Ict-leverancier Accenture is hersteld van korte Lockbit-ransomwareaanval

Ict-bedrijf Accenture is getroffen door ransomware. Het bedrijf bevestigt getroffen te zijn door Lockbit, maar zegt dat het een groot deel van zijn diensten weer operationeel heeft. Wel zijn er in de tussentijd bestanden gelekt.

Accenture zou getroffen zijn door de Lockbit-ransomware, zeggen de criminelen volgens een journalist van CNBC. De criminelen dreigen naar verluidt om heel wat informatie van het bedrijf openbaar te maken. Inmiddels zouden getroffen systemen weer volledig zijn hersteld, zegt Accenture in een verklaring aan Reuters. "We hebben onregelmatigheden ontdekt in onze netwerkomgevingen en de geïnfecteerde servers meteen geïsoleerd", aldus het bedrijf. Accenture zegt ook dat het back-ups heeft gebruikt om de systemen te herstellen. Volgens het bedrijf heeft de ransomware-infectie geen gevolgen gehad voor de werking van het bedrijf of op de systemen die klanten draaien.

De criminelen hebben wel informatie van het bedrijf gelekt. Het zou volgens The Record niet om gevoelige info gaan, maar om interne documenten zoals werknemershandleidingen en marketingmateriaal. Op het moment van schrijven is het nog niet duidelijk hoe de criminelen binnen wisten te komen bij Accenture. Het bedrijf is een van de grootste ict-multinationals ter wereld, en adviseert en helpt andere bedrijven bij hun cybersecurity.

Door Tijs Hofmans

Nieuwscoördinator

12-08-2021 • 10:18

59

Submitter: topper007

Reacties (59)

59
57
35
3
0
15
Wijzig sortering
Zal wel weer een gevalletje Phishing zijn, waarbij de ontvanger per ongeluk toch op een link klikt.

Het is bij ons een tijd lang rustig gebleven maar de laatste weken komen er weer meer berichten door de Office365 filters. Misschien denken de boefjes dat er tijdens de vakantie minder wordt opgelet en ligt de scoringskans daardoor hoger.

Ook opmerkelijk dat nieuwe medewerkers snel berichten krijgen van "managers" met het verzoek contact op te nemen via Whatsapp. Er wordt een nummer meegestuurd, in ons ons geval was dit meerdere keren het nummer 06 85002106, en vraagt men om Apple of Google cards. gelukkig worden dit soort zaken direct intern gemeld maar het blijft lastig om het Whatsapp nummer uit de lucht te halen om dat het voor mijn onduidelijk is bij welke provider het nummer hoort.
De ACM beheert dat, je kunt het nummer hier opzoeken:
https://www.acm.nl/nl/ond...ummers/nummers-doorzoeken

In dit geval hoort het nummer bij Lycamobile Netherlands Limited.
Het nummer is ooit toegekend aan Lycamobile ja. Maar het kan natuurlijk al verhuisd zijn.
Mijn eigen nummer is van origine Vodafone, maar is al via Tele2 nu naar T-Mobile verhuisd.
ACM beheert wat dat betreft alleen de initiële uitgifte :)
Onjuist, mijn nummer komt bij Libertel vandaan maar toont netjes de huidige aanbieder (inmiddels 4x gewisseld naar iets heel anders). Wel even op het nummer zelf klikken en niet op het nummerblok.

