RTL Nederland heeft wellicht te maken met ransomwareaanval

RTL Nederland heeft sinds donderdagochtend last van een digitale aanval. Dat laat het bedrijf weten aan RTL Nieuws. Wellicht gaat het om een ransomwareaanval. Er is nog niets bekend over de omvang van de aanval en de mogelijke gevolgen.

RTL Nieuws laat weten dat uitzendingen op de televisiekanalen van RTL en op Videoland geen problemen ondervinden, maar kan verder weinig details delen. Zo is het nog niet bekend of er losgeld is geëist. "We zijn het aan het onderzoeken en kunnen daar op dit moment nog niets concreets over zeggen", vertelt een woordvoerder van RTL aan het nieuwsmedium.

RTL werkt samen met cybersecuritybedrijf Fox-IT om de aanval tegen te gaan. In de tussentijd vraagt het bedrijf medewerkers om uit voorzorg zoveel mogelijk vanuit huis te werken, omdat de aanval wordt uitgevoerd tegen het zakelijke netwerk van het RTL-kantoor in Hilversum.

Reacties (136)

Meemzeh 9 september 2021 12:55

Misschien een leken-vraag, maar ik vraag me dan altijd af hoe het kan dat Microsoft Defender malware als dit niet blokkeert, iemand een idee?

418O2 @Meemzeh • 9 september 2021 13:04

Die kan ook alleen maar bekende patronen herkennen. En als ze een nieuwe aanvalsvector hebben gevonden kan Defender daar niet altijd wat aan doen.

Terrestrial @418O2 • 9 september 2021 19:33

Tegenwoordig gebruiken ze crypters, dwz dat bestaande malware een laagje versleuteling geven waardoor de meeste beveiligingssoftware niks opmerkt. Je kunt dat proces natuurlijk tot in de eeuwigheid blijven herhalen.

Skinnyice @Meemzeh • 9 september 2021 13:06

Als onbevoegden hun werk goed doen zetten ze de defender eerst voor het complete domein uit voordat ze de ransom starten.

dutchgio @Meemzeh • 9 september 2021 13:06

Defender biedt geen 100% zekerheid. Die gaat onder andere af op eerder gedetecteerde malware of bekende gedragingen van malware. Als je als aanvaller met een nieuwe vorm van malware/techniek daar omheen kan werken wordt het dus niet geblokkeerd.
Vaak gaat het om een bekende kwetsbaarheid die niet op tijd gedicht is, of een menselijke fout die op een malafide link/bijlage klikt etc. om binnen te komen.

Anonymoussaurus @Meemzeh • 9 september 2021 13:06

Zero days
Gespecialiseerde manier om detectie te voorkomen (zichzelf voordoen als "legitieme" software)

Om een paar voorbeelden te noemen.

gimbal @Meemzeh • 9 september 2021 14:39

Om dezelfde reden dat als er morgen een nieuw virus gevonden wordt wat een pandemie veroorzaakt er niet gelijk een vaccin klaar staat.

flaskk @Meemzeh • 9 september 2021 18:52

Vaak hobbelt een anti(iets) altijd achter de feiten aan

Dykam @Meemzeh • 9 september 2021 20:50

De dingen die geblokkeerd worden, worden geen merkbare aanval. Da's een kwestie van survivorship bias.

ictert @Meemzeh • 9 september 2021 21:22

Heel makkelijk.. Er zijn meerdere wegen naar rome en je zult nog versteld staan hoe creatief hackers kunnen zijn, zoals de ransomware aanval bij maersk waarbij de hackers dmv een update van een boekhoud software binnnen zijn gekomen: https://www.wired.com/sto...a-code-crashed-the-world/

Je kan gebruik maken van een zero day, de virusscanner uitschakelen en vervolgensde ransomware installeren.

Er zijn genoeg virusscanners welke een zgn "Tamper Protection" hebben en niet zomaar uitgeschakeld kunnen worden, in dat geval is er een mogelijkheid om de code van de malware aan te passen zodat deze minder verdacht lijkt iets wat "AV evation" wordt genoemd, daarnaast kun je malware ook in powershell schrijven, powershell scripts worden in de regel niet snel herkend omdat deze ook voor legitieme doeleinden worden gebruikt.

Uiteindelijk ben je het meest veilig met een AV welke ook ook gedrag scant.. Denk daarbij in de richting van Spohos Intercept X of Bit Defender behaviorial scanning en natuurlijk een fatsoenlijke backup oplossing bijv. de 3-2-1 regel vsn Veeam https://www.veeam.com/blog/321-backup-rule.html

[Reactie gewijzigd door ictert op 24 juli 2024 00:39]

ThaBilly @ictert • 9 september 2021 22:03

Op endpoints heb je toch geen powershell nodig.. als het dan al wel toegankelijk is zet dan wel de constrained language mode aan en de execution policy op signed only..

Berlinetta @Meemzeh • 9 september 2021 22:29

- Defender niet goed afgesteld
- Niet snel updates hebben doorgevoerd
- Bureaucratie

muppet99 @Meemzeh • 10 september 2021 00:40

Wellicht heb erover heen gelezen, maar waarom wijzen naar defender? Wanneer je bijvoorbeeld Sophos endpoint protection installeert, gaat defender uit. En helaas kom ik nog wel eens next next finish installaties tegen, waardoor de check om te kijken of het allemaal werkt, simpelweg een blik op het icoontje van Windows is. Zolang daar geen geel uitroepteken bij staat, reageert 99,9% van de gebruikers niet. Zo kan het zijn dat er wel een antivirus draait, maar dat dat de meest basale vorm is.

mocean @Meemzeh • 10 september 2021 09:27

Unsupported software die moet blijven draaien op verouderde systemen.

