MediaMarkt is getroffen door cyberaanval - update

MediaMarkt heeft in zijn vestigingen in de Benelux te maken met een cyberaanval. Het bedrijf bevestigt dat tegenover RTL Nieuws. Volgens medewerkers gaat het om ransomware. De winkels blijven open, maar klanten kunnen producten niet afhalen of retourneren.

RTL Nieuws heeft interne e-mails over de cyberaanval ingezien die MediaMarkt naar medewerkers heeft gestuurd. Daaruit blijkt dat het bedrijf in Nederland, België en Luxemburg is getroffen en dat computers die in de winkels staan, niet meer te gebruiken zijn. Medewerkers wordt gevraagd om netwerkkabels uit kassa's te halen en systemen niet opnieuw te starten.

Een woordvoerder van de winkelketen bevestigt tegenover RTL Nieuws dat het bedrijf te maken heeft met een aanval; daar is het sinds maandagochtend van op de hoogte. Volgens medewerkers gaat het om een ransomwareaanval; ze zeggen dat 'alles versleuteld' is. MediaMarkt heeft dat nog niet bevestigd en zegt nog onderzoek te doen.

Door de aanval kunnen de winkels alleen producten verkopen die in de winkel aanwezig zijn. Afhalen en retourneren is niet mogelijk. Voor zover bekend heeft de aanval geen gevolgen voor de webwinkel van de elektronicaketen.

Update, dinsdag: MediaMarkt is getroffen door de Hive-ransomware en onderhandelt over het betalen van losgeld.

Reacties (302)

302

293

129

112

Wijzig sortering

sterkeronline 8 november 2021 14:07

Ransomware is de allergrootste nachtmerrie voor mijn bedrijf, dat zou het voor meer bedrijven moeten zijn.
Ik wil heel graag weten hoe zo'n aanval nou precies plaatsvind en hoe de criminelen binnen zijn gekomen, dergelijke info zou eigenlijk verplicht openbaar gemaakt moeten worden zodat andere bedrijven hier op kunnen anticiperen. Ransomware aanvallen verdienen meer aandacht vanuit de overheid.

*correctie* Mijn bedrijf betreft een webhostingbedrijf wat enorm veel tijd en moeite steekt in de beveiliging, bovendien draait alles op Linux. Ondanks dat we alles (naar ons idee) goed op orde hebben zijn bedrijven in onze branche natuurlijk wel een goed doelwit, dat maakt dit dus een nachtmerrie scenario.

[Reactie gewijzigd door sterkeronline op 22 juli 2024 13:27]

barbarbar @sterkeronline • 8 november 2021 14:25

Er zijn wel bedrijven die dit openbaar maken, onder andere universiteit Maastricht en Hof van Twente heeft hun onderzoek gepubliceerd. In hoofdlijnen komen dezelfde dingen vaak naar voren:
- Ongebruikte of testaccounts met slecht wachtwoord en veel rechten, geen twee factor
- Weinig of geen netwerksegmentatie
- Admins die alles overal mogen met één account
- Geen of te weinig monitoring op verdachte activiteit in het netwerk
- Geen of te trage software updates van met name servers
- Geen of niet gescheiden backups, waardoor backups niet meer toegankelijk of bruikbaar zijn
- Meldingen die wel worden gedaan, worden niet goed opgevolgd
- Risico's worden onderschat en/of komen niet bij management aan
- Te weinig middelen voor mitigerende maatregelen
- Complexiteit en geen overzicht bij de IT afdeling
- Communicatie faalt als aanval in gang gezet wordt, omdat dit normaal via de systemen loopt die wordt aangevallen.
- Hoe te handelen bij een aanval is niet duidelijk vastgelegd, waardoor snel handelen om erger te voorkomen uit blijft

Voor een stukje achtergrond over zo'n aanval kun je ook dit artikel en de comments eens lezen: https://tweakers.net/revi...-ransomwareaanvallen.html

[Reactie gewijzigd door barbarbar op 22 juli 2024 13:27]

gamezfreak @barbarbar • 8 november 2021 16:28

Tot zo ver mogelijk is jouw lijst aardig compleet, dus hierbij een welverdiende +3

Vergeet niet dat de ransomware zich naar binnen werkt door niet alleen naar de zwakste punten (o.a. accounts met zwakke beveiliging én software updates voor server / werkstations), maar ook netwerk gerelateerd. Denk hierbij aan firewalls die te ver open zijn gezet omdat er anders te veel sites "geblokkeerd" worden of bestanden niet van een share kunnen afhalen. Maar ook switches en routers die niet bijgewerkt en dus ook niet gemanaged worden.

Dus hierbij nog mijn lijstje met fouten waardoor ransomware naar binnen kan

Firewalls die al het verkeer binnen laten, denk hierbij aan geen of onjuiste rules en geen monitoring aan
Switches die niet op de juiste manier geconfigureerd zijn; denk hierbij aan het niet gebruik maken van RADIUS en port security
Open Wi-Fi netwerken zonder enige tussenkomst van een inlogpagina c.q. zijn beveiligd met een sleutel (WPA2 / WPA3 personal / enterprise)

Je kan al heel wat dingen voorkomen door je infrastructuur op de juiste manier in te richten. Met name op netwerkgebied en dan inzoomend op de firewall. Door de firewall in te stellen dat ongebruikte poorten dichtgezet worden, voorkom je dat ransomware en andere virussen zich naar binnen werken. Maar je moet ook niet direct servers en workstations direct aan het internet hangen omdat het dan makkelijk te beheren is. Daarnaast is het zeer belangrijk om traps / logs door te sturen in geval van een breach; zoals dat er x aantal keer binnen x aantal minuten geprobeerd is om in een account te komen. Hierbij zou je bijvoorbeeld kunnen zeggen dat er een trap / log uitgestuurd moet worden als er binnen 1 minuut 10 keer geprobeerd is om in te loggen. Uiteraard i.c.m. account locking zodat er geen brute force gebruikt kan worden.

Zoals ik al vaker zeg, security en user friendly gaan nooit samen.

geeMc @gamezfreak • 9 november 2021 02:24

Je laatste zin is dan ook wat veel te vaak misgaat in de IT maar naar mijn mening ook een hele foute aanname (uitzonderingen daargelaten). Een systeem of infrastructuur hoeft helemaal niet gebruiksonvriendelijk te zijn om veilig te zijn. Vaak is het juist een slechte architectuur of implementatie van security controls die het zo maakt, zoals een belachelijk moeilijke en omslachtige password policy (e.g. teveel eisen stellen aan wachtwoorden of passwords tevaak resetten, maar dan bedenken dat 2FA geen nut heeft), het toestaan van 2FA in de eerste factor (bijvoorbeeld authenticator in de browser), het toestaan van 2FA applicaties die je account met data in de cloud opslaan, dot1x inrichten zonder EAP-TLS 'omdat certificaten te lastig werken' ,de dingen die jullie beide benoemen en nog veel meer. Nog erger is het om management systemen (zoals netwerkapparatuur, productie back-ends, rdp/ssh) te exposen aan het internet onder het mom van 'gebruikers snappen niet hoe een VPN werkt' of 'we willen geen bureaucratie, we moeten wel pragmatisch blijven!'.

Wat ik ook vaak zie zijn belachelijke eisen van managers of soms zelfs C-level waar beheerders niet tegen in durven te gaan (bijvoorbeeld als de CEO een mooie FTP server exposed aan de wereld wil hebben omdat dat handig voor hem werkt). Je zou daar als beheerder juist tegenin moeten gaan. Je werkt bij een bedrijf en je wordt betaald om mee te denken. Wat ik veelal in de praktijk zie is dat beheerders dan nee zeggen, maar de CEO zijn/haar zin toch wel doordrukt. Ik denk dat de competentie om sociaal te zijn door de gemiddelde IT'er onderschat wordt. De kunst is namelijk niet om zomaar nee te zeggen, maar om in een dergelijk geval een andere oplossing aan te bieden die dan veilig is en wel werkt voor de persoon of groep in kwestie. In enkele gevallen gaat dat inderdaad ten koste van gebruiksvriendelijkheid, maar lang niet zo vaak als jij beweert.

Laatst zei ik ook al in een ander artikel dat over ongeveer hetzelfde ging dat informatiebeveiliging bij de top hoort te beginnen, maar dat de praktijk in de meeste bedrijven anders is. Het is schijnbaar lastig om personeel te vinden dat goed genoeg in jip-en-janneke taal uitlegt dat security niet altijd tegen je hoeft te werken. Natuurlijk zijn sommige controls absoluut vervelend, maar de pragmatiek die het gemiddeld hoger management wil behouden kan vaak prima werken met een hoog niveau van beveiliging.

Maargoed, puntje bij paaltje komt dit vaak maar door één ding en dat is een gebrek aan competent personeel. IT Security opleidingen zijn te laagdrempelig en geeft de schijn dat elk persoon hier zomaar voor geschikt is. De realiteit is dat als je goed mee wil praten over de beveiliging van iets, je toch écht dondersgoed hoort te weten waar je over praat. Slechts wat theoretische kennis over cryptografie maakt je geen goede Security Engineer. Diepgaande kennis over hetgeen wat je hoort te beveiligen wel, gecombineerd met zaken als cryptografie. Het blijft een vreemd idee om iemand die vers van school komt of iemand met 5 jaar 'security ervaring' maar geen ervaringen met de architectuur, de implementatie en het beheer van een netwerk die netwerken te laten beveiligen. Beheerders zelf komen er uberhaupt op school amper mee in aanraking. Die mogen al blij zijn als ze ooit een Active Directory op mogen zetten tegenwoordig. IT opleidingen aan de beheerderskant zijn veelal een lachertje.

Ik heb in mijn carriere een hoop van die mensen meegemaakt en eigenlijk amper een goede. En dat is voor mij precies de reden waarom ik als beheerder altijd zelf heel security-minded was.

[Reactie gewijzigd door geeMc op 22 juli 2024 13:27]

Froos

@barbarbar • 8 november 2021 16:20

Het onderzoek van UvM staat zelfs incl verhandeling op Youtube. Ga dat vooral kijken.

Wat ook wel goed is om te weten: Dit is met enige regelmaat de laatste fase van een aanval. Zoals bij de Uni Maastricht bleek, zaten "de hackers' (ik heb een beetje een hekel aan die term, maar vooruit) al maanden eerder in het systeem. In hun geval en ik denk dat het in veel gevallen is, liep de aanval zo af:

De 'externen' kregen toegang tot het systeem
De 'externen' hebben maandenlang in het netwerk rondgezworven. Eenmaal binnen was lateraal bewegen niet gefilterd dus kon men overal bij, inclusief de backup systemen.
Toen de 'externen' genoeg hadden 'gezien', was de ransomware aanval de laatste klapper

De timing was daar helemaal goed gekozen: 23 december. Men kon er vanuit gaan dat er op dat moment alleen nog minimale bezetting was en men geen contract had met een Fox IT of anderen. Na de kerst kon het echte werk pas beginnen.

Plat gezegd is het een hacker het meest aan gelegen om *ongezien* toegang te behouden. De eerste handeling na het binnenkomen bij een gehackt systeem is dan ook om zo snel mogelijk 1 of 2 extra achterdeuren te openen, zodat als de initiele breach gevonden wordt, men er alsnog ongedetecteerd in kan. Na een Ransomware attack is hun aanwezigheid echter niet meer te missen.

Natuurlijk kan het zijn dat het hier alleen maar een Ransomware attack betreft. Maar vaak is er meer aan de hand.

sterkeronline @barbarbar • 8 november 2021 14:38

Bedankt, dat is nog eens een nuttige comment! =).

barbarbar @sterkeronline • 8 november 2021 14:46

Dank! Het beste advies wat ik kan geven is denk ik dat je er domweg maar vanuit moet gaan dat er altijd wel een aanvaller in je netwerk/systemen zit. En staar je niet blind op certificeringen van bedrijven, het staat of valt bij de dagelijkse manier van werken, een papieren waarheid trekt een aanvaller zich niks van aan.

