ook gedaan wordt. Dan wordt het eerst 1 of 2 keer verkocht aan "bedrijven" in een land dat geen uitleven van criminelen doet. Dan heeft een legaal bedrijf de data en bedrijven die dan deze data kopen verdient de ransomware plegen niet (direct) door het echte bedrijf dat de data koopt.
Dat kan geen bedrijf te goeder trouw doen. Die lat kun je heel hoog leggen.
Er wordt meer stiekem gedaan als dat wij ooit zullen weten. Als je iets te goede trouw installeert is het een virusscanner maar Avast is bijvoorbeeld ook betrapt op data verzamelen.
https://www.theverge.com/...ion-selling-ceo-blog-post.
Afpersing (in al zijn vormen) is natuurlijk niks nieuws en gaat ongeveer zo ver terug in de geschiedenis als het begin van de geschiedenis zelf...

"Als we het betalen van losgeld nu verbieden, plaats je Amerikaanse bedrijven in een positie dat ze nog een keer worden afgeperst, namelijk wegens het betalen van het losgeld en het niet delen hiervan met de autoriteiten"
Bryan Vorndran, adjunct-directeur cyberdivisie FBI

Ik zal waarschijnlijk over behoorlijk veel zaken nogal van mening verschillen met deze adjunct-directeur, maar zeker niet over het bovenstaande!
Ze kunnen natuurlijk ook gewoon zich aan de wet houden.
Ja, laten we dat ook doen met ontvoeringen. Verboden om losgeld te betalen, want de criminelen hebben meer geld om nog een ontvoering te bekostigen. Oh en bij een overval is het ook verboden om je spullen en geld af te geven.

Jouw methode zal nooit het gewenste effect sorteren en er alleen maar voor zorgen dat de slachtoffers nog meer slachtoffer zijn. m.a.w. je hebt makkelijk praten als je zelf niet in die situatie zit.
Ik geloof niet dat je dit 1:1 kunt vergelijken. Het imago van een bedrijf is niet te vergelijken met het leven van een mens. En dan nog, sommige mensen hebben gewoon een ruggengraat, en geen rubberen flap. Ik heb principes, en daar wordt niet van afgeweken, come what may.
mweh - niet betalen is bedrijf/instelling opdoeken, en daarlangs kans dat de 'geconfisqueerde' data gepubliceerd wordt (toch lullig wanneer wederom jouw gegevens gelekt worden).

als er wettelijk iets geregeld zou moeten, dan zijn dat;
a. latest greatest software updates geïnstalleerd moeten zijn
b. gedegen back-upsysteem en procedures.

begrijp dat tich TB's restoren ook een hell is, maar ... nog altijd beter op die manier down-time te hebben, dan bedrijf/instelling opdoeken met alle gevolgen van dien.
Dus de dag dat een patch uitkomt ga jij die blindelings deployen naar al je machines?
pretty much - die ene keer dat iets stuk gaat, weegt niet op tegen het 'open laten' van je systeem. daarlangs hebben geen windows en voornamelijk linux/bsd servers.
Patches kunnen soms meer kapot maken, dan je lief is. Ik denk dat je elke keer een zorgvuldige afweging moet maken.
Denk dat het redelijk OS afhankelijk is, tot heden geen issues. Gewoon getrekt been erin, is daarna stuk, fixen we t wel weer :+ Risico lopen dat je gehacked wordt, of systeem kwijt raakt door randsomware omdat je patches/updates niet uitrolt vind ik kwalijker dan downtime omdat een update functionaliteit sloopt. Maar goed, ieder zo zijn eigen visie.

maar zoals je zegt; soms ... is een risico overweging. ik wil het risico van foutieve update wel dragen, maar niet van randsomware (vooral omdat TB's restoren dagen kan duren)

[Reactie gewijzigd door himlims_ op 6 augustus 2021 11:19]

Om dingen the ontgrendelen, dan snap ik dat je losgeld betaald. Aangezien dat regelmatig voordeliger is dan andere oplossingen. Maar in dit geval, wie zegt dat ze niet iemand de data geven en het dan alsnog lekt? Of alsnog verkocht zal worden voor een dubbele winst.