De link laat dus (in mijn geval) gewoon netjes de actuele status zien. Het nummerblok staat zoals jij zegt wel op de initiële uitgifte, Vodafone Libertel.
Ik was nog niet ver genoeg doorgeklikt inderdaad, 't klopt :)
Dat is handig, bedankt!
het is sowieso lastig om een whatsapp nummer uit de lucht te krijgen want een provider gaat dat echt niet zomaar blokkeren omdat 'jij' met zo'n nummer aan komt. Begrijp sowieso niet waarom iemand in zo iets zou trappen om een Apple of Google card te geven.
Ik ben helemaal met je eens, maar toch trappen er dagelijks mensen in. Ze zoeken een makkelijk slachtoffer en zijn al blij met een paar kaarten van 50 euro.
Ook opmerkelijk dat nieuwe medewerkers snel berichten krijgen van "managers" met het verzoek contact op te nemen via Whatsapp.
Wij hebben WhatsApp maar helemaal verboden. Zo'n app waar we zelf geen enkele controle over hebben en die communiceert via buitenlands servers van een reclamebedrijf past niet echt binnen ons beleid. Er zijn meer dan voldoende alternatieven waar je een stuk meer controle over hebt.
Ik snap dat sommige bedrijven via WA bereikbaar willen zijn voor klanten, maar voor interne communicatie zou je het niet moeten gebruiken.
Maar we kunnen natuurlijk niet veel invloed hebben op wat mensen met hun privé-telefoon doen en in deze BYOD-wereld kunnen we het gebruik van privé-telefoons voor zakelijke doeleinden eigenlijk ook niet verbieden.
Ik kan me voorstellen dat een nieuwe medewerker, die misschien nog niet het IT beleid van het nieuwe bedrijf heeft gelezen haha, niet direct gaat twijfelen aan een verzoek om even snel via WA contact op te nemen met een manager. Zeker niet als dat verzoek komt voordat ze überhaupt toegang hebben tot hun account en een interne communicatie app.
Ik kan me voorstellen dat een nieuwe medewerker, die misschien nog niet het IT beleid van het nieuwe bedrijf heeft gelezen haha, niet direct gaat twijfelen aan een verzoek om even snel via WA contact op te nemen met een manager. Zeker niet als dat verzoek komt voordat ze überhaupt toegang hebben tot hun account en een interne communicatie app.
Dat klopt helemaal. Dat mensen beleid niet lezen is inderdaad een probleem waardoor veel van wat je doet eigenlijk op losse schroeven staat als je het niet op een of andere manier kan afdwingen. In de tijd van BYOD, thuiswerken en software-as-a-service is dat afdwingen eigenlijk ook onmogelijk geworden. Als je ook maar iets wil moet je eigenlijk beginnen met de PC, telefoon en internetverbindingen van je medewerkers helemaal dicht te timmeren en alleen selectief open te zetten. Helaas ontneem je ze daarmee ook het krachtigste gereedschap dat de mensheid ooit gehad heeft. Een dichtgetimmerde general purpose computer is zo iets als een ingebouwde afstandsbediening of onzinkbare duikboot; de antithese van het doel van zo'n apparaat.
Eigenlijk moeten we dus zorgen dat alle medewerkers zelf de juiste beslissingen nemen, maar ja, als ze dat deden dan hadden we deze hele discussie niet en konden we de beveilingsafdeling wel opheffen (net als de hele managementlaag en alle andere vormen van toezicht, controle of leiding).
De operator kan het nummer blokkeren maar op Whatsapp blijft het dan nog werken.
Je kan in Whatsapp een nummer aanmelden als spammer of oplichter. Op het detailscherm van het "contact".
Correct, maar Whatsapp heeft het nummer nog steeds niet gedeactiveerd, banken reageren een stuk sneller en halen een nagebouwde websites vaak al binnen een paar uur uit de lucht.
Kun je dat nummer niet opnemen als spam "woord", waardoor het bericht automatisch naar de spamfolder gaat?

Helemaal uit de mail blokkeren kan er weer voor zorgen dat je zelfgestuurde nieuwsbrieven niet worden ontvangen. Dan zou je waarschuwingsbericht nergens binnen komen.
Ik vraag me dan altijd wel af hoe de ransomware op de servers terecht kan komen wanneer iemand zijn laptopje heeft geinfecteerd. Misschien gebruik maken van vulnerabilities op standaard pakketten.
Kans is groot dat het afkomstig is van Lyca Mobile omdat het 068x begint. Serieuze bedrijven gaan niet ff Lyca gebruiken.
Ons bedrijf is ook getroffen door Lickbit op 1 van de VPS'en die we huren. Gelukkig stond daar geen gevoelige informatie op, maar het was wel een wake-up call om onze beveiliging sterk te verbeteren. We hebben een nieuwe VPS ingericht om de taken van de getroffen server over te nemen en de oude server is gereset (verse Windows installatie) en gaat binnenkort uit.