Als je je netwerk/software/systemen inricht met de gedachte dat altijd en overal wel een aanvaller zit, zul je hele andere keuzes maken dan wat we vroeger op school hebben geleerd. Die aanvaller kan ook je eigen medewerker of jijzelf zijn die wat stoms doet. Er werd en wordt nog veel geleerd dat je netwerken als een kasteel bouwt, waarbij de slotgracht alle vijanden buiten houd. Maar dat is echt heel gevaarlijk als je een houten paard binnen laat...

peize9 @barbarbar • 8 november 2021 15:40

Waar kan ik me hierop beter inlezen/meer leren. Ik studeer nu NSE (network and security engineering) en wil dit toch graag goed hebben...

daredevil__2000 @peize9 • 8 november 2021 17:11

Security, IAM, privacy, enz. zijn redelijke hot item de laatste periode. Er zijn online behoorlijk wat best practices te vinden voor de basis. Helaas is er niet een alles omvattende oplossing. Daarbij maken bedrijven ook afwegingen tussen risico's en kosten.

De dingen die @barbarbar benoemt zijn een zeer goede basis en omvatten veel punten waar het toch regelmatig op mis gaat. Punten welke nog een toevoeging zijn:

Gevoelige informatie te breed delen. In sommige jaarverslagen kan je gewoon terugvinden wat de zwakheden van een bedrijf zijn. En deze jaarverslagen zijn makkelijk op te vragen.
Gebruikers met te veel rechten. Soms worden bijvoorbeeld rechten vergeten bij functie wisseling maar ook gebruikers die te veel rechten krijgen omdat het gemakkelijk is als de verantwoordelijke een keer ziek is. Of beheerders die toegang tot echt alles hebben terwijl deze toegang geen onderdeel uitmaakt van hun werkzaamheden
Geen gedegen processen voor in dienst, uit dienst of wisseling van functie
Leveranciers welke op hun blauwe ogen vertrouwd worden dat het wel voor elkaar is bij hun cloud dienst ipv een DPIA
Delen van inloggegevens met een collega
Verouderde netwerk hardware welke niet meer onderhouden wordt
Apparatuur zoals een alarm centrale, een kassa, een klimaatsysteem enz wat wel aan het netwerk hangt maar niet of niet goed beveiligd is

Kijk vooral ook eens naar het NBA normenkader waar de accountants mee werken: https://www.nba.nl/global...eiliging-januari-2019.pdf
Dit geeft je een beetje een inkijk van wat je niet alleen technisch van bedrijven zou moeten verwachten maar ook alle andere zaken welke een bedrijf weerbaar maken

Het rapport Binnen Zonder Kloppen is ook een aanrader: https://www.onderwijsinsp...n+het+hoger+onderwijs.pdf

BytePhantomX @daredevil__2000 • 8 november 2021 19:01

Alle punten die je noemt zijn ontzettend relevant. Als je echter kijkt naar hoe ransomware criminelen werken gaan al deze punten echter weinig verschil maken.

Dat is m.i. een groot punt met dit soort type raamwerken. Ze zijn goed, maar adresseren niet de technische stappen die aanvallers uitvoeren en de verdedigingen daar tegen, de punten van @barbarbar adresseren die wel.

[Reactie gewijzigd door BytePhantomX op 22 juli 2024 13:27]

daredevil__2000 @BytePhantomX • 9 november 2021 13:23

De punten zijn zeker wel relevant ook met betrekking tot ransomware. Ransomware komt niet per definitie via een gebruiker binnen. Vaak komen ze eerst gewoon binnen op het netwerk. Vanuit die positie proberen ze in kaart te brengen hoe alles in elkaar zit om vervolgens dan de ransomware in te zetten voor het plat leggen van de organisatie.

Het binnen komen kan bijvoorbeeld dmv met phishing mails het buit maken van credentionals. Maar het kan ook prima door outdated, slecht beveiligde hardware enz. Met enige regelmaat zie je dat aanbieders van kassa's, weegschalen (bijvoorbeeld die in supermarket), alarmsystemen enz wel kaas hebben gegeten van het product/de dienst die ze aanbieden maar dat ze geen idee hebben van hoe dat netwerktechnisch dan precies in elkaar zit. Je zou zulk soort aanbieders aan de voorkant al af kunnen vangen juist door een goede DPIA uit te voren.

Het NBA normenkader richt zich op alle onderdelen die je helpen om je omgeving te beveiligen. Je kan het technisch nog zo goed in elkaar hebben zitten maar de zwakste schakel kan je beveiliging onwijs beïnvloeden. Het NBA richt zich er bijvoorbeeld ook op dat je voor een gedegen awareness en training zorgt onder je medewerkers (en indien van toepassing de studenten). Daarmee wapen je jezelf niet technisch tegen de aanvallen maar zorg je er voor dat medewerkers aan de voorkant bijvoorbeeld al een phishing mail herkennen waardoor hun gegevens niet buit gemaakt kunnen worden.

Ransomware criminelen zijn echt niet meer alleen maar script kiddies. Aanvallen worden meer en meer gericht uitgevoerd en gaan veel verder dan waar jij je technisch tegen kan wapenen.

barbarbar @peize9 • 8 november 2021 16:17

Door zulke vragen te stellen ben je al een heel eind. Als je nieuwsberichten zoals dit ziet langs komen een notitie maken, en over een maand nog eens zoeken of je een rapport hierover kunt vinden. Zelf houd ik een mapje met pdf's bij van onderzoeken die zijn gepubliceerd over dit soort aanvallen.

Je kunt zoeken op "definitief-rapport-cyberaanval-universiteit-maastricht-21pj-docx.pdf", "Onderzoeksrapportage_20107-Orly_v1.0_zonder_veiligheidsgevoelige_informatie.pdf", "Rapport_van_Bevindingen_Raad_defintief.pdf",
"Te-goed-van-vertrouwen.pdf"

Die hebben betrekking op Universiteit van Maastricht en Hof van Twente aanvallen. De AIVD heeft inmiddels een aparte unit NBV, daar kun je ook info vinden.

DigitalExorcist @peize9 • 8 november 2021 16:35

Begin met inlezen over zero trust

dat is de basis van alles tegenwoordig. En er zijn nogal wat definities van..

flaskk @DigitalExorcist • 8 november 2021 16:53

Zero trust geeft wel echt heel veel meer werk, wat vaak door manager weer wordt gezien als zonde van de tijd en geld.

DigitalExorcist @flaskk • 8 november 2021 17:27

Ben benieuwd of die manager even gaat voorrekenen hoeveel deze ransomware malaise kost……

mphilipp @flaskk • 8 november 2021 17:51

Te veel werk/te duur, dat hoor je altijd over nuttige dingen. Maar bedenk eens wat het kost als je het NIET doet... Dit artikel zegt genoeg toch?

flaskk @mphilipp • 8 november 2021 19:57

Ja, dat snap ik maar gemiddelde bedrijf wordt niet door it mensen gerund....

Arhan @peize9 • 8 november 2021 22:50

Waar kan ik me hierop beter inlezen/meer leren. Ik studeer nu NSE (network and security engineering) en wil dit toch graag goed hebben...

https://www.bol.com/nl/nl/f/ilias/30008067/
Goed boek. Lees je in 1 adem uit!

DigitalExorcist @barbarbar • 8 november 2021 16:37

Denk bijv. ook aan firewalls waarbij je je hele infra aan één vendor hebt hangen. Wordt er één vendor 'gekraakt' dan ligt alles open en bloot. Een DMZ bewaak je met 2 firewalls van 2 verschillende fabrikanten, kans dat er 2 verschillende vendors één en hetzelfde lek bevatten is al kleiner.

zvbhvb @barbarbar • 8 november 2021 23:31

Dit is nu precies het probleem:

Opsommen wat je is doorgegeven tijdens de hoorcolleges.

Het is kinderlijk eenvoudig om te achterhalen wat voor software aangevallen moet worden.
Er is maar een 0day nodig om binnen te komen.

Als je voor jouw 0day zeg €300000 euro kan krijgen of je gebruikt hem met kans op miljoenen aan losgeld wat doe je dan?

Het wordt eens tijd dat er verder gekeken wordt dan de gebaande paden.

barbarbar @zvbhvb • 9 november 2021 10:50

Dit komt niet uit hoorcolleges, dit komt uit de onderzoeken die zijn gedaan. Opsommen is makkelijk, daadwerkelijk goed uitvoeren in de praktijk is een stuk lastiger.

[Reactie gewijzigd door barbarbar op 22 juli 2024 13:27]

shiftesc @barbarbar • 9 november 2021 14:45

Waar ik mij (als geïnteresseerde leek) over verbaas is dat data naar mijn idee altijd onversleuteld wordt opgeslagen, dus door iedereen te lezen. Wat is de reden dat niet alle data versleuteld wordt opgeslagen en alleen te verwerken is door geautoriseerde gebruikers. Dit houdt versleuteling door ransomware niet tegen maar wel dat data op straat komt te liggen.

barbarbar @shiftesc • 9 november 2021 15:21

Als je data wilt gebruiken, zal het niet versleuteld zijn. Praktisch gezien ondersteunen vrijwel alle database software het om de daadwerkelijke bestanden te versleutelen. Dat betekend dat iemand die alleen toegang heeft tot het bestand, er niks mee kan.

Je zou wel alles kunnen versleutelen in de database, maar uiteindelijk moeten die gegevens ingezien kunnen worden. Praktisch gezien zou dat betekenen dat gegevens versleuteld worden met een sleutel, en die sleutel dan vrijgegeven moet worden per gebruiker. Dat gebeurd in de praktijk niet, omdat van oudsher databases en programmeurs (sdk's) encryptie niet standaard gebruiken.

Heel veel mogelijkheden die een database je biedt, heb je dan namelijk niet meer. Stel je doet een vraag aan de database voor "alle klanten in België"; als alles versleuteld is, kan de database die vraag niet afhandelen. In je applicatie zou je heel moeizaam het wel kunnen opvragen omdat je dan voor elk gegeven in de database een sleutel kunt gaan vragen, maar daarmee heb je dus toch toegang tot de volledige database. Dus waarom dan nog versleutelen?

Voor specifieke doelen wordt het wel toegepast, zoals betalingsgegevens en inloggegevens, maar grootschalig alles versleutelen wil niet omdat je dan niet meer kunt werken met de data.

Groningerkoek @sterkeronline • 8 november 2021 14:16

Je kunt een paar dingen doen.

- Je systemen up to date houden.
- Eigen code goed controleren en uitvoeren.
- Goede gebruikersdiscipline.
- Goed back-up systeem.

En zelfs dan heb je geen 100% garantie. Binnen komen gebeurt echt op alle mogelijke manieren, een mailtje klikken, een USB voor je pand vinden, een zero-day in je OS etc.. etc.. en het kan er al maanden inzitten voordat je het merkt.

AtlAntA @Groningerkoek • 8 november 2021 14:24

Gebruikersdiscipline mag wel dikgedrukt en onderstreept worden wat mij betreft. Hoe vaak je wel niet hoort dat iemand in (overduidelijke) phishing mails trapt.

cariolive23 @AtlAntA • 8 november 2021 14:37

Wanneer dat zo overduidelijk phishing is, hoe kan het dan dat die email überhaupt in de mailbox terecht is gekomen?