Renegade666 9 september 2021 12:15

" In de tussentijd vraagt het bedrijf medewerkers om uit voorzorg zo veel mogelijk vanuit huis te werken, omdat de aanval wordt uitgevoerd tegen het zakelijke netwerk van het RTL-kantoor in Hilversum."

UHm, aanval tegen zakelijk netwerk? mensen moeten dan thuis werken?
Hoe dan?
Neem aan dat je de rommel afsluit en de oorzaak pakt en backups terug zet?

Loekie

@Renegade666 • 9 september 2021 12:20

Kan me voorstellen dat het om verschillende netwerken gaat(videoland en uitzendingen lopen door) en dat het om een segment ipv hele netwerk gaat.
Even van 0 opnieuw uitrollen is dan alsnog niet triviaal, zeker als je ook de vector nog aan het onderzoeken bent(even cloon van netwerk maken zal ook even duren) en herstel wellicht nog op zich laat wachten.

Renegade666 @Loekie • 9 september 2021 12:22

Ja, maar je laat mensen niet met een netwerk van een streaming dienst of tv hoek verbinden? Dat die los zijn/door kunnen staat denk ik los met gebruikers die verbinding maken vanaf extern.

defixje @Loekie • 9 september 2021 13:15

verwijderd

[Reactie gewijzigd door defixje op 24 juli 2024 00:39]

AW_Bos

@defixje • 9 september 2021 13:34

Betekent dus wel dat RTL nu geen video's aan de VOD kan toevoegen?
Dus de uitzending X van vandaag zal wel later op Videoland komen, vermoed ik?

[Reactie gewijzigd door AW_Bos op 24 juli 2024 00:39]

Ajunne @AW_Bos • 9 september 2021 14:45

In het geval van Videoland is dat niet zo'n groot probleem, de content die daarop staat is veelal al maanden geleden opgenomen, geproduceerd en dan in digitale vorm aageleverd aan de VOD-leveranciers. Die zorgen er dan (conform contract) voor dat die afleveringen pas op een bepaald moment online komen te staan.

Interessanter wordt het voor streamingdiensten die live TV van RTL online uitzenden. Al denk ik niet dat het hier zo'n groot probleem gaat worden. Aangezien RTL zelf zegt dat de TV-productie gewoon door gaat, zal de manier van de live feed van RTL aanleveren aan het streamingbedrijf (die dan vervolgens in near-realtime de encoding naar -meestal- h.264 doen) niet veranderen, waardoor die gewoon kan verder lopen.

Het lijkt erop alsof het om het kantoornetwerk gaat dat getroffen is, en gelukkig is dat blijkbaar netjes gescheiden van het tv-productienetwerk, of andere business critical zaken. Dat scheelt dan weer.

Poekie McPurrr @AW_Bos • 9 september 2021 14:57

Mogelijk dat de nieuwe aflevering van Temptation Island inderdaad pas later te zien zal zijn...

kleefei @defixje • 9 september 2021 13:46

Reacties als dit zijn wat mij betreft het bestaansrecht van Tweakers. De community is goud.
Thanks voor je bijdrage!

dylan111111 @kleefei • 9 september 2021 14:58

Hij heeft ze nu allema verwijderd.... Leuk voor de rest...

staaldui @dylan111111 • 9 september 2021 18:20

Waarschijnlijk tot het besef gekomen dat niet al die informatie gedeeld kon worden. Tweakers zijn niet de enige die de reacties lezen.

AW_Bos

@staaldui • 10 september 2021 12:02

Begrijpelijk. Mijn edit is daarom op verzoek verwijderd. Zonder verzoek verwijder ik overigens niks.

the___butcher @defixje • 9 september 2021 13:45

even met een USB heen en weer lopen blijft ook nog steeds een optie

Goede manier om de besmetting binnen te halen

Rudyy @the___butcher • 9 september 2021 13:50

Ik snap niet waarom deze op 0 stond, want daar zou ik in dit geval ook niet om staan te springen.

sOid @Renegade666 • 9 september 2021 12:57

Als betrekkelijke noob op dit onderwerp: wellicht hebben ze het 'zakelijke netwerk' uitgeschakeld en kunnen medewerkers vanaf thuis nog wel gewoon bij SaaS-applicaties?

tom.cx @sOid • 9 september 2021 15:47

Dat is het inderdaad. Ik weet dat RTL Nederland met bepaalde saas oplossingen werkt. Waaronder Office365. Als je daarin een groot deel van je werkdocumenten in hebt zitten is er niks aan de hand.

Verwijderd @Renegade666 • 9 september 2021 15:36

Klinkt eigenlijk meer als een DoS aanval. Als je dan alles in de cloud hebt kun je nog wel vanuit huis werken. Maar niet vanuit je kantoor waarvan de internetlijn plat licht door een DoS.

Anders zou het wel een hele kromme beredenering zijn.

Verwijderd @Renegade666 • 9 september 2021 13:58

UHm, aanval tegen zakelijk netwerk? mensen moeten dan thuis werken?
Hoe dan?
Dat is toch niet zo moeilijk te bedenken? De meeste bedrijven maken gebruik van cloudoplossingen en veelal staat de data al jaren in de cloud. Die cloud draait prima door (ondanks alle berichten en meningen van gebruikers hier).

Als je naar huis gaat zul je dus (gedeeltelijk) door kunnen werken...

Neem aan dat je de rommel afsluit en de oorzaak pakt en backups terug zet?
Dat hangt van de aanval af. Mogelijk moet er bijvoorbeeld eerst bewijsmateriaal veilig worden gesteld. Je kunt bij een crimescene ook niet zeggen: 'Zet maar af en maak maar schoon. Morgen is weer een normale dag'.

Renegade666 @Verwijderd • 9 september 2021 14:03

Als je cloudoplossingen hebt, kun je idd wel thuis werken, al kunnen deze natuurlijk weer afhankelijk zijn van iets lokaal.
En blijkbaar zal er lokaal iets belangrijks draaien, anders krijg je geen ransomware lokaal.
En laat je ook geen Fox-IT komen.