Onze beveiliging was écht niet op orde. We zijn dan ook geen experts op dat gebied. We hebben nu:
- de RDP-verbinding beperkt tot het IP-adres van de zaak en privé IP-adressen van enkele medewerkers
- Administrator account standaard op disabled staan
- Veel sterkere wachtwoorden ingesteld
- User accounts worden niet meer getoond op loginscherm
- Windows Defender overal aangezet

Er worden bij Lockbit o.a. xml files en databases versleuteld. Zorg dus ook dat je een backup hebt van configuratie.

[Reactie gewijzigd door macnerd op 29 juli 2024 17:11]

Weet je ook hoe ze binnen zijn gekomen? Dat vind ik meestal wel interessant
Hoogst waarschijnlijk RDP bruteforce attack, aangezien de server gewoon met publiek ip-adres bereik was.

Elk RDP-netwerk op het openbare internet loopt gevaar. Isoleer het achter een VPN of gebruik Remote Desktop Gateway
Dit komt overeen met een writeup die McAfee eerder heeft gedaan.

Tips die ik uit de writeup opmaak zijn:
- 2FA op alle public facing diensten;
- Monitoren failed logon anomalies;
- Patchmanagement;
- Extra aandacht voor least privilege op public facing diensten;
- Monitoren netwerk traffic anomalies (SMB scan vanaf RAS oplossing);
- Centraal monitoren endpoint AV (uitschakelen AV op clients);
- Monitoren powershell transcripts/modules;
- Monitoren automatic started services;
- Monitoren op ping scans;
Nee, dat weten we niet echt.

RDP stond open vanaf ieder IP-adres, dus die kunnen ze vast vinden door een scan te doen. Verder was het standaard aanwezige account Administrator aanwezig en actief. Waarschijnlijk hebben ze daar een of andere brute-force tool op losgelaten.

We hadden hier vooral niet bij stilgestaan, en dat bleek een vergissing. Gelukkig op een niet zo belangrijke server, maar je moet je dus wel wapenen tegen ongenode gasten.

[Reactie gewijzigd door macnerd op 29 juli 2024 17:11]

Het zit er dan dik in dat ze dan via RDP binnen zijn gekomen ja.
RDP aan internet knopen moet je echt gewoon niet doen, en als je het persé nodig hebt echt ultra specifiek op IP basis ontsluiten.

Je kan ook nog met een tooltje als rdpguard aan de gang om specifiek brute force aanvallen tegen te gaan.
En je kan ook nog met Duo two factor authenticatie implementeren.

Maar als je 't echt wil oplossen moet je je eigenlijk verdiepen in een VPN en dat gaan gebruiken.

[Reactie gewijzigd door Polderviking op 29 juli 2024 17:11]

Elk RDP-netwerk op het openbare internet loopt gevaar. Isoleer het achter een VPN of gebruik Remote Desktop Gateway
Accenture is niet echt te typeren als een ICT-leverancier lijkt mij, eerder als een consultancy firma.
Inderdaad. Ongeveer 2/3 is tech-consulting, maar er is ook strategie, HR, etc.
een van de grootste ict-multinationals ter wereld
Accenture zit nu tussen de 550.000 en 600.000 werknemers.
Natuurlijk heb je dan af en toe een incidentje.

[Reactie gewijzigd door nopcode op 29 juli 2024 17:11]