AtlAntA @cariolive23 • 8 november 2021 16:12

Je hebt wel een punt maar om dit strak en correct te filteren is geen makkelijke taak. Ook loop je risico's dat er valide mails geblokkeerd met eventuele commerciële gevolgen.

cariolive23 @AtlAntA • 8 november 2021 16:49

Alleen al het blokkeren van hyperlinks in emails doet wonderen. En diepere analyse van deze links zou een nog veel betere bescherming bieden. Wanneer je 80% uitfiltert omdat de email op zichzelf al stinkt naar fraude en van de resterende 20% de (mogelijke) hyperlinks blokkeert, ziet het risico er al heel anders uit. Helaas is de gemiddelde mailserver zo ingesteld dat deze zich richt op het blokkeren van spam, en niet van phishing. Met als gevolg dat phishing aanvallen grotendeels niet (tijdig) worden gesignaleerd.

casberrypi @cariolive23 • 8 november 2021 17:26

Het is triviaal om een link in een mail te zetten die pas 10 minuten na het verzenden de malware toont, en daarvoor een onschuldige pagina.

Het automatisch checken van links in emails wordt veel gebruikt in de wereld van corporate IT, maar zet geen zoden aan de dijk.

batjes

Networking en security

@casberrypi • 8 november 2021 19:28

Te strenge spamfilters en zulke automatische scansystemen gaan naar mijn ervaring te vaak de werkzaamheden in de weg zitten.

Zo is exchange online best streng met de filters. Het zal je verbazen hoe gigantisch veel organisaties bv geen SPF record hebben. Mogen de gebruikers die mailtjes elke keer handmatig whitelisten. Veel organisaties die daar hinder onder vinden, whitelisten dan maar complete domeinen om van het gezeik af te zijn.

Linkjes die moeilijk doen elke keer of wel betrouwbaar zijn, maar niet in het lijstje domeinen valt dat goedgekeurd is.

Wat gebeurd er dan? "Oh stuur maar naar X adres", vaak een privé mailadres of een afdeling die een gmail/outlook adresje aanmaakt en daar ga je. Dan komt de rotzooi wel via een zijweg naar binnen.

Bijvoorbeeld: Binnen de overheid zijn IB-afdelingen vaak een beetje overijverig. Aan de ene kant totaal begrijpelijk, aan de andere kant zie je vooral bij de overheid dat er heel veel gebruik gemaakt wordt van 'privé' mailadressen voor zakelijke correspondentie.

cariolive23 @casberrypi • 8 november 2021 20:01

Waarom zou je de link checken? Gewoon geen linkjes in emails toestaan, zeker niet in emails waarvan je de afzender niet (goed genoeg) kent.

Al dit soort infecties ontstaan door de policy van "alles open", niet door een "alles dicht, tenzij" beleid.

casberrypi @cariolive23 • 8 november 2021 20:36

Omdat linkjes dan blind gecopy-paste gaan worden door gebruikers, of erger: Ze gebruiken hun hotmail omdat de corporate mail zuigt.

Zijn Lotus Notes en Novell Groupwise trouwens al dood?

Madshark

@cariolive23 • 8 november 2021 18:55

Sinds enige tijd verpakken ze de linkjes in PDF bestanden, die op hun beurt weer in een zip archief kunnen zitten.
Het blijft een kat en muis spel, waarvan de muis (het slachtoffer) maar 1 fout hoeft te maken om te verliezen.

cariolive23 @Madshark • 8 november 2021 19:58

Allemaal klassiekers sinds het ontstaan van malware, dus dat "sinds enige tijd" is al tientallen jaren aan de gang. Of het nou Word, PDF of iets anders is waarin de malware verpakt zit, het is gewoon een herhaling van zetten en allemaal afhankelijk van de nieuwsgierigheid van de lezer.

RobbieB @AtlAntA • 8 november 2021 14:53

Victim shaming...

Je moet er gewoon altijd vanuit gaan dat dit gebeurt en zorgen dat je goede detectie en response maatregelen hebt voor als dit het geval is.

Als je als bedrijf niet in staat bent om een Cobaltstrike aanval binnen 10s op je netwerk te detecteren kun je je er 100% zeker vanuit gaan dat je nat gaat...

batjes

Networking en security

@RobbieB • 8 november 2021 15:16

Toch zijn veruit de meeste hacks toe te schrijven aan gebruikersfouten.

Victimshaming is 1 ding. Maar de veiligheid van je bedrijf is bijna volledig afhankelijk van hoe goed je personeel weet om te gaan met de systemen.

Jeroen73 @batjes • 8 november 2021 15:28

Gebruikersfouten of is het ICT die niet in staat is (door wat voor oorzaak dan ook) een veilige en toch werkbare werkomgeving te creëren voor iedereen die met de computer moet werken? Het voorbeeld van ziekenhuizen wat vaak naar voren komt: ik heb liever dat het personeel daar goed is in het genezen van patiënten dan dat ze allemaal ICT vaardig genoeg zijn om digitale aanvallen af te kunnen slaan...

batjes

Networking en security

@Jeroen73 • 8 november 2021 19:20

Ja je hebt gelijk dat ze zich primair moeten focussen op zorgverlening. Neemt niet weg dat IT zo in onze samenleving doorgedrongen is, dat een beetje basiskennis er ook gewoon bij hoort.

Ze hoeven geen IT experts te zijn en fouten maakt iedereen. Maar je kunt zo ontzettend veel ellende voorkomen door de gebruikers een beetje op te voeden.

Het kan al zo simpel zijn als dat bij een beetje argwaan, je een mailtje eerst maar even doorstuurt naar je ICT afdeling. Het grootste gedeelte van de rotzooi via bijlages of linkjes kan je daarmee al tackelen.

Als alle security van je IT af moet komen, dan gaat de security al heel snel de werkzaamheden in de weg zitten. Het moet van beide kanten komen.

locke960 @batjes • 8 november 2021 16:31

Mensen zijn nu eenmaal zoals ze zijn. Zelfs de meest intelligente, consciëntieuze mens maakt fouten. En waarschijnlijk zelfs vaker dan we toe willen geven.

Als je dat weet, en je beveiliging is desondanks afhankelijk van menselijk gedrag, dan deugt je beveiliging niet. En dat is helaas de huidige staat van de IT, mogelijk gemaakt door 30 jaar collectief functionaliteit boven veiligheid te plaatsen.

[Reactie gewijzigd door locke960 op 22 juli 2024 13:27]

AtlAntA @RobbieB • 8 november 2021 16:10

Heeft niks met victim shamen te maken. De gebruikers/medewerkers zijn niet het slachtoffer. En ook zijn ze niet direct schuldig. Het bedrijf heeft de verantwoordelijkheid om haar medewerkers daarin voor te lichten en op te leiden. Er zijn zat bedrijven die dat wel redelijk goed maar ik zie ook daar regelmatig medewerkers die dat totaal niet serieus nemen. Wat moet je dan verder nog doen?

ikbentochniegek @AtlAntA • 8 november 2021 14:50

Bij ons bedrijf moeten we periodiek een cyber security training volgen.
Zaken als phising, maar ook het droppen van een USB stick voor de deur of tailgaten passeren de revue.
Vervolgens krijgen we regelmatig nep fishing mails als controle om te checken of je eventueel op een link klikt en in de val trapt. Trap je erin dan mag je direct de cyber security training opnieuw volgen.

AtlAntA @ikbentochniegek • 8 november 2021 16:13

Dat is erg netjes!

Polderviking

@AtlAntA • 8 november 2021 14:28

Ik denk dat er eigenlijk gewoon gestopt moet worden met het fenomeen mail attachment...

Gebruikers kan je trainen tot je een ons weegt maar op het moment dat er op een automatische piloot gewerkt wordt, wat je in diverse gebieden nogal snel hebt, is zo'n fout klikje snel gemaakt.

Zeker in een bestaande mailwisseling die gegijzeld wordt waarin alles gewoon legit lijkt.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:27]

ODF @Polderviking • 8 november 2021 14:43

En linkjes in mail berichten. Of laten we gelijk binnen mail helemaal de toegang tot het internet blokkeren.

Polderviking

@ODF • 8 november 2021 15:05

helemaal de toegang tot het internet blokkeren

Ik ben voor.

AtlAntA @Polderviking • 8 november 2021 16:15

Eens. Helaas gebeurt het phishing ook steeds vaker via zoom, teams, skype etcetera. Het is soms verbazingwekkend hoe ver phishers (is dat een woord?

) gaan als ze denken dat er wat te halen valt. Tot aan deepfakes toe. Erg knap maar wel verontrustend.

BaBy-G @AtlAntA • 8 november 2021 17:46

Hackers en scammers staan helaas ook niet stil. Waar vroeger de phising-emails nog vol stonden van de spel- en grammaticafouten, zijn vele van deze vandaag de dag vrijwel niet van echte te onderscheiden

InputUsername @BaBy-G • 8 november 2021 20:33

Het punt van spelfouten is juist filteren: mensen die oplettend genoeg zijn om spel- en grammaticafouten op te merken, zullen toch minder geneigd zijn te vallen voor een phishing-aanval, terwijl mensen die de spelfouten niet doorhebben, waarschijnlijk ook minder oplettend zijn en dus sneller in een nepmailtje trappen.

https://security.stackexc...nd-grammar-mistakes#96154

mphilipp @AtlAntA • 8 november 2021 17:56

Maar het is niet altijd 'dom' van de gebruiker om dat mailtje te openen. De aanvallen worden steeds geraffineerder. Het is niet altijd meer die mail die je van een kilometer afstand herkent als nep. Als een onverlaat het op jouw bedrijf heeft voorzien, kan ie uitvogelen wie jouw klanten of partners zijn en dan laten we zeggen een nieuwsbrief sturen van zo'n bedrijf. Dan is het niet meer zo dom als je zo'n mail opent, want het is van een bekend bedrijf. Afkomst spoofen is een truukje dat elke hackert wel kent ondertussen, en als je het goed doet, zit er ook helemaal geen malware in die mail, alleen de instructies om het op het Malwarehouse op te halen (in een PDF bijvoorbeeld). Dat zou een goede firwall tegen moeten houden, maar goed...dat is vers 2. En zijn vele manieren om iets af te leveren waarmee je later toegang kunt krijgen tot het systeem.

batjes

Networking en security

@mphilipp • 8 november 2021 19:40

Wat ook gebeurd is, zoals ik recent tegenkwam, dat een bekende partij waar zaken meegedaan wordt. Een betrouwbare partij, waarvan je verwacht dat ze de zaken wel goed op orde hebben door de branche waar ze in zitten... Zelf gehacked was en troep begon rond te sturen.

Als die partij gehacked wordt, de aanvallers zijn een beetje goed met het grasduinen, dan weten ze makkelijk volgende slachtoffers te vinden. Het kan zo simpel zijn als zien dat er een vraag binnenkomt om document X of bestandje Y even terug te sturen, waar de aanvaller dan tussen gaat zitten.

De organisatie waar ik nog voor werkte, is toch wel hoog opgeleid en veiligheid is een beetje de kern van hun bestaan.... We zijn als ITers op verscheidene locaties toch behoorlijk druk geweest met het wipen van laptops en pc's.

Daar trappen 99% van de gebruikers gewoon keihard in. De meeste Tweakers zullen daar ook in trappen.

[Reactie gewijzigd door batjes op 22 juli 2024 13:27]

B00st3r @Groningerkoek • 8 november 2021 14:24

Een USB voor je pand vinden? Wat betekent dat?

sidohoi @B00st3r • 8 november 2021 14:26

Letterlijk een USB voor het kantoorpand vinden en in een werkcomputer drukken omdat je benieuwd bent wat er op staat.

kr4t0s @sidohoi • 8 november 2021 14:45

Dat heet een Rubber Ducky (attack).

https://hak5.org/products/usb-rubber-ducky-deluxe

Wordt in ook in Mr.Robot serie gedaan. Wordt ook wel eens gedaan door red-teams bij pen-testen. Zelf 1x meegemaakt bij groot chemie bedrijf, lagen er tig USB-sticks op de parkeerplaats.