Maar het is in elk geval duidelijk dat ook bij RTL de security niet op orde is.

"Neem aan dat je de rommel afsluit en de oorzaak pakt en backups terug zet?
Dat hangt van de aanval af. Mogelijk moet er bijvoorbeeld eerst bewijsmateriaal veilig worden gesteld. Je kunt bij een crimescene ook niet zeggen: 'Zet maar af en maak maar schoon. Morgen is weer een normale dag'."

Dat hoeft ook niet, backup terug zetten kan er ook naast!, je hoeft niet het gene te verwijderen, maar ontkoppelen en de andere terug zetten zodat men door kan gaan. Kunnen ze los daarvan het onderzoeken.

[Reactie gewijzigd door Renegade666 op 24 juli 2024 00:39]

SunnieNL

@Renegade666 • 9 september 2021 14:22

Maar het is in elk geval duidelijk dat ook bij RTL de security niet op orde is.

Ik kan met zekerheid zeggen dat die bij geen enkel bedrijf 100% in orde is.
Tussen toetsenbord en scherm zit vaak een item wat zich bewust of onbewust in de nesten werkt.

Je kunt als bedrijf alleen zo goed mogelijk hindernissen opwerpen om te voorkomen dat er iets gebeurd. Je wilt het echter voor gebruikers wel werkbaar houden.

Renegade666 @SunnieNL • 9 september 2021 14:26

Voor ransomware is genoeg te krijgen en in te stellen. zelf als je domme gebruikers hebt die overal op drukken.

Moet alleen aangeschaft worden, in gesteld (enkele voorbeelden).
-AV > bv SentinelOne
-Rechten van gebruikers
-Software restricties (dus niks kunnen installeren/niks kunnen uitvoeren vanuit %appdata% en temp folders
-Fatsoenlijke firewall/utm en antispam.

Wij hebben al jaren geen klant gehad die getroffen is door die meuk (ransomware)

SunnieNL

@Renegade666 • 9 september 2021 14:43

Ik werk voor een bedrijf die veel van die oplossingen levert, maar wij gaan niet zeggen dat je 100% veilig bent. Een administrator kan altijd ergens een foutje maken in de configuraties. Soms weten mensen niet welke hardware er allemaal in het bedrijf rondgaat. Ook SentinelOne kan achterlopen in 0-day exploits. Er kan zo iets tussendoor glippen. Met alles wat je hier boven noemt, hadden hackers met de citrix gateway vulnerability gewoon naar binnen gekund en acties kunnen ondernemen om bepaalde zaken die jij noemt te deblokkeren.

Alle zaken die jij noemt (en meer onderdelen zoals device control, admin accounts tot 0 reducren, netwerksegmentatie, least privileges op netwerk, disk en binnen apps, etc). zorgen ervoor dat het zo lastig mogelijk wordt gemaakt. Is daarmee de kans 0% dat je nog iets kan krijgen? nee, je zorgt er wel voor dat het zo dicht mogelijk tegen die 0% aan ligt en dat problemen zich niet al te hard kunnen verspreiden op het netwerk.

Als je gaat kijken naar beheersbaarheid van de oplossingen en enduser experience wordt het nog lastiger. Zomaar alles blokkeren in appdata is leuk, maar dan vallen er toch wel wat applicaties om. Dat configureren is dus wel een hoop werk en kost heel veel tijd. En daar worden helaas maar al te vaak fouten in gemaakt.

Je kan Daniel Verlaan bijvoorbeeld al deze restricties geven die jij opnoemt, maar dan kan hij zijn werk niet meer doen. Die zal dus al een device hebben wat zich niet aan die regels voldoet en hopelijk is die zoveel mogelijk afgeschermd van de rest van het netwerk.

Daartegenover staat wel dat als RTL een van de bedrijven zou zijn die bv. nog steeds niet de Exchange patches heeft geinstalleerd ( https://www.ncsc.nl/actue...microsoft-exchange-server ), dan hebben ze dit al wel over zichzelf uitgeroepen.

Dus kan een bedrijf 100% veilig zijn? nee. Er worden altijd fouten gemaakt tussen toetsenbord en beeldscherm. Bij elk bedrijf.

[Reactie gewijzigd door SunnieNL op 24 juli 2024 00:39]

Renegade666 @SunnieNL • 9 september 2021 14:49

Ik zeg ook nergens dat het 100% veilig is, en ben het ook wel met je eens met de stelling tussen toetsenbord en stoel (anders zit het wat beroerd

). Maar er kan gewoon veel aan gedaan worden om te voorkomen.

Bij de vele berichten hier over ransomware, was het vaak een lek die tijden bekend was en gepatched was.
Dus ik noem dat laksheid.

arie.v @SunnieNL • 9 september 2021 14:39

[...]
Tussen toetsenbord en scherm zit vaak een item wat zich bewust of onbewust in de nesten werkt.

Zit je met de rug naar het beeldscherm?

SunnieNL

@arie.v • 9 september 2021 14:51

mijn handen bevinden zich tussen mijn toetsenbord en mijn scherm

Verwijderd @Renegade666 • 9 september 2021 15:35

al kunnen deze natuurlijk weer afhankelijk zijn van iets lokaal.
Haha, als dat het geval is dan moet je een nieuwe architect inhuren. Dat zou betekenen dat 2 omgevingen om kunnen vallen als er een storing is in één. Het kan natuurlijk maar normaal hou je hier wel rekening mee.

En blijkbaar zal er lokaal iets belangrijks draaien, anders krijg je geen ransomware lokaal.
Dat is slechts een aanname. Het kan ook zijn dat een gebruiker een malafide bijlage heeft geopend. De Windows PrintNightmare bug is nog steeds niet volledig gefixed dus malware wormen zullen wel een feest hebben.