Vreemd.
Snap ik ook niet zo goed... voor 50 euro kun je nog wel eens een gokje wagen.. maar dit is een halve ton betalen voor nul zekerheid!? Ik probeer me voor te stellen wat ze met die gegevens kunnen doen? Afpersing vanwege info over persoonlijke problemen?
Het zijn criminelen. Die data wordt gewoon verkocht. Maak je geen illusies. Of je nou betaalt of niet, vroeg of laat ligt je zooi toch op straat.
Kan je dit onderbouwen? Security research wijst er namelijk op dat criminelen juist wel de data verwijderen nadat ze de ransom betaald gekregen hebben. Ze hebben op dat moment de grootste waarde uit die data ge-extraheert, verder verspreiden creëert alleen maar risico dat het alsnog geopenbaard wordt, en het hele businessmodel van die criminelen staat of valt met het feit dat je ook echt resultaat krijgt als je betaalt.

Als daar twijfel over begint te ontstaan, kunnen al die ransomware criminelen de betalingen op hun buik schrijven in de toekomst.
Volgens diezelfde gedachtengang zou je bij een ontvoering ook niet hoeven betalen want ze vermoorden of verminken de ontvoerde toch wel. En dat gebeurt ook niet, dus waarom zouden ze data wel verkopen? En dan is het nog maar de vraag hoeveel het echt oplevert als ze het verkopen. Voor grote bedrijven met diepe zakken is de waarde van dit soort data niet zo heel erg groot. Voor big data zijn 26k dossiers niks natuurlijk.
Nee, want als ze dat doen vernietigen ze hun businessmodel en wordt er de volgende keer misschien niet meer betaald. Ze hebben ook hun reputatie hoog te houden.

Zelfs de helpdesk van criminelen is meestal beter georganiseerd dan deze van Microsoft of Google.
Een halve ton voor een school met 26k leerlingen is niet echt veel.

Het zou me ook niet verbazen als het (oud)-leerlingen zijn geweest. Bedrag is wat aan de lage kant,
nu je (voormalige?) studenten gaan monitoren. Het lijkt weliswaar niet veel maar zal toch veel moeite kosten om het het systeem uit te krijgen en ergens weer naar binnen zonder al te veel op te vallen.
Is een district van 31 scholen waaronder veel basisscholen. Daar zal best wel wat gevoelige info inzitten zoals ouders met betaalproblemen of dossiers van thuis problematiek.

Bijkomstig heeft de scholengroep geen al te goede cijfers, voor Texas staan ze op plaats 781 van 1200, 50% van de kinderen zit op free lunch programma & 67% van de leerlingen is kansarm. (in de US worden dit soort cijfers publiekelijk gerapporteerd)

Ik vermoed dat de school simpelweg niet meer kon betalen alsook dat er niet bepaald budget was voor een deftig IT beheer.
Unfortunately, these disruptive attacks are on the rise in the United States with criminals targeting school districts, corporations and other entities across the nation
Hier doet men alsof ze er zelfs niets aan konden doen, het is nu eenmaal on the rise en het zijn criminelen.
UPDATE PUBLISHED AT1:00 pm 07-19-2021
Judson ISD is excited to inform the community that our district phone and email systems are back up and running! We are so happy to be able to reconnect with our families and community through our normal communication lines
Men doet een vreugde dansje omdat ze na maar liefst een volledige maand erin geslaagd zijn de telefoon terug werkend te krijgen en het terug mogelijk is om mails naar hun domein te sturen. Ervoor moest via gmail adressen gemailed worden en apart opgezette telefoonnummers gebeld worden.
This restoration was achieved through the acceleration of key upgrades to reinforce the security of our systems in preparation for the 2021-22 School Year.
De dag erna komt men nog eens hetzelfde melden maar met de boodschap dat dit enkel mogelijk was door key upgrades van hun security. Het heeft je een maand gekost om een simpele telefoon werkend te krijgen en om terug mails te kunnen ontvangen op je eigen domein en er nog oprecht trots op zijn ook.
At this time we are advising all employees to not use any device that has been connected to the district network or try to access any district technology systems. A district issued laptop/chromebook should be left unplugged and not touched. It is also not advised to use any USB or flash drives that were used on a district site or in a district device on a personal computer.
Binnen minder dan een maand start een nieuw schooljaar en ze hebben met veel moeite juist de telefoon en de email terug aan de praat gekregen maar al de rest ligt er nog gewoon uit. Iets zegt mij dat ze vooral betaald hebben voor de decryptie sleutels maar dat ze dat niet publiekelijk willen toegeven omdat ze koste wat het koste willen vermijden zelf enige schuld toe te geven, mogelijks zal er ook wel wat lokale politiek achter zitten die geen gezichtsverlies wilt oplopen.
Een halve ton voor een school met 26k leerlingen is niet echt veel.
Het is dan ook een half miljoen...
Ook dat 'is niet echt veel' misschien(?), maar dat komt natuurlijk door de afweging die deze criminelen moeten maken; des te meer men vraagt des te kleiner de kans dat er betaald gaat worden.
Hoe kom je er bij dat dit niet veel is. In de VS zijn publieke scholen ondergefinancierd. Zij moeten goed nadenken over waar ze geld aan uitgeven.
Nul zekerheid wil ik niet zeggen. Pure gok maar ik vermoed dat 70-80% minimaal na betaling de keys wel krijgt. Gaat niet alleen om gestolen data hè, ook je data/systemen zijn niet meer toegankelijk.