[Reactie gewijzigd door kr4t0s op 22 juli 2024 13:27]

Cis @kr4t0s • 8 november 2021 16:14

nieuws: Hackers strooiden usb-sticks met spionagesoftware bij DSM

Niks geheims aan

Dennisdn @kr4t0s • 8 november 2021 19:22

Mooier nog: ik doe audits o.a. bij een bedrijf dat dergelijke testen doet. Die vertelde mij dat als de hele week tesen hebben gedaan en is gebleken dat het bedrijf "potdicht" lijkt te zitten ze standaard de USB-rondstrooi actie doen op bijvoorbeeld de medewerkers-parkeerplaats. En dat ze, hoe dicht het bedrijf ook zit, vrijwel áltijd daarmee alsnog binnen komen.

reneflo @sidohoi • 8 november 2021 14:49

Misschien overbodig, maar gezien het niet direct begrepen werd, het gaat dus (in de meeste gevallen) om USB-sticks. Een protocol kan je natuurlijk niet vinden. Al kan je ook wel binnenkomen met besmette toetsenborden bijvoorbeeld gebeurt dat denk ik wel minder.

SuperDre @sidohoi • 8 november 2021 15:39

Achja, als zelfs Q in James Bond Skyfall zoiets doms doet........

Verwijderd @B00st3r • 8 november 2021 14:28

Er bestaan mensen die ransomware of dergelijke software op een USB zetten. Deze USB laten ze dan ergens vallen voor een pand. In de hoop dat iemand hem meeneemt, insteekt en zo de PC infecteert. Waardoor de hacker bijvoorbeeld remote acces kan krijgen tot de machine.

vacuumcleaner @B00st3r • 8 november 2021 14:29

Dit valt onder Social Engineering. In dit geval vindt een medewerker een USB stick, is nieuwsgierig wat erop staat en stopt deze in zijn werklaptop met alle gevolgen van dien.

vtwin-mo @B00st3r • 8 november 2021 14:32

Bij ons zijn per definitie alle USB poorten van de computers geblokkeerd. Enkel een USB-stick verstrekt door het bedrijf kan gebruikt worden, maar dan ook enkel bij sommige vrijgegeven systemen.
Mocht je nu deze in handen krijgen en de "eigenaar / gebruiker" heeft verzuimd het verlies door te geven aan ICT kun je een lelijk virus planten.

batjes

Networking en security

@vtwin-mo • 8 november 2021 19:49

Vertrouw daar niet volledig op.

BadUSB en andere exploits banjeren zo een PC binnen. Al zijn er tegenwoordig wel oplossingen die op microcontroller-niveau kunnen whitelisten. De meeste USB-whitelists werken op OS niveau en dan is het te laat.

sOid @B00st3r • 8 november 2021 16:07

Ik raad je aan Mr. Robot te kijken, dan wordt het antwoord je vanzelf duidelijk

wica @B00st3r • 8 november 2021 16:17

Een USB stick hoeft niet altijd alleen maar een data drager te zijn. Kan zich naast data drager ook voordoen als welk ander device zoals een toetsenbord, netwerk kaart etc. Eigenlijk zijn de mogelijkheden oneindig.

D3F @Groningerkoek • 8 november 2021 14:38

Een backup-systeem is inderdaad een goede, maar je weet nooit wanneer de ransomware zijn weg naar binnen heeft gevonden. Als jij herstelt naar een backup van een maand terug, weet je nog niet zeker of het virus toen al aanwezig was maar in ‘slaapstand’ stond.

Ik denk dat ‘opvoeding’ van gebruikers inderdaad het beste remedie is.

Zeebaard @D3F • 8 november 2021 14:51

Een backup hoeft niet persé een systeem backup te zijn. Je kunt een server via een nieuw proces schoon opbouwen maar wel je database uit die backup restoren. Zelfs al kom je erachter dat het systeem in je backup al geïnfecteerd is dan nog heb je de mogelijkheid om alleen de tabellen uit de database te halen die je echt niet kunt missen. In relatie tot ransomware is een gescheiden backup / offline backup onmisbaar. Uiteraard moet je wel nagaan of data nog integer is... Daarnaast heb je tijd nodig om systemen weer online te brengen. (maar je bent je data niet kwijt)

Opvolger @sterkeronline • 8 november 2021 14:47

Uitzetten van oude protocollen (SMBv1 SMBv2), NTLM (pass the hash) ssh key op ed255519 ipv oude methodieken. Kijk een naar hardening van je machines. (CIS). Draai in je k8s-cluster alleen root-less images (zorg ervoor dat deze alleen werken). Net als prive, geen herhalende wachtwoorden, geen wachtwoorden welke te onthouden zijn (simpel zijn). verander je wachtwoorden van NPA (Non Persons Accounts) regelmatig... (automatiseer dit, anders is het geen doen).

Als het dan wel mis gaat, zorgen dat je dit in orde hebt:
Backups buiten je eigen netwerk parkeren, wat geparkeerd word laten backup-en (offline).
Uitrol van je landschap geautomatiseerd het (dus test) met je backups. (minimaal 1x per jaar)
Zorgen dat de uitrol welke je geautomatiseerd hebt, mee loopt met je backups. (git mirror en daar dus een nachtelijke backup van + offline).

Maar dat kost veel geld, en het gaat allemaal toch goed... we moeten winst maken geen kosten.... en als het dan mis gaat... dan is het te laat.

sniper20 @Opvolger • 8 november 2021 16:02

Geen wachtwoorden die te onthouden zijn ? Wat wil je dan. Dat gebruikers de wachtwoorden noteren ?

jhnddy @sniper20 • 8 november 2021 16:13

Noteren lijkt me een uitstekend idee. Maar dan wel digitaal - encrypted in een wachtwoordmanager bijvoorbeeld (KeePass?). De gebruiker hoeft dan maar 1 wachtwoord te onthouden (die hij nergens anders online gebruikt) terwijl het lekken van een van zijn wachtwoorden dan maar 1 systeem kwetsbaar maakt.

barbarbar @sniper20 • 8 november 2021 16:20

Geen wachtwoorden, maar dat word nog vrijwel nergens echt ondersteund. Wachtwoordmanagers, hardware tokens zoals yubikeys, Windows Hello met bitlocker en pincode, vingerafdruk om in te loggen (bijvoorbeeld Microsoft account ontgrendelen met je smartphone vingerafdruk). Dat soort dingen voorkomt echt een hele hoop aanvallen.

Zelf heb ik bitwarden in gebruik (prive), het wachtwoord van de kluis is twee dingen: een vrij simpel stukje weet ik, een stuk doet de yubikey voor mij invullen. Vervolgens is de yubikey ook gekoppeld als tweede factor. Dus zonder fysieke sleutel, plus het stukje wat alleen ik weet, kom je er niet in. Bitwarden staat vervolgens altijd ingelogd op m'n laptop, ontgrendelen via vingerafdruk met Windows Hello. Dan hoef ik dus nooit meer ergens een wachtwoord in te voeren of te onthouden, en ben ik ergens anders kunnen ze mijn wachtwoord ook niet afkijken. Ook de yubikey stelen heeft geen zin. En de laptop ook niet, want die heeft bitlocker met pincode.

[Reactie gewijzigd door barbarbar op 22 juli 2024 13:27]

amyor @barbarbar • 8 november 2021 21:48

Vertel verder, vertel verder...

RedCellNL @barbarbar • 8 november 2021 22:43

Hoe kan je je Yubikey als deel van het master password inzetten?
Dat is bij mij een reeks tekens die steeds wijzigd.

Of bedoel je, het eerste wachtwoord is simpel en de tweede stap is de Yubikey validatie.

[Reactie gewijzigd door RedCellNL op 22 juli 2024 13:27]

barbarbar @RedCellNL • 9 november 2021 10:47

De yubikey 5 kun je instellen met een vast wachtwoord. Heb nu bij kort drukken de 2fa en bij lang drukken een vast ww die puur en alleen voor de wachtwoordmanager is.

Linkje: https://www.yubico.com/resources/glossary/static-password/

[Reactie gewijzigd door barbarbar op 22 juli 2024 13:27]

Teigetje! @sniper20 • 8 november 2021 16:25

Er staat ook tussen haakjes (simpel zijn) zoals naam van je huisdier of naam en verjaardag van een familielid, welkom123 etc... Ik kan mijn ww van de zaak onthouden maar die is op geen enkele manier voor de hand liggend en is echt een reeks letters,cijfers en symbolen.
Veel gebruikers zijn te gemakzuchtig om zich echt sterke wachtwoorden eigen te maken

SuperDre @Opvolger • 8 november 2021 15:42

Tja, vanuit iemand die niet de rekening hoeft te betalen is het altijd makkelijk praten natuurlijk. Maar als de kosten hoger zijn dan de inkomsten, tja, dan wordt het toch wel een simpele keuze. Naast dat kleine bedrijven vaak niet de kennis hebben om zulke zaken uit te voeren, en mijn ervaring met verschillende externe is dat die er vaak zelf ook de ballen verstand van hebben, want tja, jij kunt het toch niet controleren omdat jij er nog minder van weet.

Polderviking

@sterkeronline • 8 november 2021 14:19

Ik heb hier ook al meermaals over geklaagd maar dat schijnt juridisch allemaal haken en ogen te hebben.
Je krijgt nooit details met dit soort shit.
Dus je hebt ook geen attack vector om tegen je eigen omgeving aan te houden en ik vind dat ook jammer.

Maar even verderop lees ik iets over 3100 Windows server dus het zal er wel dik in zitten dat er ergens iets van remote desktop, al dan niet per abuis, aan het internet hing ofzo.
En vaak komt dit nog gewoon per mail binnen.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:27]

Palm_freemium @Polderviking • 8 november 2021 14:46

Ik heb hier ook al meermaals over geklaagd, maar dat schijnt juridisch allemaal haken en ogen te hebben.
Je krijgt nooit details met dit soort shit.
Dus je hebt ook geen attack vector om tegen je eigen omgeving aan te houden en ik vind dat ook jammer.

Vraag je even af hoe nuttig die informatie is.

Veel van de hacks die plaatsvinden gebeuren vanwege laksheid, achterstallig onderhoud, onwetendheid en infectie zal grotendeels automatische verlopen door een botnet/virus of dergelijke. Het merendeel kan worden voorkomen worden door simpele oplossingen als updaten, gebruikers trainen en alles afschermen met een global firewall. Aan de andere kant zitten de gespecialiseerde hacks. Iemand besluit bij jouw naar binnen te willen en is bereid hier weken/maanden in te steken. Dit is allemaal handwerk en word per aanval afgestemd op het doelwit. Afgezien van dat bedrijven even met de billen blootgaan heeft deze informatie voor iemand anders weinig nut.

Daarnaast zijn er genoeg manieren om je netwerk automatische te testen en mocht dat niet voldoende zijn kun je altijd nog een specialist inhuren om je netwerk te testen, dit kan zo ver gaan als je zelf wilt van pentest tot social engineering.

wigwam @Palm_freemium • 9 november 2021 16:27

Ik lees vaak dat er bedrijven zijn om de ICT infrastructuur te laten testen. Ik zie alleen "nooit" bedrijfsnamen staan.. Wat is een betrouwbaar bedrijf? Wat testen ze dan? Is hier bijvoorbeeld ook een soort certificering voor?

Palm_freemium @wigwam • 10 november 2021 13:51

Onder andere KPN bied pentest services: https://www.kpn.com/zakelijk/security/pentest.htm
IP4sure is ook geen onbekende: https://ip4sure.nl/

Naar mijn weten is er geen certificering, vaak word er wel aangegeven dat ze de OWASP top tien testen, maar dat zegt alleen iets over het testen van webapplicaties.