Een integration partner i.p.v. een ICT leverancier lijkt mij een betere bewoording (maar is nog steeds te beknopt): eigenlijk bestaat het bedrijf gewoon uit meerdere grote takken waaronder consultancy en integration (technology).
Huh....accenture is wel degelijk een ICT leverancier. Ze zijn zo enorm groot, consultancy is slechts een tak.
Een gouwe ouwe van Accenture op de carrierebeurs, waar de woordvoerder helemaal kwijt raakt wat Accenture nou is:
https://www.dumpert.nl/item/13640_4dd5511f
Ha,ha,ha, ik zou niet weten waarom iemand bij Accenture zou willen werken ... Wat een blunder, die consultant is waarschijnlijk op staande voet ontslagen en/of tot post rondbrenger gepromoveerd. :D :D :D :*)
Ik heb er gewerkt (start van mijn carrière) en ik kan dat alleen maar beamen.
Strikken studenten met een leaseauto en een laptop en vervolgens melken ze ze uit totdat je het beu bent en voor jezelf opkomt en ze je ontslaan, of dat je zelf ontslag neemt.
De video komt uit 2007. Volgens LinkedIn heeft hij nog tot 2017 onder de titel "manager" bij Accenture gewerkt.

Het zal geen leuke dag zijn geweest, maar zo te zien is hij zijn baan niet kwijtgeraakt. Daarnaast kan ook de beste een keer een blackout krijgen, hoe onhandig dat ook is..
oof pijnlijk o my god hahahaha
Als dat een woordvoerder is die zich niet voorbereid heeft op die te verwachten vraag dan moet je die ontslaan. Dit klinkt als een slechte stagiair die even invalt in de koffiepauze
Dat schept "vertrouwen" voor bedrijven die met Accenture werken op het gebied van cybersecurity
Ja, ze lijken inderdaad adequaat te hebben gereageerd. De infectie is beperkt gehouden en het backup-systeem werkt kennelijk naar behoren.
Yup, vermoedelijk hebben ze prompt betaald :+
Zeggen ze.
Ik zeg niet dat het niet correct opgelost is, maar heel vaak gaan zo'n berichten van:
- er was geen hack
- ok, er was een hack, maar er is geen consumentdata gelekt
- ok er is wat consumenten data gelekt, maar geen belangrijke zaken
- ok, belangrijke data is gelekt, waaronder paswoorden en creditcard gegevens, maar slechts voor beperkte groep records
- ok, het was dus voor bijna iedereen, maar eigenlijk is het de schuld van de stagiair.

Ik wacht dus af hoe het verder evolueert.
Onvoldoende maatregelen tegen lekken van gegevens nemen en vervolgens gelekte gegevens hebben klinkt niet als adequaat. In geval van persoonsgegevens klinkt het zelfs als meerdere overtredingen van de wet.
Uiteraard kan je dan stellen dat niets 100% veilig is, maar of het adequaat handelen is kan niet alleen blijken uit wat achteraf wel goed lijkt gegaan.
"We hebben onregelmatigheden ontdekt in onze netwerkomgevingen en de geïnfecteerde servers meteen geïsoleerd", aldus het bedrijf.
Dat lijkt inderdaad adequaat.

Maar voor een bedrijf dat o.a. adviseert en helpt bij cybersecurity is dit:
Op het moment van schrijven is het nog niet duidelijk hoe de criminelen binnen wisten te komen bij Accenture.
wel een dingetje. dat schept inderdaad geen vertrouwen.
Ik snap de reactie dan ook niet van;
Het zou volgens The Record niet om gevoelige info gaan, maar om interne documenten zoals werknemershandleidingen en marketingmateriaal. Op het moment van schrijven is het nog niet duidelijk hoe de criminelen binnen wisten te komen bij Accenture.
Ik ken verschillende bedrijven die een intranet hebben en waar je crawler op kunt laten werken. Dan heb je een berg informatie waar je u tegen zegt en niemand die het in de gaten heeft.

En voor de gemiddelde buitenstaander is het waardeloos, gemiddelde politici zal ook kijken en afvragen wat het waard is want het hoeft niet eens iets met privacydata te maken hebben,


alleen oa hackers of “concullega’s” zouden die gegevens heel graag willen inzien. Als je notabene een security-bedrijf bent en je geeft een inkijk in je keuken hoe je andere bedrijven beveiligt en welke stappen daarbij genomen moeten worden, dan snap ik die mededeling van Accenture niet.
De PR afdeling heeft adequaat gereageerd ;)
Denk dat dat wel een voorbarige conclusie is. Alsof een bedrijf als Accenture anders zou communiceren. Weet je wat hun dat gaat kosten? Dan kan je beter die 1M (of wat het ook is) betalen aan die gasten en "snel operationeel" zijn dan dat je straks 30M aan imagoschade oploopt omdat alles een rommel is...
"en adviseert en helpt andere bedrijven bij hun cybersecurity."