En laat je ook geen Fox-IT komen.
Ook daar moet je niet teveel op inlezen. Je laat denk ik altijd wel iemand langs komen. Je hebt namelijk een incident en moet onderzoek doen. Normaal bel je de politie maar die kan niets voor je doen (nu niet en ook niet in de nabije toekomst). Het is daarom belangrijk om bewijsmateriaal te verzamelen door een derde (onafhankelijke) entiteit. Dat zorgt ervoor dat, als de daders gevonden worden, je nog iets tegen deze mensen op kan zetten (schadevergoeding, strafvervolging, etc).

Dat hoeft ook niet, backup terug zetten kan er ook naast!
Dat zal ook zeker moeten. Je weet immers niet hoe lang men al in je systeem zit. Vandaar dat eerst onderzoek nodig is want anders weet je nooit of er nog andere backdoors geplaatst zijn.

IIIIIIIIIIII @Renegade666 • 9 september 2021 13:07

En waarom vragen ze dan om thuis te werken? Is het niet zo dat alle communicatie met de buitenwereld wordt afgesloten totdat het probleem is opgelost?

SunnieNL

@IIIIIIIIIIII • 9 september 2021 14:20

als ze exchange365 hebben als mailserver, kan mail gewoon nog afgehandeld worden door de lokale outlook of via web en zo geldt dat wel voor meer zaken die zich vaak niet meer on-premises bevinden.

het wordt waarschijnlijk wat anders met de mensen die animaties/beelden/etc verwerken van data op het on-premises netwerk (ik mag in ieder geval hopen dat die mensen thuis geen verbinding maken met VPN)

Terrestrial @Renegade666 • 9 september 2021 12:19

Tja inderdaad bovendien als je iedereen laat inloggen neem je ook nog is de kans dat de pc of laptop thuis besmet kan raken.

Oon

@Terrestrial • 9 september 2021 12:38

Als dat risico er is dan moeten ze er nu toch al vanuit gaan dat alle apparaten die thuis gebruikt worden ook besmet zijn, want de kans is groot dat er veel mensen zijn die al met het netwerk verbonden waren nadat de aanval begon maar voordat die ontdekt werd. Beetje laat dus om nu nog om die reden mensen thuis te laten werken.

jpfx @Terrestrial • 9 september 2021 12:44

Hangt er natuurlijk ook vanaf hoeveel er op het eigen netwerk wordt gehost en wat er in de cloud staat.

CH4OS @Renegade666 • 9 september 2021 12:53

Het fysieke kantoor netwerk zal er bedoeld worden, gok ik zo.

Tassadar32 @Renegade666 • 9 september 2021 13:15

Videoland app development en de hosting achter videoland zitten misschien buiten Hilversum? Deze devs kunnen dan prima thuiswerken.

TheVivaldi @Tassadar32 • 9 september 2021 16:44

RTL heeft meerdere kantoren, waaronder ook een groot kantoor in Amsterdam. Kan dus inderdaad heel goed dat deze devs niet in Hilversum werken.

gaskabouter @Renegade666 • 9 september 2021 16:36

Ik denk dat je ervan uitgaat dat ze op het netwerk inloggen maar ik denk eigenlijk dat het meer content creatie is wat gewoon op byod gedaan wordt. Dat kan dus net zo goed vanuit huis.

En dan digitaal scrummen via zoom

Montaner @Renegade666 • 9 september 2021 12:46

Thuis werken kan vaak grotendeels prima zonder bedrijfsnetwerk. Cloud diensten zoals O365 blijven gewoon werken.

Frame164 @Renegade666 • 9 september 2021 15:20

Besmette desktopcomputers op kantoor?

Pachino 9 september 2021 13:13

Is het eigenlijk nog wel leuk om als IT-er te werken met al die aanvallen of moet je dat juist als een uitdaging zien?

Zelf word ik er moedeloos van. Aanval hier, aanval daar, dan hier weer gegevens op staat, dan weer daar. Het wordt er allemaal niet leuke op.

En hoe zit het met de verantwoordelijkheid of aansprakelijkheid van de IT-er?
Ben je als IT medewerker aansprakelijk als het netwerk wordt leeggeroofd?

ITsEZ @Pachino • 9 september 2021 13:30

Dat ligt aan je functie, van een gemiddelde systeembeheerder kan je over het algemeen niet verwachten dat die specialist is in security. Die systeembeheerder kent de basisprincipes, en dat is genoeg voor zijn functie. Grote bedrijven hebben naast hun "reguliere" IT afdeling vaak ook een security afdeling/medewerker/extern.

Renegade666 @ITsEZ • 9 september 2021 14:06

Naast het feit als het alleen een systeembeheerder is, dan is er altijd een wel een manager die bepaalde dingen moet goedkeuren ja of nee. En als iets geld kost word het vaak al lastiger.

Frame164 @Renegade666 • 9 september 2021 15:40

Maar als iets op kosten wordt afgewezen dan komt dat ook vaak omdat de professionals vaak niet in staat zijn om de business aspecten van iets uit te leggen. Pas nog meegemaakt over een upgrade die volgens sys admins nodig was. Ze kwamen niet verder dan: er is een nieuwe versie waar wat bugs in zijn opgelost. Als je dan vervolgens niet kunt uitleggen wat de gevolgen zijn van die bugs (als die bugs zitten in iets wat niet gebruikt wordt is de noodzaak een stuk minder dan als het in bedrijfskritische delen zit) dan wordt het lastig om je werk goed te kunnen doen. Een stukje verdere profesionalisering van IT-ers is hard nodig. Andere professionals zijn veel beter in het vertalen van vakspecifieke zaken naar management en krijgen dan ook eerder budget om dingen te doen die ze nodig vinden.