Een goeie pentester zal eerst met je rond tafel willen zitten om duidelijk te maken wat je getest wil hebben, gaat het om je website, kantoor netwerk of de apparatuur die in de fabriekshal staat. Vaak bespreken ze hier ook welke technieken ze allemaal kunnen gebruiken en maken ze afspraken wat wel/niet mag worden gedaan om binnen te komen.

Daarna volgt wat voor test wil je laten doen;
- Black box, ze weten niets over het systeem en proberen in te breken.
- White box, ze hebben alle informatie over de systemen en gaan op zoek naar zwakke plekken.

Vaak beginnen ze met een security scan, hierbij gebruiken ze geautomatiseerde tools om een scan te maken van je netwerk of webapplicatie. En alles wat de tool vind gaan ze verder onderzoeken.

Uiteindelijk zullen zij met een rapport komen, hierin staan hun bevindingen en hoe ze getest hebben zodat je het kunt herhalen. Dit kun je voorleggen aan je hosting partij of netwerk beheerder en zij zullen die problemen moeten adresseren.

wigwam @Palm_freemium • 11 november 2021 18:24

dank je wel voor de reactie

mutsje @sterkeronline • 8 november 2021 14:19

Dat is meestal een phishingmail en dan gaan ze onderwater verder op dat systeem op zoek naar gaten.

Karimpje @sterkeronline • 8 november 2021 14:29

Door gewoon een beetje onderzoek te doen, NCSC.nl in de gaten houden, je security in orde hebben en houden, medewerkers een security awareness training verplicht te laten volgen, regelmatig herhalen, steekproeven uitvoeren en kijken hoe "fit" de organisatie is, eventueel een Security Officer (deeltijd) aannemen, die je vertelt wat je allemaal kan doen (adviseren waar je gevaar loopt) etc.

Feitelijk gebeuren de meeste aanvallen, door menselijk falen. Medewerkers die onbewust ergens (email of bestanden) op klikken of een USB-stick vinden en op het netwerk aansluiten etc.

Feitelijk wat hier staat is security hoog op de agenda zetten en het niet wegwuiven als geldverspilling.

dimyke @sterkeronline • 8 november 2021 14:45

Je zou ervan verschieten hoeveel winkels en in het algemeen bedrijven nog met Windows XP en andere ver verouderde soft- en hardware werken.
Soms gebeurt het wel eens dat je in een winkel staat en de systemen net zijn uitgevallen. Dan moeten die herstart worden en dan zie je daar plots een Windows XP logo tevoorschijn komen.
Dit gebeurt voor PoS systemen of kiosks.
En zelfs buiten die systemen zijn er nog bedrijven (ik ga geen namen noemen) die nog meerdere Windows XP's hebben draaien als server. Ik heb vorig jaar zelfs nog Windows 95/98 gezien die als server draaiden...
Die hebben dan wel geen internet connectiviteit maar toch...

Wat je ook vaak ziet is dat bedrijven wachtwoorden tegen de sterren op hergebruiken en verdelen onder de IT-mensen.
Wachtwoorden die root toegang geven tot een heleboel zaken waar je echt wel damage mee kunt doen.

Tot slot is er vaak een laks update beleid in het algemeen. Vaak is er geen update beleid voor bedrijven en als het er is (voor grotere ondernemingen bv) dan duurt het vaak weken voor het op productie geraakt.
Immers moet je eerst dev testen, dan QA, dan pre-prod en dan pas prod (of god weet hoeveel tussen omgevingen bedrijven kunnen hebben). Tussen elke omgeving zit dan weken al dan niet maanden alvorens naar de volgende fase te gaan.

Dus je ziet met regelmaat enorme laksheid bij grote bedrijven als is dat niet altijd slecht bedoeld maar ik verschiet er dus niet van dat zulke ransomware aanvallen op deze schaal kunnen plaatsvinden.
Er zullen er ook nog veel volgen als je het mij vraagt want het kost ook gewoon gigantisch veel geld om alles te vernieuwen of up-to-date te houden. En zeg nu zelf, het blijft een lucratieve business want ik ben er zeker van dat MM gewoon gaat betalen voor te decrypten.

freakandel @dimyke • 8 november 2021 15:05

Ik heb ooit bij een grote landelijk bekende retailer gewerkt (inmiddels failliet) die de POS-software voor de 60+ filialen op één standalone machine op Windows95 brandde en vervolgens werden gedistribueerd naar de winkels. In één dag alle filialen op zwart tijdens Chernobyl virus-uitbraak. Wat bleek: omdat de stand-alone machine niet op het internet was aangesloten was de antivirus en windows niet (goed) geüpdate en daardoor bleef het virus ongemerkt. Stand-alone betekent dus niet dat je geen risico loopt!

Havelock @sterkeronline • 8 november 2021 14:56

Kijk even deze aflevering van Zembla dan
daar geven aan dat hele basale dingen gewoon niet op orde is aan beveiliging helaas….

https://www.npostart.nl/zembla/07-10-2021/BV_101405031

[Reactie gewijzigd door Havelock op 22 juli 2024 13:27]

Bruin Poeper @sterkeronline • 8 november 2021 15:31

Ransomware is de allergrootste nachtmerrie voor mijn bedrijf,...

bovendien draait alles op Linux.

Zijn niet juist de hackers dol op Linux? Ik zie vaak dat 'geknutsel' juist ontwikkeld worden op Linux.

Exorcist @Bruin Poeper • 8 november 2021 16:04

Ontwikkeld worden op en voor zijn twee verschillende zaken

Tintel

Economie en maatschappij

@sterkeronline • 8 november 2021 14:32

Waarom moet de overheid dit regelen? Je vraagt de politie toch ook niet om je huis van sloten te voorzien?

En van een ander bedrijf horen hoe de inbraak heeft plaatsgevonden is meestal toch een tikkie teveel inside information. Kan zomaar zijn dat het probleem (=slecht beveiligde ingang) nog steeds bestaat.

Dus waarom moet dat verplicht openbaar worden gemaakt?

Polderviking

@Tintel • 8 november 2021 14:40

Je vraagt de politie toch ook niet om je huis van sloten te voorzien?

Nooit gehoord van het politiekeurmerk veilig wonen?

Retrospect @Polderviking • 8 november 2021 14:43

Dat is een keurmerk en het enige wat het je oplevert is soms korting op de verzekering. Het is niet zo dat de politie huis gaat voorzien van nieuw hang en sluitwerk.

Tintel

Economie en maatschappij

@Retrospect • 8 november 2021 15:29

(wilde ik ook net roepen)

sterkeronline @Tintel • 8 november 2021 14:42

Omdat dit vitale nationale infrastructuur kan betreffen. Dat mag echt wel op steun van de overheid rekenen.
Het is nu een webshop, maar het kan net zo goed een verzekeringsbedrijf of webhostingbedrijf zijn, dat heeft al een stuk meer impact.

Tintel

Economie en maatschappij

@sterkeronline • 8 november 2021 15:32

net zo goed een verzekeringsbedrijf of webhostingbedrijf

grapje zeker? Alsof dat cruciale bedrijven zijn....

Er gaan pas levens verloren als een ziekenhuis geen elektriciteit meer krijgt of luchthavens.

We willen niet dat de overheid zich overal mee bemoeit maar wel als het ons uitkomt...

sterkeronline @Tintel • 8 november 2021 15:44

Dat zijn zeker cruciale bedrijven. Verzekeringsbedrijven omdat hier veel vertrouwelijke gegevens staan opgeslagen, webhosting bedrijven omdat hier vertrouwelijke gegevens van tien/honderdduizenden bedrijven staan opgeslagen. Dat jij niet in ziet dat dergelijke bedrijven als vitaal voor onze economie gezien moeten worden laat zien dat je vrij blind bent van de moderne samenstelling van onze infrastructuur en economie.

Tintel

Economie en maatschappij

@sterkeronline • 8 november 2021 16:13

Welke vertrouwelijke gegevens staan dan bij de verzekeraar - die niet ook bekend zijn bij FB (gekscherend gesteld) ? In weet dat we in deze wereld zijn gaan geloven dat verzekeraars heel belangrijk zijn maar dat beeld hebben ze vooral zelf gecreeerd.

En dan nog: jij denkt toch niet serieus dat de boel instort als bekend wordt waar jij verzekerd bent??? Of dat je niet verder kan als jij de verzekeraar niet kan bellen voor een polismutatie? Of de verzekering moet vragen of onderdeel X verzekerd is in jouw pakket?

Curciaal is wat anders. Als de systemen van verzekeraars/webhosting tijdelijk off line zijn (en dat kan best even duren) - dan is er helemaal niets ernstigs aan de hand.

Ik denk eerder dat jij teveel leeft met de notie dat alles direct moet gebeuren maar ondanks dat zaken sneller gaan is dit nog steeds niet noodzakelijk.

Vitaal voor de economie - ja maar niet per direct. Zelfs als we even geen produkten kunnen afhalen/kopen bij de MediaMarkt gaat het leven (gelukkig) nog gewoon door.

sfc1971 @Tintel • 8 november 2021 16:48

Eh... https://www.politiekeurmerk.nl/pkvw-voor-gemeenten/ je argument houdt geen water, politie installeert geen sloten maar geeft wel degelijk specifiek advies.

En geeft zelfs een keurmerk af voor slotenmakers. https://www.politiekeurme...voor-louche-slotenmakers/

Tintel

Economie en maatschappij

@sfc1971 • 8 november 2021 17:21

Ha, die foute slotenmakers zijn (dacht ik) een resultaat van de noodzaak dat je een erkende (dus niet DIY) slotenmaker moet gebruiken vanwege het keurmerk. Beetje omgekeerde wereld.

Maar goed - idd. Hierin staat de overheid de burger dus bij. Als je de politie als overheid ziet - feitelijk is het een uitvoerend orgaan die op eigen initiatief dit is gaan doen omdat ze inbrekers niet goed kunnen tegenhouden. En vervolgens ontstaat daar weer iets nieuws: malifide slotenmakers.

Maar het blijft krom: de politie heeft als taak dus mensen veilig te houden en die geeft dus het advies je huis 'dicht te spijkeren' (wat haaks staat op de gebruikerswens en de uitgangs situatie). Ramen die open kunnen om te kunnen luchten moeten dicht. Lage dakgoten (zo door de gemeente bepaald) zijn een risico voor inbraak.
En vervolgens zegt de politie: "als ze echt naar binnen willen komen ze toch wel binnen, je kan ze alleen vertragen"
Daarom is die aanpak niet juist cq. voldoende. Dat blijft dweilen met de kraan open. Het is blijkbaar lucratief om als inbreker te werken. En de pakkans is gering. Allemaal zaken waar de overheid/politie aan moet werken.

Daarom ben ik sceptisch m.b.t. de overheid die gaat helpen. Zeggen dat je moet oppassen en beter moet beveiligen gaat dit niet oplossen. Het probleem ligt dus bij de pakkans/winstkans. En eigenlijk ligt het probleem nog verder; namelijk dat arm en rijk te ver uit elkaar liggen waardoor steeds meer criminaliteit zal ontstaan.

Berlinetta @sterkeronline • 8 november 2021 14:28

Een alsnog zijn er dan bedrijven, die zich er niks van aantrekken en denken dat er niks gebeurd.

novasurp @sterkeronline • 8 november 2021 14:29

Gebruik geen Windows en maak back-ups op losse schijven, dan kom je al een heel eind met schade voorkomen.

Ge Someone @sterkeronline • 8 november 2021 15:08

hoe zo'n aanval nou precies plaatsvind en hoe de criminelen binnen zijn gekomen, dergelijke info zou eigenlijk verplicht openbaar gemaakt moeten worden

Als je hier teveel details over geeft help je weer andere criminelen (aha doen ze dat zo). Dus je kunt alleen in algemene termen adviseren. Maar houd sowieso nieuws over softwarelekken bij en patch die software als je die gebruikt, en instrueer het personeel om nooit hun wachtwoord aan iemand te geven of ergens in te geven op verzoek.

wigwam @sterkeronline • 8 november 2021 15:15

precies en duidelijk omschreven

Deel de oorzaak als bedrijf..