Pijnlijk!
Is inderdaad pijnlijk. De security consultants hebben dan ook weer niets te maken met de "interne" security. Dus ze kunnen er zelden iets aan doen.
Of wel… zoals al in meer comments staat: het lijkt tot nu toe snel opgelost te zijn en er is niets schadelijks (voor Accenture of hun klanten) gelekt/verloren gegaan.

Het is niet de vraag of je slachtoffer wordt van cyber crime, maar wanneer. Je security op orde hebben is relevant, maar het is nog veel relevanter om de noodprocedures goed op orde te hebben; gericht op minimaal verlies en minimale onderbreking van de (primaire) operatie.
Money money money thats it.
Misschien wat voorbarig? Het is niet bekend hoe ze binnen zijn gekomen en wellicht hebben ze een zero day gebruikt? 100% beveiliging is een utopie en het blijft een kat-en-muis spel. Ik vind het juist wel bewonderingswaardig dat ze zo snel hersteld zijn. Ze waren in ieder geval voorbereid en hun back-up en herstel procedure heeft dus gewerkt. Ze hoeven dus in ieder geval geen ransom te betalen om weer terug operationeel te komen en zo hebben ze dus mooi het belangrijkste doel van deze criminelen weten te ontwijken.

Neemt niet weg dat als blijkt dat een stagair zijn "Welkom123" wachtwoord niet gewijzigd heeft en diens account veel te veel rechten had o.i.d. en ze zo zijn binnen gekomen dat het ronduit slordig is. Maar dat moet nog blijken ;-)

[Reactie gewijzigd door firedancer-88 op 29 juli 2024 17:11]

Waarschijnlijk geen zero day, statistisch gezien toch niet.
Volgens Verizon DBIR 2020 is ongeveer +95% door menselijke fout (links, emails, social engineering, ...)
Zelfs als je alles op orde hebt kun je er slachtoffer van worden, als je alles op orde hebt is de impact er van alleen beperkt zoals misschien hier het geval is.

Bij mijn vorige werkgever is het een keer voorgekomen, geen data verlies en down time van enkele uren. Die waren er al vanuit gegaan dat het eens zou gebeuren en waren voorbereid. Toen het daadwerkelijk gebeurde door phising was de schade gelukkig beperkt.

Je hoort steeds vaker de uitdrukking "Het is niet de vraag of je getroffen word door een cryptoclocker maar wanneer".
Je hebt geen idee hoe het is gebeurd, geen 1 beveiliging is 100% veilig/betrouwbaar. Er kan rustig gebruik gemaakt zijn van zero-day exploits die nog helemaal niet naar buiten bekend zijn en waar ook geen patches voor zijn. Knappe jongen/meisje als je je daar tegen kunt wapenen, als je de rest van je beveiliging wel op orde hebt.
Niets is 100% veilig. Ik vind het een beetje kort door de bocht om te stellen dat dit soort grote ict-multinationals nooit geïnfecteerd mogen worden. Dit moet voor dit soort bedrijven niet elke week gebeuren, maar ik sta er niet verbaasd van te kijken dat dit een keer gebeurd.

Wat ik lees is dat ze dit vrij vlot onder controle hadden, het spul herstelt hebben met een backup en er slechts wat marketingslides naar buiten zijn gelekt. Volgens mij hebben ze prima en vlot gereageerd en is de impact minimaal geweest.