Renegade666 @Frame164 • 9 september 2021 15:52

Ooh zeker. Het moet gewoon duidelijk zijn.
Ben zelf ook totaal geen verkoper/vertaler naar klant toe. Al probeer je het natuurlijk wel.
Maar de wat grotere bedrijven (100+ gebruikers) is het vaak wat anders dan de <100) gebruikers .

Klein MKB is gewoon lastig, omdat veel bedrijven IT als bodemloze put zien qua geld (i.a.w. geen budget). Omdat ze zelf het nut /toegevoegde waarde er niet van inzien.
Op ten duur krijg je dan ook dat je daar minder gaat doen etc, want ze willen toch nooit wat.
Met als gevolg, achterhaald en onveilig netwerk/omgeving.

swhnld

9 september 2021 12:34

Waarom zou ransomware je niet raken bij thuis werken en verbinden met de KA omgeving, maar wel op kantoor?

Enige wat ik kan bedenken is dat op kantoor de netwerkinstellingen verlaagd zijn ten opzichte van thuis waardoor poorten open staan door een besmetting.
Maar ook dat is snel op te lossen met device isolation aanzetten op de switches, en vervolgens een policy uitrollen die kantoor netwerk instellingen van apparatuur naar hetzelfde niveau brengt als buiten kantoor.

Hopelijk hebben ze het snel onder controle.

computerjunky @swhnld • 9 september 2021 12:53

Dit is wel 1 van de redenen dat ik niet op afstand zou gaan werken op mijn eigen systeem. Als je van je werk een systeem gekregen heb prima maar ook alleen als de rest offline is via een aparte router.
De beveiliging en onkunde van veel personeel als het op veilig werken aan komt is iets waar ik me serieus zorgen om zou maken.

Volgens mij is dit dan ook weer geen traditionele hack maar zoals gewoonlijk weer een gevalletje malware wat in mijn boek toch niet echt een hack genoemd kan worden.

swhnld

@computerjunky • 9 september 2021 13:30

Ze noemen het ransomware aanval, die zich vervolgens als een worm virus verspreid. Een hack lijkt me idd. niet.

mutley69 9 september 2021 21:41

Die aanval is geen bug maar een feature. Zo zijn we misschien een tijdje verlost van de commerciële pulp... dromen mag.

Cerberus_tm

@mutley69 • 9 september 2021 22:16

Toch is het nieuws wel redelijk, dacht ik? Ook minder kinderlijk dan het nieuws van de NOS? Maar ben het er wel mee eens dat zoiets belangrijks het nieuws beter niet door een commerciële partij kan worden gebracht.

Joppiez 9 september 2021 12:21

Ik verwacht hier weer vooral victim shaming/blaming reacties te lezen.

Feit is dat het te makkelijk is bedrijven te hacken. Technisch al dan niet social.
Veel van die aanvallen komen uit het "oostblok". Ik kom daar veel en het verbaast mij hoe veel jongeren daar tegenwoordig met online oplichting bezig houden. En dan kun je denken aan bijvoorbeeld werken voor onbetrouwbare crypto brokers of andere vormen van illegaliteit. Ergens wel logisch, het is daar kiezen voor een gemiddelde salaris (pak em beet 1000 euro per maand), of een veelvoud als cybercrimineel. Pakkans is ook bizar laag en bedrijven betalen over het algemeen braaf.

Verwijderd @Joppiez • 9 september 2021 12:38

Want een slachtoffer hoeft nooit verantwoording te dragen? Als je de deur van je auto niet op slot had bij autodiefstal kun je ook gewoon een boete krijgen. Dit soort slachtoffers zijn hele andere slachtoffers dan slachtoffers van geweldsmisdrijven e.d. Is niet op 1 hoop te gooien.

Leeuwendeel van de ransomware (uitzonderingen daargelaten) is namelijk gewoon te voorkomen door altijd te patchen, altijd een besturingssysteem in onderhoud te gebruiken en altijd anti-malware te gebruiken (zowel Windows, Linux als macOS). Met nadruk op altijd.

En ja, dat is lang niet alles wat je zou kunnen doen. Maar wanneer je leest over welke ransomware het betrof, is het meestal ransomware dat afhankelijk is van een of meerdere kwetsbaarheden waarvoor patches allang beschikbaar zijn. En ja, die worden niet meer gepacht in bijvoorbeeld Windows 7 of Windows Server 2008 R2.

Je basis security hygiëne structureel niet op orde hebben is wat mij betreft gewoon nalatigheid. En daar mag een slachtoffer organisatie best op aangesproken worden.

Bij RTL Nieuws is dat nu koffiedik kijken, en even afwachten wat er precies is gebeurd.

Overigens helemaal eens met je verhaal over pakkans e.d. Die is verreweg van de gewenste kans...

[Reactie gewijzigd door Verwijderd op 24 juli 2024 00:39]

Frame164 @Verwijderd • 9 september 2021 15:34

Want een slachtoffer hoeft nooit verantwoording te dragen? Als je de deur van je auto niet op slot had bij autodiefstal kun je ook gewoon een boete krijgen. Dit soort slachtoffers zijn hele andere slachtoffers dan slachtoffers van geweldsmisdrijven e.d. Is niet op 1 hoop te gooien.

Als een bedrijf voldoende training en voorlichting heeft gegeven over cybersecurity, dan vind ik dat er best wel een notitie in een werknemersdossier mag komen als iemand op een verdachte link o.i.d. heeft geklikt (of passwords op een post-it onderop het bureablad heeft geplakt, etc).

We weten nu al lang genoeg wat de risico's zijn en iedereen kan hiervan op de hoogte zijn. Als een werknemer een raam of deur open laat staan terwijl de instrucite is om die te sluiten volgen er ook sancties. Het wordt tijd om hier wat serieuzer mee om te gaan.