[Reactie gewijzigd door CyberMania op 5 augustus 2021 22:38]

Klopt, maar volgens het artikel ging het om verspreiding van de data tegen te gaan :) als het om toegang tot de systemen gaat kunnen ze idd de keys/unlocker wel geven, dat kost ze niets behalve wat moeite. Dus de kans dat ze dat doen is redelijk aanwezig om toekomstige klanten welwillend te houden idd.. de data verkopen lijkt lucratief te zijn als ik het zo hoor en een extra bonus voor de boosdoeners... ik zou er geen halve ton op durven wedden dat ze dat niet doen....
Ja klopt de bron is een beetje onduidelijk. Er is een bedrag betaald om de data niet verder laten te verspreiden. Daarnaast waren ook al hun systemen geblokkeerd, hoeveel daarvoor betaald is (en of dat is gedaan) is niet duidelijk. Maar idd je hebt gelijk het ging nu om tegengaan doorverkoop.
Dit is telkens de vraag die wordt gesteld bij dit soort aanvallen, en het antwoord is telkens hetzelfde. Als ze na betalen alsnog de gegevens zouden lekken dan schieten ze zichzelf inde voet want dan zal daarna nooit meer iemand betalen.
Maarja, dat is natuurlijk niet hoe de wereld werkt. Want bij ontvoeringen voor losgeld wordt ook vaak genoeg betaalt en alsnog de persoon vermoord, en men blijft toch gretig betalen. Probleem namelijk is dat het vaak genoeg verschillende partijen zijn die de ransomware uitvoeren. Je zou gelijk hebben als het om steeds dezelfde partij zou gaan.
Goed punt. Aan de andere kant gooien ze daarmee ook wel een beetje hun eigen ruiten in. Als ze dat te vaak doen, gaat niemand meer betalen. Maar idd 100% garantie heb je niet, maar het zou iig voor hun eigen business case niet al te slim zijn.

Edit: wat @Djerro123 hier boven dus zegt (was me net een minuut voor met posten).

[Reactie gewijzigd door CyberMania op 5 augustus 2021 22:32]

Criminals have standards. Alle, hopelijk.
Het zal altijd een gok blijven, maar ik vermoed dat uit voorgaande gevallen blijkt dat dergelijke criminelen hun woord houden?
Omdat ze hun eigen businessmodel om zeep helpen als ze en losgeld krijgen en hun dreigementen doorzetten. Leuk model voor een enkele actie, slecht model als je er een vast inkomen uit wilt halen.
Als je als crimineel die data ergens gaat bewaren betekent dat ook extra risico om gepakt te worden, en extra bewijs als het gevonden wordt. Alleen encrypten van data hou je footprint klein en ben je minder makkelijk te tracen.
Maar in dit geval, wie zegt dat ze niet iemand de data geven en het dan alsnog lekt? Of alsnog verkocht zal worden voor een dubbele winst.
Als data toch wordt verspreid halen de hackers hun hele verdienmodel onderuit.
dat geld had ie beter aan een goede beheerder kunnen besteden en goede maatregelen treffen maar vaak is alles te duur en te lastig , heb wel wat van dat soort stunts mee gemaakt.
Ik heb van dichtbij mogen zien dat bij een IT bedrijf het beheer zelf de ransomware opende.... Goed beheer lost dit echt niet op.
we doen allemaal wel eens wat stoms ,, maar als je dat als serieuze beheerder doet,, maar dan heb je de boel ook niet dicht gepatched, en geen goede anti virus & trojan , een op één stapeling van fouten ben je dan als beheerder wel een schop voor je broek waard ?
Biden zei nog: Russia, please help us fight ransomware. Or else.. En ineens was er een decryption key. Anoniem verstuurd..
Jammer dat ze betaald hebben, op deze manier houden ze de criminelen in stand. Eigenlijk zou door strafbaar gesteld moeten worden.
En wie betaald de schade als er niet betaald wordt?
het bedrijf dat verantwoordelijk is voor de beveiliging. In dit geval dus waarschijnlijk het bedrijf zelf.