Verwijderd @sterkeronline • 8 november 2021 18:09

Ransomware is de allergrootste nachtmerrie voor mijn bedrijf, dat zou het voor meer bedrijven moeten zijn.
Ik wil heel graag weten hoe zo'n aanval nou precies plaatsvind en hoe de criminelen binnen zijn gekomen, dergelijke info zou eigenlijk verplicht openbaar gemaakt moeten worden zodat andere bedrijven hier op kunnen anticiperen. Ransomware aanvallen verdienen meer aandacht vanuit de overheid.

*correctie* Mijn bedrijf betreft een webhostingbedrijf wat enorm veel tijd en moeite steekt in de beveiliging, bovendien draait alles op Linux. Ondanks dat we alles (naar ons idee) goed op orde hebben zijn bedrijven in onze branche natuurlijk wel een goed doelwit, dat maakt dit dus een nachtmerrie scenario.

Praktijkvoorbeeldje van mijn kant. Security redelijk goed op orde, overal MFA afgedwongen op onze diensten etc echter 1 groot gat, Webmail van derden is niet geblokkeerd. Mevrouw krijgt op privé mail een mail die ze via haar zakelijke laptop opent via Gmail webinterface. Mevrouw heeft niet in de gaten dat het om een dubieuze mail gaat, ziet een nette mail, met een factuur als word document bijgevoegd. Word document is zelf de ransomware of is het middel dat de ransomware download/installeert. Op dat moment geen virusscanner actief die scant op verdacht gedrag, gewoon een ouderwetse virusscanner dat virussen tegen een virusindex aanhoud om te matchen. Het programmaatje dat de encryptie doet wordt niet als virus/verdacht aangemerkt. Mevrouw had een drivemapping naar een gedeelde share in een datacenter. Omdat ze daar lees/schrijfrechten heeft, heeft de encryptiesoftware die inmiddels onder haar naam draait hier ook toegang tot en begint vrolijk het encryptieproces op alles waar ze rechten tot heeft.

Wij habben al behoorlijke spamfilter/virusscanner IN onze datacenters/online omgeving. Echter, gezien het om privé gmail ging, deed onze spamfiltering daar uiteraard helemaal niets mee.

Direct na signalering mail van derden dichtgezet en een virusscanner geïmplementeerd dat verdacht gedrag monitort en niet alleen met ouderwetse virus indexen werkt. Inmiddels hebben we vertrouwen genoeg in de virusscanner(na diverse tests) om mail van derden weer toe te staan.

Ge-encrypte boel gewoon verwijderd, we hebben een goede back-up tot ons beschikking. nauwelijks tot geen dataverlies geleden. Hadden we geen degelijke backup, dan was er tonnen aan schade.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 13:27]

onno oliver @sterkeronline • 8 november 2021 18:32

Googel heeft aan alle medewerkers de zgn Titankey verstrek na diverse incidenten.
Dit is een zgn Hardwarekey voor twee factor authenticatie waardoor het stellen van admin acounts of het verhogen (root) rechten lastig is.

Geef er zelf ook de voorkeur aan om op deze manier root te worden op mijn linux bak gewoon om dat het kan.

Verder heb ik vernomen van een aantal buitenlandse admins dat zij "deals" zouden hebben met criminelen zou mogen mijnen en houden anderen buiten de deur. Niet ideaal maar het zo dus ook.

Milou_Eline @sterkeronline • 9 november 2021 09:57

De grootste uitdaging is en blijft (helaas) de gebruiker.

De methodes worden niet per definitie geavanceerder, ze worden door middel van onder andere social engineering zo persoonlijk gemaakt. Dan lijkt het dusdanig legitiem, klik en boem de ellende komt zo je datacenter inrollen.

Tot een zekere mate is er bescherming tegen te krijgen, waterdicht krijgen is helaas een utopie.
Inzicht en training geven aan de gebruikers, securitysoftware up-to-date en voor de rest is het elke dag hopen dat je niet de Ransomware loterij hebt gewonnen.

k1NG 8 november 2021 14:57

Ik heb vroeger gewerkt bij de Mediamarkt(2011-2017), maar er werd daar vrij weinig gedaan met IT beveiliging en dergelijke. Wachtwoorden die na een aantal jaar nog steeds hetzelfde waren, iedereen die onder hetzelfde account werkte(zowel Windows als in de verkoopsoftware van de winkel). Wachtwoorden die letterlijk in Google sheets stonden om bij providers in te loggen om telecom abonnementen af te sluiten, zonder enige beveiliging.

Het zou de Mediamarkt goed doen om eens een cursusje informatiebeveiliging te nemen en hun infra eens aan te passen hierop. In plaats van geld te investeren in lompe verkoopcursusjes om Essent/Energieabo's aan te smeren aan klanten. Er wordt binnen de organisatie totaal niet nagedacht over het gebruik van apparatuur, accounts en software etc.

[Reactie gewijzigd door k1NG op 22 juli 2024 13:27]

infidel011 @k1NG • 8 november 2021 16:07

Heb er van 2018 tot 2020 gewerkt, maar het beeld van zwakke wachtwoorden in plain text bewaren herken ik niet. Wij gebruikten op onze vestiging gewoon een passwordmanager om bijvoorbeeld in te loggen bij externe providers voor het afsluiten van telecom abonnementen en wachtwoorden voor alle relevante systemen (lees: wat wij gebruikten op de winkelvloer) moesten regelmatig gewijzigd worden.

Laten we eerst afwachten hoe dit heeft kunnen ontstaan voordat we weer allerlei conclusies gaan trekken

onno oliver @k1NG • 8 november 2021 18:37

Sijmen Ruwhof met een standaard exeltje waarop wachtwoorden gedeeld werden jaren geleden. (2018)
https://sijmen.ruwhof.net...0/tn_passwords-masked.png
Utrecht12345 voor hun googelmail in 2015

https://sijmen.ruwhof.net...of-mediamarkt-leaks-again

[Reactie gewijzigd door onno oliver op 22 juli 2024 13:27]

k1NG @onno oliver • 9 november 2021 08:55

Dit klopt, daarna hebben ze toen alles omgezet naar wachtwoorden in Keepass.

nooberke @k1NG • 8 november 2021 15:25

Yup, erg herkenbaar. Account Sharing was de standaard, niet de uitzondering

Ik ben benieuwd hoe ze nou producten afrekenen in de winkel, zonder het WWS systeem lijkt mij het erg lastig.

sucramabu @k1NG • 8 november 2021 17:10

Het verbaasde me inderdaad toen ik laatst een front-end vacature zag voor de mediamarkt waar blijkbaar alleen jQuery kennis voor nodig was. Nu is jQuery niet perse een security risico maar het geeft wel een indicatie dat het IT landschap sterk verouderd is.

CyberDonky 8 november 2021 17:17

MediaMarktSaturn is getroffen door de HIVE ransomware.
https://twitter.com/CyberDonkyx0/status/1457743843525341190
Zie screenshot in tweet

Basxt @CyberDonky • 8 november 2021 17:40

Afgaande op de standaard .txt file, lijkt mij dit geen targeted attack naar MediaMarkt, maar eerder een standaard tooltje die je online kan kopen en toevallig bij mediamarkt naar binnen is geglipt en de hele toko heeft besmet. Denk dat deze "customer service" niet een MediaMarkt verwacht en de boel hersteld.. wellicht ook teveel risico om achterna gezeten te worden door instanties.

Luchtbakker @CyberDonky • 8 november 2021 17:54

MediaMarktSaturn is getroffen door de HIVE ransomware.
https://twitter.com/CyberDonkyx0/status/1457743843525341190
Zie screenshot in tweet

Oef, 240 miljoen dollar is voor een bedrijf als mediamarkt echt niet te betalen.

M66B @Luchtbakker • 9 november 2021 08:24

Met een omzet van 20 miljard/jaar kunnen ze dat wel betalen denk ik zo:

https://nl.wikipedia.org/wiki/MediaMarkt

Een jaartje geen winst en geen bonussen.

Caayn 8 november 2021 13:39

Medewerkers wordt gevraagd om internetkabels uit kassa's te halen en systemen niet opnieuw te starten.

Door de aanval kunnen de winkels alleen producten verkopen die in de winkel aanwezig zijn.

Hoe handelen de kassa/pin terminals transacties af zonder netwerkverbinding?

Aiii @Caayn • 8 november 2021 13:43

Ik neem aan dat omwille van de veiligheid van het PIN systeem dat in zijn geheel via een hevig beveiligde verbinding van de aanbieder van dat systeem ligt en op geen enkele wijze geïntegreerd is met het MediaMarkt kassasysteem (dat zal slechts lokaal een bedrag naar de terminal doorsturen).

black_eye @Aiii • 8 november 2021 13:50

Die hangen gewoon in het netwerk. De tijd dat de pinapparatuur aan een apart vlan en zelfs via een aparte xdsl(VPI/VCI) verbinding hing is allang voorbij...

Verwijderd @black_eye • 8 november 2021 13:53

De kans is wel aanwezig dat er een mobiel backup netwerk is daarvoor.

Powermage @black_eye • 8 november 2021 14:08

pinapparatuur zal gewoon aan het netwerk hangen, maar de meeste pinterminals hebben een eigen LAN verbinding, en deze zijn ook niet gevoelig voor ransomware.
Je ziet wel meer en meer kassas die de terminal over IP kunnen aansturen, maar de meeste doen dit nog niet.

Als je terminal dus "standalone" verbinding maakt krijgt hij vaak via een seriele of usb koppeling de pintransactie aangeboden en handelt die af.

het enige is dat de kassa niet meer synct met de centrale database, dus Mediamarkt ziet niet meer centraal welke voorraden verkocht worden en kan bijvoorbeeld in de shop de winkel-voorraad niet aanpassen.

Een mobiele backup zit vaak dan weer op netwerk geregeld waardoor een transactie altijd internet heeft.

[Reactie gewijzigd door Powermage op 22 juli 2024 13:27]

iApp @Caayn • 8 november 2021 13:46

Een pinsysteem heeft naar mijn weten vaak een 4G verbinding met KPN die verbinding maakt met de bank voor het afhandelen van de transactie.

[Reactie gewijzigd door iApp op 22 juli 2024 13:27]

xoniq @iApp • 8 november 2021 13:50

Klopt, daarom heb je ook soms puur pin storingen, maar is er niks verder mis met het netwerk in een winkel.

Powermage @iApp • 8 november 2021 14:08

Alleen draadloze pinautomaten.
Bedraade varianten hebben volgens mij nooit een 4g modem erin zitten.

jongetje

@iApp • 8 november 2021 14:21

Niet in een winkel als de Mediamarkt, daar hangt het gewoon in het netwerk

[Reactie gewijzigd door jongetje op 22 juli 2024 13:27]

Luchtbakker @Caayn • 8 november 2021 13:54

[...]
Hoe handelen de kassa/pin terminals transacties af zonder netwerkverbinding?

De CCV VX820 zijn aangesloten via een seriële connectie met de terminals van VX820.
De kassa's zelf hebben dus geen internet nodig om een verbinding met de pinautomaten te maken.
De pinautomaten zelf moeten uiteraard wel netwerk hebben, want ze hebben geen 4G module ingebouwd.

Nu de vraag: Waarom een seriële connectie? Nou, om onder andere dit soort gevallen.
Ruim de helft van alle winkelketens dat ik deed doet het op deze manier.

Seriële verbindingen zijn tot nu toe de meest stabiele verbindingen dat je kan hebben, in tegenstelling tot USB of standaard UTP.

dasiro @Luchtbakker • 8 november 2021 14:04

backwards compatibility met oudere systemen ook en het feit dat ze ook shielded kunnen zijn

Tintel

Economie en maatschappij

@Luchtbakker • 8 november 2021 15:36

Je noemt seriële verbindingen het meest stabiel. Het is ook nog steeds mogelijk om daarin storing te krijgen natuurlijk. De grap met de andere 2 verbiningstypes die je noemt is dat ze gedeeld worden. Dus bij een storing in een ander aparaat telt dus soms door. Grotere kans op nevenstoringen dus.

Maar het is echt niet zo zwart/wit dat serieel dus altijd 'beter' is.

mjtdevries @Luchtbakker • 8 november 2021 15:42

Nou zijn USB en UTP volgens mij ook seriele verbindingen. 1 data lijn waar alle data serieel over verstuurd word, ipv meerdere data lijnen paralellel.

Maar ik neem aan dat je bedoeld dat het via een totaal andere protocol en aansluiting loopt?
Het zal wel niet meer de oude RS232 zijn? Of toch wel?

Luchtbakker @mjtdevries • 8 november 2021 15:59

RS232 zeker.

Christoxz @Caayn • 8 november 2021 13:42

https://www.mediamarkt.nl...apparaat-wit-1694243.html

xoniq @Caayn • 8 november 2021 13:45

Pin terminals hebben een eigen netwerk. De kassa's die tikken de voorraad af van de winkelvoorraad bij verkoop. Dat gaat dus niet meer op. Veel administratieve rompslomp als alles voorbij is dus.

eborn @xoniq • 8 november 2021 14:12

Hangt er vanaf. Ik kan me voorstellen dat die kassa's wel een lokale 'cache' hebben die ze synchroniseren zodra de verbinding weer terug is?

WhiteSnake76 @eborn • 8 november 2021 14:25

Precies, zodra alles weer werkt word het gewoon afgeboekt wat er volgens de kassa verkocht is.

Damic @Caayn • 8 november 2021 13:47

Manueel invoeren*, pin terminals hebben een eigen beveiligde verbinding die naar de desbetreffende service loopt. Je hebt alleen een actieve internetverbinding nodig of 3G/4G als de terminal draadloos is.

* bedrag en bon nummer+kassa nummer mee aan de betaling hangen en je kan zo pinnen, dan is het achteraf voor de boekhouding om alles recht tezetten

elmariachi @Caayn • 8 november 2021 13:50

Afhankelijk van welke pin terminal het is, kan een pin terminal ook op andere manieren connectie maken (bluetooth, 4G, 3G,...) of is het mogelijk om betalingen te doen in een offline modus, maar dat hangt dan weer af van verschillende andere parameters.

HoppyF @Caayn • 8 november 2021 13:42

Niet.
Contant betalen dus (als men genoeg wisselgeld in de kassa’s heeft)

dutchgio @Caayn • 8 november 2021 13:42

"De kassa's kunnen alleen nog maar fysieke producten uit de winkels scannen en aanslaan. De winkels blijven open, maar kunnen alleen producten verkopen die fysiek in de winkel staan."

Vanuit het RTLNieuws artikel.

PdeBie @Caayn • 8 november 2021 15:33

Dat klinkt als de beruchte Kaseya aanval van laatst.

itlee @Caayn • 9 november 2021 02:03

Kassa kan lokaal transacties registreren. Voorraad afboeken gaat dan hand matig met tellingen wat je hebt staan.

Als later alles weer online is kan je 't handmatig verwerken en ben je weer up to date. Voorraad VS omzet.

iiMilan 8 november 2021 15:03

Ontzettend jammer dat zo'n groot bedrijf plat gelegd kan worden. Hoe kan nou een ransomware in het systeem komen van de Mediamarkt in de hele Benelux?!

SanderBos @iiMilan • 8 november 2021 15:51

Waarschijnlijk omdat ze alle servers in hun netwerk aan elkaar gekoppeld hebben.
In een ander comment staat het o.a. 3100 Windows servers betreft, dat is natuurlijk wel een hoeveelheid die je enigzins centraal wil managen.
Dus waarschijnlijk heeft 1 systeembeheerder iets te enthausiast een bijlage van een mailtje geopend (of misschien zelfs een gewone gebruiker, dat is het verraderlijke je hoeft helemaal niet zoveel fout te doen).

iiMilan @SanderBos • 8 november 2021 16:19

Heb je helemaal gelijk in, maar dat kan toch niet dat als je zo'n grote verantwoordelijkheid hebt om een server te onderhouden / managen dat je een bijlage eventjes gaat openen op een pc die toegang heeft tot het hele netwerk. Lijkt mij een fatale fout.

Operativus @iiMilan • 12 november 2021 12:57

Is dat op die manier gebeurd dan? Ik kan dit namelijk nergens uit opmaken.

DoubleYouPee @iiMilan • 8 november 2021 15:03

Waarschijnlijk juist omdat het zo groot is...

SinergyX 8 november 2021 13:41

Medewerkers wordt gevraagd om internetkabels

Internetkabels... wow. Prima dat jullie gewoon 1 op 1 de tekst overnemen, maar laten we binnen een beetje techwebsite toch wel wat correcte termen gebruiken

Edit voor de mensen hieronder:
Ik praat over de overname van het artikel van RTL nieuws -> Tweakers, hoe ze dat intern communiceren boeit mij niet bijzonder (die rode kabel aan de achterkant, niet die dikke zwarte), dat RTL dit overneemt prima, maar een T.net is een techsite waar je over het algemeen de wat meer 'correcte' termen gebruikt. Maar het is inmiddels aangepast naar 'netwerkkabels'.

[Reactie gewijzigd door SinergyX op 22 juli 2024 13:27]

Dennisdn @SinergyX • 8 november 2021 13:43

In een eerste paniekactie om te communiceren naar alle medewerkers lijkt het me juist een prima term zodat zelfs de meest tech-schuwe cassiere weet wat ze moet doen. Ik ben juist erg benieuwd naar de interne communicatie en niet naar hoe een journalist zelf zaken zou gaan vertalen.

[Reactie gewijzigd door Dennisdn op 22 juli 2024 13:27]

bbob

Economie en maatschappij

@Dennisdn • 8 november 2021 13:48

Ze zullen in iedere vestiging toch wel een techneut hebben die alle kabeltjes kan lostrekken en kassa's opnieuw kan opstarten. Lijkt me dat diegene die achter de kassa's staan dan niet moeten en zullen gaan doen.

Dennisdn @bbob • 8 november 2021 13:50

Het lijkt mij op zo'n moment zonde van de tijd om op een smoelenboek te gaan kijken wie de techneut is...

Tomas_ @Dennisdn • 8 november 2021 14:07

het Smoelen boek was ge-encrypt

flippy @bbob • 8 november 2021 13:54

die mensen lopen er echt niet (meer) rond in elke winkel.

Raem @bbob • 8 november 2021 13:58

En zo zie je maar weer hoe belangrijk duidelijke communicatie is. In het artikel hebben ze het namelijk over het niet opnieuw opstarten van de systemen en jij begint nu over het opnieuw opstarten van kassa's.

"Internetkabels" lijkt me in dit geval dus ook een prima term om het voor iedereen direct duidelijk te maken.

BugsNL @bbob • 8 november 2021 13:53

Natuurlijk niet, die kassa's moeten gewoon werken en een techneut voor dit soort systemen moet vaak opgebeld worden. Vaak zit dit in het servicecontract van de partij die de kassa's levert. Zo'n kassa werkt 99.9% van de tijd, dan is het een beetje duur om daarvoor iemand per vestiging neer te zetten "voor het geval dat".

Los daarvan zal er vast wel een medewerker per vestiging loslopen die snugger genoeg is om te weten wat een internetkabel is en waar het aan/uit knopje zit. Maar dat is dan nog geen techneut.

Twixie @Dennisdn • 8 november 2021 14:19

De opmerking van @SinergyX ging dan ook niet over hoe Mediamarkt naar zijn personeel communiceert, maar hoe Tweakers hier naar ons communiceert. Als het de bedoeling was te tonen hoe de interne communicatie eruit zag, moet het tussen quotes staan.
Het feit dat het ondertussen aangepast is in het artikel, toont overigens dat SinergyX wel een punt had.

Tyrian @SinergyX • 8 november 2021 13:43

Het is toch duidelijk? Is het relevant of het (U)TP, coax of glasvezel is?

Svenbuis @Tyrian • 8 november 2021 13:47

Sterker nog, wie weet verschilt het per vestiging of per apparaat. Dus dan is internetkabels een mooie verzamelnaam.

Banaan = fruit, maar fruit != banaan.

MrR0b3rt @Svenbuis • 8 november 2021 13:52

Hoewel het imo een hoog "potahto / potato" gehalte heeft, zou je wellicht kunnen verwachten dat een techwebsite over "netwerkkabel" spreekt. Want dat zijn het, het zijn geen internetkabels. Wat die kabels verschaffen mogelijk geen toegang tot internet, hopelijk sowieso niet rechtstreeks. Maar wel tot het netwerk (maar het internet is ook een netwerk...dus ja, potahto potato).

Maar ik zie ook dat het inmiddels is aangepast

Verwijderd @MrR0b3rt • 8 november 2021 14:07

Het lijkt mij heel context afhankelijk, als mediamarkt zegt: "gelieve alle internetkabels uit de systemen te trekken" dan lijk het mij juist als tweakers zegt: "mediamarkt vraagt werknemers alle internetkabels uit de systemen te trekken" dat is namelijk letterlijk het bericht van mediamarkt

MrR0b3rt @Verwijderd • 8 november 2021 14:13

Naar mijn mening kun je dat dan beter citeren uit een bericht i.p.v. in je eigen bewoording ook zo zeggen. Om verwarring te voorkomen.

Verwijderd @MrR0b3rt • 8 november 2021 14:15

Absoluut mee eens! Maar nu hebben we weer wat om over te klagen dus zijn we ook weer tevreden (ik althans

)

MrR0b3rt @Verwijderd • 8 november 2021 14:23

hahaha, ja helemaal waar!

Iedereen weer blij!

qithoro @Tyrian • 8 november 2021 14:08

Zolang ze de RJ45 kabel er maar in laten

SunnieNL

@Tyrian • 8 november 2021 14:01

Ja, als de internetkabels eruit worden getrokken, werken de kassa's nog gewoon door via lokale voorraaddatabases.

Als de utp kabels uit de kassa's worden getrokken, dan doen die kassa's helemaal niets meer, want dan kunnen ze niet eens bij een lokale database. Ik vraag mij dan ook af hoe ze nog dingen kunnen verkopen als de kassa's geen verbinding meer hebben met de interne systemen van voorraadbeheer, prijzen, etc.

Xfade @SunnieNL • 8 november 2021 14:20

Laten we het er op houden dat wij op dit moment niet alles weten, en dat woordvoerder mogelijk vanalles tegen RTL heeft gezegd, en dat Tweakers dit heeft over genomen. We zullen later vast nog wel horen wat de winkels wel of niet gedaan hebben met hun kassa's en netwerk systemen.

NLAnaconda @SinergyX • 8 november 2021 13:50

Ja het is beter om naar je kassières te sturen dat ze hun RJ45 connector uit hun moederboard moeten pluggen.

GertMenkel

Networking en security

@SinergyX • 8 november 2021 13:52

Ach, of men nu "internetkabel" zegt of "8P8C-getermineerde FTP- of UTP-kabel", wat maakt het uit? De in de tech-industrie veelgebruikte term "ethernetkabel" is ook fout (aangezien ethernet ook over coax kan) en daar zeurt ook niemand over.

Mochten er bij de Mediamarkt nog PC's zijn die met SFP+ of COAX zijn aangesloten, worden die nu mooi meegenomen.

Als ze WiFi-kabel hadden gezegd, dán zou ik geïrriteerd raken.

demonite @GertMenkel • 8 november 2021 14:06

Nooit van netwerkkabel gehoord?

Fireshade @SinergyX • 8 november 2021 13:46

Dat zijn toch van die onderzeese kabels?

Maar wie weet is dat (aan ons onbekende) jargon binnen de Mediamarkt. Als je dat niet 1 op 1 overneemt, dan klopt de melding waarschijnlijk niet meer...

ScreamGT @SinergyX • 8 november 2021 13:58

Ja inderdaad, hoe durf je hier ‘internetkabels’ te benoemen! Dat is voor het plebs.

Waar men zich al niet druk om kan maken.

CyberDonky 8 november 2021 14:10

Update 14:22 https://twitter.com/CyberDonkyx0/status/1457699532985229312

Link: https://twitter.com/CyberDonkyx0/status/1457696539208560647

#Mediamarkt - Interne mail uitgelekt over status ransomware bij Mediamarkt.
- Ransomware bevestigd.
- 3100 Windows-servers zijn geraakt. 🖥
- Inclusief WWS servers geraakt. 🖥
- Advies om kassa's die geraakt zijn NIET opnieuw te installeren.

Probleem lijkt sinds vanochtend 07.00 uur te spelen.

Sehr geehrte Damen und Herren

wir möchten Ihnen ein Update über die aktuelle Situation geben:

Wir haben mehrere Windows-Server identifiziert, die von einem Krypto-Virus angegriffen werden und alle IT-Experten wurden aktiviert und analysieren derzeit die Situation.

Aktuell sind rund 3100 Server betroffen, darunter auch die WWS Server in unseren Märkten.

Dies bedeutet, dass unsere Geschäfte heute "offline" sein werden - Geschäfte werden in der Lage sein, zu öffnen und zu verkaufen, aber es wird nicht möglich sein, Verkaufsdokumente zu erstellen, WWS-bezogene Aufgaben, Geschenkkarten werden nicht funktionieren, weitere Informationen werden von den zuständigen Teams folgen. Derzeit können wir bereits sagen, dass nur „Cash and Carry" funktionieren wird.

Wichtig;

INSTALLIEREN SIE EINE FEHLERHAFTE KASSE NICHT NEU! — Weil dies zu Verkaufsdatenverlust führt! — Im Falle einer ausfallenden Kasse schließen Sie sie und verwenden Sie eine andere Kasse.

[Reactie gewijzigd door CyberDonky op 22 juli 2024 13:27]

Polderviking

@CyberDonky • 8 november 2021 14:14

3100 Windows servers. Mozeskriebels wat een inventaris voor 1 retailer.

CyberDonky @Polderviking • 8 november 2021 14:43

Ja, flink wat aantal servers! Maar goed, niet alleen NL, maar ook BE en DE rijkt geraakt te zijn. En dat is inclusief de WWS servers van dat aantal.

Niels.68 @CyberDonky • 8 november 2021 18:09

Normaal is Google mijn vriend maar in deze niet. Mijn vraag is: Wat is (beknopt uitgelegd) een WWS server?

ElGrandoNeuso @Niels.68 • 8 november 2021 20:58

Warenwirtschaftssystem, ERP.

https://www.deepl.com/tra...anagement+system/d20c37e8

Brahiewahiewa @Polderviking • 8 november 2021 15:29

Da's nou juist de reden dat Mediamarkt de controle is kwijtgeraakt en dat deze hack dus heeft kunnen gebeuren. Een servertje bijplaatsen of zelfs één server per winkel bijplaatsen, zijn de kosten niet. Zeker niet als je met de security een loopje neemt

Groningerkoek @Polderviking • 8 november 2021 22:25

Wel een retailer met meer dan 1.000 grote winkels en 49 distributiecentra, dus zo vreemd is dat aantal niet.

Polderviking

@Groningerkoek • 9 november 2021 10:15

Dat zijn dus breed genomen 3 servers per vestiging. Wat heb je aan ICT nodig in zo'n winkel? Meeste medewerkers lopen de hele dag rond mensen dingen te verkopen. Je hebt dan kassa's en een stukje kantoor/voorraadbeheer/servicebalie.

Ik blijf het ondanks de 1100 locaties pittig vinden.

[Reactie gewijzigd door Polderviking op 22 juli 2024 13:27]

Groningerkoek @Polderviking • 9 november 2021 12:30

Zou mij ook niet verbazen als de berichtgeving wordt bijgesteld van "3.000 Servers" naar "3.000 Servers en Computers."

En verder, ik ken hun opzet niet. En of ze dus voor systemen als Kassa, Garantie/retourneren, Hulpstations lokale servers hebben staan of dat die computers "rechtstreeks" verbinden met centrale servers.

Polderviking

@Groningerkoek • 9 november 2021 12:55

Allicht is het sowieso speculeren.

Maar het klonk redelijk expliciet en het viel me op.

Risce 8 november 2021 13:48

Zijn er eigenlijk goede voorbeelden van mensen die zijn veroordeeld voor dit soort praktijken? Ik hoor vaak dat allerlei bedrijven het haasje zijn maar in de uitleg die ik tot nu toe ken zijn het obscure clubjes Russen en Chinezen die niemand kan pakken die hierachter zitten.

Zelf gezocht, enige zaak die ik kon vinden in Nederland:

- In Nederland voor het eerst in 2019 een veroordeling van twee broers (18 en 22 jaar oud) voor 240 uur werkstraf en minder dan 10.000 schadevergoeding (bron)

Verder las ik deze week dat Amerika 10 miljoen dollar uitlooft om een hackersgroep te verlinken die ransomware heeft verspreid. Dat is meestal ook een zwaktebod, dat het spoor dood is gelopen.

krakendmodem @Risce • 8 november 2021 13:55

Die 10 miljoen dollar hoeft niet een zwaktebod te zijn, dit kan er ook voor zorgen dat de "concullega's" in het veld een ander erbij lappen. Want ja, dan wordt de stap om een ander te verlinken toch ietsje makkelijker.

Uiteraard zal de persoon die de boel verlinkt ook wel iets uit te leggen moeten hebben.

Risce @krakendmodem • 8 november 2021 14:27

Een zwaktebod in die zin dat de opsporingsinstanties natuurlijk in principe niet openbaar maken dat ze tips zoeken. Dan zijn de bewandelde onderzoekspaden dus niet sluitend gebleken om tot een conclusie te kunnen komen. Een zwaktebod niet in de zin dat het wanhoop is, maar een zwaktebod in die zin dat je je in de kaarten laat kijken.

Tintel

Economie en maatschappij

@Risce • 8 november 2021 15:41

in die zin dat je je in de kaarten laat kijken.

Maar hoe kun je anders een beloning uitloven? Net alsof de politie niet altijd om tips en getuigen kan vragen??

Risce @Tintel • 8 november 2021 16:33

Ik snap niet dat ik dit moet uitleggen...

Als er aanwijzingen zijn, dan volgt de politie die op. Als er geen aanwijzingen zijn, gaat de politie op zoek naar aanwijzingen. Als dat niks oplevert, maak je je net steeds breder, waardoor je uiteindelijk hopelijk uitkomt op een bruikbare tip. Soms moet daar iets tegenover staan, zoals heel veel geld.

Dus volgorde: niets>niets>niets>dan maar geld. Oftewel: je geeft aan dat je niets>niets>niets hebt...

Tintel

Economie en maatschappij

@Risce • 8 november 2021 17:09

Dat is dus niet waar. Je kan best wat hebben maar geen sluitend bewijs. Je kan dan niet stellen: heeft iemand Jan Klaasen zien lopen op 10:00 op locatie X. Want dan help je de verdachte. Dus zoeken ze algemene tips.

Alsof de politie altijd niets zou hebben alvorens ze tips gaan vragen. Het is wel zo dat ze niet voldoende hebben voor een veroordeling - dat geven ze wel weg natuurlijk.

En misschien dat heel veel geld == geen enkele aanwijzing maar kan ook zijn: high profile zaak dus meer budget.

Risce @Tintel • 8 november 2021 17:25

Ik dacht, ik maak deze discussie even niet-feitenvrij: https://www.wodc.nl/actue...-leidt-niet-tot-meer-tips In het verleden dus inderdaad als laatste redmiddel (mijn punt) maar tegenwoordig vaker vroeger wordt ingezet (alhoewel met veel lagere bedragen dan het hier om gaat en met een ander doel) om opsporingsmiddelen te besparen (zie pagina 22 van het rapport).

Tintel

Economie en maatschappij

@Risce • 8 november 2021 17:30

Maar nu ben ik los...
In het verleden was het dus een teken aan de wand dat ze vast zaten en nu niet meer?

Of is de stelling nu: tipgeld is geen indicatie dat ze vast zetten en een beloning uitloven wel?

Risce @Tintel • 9 november 2021 10:59

Lees het rapport als je echt een antwoord wil.

Tintel

Economie en maatschappij

@Risce • 9 november 2021 11:27

Maar je snapt niet dat je het moet uitleggen maar de verklaring is blijkbaar enkel te vinden in een rapport?

HooksForFeet @krakendmodem • 8 november 2021 14:21

Ik vraag me af of die iets uit te leggen heeft, ik denk dat bij zo'n beloning een bepaalde don't ask don't tell regeling hoort. Dat maakt het ook weer aantrekkelijker: je kan voor een paar miljoen een hoop moeite doen en risico lopen gepakt te worden, of je kan volkomen legaal 10 miljoen opstrijken door te vertellen wat je weet. Denk dat dat voor de meeste cybercriminelen (die niet geliëerd zijn aan een bepaalde schurkenstaat althans) een aantrekkelijk aanbod is inderdaad.

SanderBos @Risce • 9 november 2021 09:15

Toevallig net gisteravond in het nieuws:
https://nos.nl/artikel/24...vallen-met-gijzelsoftware
Wat weer verwijst naar een ander artikel over een andere actie 2 weken geleden
https://nos.nl/artikel/24...somwarebende-op-te-rollen

[Reactie gewijzigd door SanderBos op 22 juli 2024 13:27]

Risce @SanderBos • 9 november 2021 10:59

Ah kijk! Dat is nummer 2.

Neus 8 november 2021 14:25

"Het gaat om een aanval bij alle Europese vestigingen" dus ook hier in Italie. Jemig...

CPV @Neus • 8 november 2021 14:37

MediaWorld. Als je dat de eerste keer ziet, moet je goed kijken om te zien dat er geen Mediamarkt staat.

Neus @CPV • 8 november 2021 14:54

Was inderdaad even wennen :-) Markt kunnen ze kennelijk hier niet uitspreken :-)

CPV @Neus • 8 november 2021 14:58

Die term mag niet gebruikt worden, heeft mijn dochter (die daar woont) eens uitgelegd.

xoniq 8 november 2021 13:38

Pijnlijk, ook in dit formaat van 3 landen..

Aiii @xoniq • 8 november 2021 13:42

Tsja, dat krijg je met van dit soort meganetwerken. Alles integreren en vervolgens ligt in drie landen alles op zijn gat.

Maar goed, je kan wel lekker centraal een prijswijzing doorvoeren, natuurlijk.

Dutchredgaming @Aiii • 8 november 2021 13:44

Het kan nog erger @xoniq , dat hebben wij helaas gezien van de BGP verstoring van Facebook dat de hele wereld eruit lag. Natuurlijk is van een winkel nog belangrijker.

xoniq @Dutchredgaming • 8 november 2021 13:46

Dat was helemaal niet erg. Heerlijk rustig. Heb zelfs in Pi-Hole voor de grap alle domeinen van FB & Co. nog een half dagje langer geblokkeerd.

"Hoe kan dat nou, die en die kunnen wel weer op WhatsApp maar ik niet?"
"Ach pop, misschien starten ze het rustig op"

jongetje

@xoniq • 8 november 2021 14:22

En dat ze dan naar buiten loopt en op het mobiele netwerk komt en opeens alles synchroniseert....