Dennisdn @Frame164 • 9 september 2021 17:28

Met trainen en voorlichting ben je er nog niet, het bewustzijn moet je erin rammen maar blijft het aller moeilijkst. Wij krijgen maandelijks corporate leerdoelen in de leeromgeving over cybersecurity en regelmatig online sessies met onze specialisten. Wij hadden vorig jaar een stevige gerichte phishingaanval op het bedrijf waar ik werk. Ik herkende het direct van afstand, de mail kwam zogenaamd uit onze IT-afdeling en of je even ergens wilde inloggen om het password te verifiëren o.i.d.

Lang verhaal kort: toevallig zat ik in een andere tijdzone en kon de IT-afdeling in Noorwegen waarschuwen die net hadden afgeschaald omdat het in Europa vrijdagavond laat was. Toen hebben ze alles dicht gegooid en de munitie uit de phishingsmail gehaald zodat die geen kwaad meer kon en zijn de strijd aangegaan (we hebben zelf een vergelijkbaar bedrijf als FoxIT in de holding zitten). Achteraf bleken meer dan 1700 collega’s op de link te hebben gedrukt (van de ongeveer 20k FTE) voordat de afdeling de mails in alle boxen had kunnen verwijderen.

[Reactie gewijzigd door Dennisdn op 24 juli 2024 00:39]

SG @Dennisdn • 9 september 2021 22:03

Nou je hoeft maar 1 keer in je loopbaan klikken op phishing mail en dan ben je en je bedrijf de zak.
Die kans is er ook bij waar 1000 keer goed wordt opgevangen maar kan altijd mis gaan.
In veel branches zijn er werknemers die niet met internet zijn opgegroeid en voor hun is die cybercrime wat via isp binnen komt toch iets lastig te behappen. Ze hebben al moeite met computers.
Ik zit in branch waar er veel vak kennis is, maar niet computers. Veel van de oude garde hebben er moeite mee. Ik ga niet over computers en de kans dat in klein bedrijf de security niet op orde is lijkt mij veel groter dan firma met eigen IT afdeling.

Verwijderd @Frame164 • 9 september 2021 20:03

Eens, hoewel ik liever bestuurders en eigenaren ter verantwoording geroepen zou zien worden.

itaalol @Verwijderd • 9 september 2021 12:59

Ben het helemaal met je eens. Een maandje of twee geleden hadden wij binnen de organisatie ook een "lek". Mensen heb op phisinglinks geklikt waardoor het netwerk geïnfecteerd is geworden. We maakte ook gebruik van 2 step verification d.m.v. een automatische dienst wat je telefoon belt waarna je op een toets moet drukken. Er waren personen die tijdens hun verlof en roostervrije dag de code hersenloos in deden voeren.

Ik vind dat dit soort dingen gewoon niet kunnen binnen een organisatie met ongeveer 10.000 medewerkers. Vooral aangezien er naar mijn mening veel geïnformeerd wordt over wat wel en vooral wat niet te doen op het gebied van security. Een beetje een denk niveau mag verwacht worden van mensen.

stefanhendriks @Verwijderd • 9 september 2021 13:24

mooi dat Joppiez verwacht victim blaming te lezen en je meteen allerlei zaken oproept die juist om victim blaming gaat.

Ja je kunt als partij allerlei maatregelen nemen.

Maar feit blijft: degene die ransomware verspreid is degene die verkeerd bezig is.

Zelfde geld met je huis beveiligen: Ja het is raadzaam eea te doen (goede sloten, etc). Maar uiteindelijk is het toch echt de dief die je deur openbreekt en strafbaar is...

Verwijderd @stefanhendriks • 9 september 2021 20:00

Victim blaming term is lekker hip of niet? Wat ik zei: s.v.p. victim blaming bij geweldsmisdrijven e.d. niet op een hoop gooien met organisaties de die de veiligheid niet op een basis niveau hebben en houden.

Organisaties ter verantwoording roepen voor falend security beleid is heel normaal, of zou in ieder geval moeten zijn.

Jij hebt het over de deur openbreken, maar helaas hoeft bij het grote deel van dit soort dingen bar weinig doorbroken worden, en kan er vooral ingeslopen worden. En bij beroving zonder braaksporen krijg je ook niks vergoed van je verzekering. Is dat ook victim blaming?

Uiteraard is criminaliteit verwerpelijk, maar dat geeft je nog niet het excuus om als een lammetje op een slachtblok te gedragen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 00:39]

stefanhendriks @Verwijderd • 10 september 2021 15:48

Bij een beroving kunnen we zien wat er mis is. Het is een tastbaar verhaal. Een huis. Een auto, etc.

Daar wat aan doen is eenvoudig, je kunt het ook makkelijk zien en controleren.

Bij IT is dat toch juist heel anders? Sterker, het hele IT security beleid stoelt op zachte competenties. Je kunt al je tooling op orde hebben, maar tegen social engineering kun je niet op. Tuurlijk je kunt van alles bedenken; en dat moet je ook zeker doen.

Maar je kunt niet ontkennen dat de bron ligt in de dader.

Victim blaming is gewoon een term ;-) - verengelsing van de NL taal helaas

Verwijderd @stefanhendriks • 10 september 2021 22:21

Haha, en dat verengelsen 'begon' al met "computer"

Mijn punt is meer doordat de berichten nu zijn dat het om 'geavanceerde' hacks gaan, met social engineering e.d. En dat klopt voor de aanvallen met een ander oogmerk dan geldelijk gewin. Maar ze zo framen werkt verlammend, omdat de indruk is dat je er niks of nauwelijks iets tegen kunt doen.