Dat het is gebeurt is voor een klant meestal niet de grootste zorg, maar hoe er op wordt gereageerd, wat de impact is, welke lering er uit wordt getrokken en dat het niet nog eens gebeurt.
Je kan alles helemaal tot de puntjes in orde hebben maar dan nog zijn er kwetsbaarheden zoals zero days waar bijna niet tegen te beschermen is. Oh, en laten we natuurlijk ook niet de gebruikers vergeten. Een verkeerd emailtje kan zelfs met een berg maatregelen voor problemen zorgen.
Werk jij überhaupt wel in de IT?
“These people are beyond privacy and security. I really hope that their services are better than what I saw as an insider. If you’re interested in buying some databases, reach us.”
Dus baseer jij je mening op wat criminelen zeggen op een forum om hun databases te verkopen? Ik weet niet zeker of Accenture hun eigen IT of dat van klanten op orde hebben, maar ik weet wel zeker dat ik de uitspraken van hackers die voor financieel gewin informatie verkopen niet te vertrouwen zijn.

Ook IT leveranciers gebruiken software/diensten die niet door hun zijn ontwikkeld, wil je dat ook zij garant staan voor het 100% veilig zijn van software van derden. Geen enkele software is 100% veilig. Accenture is een groot doelwit, welke een portaal is tot een hoop andere grote doelwitten. Daarom worden ze gewoon veel vaker een doelwit dan een doorsnee MKB in Nederland.

En de kwaliteit van een IT leverancier is niet dat er nooit iets fout gaat, maar als er iets fout gaat, hoe dat word opgelost. Ze hebben binnen een paar uur de systemen direct geissoleerd en binnen een dag waren de systemen weer hersteld. Dat noem ik de zaken op orde hebben.

Daarnaast:
These hackers have now published almost 2,400 files to the Dark Web, according to CNBC analysts at Q6 cyber. The files appear to be PowerPoints, case studies, quotes and the like. No comment yet on the theft from Accenture.
Whoopie!
Zelfs de beste paarden struikelen wel eens.

Je mag nog de beste beveiliging hebben, de beste procedures, de beste training voor je personeel. Fouten kan je niet uitsluiten en we zijn en blijven mensen en geen machines die met de computers werken.
Klopt, ik geef je daar in ook groot gelijk, we zijn mensen.

Maar kijkende naar een AWS of Google of Facebook of AZURE. Dit zijn dan natuurlijk de big boys van alle.
Maar ik heb nog niemand gehoord we hebben AZURE of AWS of wat dan ook gelocked. En dit zijn zelfs nog grotere services zoals saas, paas en noem zo maar op. Ongeacht de veiligheid die moet er zijn natuurlijk.

Natuurlijk is dat niet realistich vergelijken met de grote jongens. Maar een IT leverancier vindt ik zelf moet toch wel de hoogste beveiliging hebben als ze daarmee ook aantonen dit en dan. En veel IT leveranciers doen dat ook.
Google's platform is één groot netwerk van maatwerk in zowel hardware als software.
Daar is ook heel veel security doordat de buitenwereld gewoon geen blind idee heeft hoe het allemaal exact werkt dat weet allen een select groepje mensen binnen Google.

Dat is wat anders dan een exploit produceren die gewoon werkt op Windows wat door jan alleman en hun hond gebruikt wordt en waarbij je vooral te maken hebt met gebruikers die je nog best wel voor de gek kan houden.

Daarbij. Er is een verschil tussen iets wat jij niet hebt gehoord, en iets wat niet gebeurd.
Google heeft ook stevige steken laten vallen. Je video's naar vreemden sturen bijvoorbeeld.

En Facebook roept bij elk lek gewoon dat het een feature is en dat het allemaal werkt zoals ontworpen, zoals dat mega lek afgelopen jaar.

[Reactie gewijzigd door Polderviking op 29 juli 2024 17:11]

Voorkomen is dat ook maar het halve werk, de andere helft is hoe je reageert als het toch gebeurd.

En in dat laatste geval: dikke bonuspunten voor Accenture. Backups maken is best wel een naargeestig iets. Tuurlijk kun je dat inregelen, volautomatisch zelfs. Dat ze gemaakt worden bedoel ik dan. Genoeg opslag hebben is meestal het enige struikelpunt... als je live databases hebt dan kan het ook wel tricky zijn om daar backups van te maken.

Backups ook daadwerkelijk weer kunnen terugzetten zonder dat meteen je organisatie in elkaar stort... dat is de echte kunst.

Op dit item kan niet meer gereageerd worden.