Betalen moet gewoon geen optie zijn. Nu is deze meneer in mijn ogen deels verantwoordelijk voor de schade van het volgende slachtoffer.
En wat als het een zero day exploit is waardoor ze gehacked worden?
Het is inderdaad geen zwart-wit verhaal, al is de de eigenaar van de software natuurlijk verantwoordelijk voor de veiligheid van de software die hij oplevert.

Maar ik denk wel dat je moet voorkomen dat het business model van de criminelen rendabel is.
Dat er betaald is, is waarschijnlijk omdat er wat gevoelige data in staat over de top van het schooldistrict. Anders zouden ze daar in ieder geval niet mee dreigen(normaal bij ransomware krijg je je data juist niet terug vs dat het online wordt gepubliceerd).

Best zielig om ze dan hun eigen hachje te zien redden, schijnbaar nog ten kosten van de rest van het personeel en studenten ook.
26.000 studenten hebben waarschijnlijk hun ID's en alles op de servers staan. Wat ervoor zorgt dat die allemaal last gaan krijgen + enorm veel PR schade gaan opleveren + inzage van de overheid over hun heen krijgen etc etc en dat allemaal voor half a miljoen wat tegenover 26k studenten niet echt veel is tot compleet verwaarloosbaar is (2k per jaar = 52 miljoen en dit is amerika dus 10 fout zal me niet verbasen ). Tja ik zou het ook doen.

Dat is wat je krijgt als je ID gegevens opslaat op je servers.

Wat moet gebeuren is het verboden te maken om dit te betalen ( zelfde regel als met terroristen financieren en straffen ) zodat die bedrijven is gaan nadenken over hoe ze hun gegevens nu daadwerkelijk opslaan.

Aangzien die half miljoen waarschijnlijk rechtstreeks naar india gaan om vervolgens enorme opperaties op te zetten om nog veel meer van bedrijven lastig te vallen.

[Reactie gewijzigd door Gatygun op 6 augustus 2021 04:36]

Maar wat voor overlast voorkom je concreet door dat losgeld te betalen?

Je kan er pertinent NIET van uit gaan dat die data vernietigd is. Dus ondanks je losgeld betalingen zal iedereen gewoon door dat proces van gecompromitteerde legitimatiebewijzen moeten.
Hoe dan ook.
In dit geval: juist het vernietigen van de data is voorkomen. Ondanks alle onvermijdelijke neveneffecten van een datagijzeling kan tenminste het schoolproces nog redelijk normaal doorlopen en zijn de studenten niet nog harder geraakt dan nodig is.

Is dat het waard om 500k in het criminele circuit te pompen? Ik ga daar geen haastige mening over vormen. Het is voor mij zeker weten geen gegarandeerde "ja", er zijn momenten waar je een flinke stomp in de maag maar voor lief moet nemen...
De enige oplossing voor dit probleem is het “vertrouwen” in de criminelen ondermijnen. Niet betalen, maar aan de buitenwereld laten weten dat je wel betaald hebt.
Verbod op crypto“currencies”; probleem opgelost.
Wat men bespaart heeft op slechte zwakke IT - spenderen ze nu aan de criminelen. En wie wordt het kind van de rekening - opnieuw de IT. Wellicht zetten ze die overbelaste mensen zonder pardon aan de deur, zonder na te trekken wat de oorzaak was. Hun eigen onwil om voldoende te investeren in beveiliging - het gebrekkig besef dat beveiliging begint bij de eindgebruiker!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True