De ransomware aanvallen voor geldelijk gewin gaat meestal zo:
1. er komt een mailtje met een payload binnen (malware/phishing -> email security)
2. ontvanger opent link of bijlage en malware activeert (malware download -> endpoint security)
3. malware misbruikt kwetsbaarheden om lateraal te verplaatsen (misbruik kwetsbaarheden -> patch management)
4. er wordt contact gelegd met een command en control server (malicious verkeer -> egress firewall en dns security)
5. accounts worden misbruikt (slechte wachtwoorden -> 2fa/mfa)
6. ransomware deploy (alles versleuteld -> backup)

Ik zal de laatste zeggen dat ransomware 100% aanvallen te voorkomen zijn, maar je kan genoeg betaalbare dingen doen om het risico aanzienlijk te verminderen.

De bron ligt uiteraard bij de dader. Maar daar heb je als ex-werknemer niks aan wanneer je werkgever failliet gaat door een ransomware aanval. Of wanneer die werkgever niet failliet gaat door criminaliteit te belonen (betalen ransomware) zodat ze juist doorgaan met die praktijken.

De enige manier is om de business case voor ransomware onaantrekkelijker maken. En dat is basis hygiëne op orde maken en houden.

Aardedraadje

@Verwijderd • 9 september 2021 16:11

Zonder verder in te haken op wie wel of niet schuld draagt; je noemt backups niet. Juist bij ransomware-aanvallen is het zaak om backups te hebben, en te kunnen gebruiken.

Zo hoef je geen losgeld te betalen, draai je hopelijk snel weer gewoon zoals vanouds. En als zat bedrijven dat maar doen, schop je de hele fundering van die ransom-groeperingen onderuit.

[Reactie gewijzigd door Aardedraadje op 24 juli 2024 00:39]

Verwijderd @Aardedraadje • 9 september 2021 19:52

Ik had het over voorkomen van een ransomware infectie

Backups zijn voor het herstellen ervan. Ook erg belangrijk uiteraard!

CH4OS @Verwijderd • 9 september 2021 12:55

Bij RTL Nederland is dat nu koffiedik kijken, en even afwachten wat er precies is gebeurd.

Flauw: maar heet het programma niet Koffietijd, ipv Koffiedik?

[Reactie gewijzigd door CH4OS op 24 juli 2024 00:39]

Goldwing1973 @CH4OS • 9 september 2021 14:08

Nog flauwer, Loretta is het niet met je eens.

Verwijderd @CH4OS • 9 september 2021 19:51

souplost @Verwijderd • 9 september 2021 16:30

Onder Linux gebruik je geen anti-malware/virus software omdat je geen software installeert buiten de software repositories om en een drive-by download infectie tot op heden onmogelijk is gebleken. Ook het openen van attachments lijdt nooit tot het automatisch installeren van malware zoals onder windows.
Kwaliteit bestaat. 3-party gesloten antivirus software met root-rechten zijn uit den boze. Dat levert veel meer risico op dan de virussen die er in het wild zijn.

TheVivaldi @souplost • 9 september 2021 16:50

Behalve als software niet in de pakketbronnen zit. En dan nog kan een pakket geïnfecteerd raken. Aantal jaar geleden was er een installatiepakket van een irc-server geïnfecteerd en dat pakket was in onder meer Fedora terechtgekomen.

souplost @TheVivaldi • 17 september 2021 18:40

Op een server is het al helemaal onzin. Die IRC server infectie heb ik niet kunnen terugvinden. Als het wel zou zijn kan hij niet buiten zijn jail ivm SELINUX. Systeem services draaien ook nooit met admin rechten daarom heeft ransomware heel weinig kans om een server OS te encrypten.

TheVivaldi @souplost • 17 september 2021 19:15

Sorry, Fedora klopte niet - het was Gentoo.

En ook het onnofficiële pakket voor Arch was tijdelijk gecompromitteerd: https://bbs.archlinux.org/viewtopic.php?pid=774940#p774940

souplost @TheVivaldi • 19 september 2021 15:31

Die linkjes stammen uit 2001 en 2010

Arch was een oude versie (gebruikt niemand en upgraden is gratis en makkelijk) Daarom moet je ook altijd de md5sum checken. http toegang kan ook een MitM bevatten.
Voor de enterprise gebruik je RedHat Suse of Ubuntu (meer door de windows beheerders omdat het ook in win10 zit). Als die een steek laten vallen wordt het pas interessant.
Dus geen antivirus gebruiken. Is echt onzin, tenzij je cifs of mail gaat aanbieden aan de windows wereld.

[Reactie gewijzigd door souplost op 24 juli 2024 00:39]

TheVivaldi @souplost • 19 september 2021 17:12

Die linkjes stammen uit 2001 en 2010

Dôh. Ik zei in mijn initiële bericht al dat het om een aantal jaar geleden ging. Maar niet 2001 - alle linkjes zijn van 2010. Maar dat maakt toch helemaal niet uit? Het gaat er om dat het KAN, niet om hoelang het geleden is. Als er op de weg een ongeluk gebeurt en het is daarna 9 jaar ongelukvrij, dan ga je toch ook niet zeggen dat er geen ongeluk meer kan gebeuren?

souplost @TheVivaldi • 20 september 2021 19:44

stamt wel uit 2001 alleen in 2010 gaf iemand nog commentaar. Niemand zegt dat er geen ongelukken kunnen gebeuren wel dat de kans groter is dat er een ongeluk gebeurd, juist door het gebruik van een extra component (antivirus) die ingrijpt in de stuurkolom (antivirus heeft alle rechten nodig).
Linux is totaal anders opgezet dan windows. Antivirus voor Linux is geen enkele reden voor. Linux heeft weer andere problemen maar niet met virussen. IK heb hier een klant die wilde ook antivirus voor LInux. Resultaat is al 10 jaar lang geen enkel virus/malware gevangen!! Zoals ik al zei wel problemen met antivirus software zelf (van microsoft, clamav en trendmicro. Alle drie).

Verwijderd @souplost • 9 september 2021 19:55

Er is zeker wel malicious software voor Linux. Of je nu RootkitHunter, ClamAV, Sophos of andere oplossingen gebruikt, het is zeker wel een must.

Self replicating malware zie je niet zoveel voor Linux, maar er is wel degelijk malware t.a.v. privilege escalation e.d.

Hier een artikel over ransomware op Linux: https://dev2.phoenixnap.com/kb/linux-ransomware

souplost @Verwijderd • 17 september 2021 18:30

Geen enkel Linux gebaseerd bedrijf gebruikt het (Google, Amazone, Redhat, Facebook, Twitter), alleen grote windows dienstverleners die vinden dat het ook onder Linux moet omdat windows het ook heeft maar Linux is geen windows. Ik werk momenteel al een paar jaar bij zo'n dienstverlener. Er is nog nooit 1 virus/malware gevangen met ClamAV Sophos of trendmicro bij diverse grote klanten maar wel diverse problemen met de antivirus software zelf. Dus niet doen. Firewall up, fail2ban aan en op tijd patchen.

TheVivaldi @Joppiez • 9 september 2021 16:49

Feit is dat het te makkelijk is bedrijven te hacken. Technisch al dan niet social.

Ben ik het mee eens, maar ik denk andere tweakers dat niet zullen vinden. Van de week nog tig reacties hier over hoe geweldig de it-beveiliging van Nederland(se bedrijven) wel niet was…

Caelestis @Joppiez • 10 september 2021 04:20

victim shaming/blaming

Ben je eigenlijk wel een slachtoffer als het je werk is waar je voor betaald wordt?

Beetje zoiets als "Ach arme piloot. Hij had toch ook niet kunnen weten dat als je standaard procedures niet volgt, het vliegtuig neer kan storten"
Wees lief tegen hem ook al zijn alle 300 pasengiers overleden. Hij is ook een "slachtoffer".

dutchgio 9 september 2021 12:43

Ik kan uit de tekst niet direct opmaken dat het om ransomware zou gaan, aangezien thuiswerken en verbinden naar de kantooromgeving dan niet een heel erg handig advies zou zijn...

Maar vanuit de bron meld RTL Nieuws zelf ook dat het mogelijk om ransomware gaat:
https://www.rtlnieuws.nl/...derland-ransomware-aanval

418O2 @dutchgio • 9 september 2021 12:55

@danielverlaan gaf op Twitter aan dat het om een mogelijke ransomware aanval gaat. Ze zijn het zelf nog aan het onderzoeken

[Reactie gewijzigd door 418O2 op 24 juli 2024 00:39]

Fraaank 9 september 2021 14:03

In de tussentijd vraagt het bedrijf medewerkers om uit voorzorg zoveel mogelijk vanuit huis te werken, omdat de aanval wordt uitgevoerd tegen het zakelijke netwerk van het RTL-kantoor in Hilversum.

Kan aan mij liggen, maar is dit niet al 1,5 jaar überhaupt het advies vanuit de overheid...

Frame164 @Fraaank • 9 september 2021 15:36

Ja, advies. Geen verplichting. Veel medewerkes zullen ongetwijfeld ook al vaak thuis werken.

TheVivaldi @Frame164 • 9 september 2021 16:46

Hoe weet je dat “veel” mederwekers thuis zullen werken? RTL heeft meerdere grote kantoorpanden, waaronder in Hilversum en Amsterdam. Kan me niet voorstellen dat ze grote kantoorpanden huren om maar de helft ervan te benutten omdat veel mensen tóch thuiswerken. Dat lijkt me een behoorlijke geldverspilling…

Carlos0_0 @TheVivaldi • 9 september 2021 17:13

Omdat dit het afgelopen 1,5 jaar wel ongeveer moest, er mocht maar een bepaalde bezetting op kantoor zijn(Per zoveel meter).
Dus je hoefde niet thuis te werken maar als er maar 50 man op kantoor mogen zijn, dan moet je toch afspraken maken en de rest laten thuis werken.

Nu zal voor een studio lastiger zijn je moet toch opnemen enzo, maar genoeg administratief personeel echt dan thuis gewerkt.
Ook andere grote bedrijven waaronder mijn werk heeft het zelfde, zowel de grotere als de kleinere locaties waren 80% leeg en iedereen thuis.

TheVivaldi @Carlos0_0 • 9 september 2021 17:35

Omdat dit het afgelopen 1,5 jaar wel ongeveer moest, er mocht maar een bepaalde bezetting op kantoor zijn(Per zoveel meter).
Dus je hoefde niet thuis te werken maar als er maar 50 man op kantoor mogen zijn, dan moet je toch afspraken maken en de rest laten thuis werken.

Dot klopt, maar ik interpreteerde Frame164's bericht meer alsof het bij RTL sowieso al de norm was. En dat lijkt mij niet waar, gezien de grote kantoorpanden die ze hebben.

seacat 9 september 2021 21:37

Buienradar, kantoor in het pand van RTL,heeft na 11:00 uur geen weerbericht uitzending meer geplaatst in de app en op de website is de laatste video van 12:15 uur.
Is dit mogelijk veroorzaakt door de ransomware aanval?
Of hebben ze problemen met hun nieuwe weersysteem?

[Reactie gewijzigd door seacat op 24 juli 2024 00:39]

scriptkiddy1337 9 september 2021 22:31

Leuke reactie's van sommige.. het ligt er maar net aan met welke ransomware je te maken hebt hoe erg de schade is.

Hier heb je een overzicht van alle ransomwares en of ze zich verspreiden ja/nee, en hoelang ze erover doen om alle bestanden te encrypten.

https://ibb.co/xSvJ2br

Als je meer wilt weten over ransom gangs kijk dan op:
darkfeed.io

Een project wat alles bijhoud over ransom activiteiten etc.. neem zelf maar een kijkje..

Op dit item kan niet meer gereageerd worden.

RTL Nederland heeft wellicht te maken met ransomwareaanval

Lees meer

Reacties (136)

Sorteer op:

Weergave: