'MediaMarkt onderhandelt over betaling losgeld na Hive-ransomwareaanval'

MediaMarkt zou in onderhandeling zijn met criminelen nadat het bedrijf maandag slachtoffer werd van een ransomwareaanval. Volgens RTL Nieuws zit de Hive-groepering achter de aanval en eisen de criminelen 43 miljoen euro in bitcoin.

Hive zou duizenden computers en servers van de MediaMarkt hebben versleuteld, schrijft RTL Nieuws. Details over de onderhandelingen tussen MediaMarkt en de criminelen zijn niet bekend. Hive gebruikt een dashboard met een zogenaamde helpdesk, waarmee slachtoffers kunnen chatten met de aanvallers. Het ligt voor de hand dat er op die manier gecommuniceerd wordt tussen de partijen.

Maandagochtend werden de Europese vestigingen van MediaMarkt getroffen door de aanval. Naast filialen in Nederland en België, gaat dat ook om winkels in andere landen, waaronder Duitsland. De winkels zijn nog open, maar kunnen alleen producten die in de winkel liggen verkopen. Afhalen en retourneren is niet mogelijk.

De Hive-groepering staat erom bekend slachtoffers af te persen, door data te publiceren als er geen losgeld wordt betaald. Het is niet duidelijk of dat ook aan de orde is bij de MediaMarkt. Op zijn HiveLeaks-website houdt de groep bij welke bedrijven het heeft aangevallen. Gestolen data wordt daar ook online gezet als er niet ingegaan wordt op de eisen van de groep.

Hive is sinds halverwege dit jaar actief en werd berucht met aanvallen op Amerikaanse ziekenhuizen. In augustus waarschuwde de FBI voor de praktijken van de groepering.

Door Julian Huijbregts

Nieuwsredacteur

09-11-2021 • 08:18

412 Linkedin

Reacties (412)

-14120404+1227+214+30Ongemodereerd132
Wijzig sortering
Een hoop mensen lijken hier vooral te mikken op het feit dat betalen echt 'stom' is, maar deze organisatie lekt ook gegevens uit als er niet betaald wordt.

Ik ga er voor 99% vanuit dat de Mediamarkt zijn zaken niet op orde heeft en ook 99% zeker te veel data heeft bewaard die niet in bezit had moeten zijn bij de Mediamarkt (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) en zie dus ondanks dat je beter de boel niet in stand kan houden toch echt dat dergelijke gegevens niet op straat komen te liggen na een lek van dit formaat.

Het blijft een groot probleem helaas.
Ze kunnen de gegevens toch als nog lekken na dat er betaald is?
En daarnaast liggen de gegevens ook al op straat, niet volledig openbaar misschien, maar bij een groep hackers van onbekend formaat. De data is al gelekt en is ook al bij mensen die het zouden misbruiken indien mogelijk, het is puur voor de show als je betaald met excuus dat de data anders kan worden misbruikt.
publiceren zouden ze dan niet snel doen, want businessmodel. Maar eventueel verkopen is niet ondenkbaar.
Dat zou onhandig zijn, want dan betaalt geen bedrijf meer, omdat het toch niet uitmaakt.

[Reactie gewijzigd door Xfade op 9 november 2021 15:05]

Ik ken toevallig wat mensen die in de cybersecurity werken. En helaas kan je criminelen niet vertrouwen op hun blauwe ogen. Het is zeker geen uitzonding dat ze na het unlocken van je pc een maand later je pc weer locken als je je pc niet schoon hebt geveegd. En toch blijven bedrijven wel betalen.
Maar dat komt ook omdat betalen vaak de goedkoopste oplossing is. 43 miljoen is veel geld, maar God mag weten hoeveel verlies ze maken als ze een week lang moeten sluiten (bijvoorbeeld).
Dat wordt al snel bekend en de kans dat er door een volgend slachtoffer alsnog betaald wordt is dan alleen maar kleiner. Het is dus financieel beter dat de hackers zich ook aan de afspraken houden in dit soort situaties.
Ja want de hackers staan ingeschreven bij een hackerhandelsregister dus bij de volgende hack kan je prima controleren of je met dezelfde groep te maken hebt. /s

Het is voor zo'n groep natuurlijk makkelijk zat om op te rollen en onder een andere naam verder te gaan. Of ze willen er sowieso mee stoppen, dan is het niet verkeerd om van twee walletjes te eten en de data alsnog te verkopen nadat je het losgeld hebt. Dat dit effect heeft op de algemene perceptie van hackers/ransomware betwijfel ik niet. Maar of dat genoeg is om iedereen niet te laten betalen en dit businessmodel te laten doodbloeden weet ik niet. Het blijft een vraag/aanbod markt, dus als de 'oplossing' van losgeld goedkoper is dan het alternatief zullen bedrijven wel blijven betalen.
Wanneer randsomware hierdoor een 'slechte' naam krijgt (in hoeverre dat nog meer kan), omdat na betaling vaak toch de data verkocht en gelekt wordt, dan hebben alle hackers daar last van, los van wie het zijn en elke naam ze gebruiken. En zo lijkt het er ook in de praktijk op dat over het algemeen ze zich wel aan hun woord houden, aangezien je wel regilmatig hoort dat er betaald wordt voor een attack, maar zelden of nooit dat er veel data gelekt wordt, anders dan de hacks waar alleen maar data geharvest wordt om direct door te verkopen (ander verdienmodel).
Betaal je om de data veilig te stellen of betaal je om je systemen te kunnen unencrypten (en weer geld te kunnen verdienen)? Zijn twee aparte zaken, maar beide aan de hand hier denk ik?
Voor mij persoonlijk krijg ik igg de neiging om heel veel accounts op te doeken en weer wat netter mijn persoonlijke administratie op orde te krijgen voor garantie gevallen... Hoewel ik niet weet of het erg is dat enkel mijn aankoopgeschiedenis van MM op straat zou komen te liggen...
Het gaat om het weer beschikbaar krijgen van de IT systemen (verwijderen encryptie) en voorkomen dat gevoelige data doorverkocht wordt of op straat komt te liggen. De data bevat naast klant- en personeelgevoelige informatie (naw, bankgegevens, creditcard, aankopen, etc.) ook bedrijfsgevoelige informatie, zoals vele soorten van contracten, winst-/verlies-/margeberekeningen, externe en interne emails, etc. Zeker ook niet iets wat ze aan de concurrentie willen laten weten.
Aangezien de informatie nu in handen is van een derde partij, waar MM geen controle over heeft, hadden ze al iedereen moeten informeren dat en welke data gestolen is en dat men alert moet zijn op fishing pogingen.
In ieder geval word dit het volgende waarmee vrijheden zullen worden afgepakt, het veiligstellen van de economie word het volgende in het rijtje van "terrorisme, criminaliteit, onze kinderen etc etc".
Ik vraag mij steeds meer en vaker af of internet wel zo'n goede uitvinding was/is...
Ja want de hackers staan ingeschreven bij een hackerhandelsregister dus bij de volgende hack kan je prima controleren of je met dezelfde groep te maken hebt. /s
Even los van het feit dat het in het belang is van alle afpersers dat ze zich allemaal aan hun eigen regels houden is het natuurlijk ook simpelweg zo dat er niet echt financieel gewin te behalen valt bij het daadwerkelijk uitlekken van gegevens, of in elk geval niet meer dan ze zouden kunnen ophalen bij het daadwerkelijk afpersen.
Ik geef je geen ongelijk hoor, dit soort personen zijn op geen manier te vertrouwen. Maar wanneer er, zoals in dit specifieke geval, openbaar zo'n lijst bijgehouden wordt denk ik wel dat ze iets geven om hun naam en een soort CV opbouwen met "dit is wat er gebeurt als je gewoon betaalt" en "dit als je niet betaalt". Dan zullen ze ook niet graag van naam wisselen en ook wel een reputatie hoog willen houden om die lijst aan te kunnen blijven vullen. Als ze zich nu bv niet aan hun woord houden, dan weet de volgende partij waarvan ze 50 miljoen eisen echt wel genoeg.

Al gaat dit natuurlijk niet op voor iedere groep. Ik heb ook niet het idee dat iedere groep evenveel om de reputatie van ransomware in het algemeen zal denken, bijvoorbeeld korte termijn clubjes.
Inderdaad.
Beetje naïef om te denken dat criminelen zich aan hun afspraken zouden houden.
Tot nu toe gebeurd het wel.... Er zijn weinig gevallen bekend waarin hackers alsnog lekken nadat de 'klant' betaald heeft.
Alsof het te achterhalen is als zo'n partij bijv. alle naw gegevens van MM's klanten doorverkoopt..
Je hebt maar één klant nodig die als email mediamarkt@eigendomein.nl heeft opgegeven om daar achter te komen. Ik zie vaak genoeg wie er weer eens data bewust of onbewust heeft gelekt.
zeker, ik denk dat we hier op Tweakers wel een aardige collectie aan @eigendomein.nl houders hebben. mediamarkt@eigendomein.nl is hier al in ieder geval bekend.
Ik vind de reactie van medewerkers (IRL op telefonisch) altijd wel grappig als ze vragen naar het email adres waarop ze contact met je kunnen opnemen. Als je dan firmanaam@eigendomein.nl opgeeft verschijnen er bij 9 van de 10 vraagtekens rond hun hoofd. "Huh? klopt dit? hoezo?" (En de 10e interesseert het allemaal geen zak)

[Reactie gewijzigd door NBK op 9 november 2021 18:03]

Ja idd sommige mensen vinden het heel raar wat je met een email adres van hun bedrijf doet en soms zelfs verdacht 😂
Herkenbaar, zo ben ik op een gegeven moment gebeld door een vakantiewoning-verhuurder:
klopt het email-adres normaaldeel+vakantieverhuurder@gmail.com?
Ja hoor, daar ben ik gewoon op te bereiken :)
Ik heb idd een email account aangemaakt met mijn domeinnaam erachter. Zal de komende tijd eens checken wat daarmee gebeurd
Nadeel is wel dat zodra criminelen weten dat je betaald ze er vanuit gaan dat je dat bij herhaling ook zal doen. De 2e aanval is dan aannemelijker.
Na een dergelijke hack zal je als organisatie een complete analyze moeten doen van alle IT en bij twijfel zaken preventief opnieuw opbouwen. Men gaat echt niet na betalen gewoon doordraaien, kans is groot dat het hele IT systeem opnieuw word opgebouwd.

De schadepost houd niet op bij het losgeld, sterker nog de overige kosten zullen waarschijnlijk hoger zijn (inclusief de directe schade van het plat liggen van de IT systemen)
Dat lijkt me ook. Maar dan nog heb je aangegeven dat je een doelwit bent die loont en moet je dus harder aan de bak om herhaling te voorkomen. Nu weten we allemaal dat elk it systeem zo sterk is als de zwakste schakel (vaak de mens zelf) en herhaling niet is uit te sluiten. De crimineel weet dat de extra effort die gedaan moet worden een grote kans heeft om winstgevend te zijn. Als je eenmaal betaald ben je daarna gewoon een groter doelwit. Ook voor andere groepen criminelen die er lucht van krijgen.
Ik zou graag "nog" toevoegen aan je zinnen.

Het zou tactisch gezien best slim kunnen zijn om enkele jaren aan archief op te bouwen en ze dan in een keer allemaal nog eens aan te pakken met de data uit je archief.
Soort extra pensioen potje.
Op me vorige werk ging het mis bij een klant, die klant heeft toen betaald (ik geloof toen nog 2 btc ter waarde van max 1000 euro) .. we kregen toen de unlock keys.
toen bleek dat alles dubbel geencrypt was, kregen we netjes de 2e unlock key.
bedrijf gered, criminelen wat geld erbij..
Daarna is de boel op orde gemaakt en is het niet meer gebeurd.

het kan dus goed gaan....
Het kan maar garanties zijn er niet.
Daarbij blijft het verdienmodel doorgaan als iedereen maar blijft betalen.
Gewoon niet doen en zorgen dat je ICT zaakjes op orde zijn.
Dat kost ook geld maar veel minder dan bij ransomware.
Daarbij loop je ook geen imagoschade op zoals nu ook bij MM het geval is.
Dan zal de volgende keer sowieso niemand meer aan ze betalen natuurlijk....
Dat zou hun businessmodel direct om zeep helpen en betaald niemand meer.....
Dat kan maar dat zullen ze niet doen, omdat de volgende slachtoffers dan niet zullen betalen aangezien data toch gelekt wordt.
Dat ligt bij dit soort organisaties nogal lastig.
Als je dat doet, dan betaald de volgende gewoon niet meer.

De ironie bij deze soort van criminaliteit is dat je best een 'betrouwbare' crimineel moet zijn om je verdienmodel staande te houden.
Met die 50 miljoen gaan ze gewoon nieuwe slachtoffers zoeken. In stand houden is echt een groot probleem. Niet betalen en gewoon laten uitlekken is op de lange termijn de betere strategie als samenleving.
Vind ik echt een slecht plan, het zijn immers 'mijn' gegevens toch? MediaMarkt moet ik dit geval zorgdragen voor mijn gegevens. Initieel zullen ze moeten zorgen dat ze geen slachtoffer worden van een hack.
Ik denk dat je er vanuit gaat dat de gegevens niet gelekt zijn ALS er betaalt wordt. Dat is incorrect; de gegevens zijn al gelekt.
Dat mag zo zijn; wetgeving is dan nodig om de samenleving te beschermen tegen de belangen van het individu in. Ik zit zelf namelijk vast ook in die data, maar het wordt nog veel vervelender als men een compleet profiel op kan gaan bouwen met de data van meerdere inbraken. Dat voorkomen gaat alleen door de hackers de wind uit de zeilen te nemen.
Dat mag zo zijn; wetgeving is dan nodig om...
Je slaat, net als onze wetgevers, in je redenatie over wetgeving de (in mijn ogen) belangrijkste stap over, namelijk; de handhaving van bestaande wetgeving.

De voornaamste reden dat onze gegevens zo makkelijk 'in handen van hackers en/of op straat komen te liggen' is; omdat de meeste bedrijven en instanties de veiligheid van onze gegevens niet echt serieus nemen en vaker niet dan wel aan bestaande wetgeving voldoen.

Nieuwe wetgeving maken is al vele jaren vooral 'voor de buhne' (Kijk maar stemvee kiezers, we doen er echt iets aan hoor!). In de belangrijkste punten van wetgeving, de uitvoerbaarheid en handhaafbaarheid, is blijkbaar niemand geïnteresseerd... |:(
Er is al voldoende wetgeving. Als je extra wetgeving gaat maken wordt die zo specifiek dat als je het maar iets anders doet de wetgeving al niet meer relevant is.
Welke wetgeving verbiedt bedrijven te betalen bij een ransomeware aanval? Dat is het soort wetgeving dat ik bedoel in ieder geval.
Als bedrijf is het niet houdbaar langere tijd niet te draaien en als klant wil je niet dat je data uitgelekt wordt. Ik denk dat de keuze voor MediaMarkt snel gemaakt is, zelfs als ze teveel data bewaren.
Je bent wel heel Naïef als je denkt dat jouw gegevens veilig zijn bij zulke winkels.
Betalen is toegeven en te boek gaan als de lul voor de volgende keer.
Criminelen spelen de gegevens door aan elkaar zodat zij weer een poot uit kunnen draaien.
Ik denk dat iedereen het er mee eens is dat niet betalen een betere strategie is. Echter draait het allemaal om geld. Elke dag dat Mediamarkt stil ligt kost het ze 57 miljoen aan omzet. 50 miljoen losgeld is een flinke aderlating (ze hebben een winst van 240 miljoen). Maar met een beetje onderhandelingen kunnen ze voor 30 miljoen overmorgen weer up and running zijn. En hoewel niemand dat wil is dat toch de meest interessante oplossing. Deze scam is even sadistisch als briljant in zijn opzet.
Ik denk dat iedereen het er mee eens is dat niet betalen een betere strategie is.
Ga alsjeblieft niet 'voor iedereen denken', het is je persoonlijke mening, hou het daar dan ook gewoon bij...

MediaMarkt heeft simpelweg gefaald om deze data binnenboord te houden, daar zit het werkelijke probleem, de rest volgt uit dat feit. De kosten die ze nu moeten maken (hoe dan ook) zijn vele malen hoger dan 'het in eerste instantie al goed doen'.

MediaMarkt's kosten voor dit 'geintje' zal mij overigens volledig worst zijn. Ze komen, net als vele anderen, hun verplichtingen niet na in een poging tot nog meer korte termijn winstmaximalisatie ten koste van de data van hun klanten, en daar zit het echte pijnpunt wat mij betreft.
Ook is er geen enkele garantie dat er echt 'lessen uit geleerd worden', zo is al meermaals gebleken bij andere bedrijven en instanties... ;(
Dan nog is niet betalen de beste oplossing. De data is al gelekt. Of dat in een openbare leak zit of niet maakt daarvoor niks uit. Je moet het als openbaar beschouwen vanaf nu (en daar naar handelen; wachtwoorden op andere plaatsen aanpassen e.d.).
En een boete voor het datalek zullen ze toch al krijgen; dus dat lijkt me ook geen reden om te betalen.
Dus jij vind het ok dat Mediamerkt naast dat hun beveiliging een rommeltje is ook nog eens dit soort acties in stand houdt?
Sorry maar de data ligt al op straat of ze nu betalen of niet. Laat die tent maar bloeden want het is verre van de eerste keer dat ze in de problemen zijn gekomen. Ik kom er zelf al jaren niet meer hierdoor. Het heeft in het verleden al laten zien dat de klant bij hun echt niet op de eerste plaats staat en als de keten daardoor over de kop gaat lig ik er niet wakker van. Meer plaats voor zaken die hun zaakjes beter op orde hebben.
Precies, net als bij vliegtuigkapingen. Nu komt dat amper meer voor, maar daarbij was ook de regel dat er niet ingegaan werd op de eisen van kapers, om te voorkomen dat het lonend werd.
Dat zouden ze hier ook moeten doen.
Met als verschil dat die vliegtuigkapers over het algemeen niet overgingen tot "Nouja, dan vliegen we de hele boel maar te pletter als er niet voldaan wordt aan onze eisen". Dus die passagiers werden uiteindelijk niet echt getroffen.

In dit geval is het "Nouja, dan goeien we al je data gewoon lekker op het darkweb als er niet voldaan wordt aan onze eisen." Hier zijn wij weer de passagiers en worden wij wel getroffen. En hard!
Je wil niet weten hoeveel kapingen er succesvol zijn geweest vanuit het oogpunt van de kapers volgens mij. Dat zijn er meer dan jij nu doet overkomen. Waarom denk je dat er in de jaren 60 en 70 zoveel kapingen zijn gebeurd die uiteindelijk het begin van beveiliging op de luchthaven hebben ingezet.
Zijn er nog geen hacks, datalekken of versleutelingen bij grote luchthavens, vliegtuigmaatschappijen en dergelijke geweest? Want als daar de IT niet goed werkt lijkt vliegen haast onmogelijk?
Met die 50 miljoen gaan ze gewoon nieuwe slachtoffers zoeken. In stand houden is echt een groot probleem. Niet betalen en gewoon laten uitlekken is op de lange termijn de betere strategie als samenleving.
Wel voor de samenleving maar niet voor MediaMarkt. Zo werkt het altijd bij chantage of losgeld. MediaMarkt voelt zich niet verantwoordelijk voor de samenleving en zal dus in het eigen belang handelen. Meestal betekent dat betalen. Niet betalen wordt eigenlijk alleen gedaan door organisaties met een "missie" die de samenleving voorop stelt. Overheden, scholen, ziekenhuizen. En zelfs daar kiest men meestal toch maar voor betalen omdat de gevolgen anders te heftig zijn.
MediaMarkt gaat dat ook niet alleen veranderd krijgen. Dat moeten we als samenleving doen. Dat we het niet doen is vooral een kwestie van geld, niemand wil er voor betalen want het is eorm duur.
Maar MM mag wel een aandeel leveren, ze zijn ook deel van de samenleving. Ik hoop dat MM niet alleen 50M losgeld betaalt maar ook 50M extra investeert in de eigen infrastructuur om herhaling te voorkomen.
Overheden betalen ook. Kijk maar naar de Universiteit Maastricht vorig jaar.

Het zou zomaar kunnen dat de beste investering om dit te voorkomen het elimineren van de menselijke factor is. Heel veel van dit soort aanvallen beginnen bij een menselijke fout of onachtzaamheid. Daar is geen technologie tegen opgewassen.

[Reactie gewijzigd door pepsiblik op 9 november 2021 14:26]

"maar deze organisatie lekt ook gegevens uit als er niet betaald wordt."

De boete zal geen tientallen miljoenen zijn. Het is gewoon een financiële afweging.

Onderhandelen en ondertussen je IT + externe security specialisten assessment laten doen en zien hoeveel er zonder afperser te betalen gered kan worden.

Als het voordeliger is om naar bijna 100% operationele situatie te komen en deur te sluiten waardoor ze zijn binnen gekomen zonder afpersers te betalen, zullen ze dat doen en nemen ze boete voor lief, ondertussen houden ze afpersers bezig (tijd rekken) met "onderhandelingen".

Mocht men ECHT niet anders kunnen dan men altijd nog betalen.
De brutowinst van media markt bedraagt 236 miljoen euro,

Als men een GDPR boete krijgt kan dat oplopen tot 20% = 47 Miljoen.

[Reactie gewijzigd door Scriptkid op 9 november 2021 10:33]

Kijk niet naar theoretische mogelijkheden, maar naar verleden.

Sorteer op FINE (boete hoogte) en trek je eigen conclusies.
https://www.enforcementtracker.com/
Amazone 746 miljoen
Whatsapp 225 mil
Google 50mil
H&M 35 mil

op de door jouw aangegeven site
Er is idd een groot verschil tussen geven en mogen geven , en ja vaak is de boete lager,

Maar als nu bkijkt dat ze al jaren de regels aan hun laars lappen en ze krijgen wel een boete leg jij het dan uit aan management met als reden, ja maar normaal is de boete lager.

je kunt niet uitgaan van wat er mogelijk niet gebeurd, je hebt nu een escalatie scenario waar je met de worse case begint en dan naar beneden gaat relativeren.
Wie denk je dat er verantwoordelijk is voor het incident?

Management / Directie....


Uitsluiten is eerste fout die mensen maken.
maakt niet uit escalatie team zal toch uit moeten leggen waar de extra 40mil boete vandaan komt
De brutowinst van media markt bedraagt 236 miljoen euro,

Als men een GDPR boete krijgt kan dat oplopen tot 20% = 47 Miljoen.
Dat is maximale boete, maar als ze gewoon wel netjes overal de regels volgen beboet de AP niet. Vergelijk het met een verkeersboete: je aan de verkeersregels houden moet en voorkomt een hoop boetes en ongelukken, maar het kan ongelukken niet 100% uitsluiten. De AP beboet niet standaard bij en lek, alleen als je aantoonbaar de regels niet gevolgd hebt.

En dit soort retail draait zo'n 25% van haar omzet in de maand November/December. Dat is serieus meer geld dan de 50 miljoen.

[Reactie gewijzigd door J_van_Ekris op 9 november 2021 13:34]

Maar daar gaat het toch ook om,

De poster maakt als statement dat zij al jaren de regels niet volgen en dat dit als Hive de data op straat gooi als bewijs last naar boven komt.
De poster maakt als statement dat zij al jaren de regels niet volgen en dat dit als Hive de data op straat gooi als bewijs last naar boven komt.
Ik vindt dat altijd een hele lastige uitspraak dat iemand vindt dat iemand anders de wetgeving niet volgt, zonder dat die eerste persoon aantoonbaar kennis van interne zaken heeft. Van buitenaf kun je dat maar zeer moeilijk beoordelen, pas als de AP inhoudelijk onderzoek heeft uitgevoerd weet je enigzins zeker, en pas als de rechter een uitspraak doet weet je het echt zeker.
dat maakt voor het topic hier niet uit , hij geeft aan dat als dit zo ze dat mee nemen in de overweging en iemand anders denk dat d eboetes laag zijn,

ik geeft alleen aan dat in dat scenario volgens de gdpr die boetes to 20% kunnen zijn wat gelijk is aan het bedrag dat de hive group vraagt.

het hele topic is hypotetische en gebaseerd op wat als.
Een hoop mensen lijken hier vooral te mikken op het feit dat betalen echt 'stom' is, maar deze organisatie lekt ook gegevens uit als er niet betaald wordt.
Over welke organisatie heb je het? Hive of Mediamarkt?
Het zou wettelijk verboden moeten worden. Betalen zou moeten worden gezien als meewerken aan een illegale transactie.
Gegevens in handen van criminelen moet je als gelekt beschouwen. Je kan er niet op vertrouwen dat criminelen deze niet zullen delen met anderen, in het publiek of juist geheim houden.

Nee, als de mogelijkheid er is dat persoonsgegevens gelekt zijn dan moet dit gemeld worden bij de AP.
Ik ga er voor 99% vanuit dat de Mediamarkt zijn zaken niet op orde heeft
Maak daar maar 100% van. Qua beveiliging en patches was de boel helemaal niet up to date, net teveel bezuinigd op IT. Beetje eigen schuld dit alles.

Zodra je geld pompt in IT, weet nooit of je anders wel gehacked was, en zie je dus de profit er niet in. Pas zodra je gehacked bent, en dus te laat bent, weet je pas of die investering het waard was. Daar gaat het meestal mis.
Een beetje zoals een backup niet nodig hebben want er is nog nooit een volledige set schijven gecrashed of zo? Dus daar doen we niet aan mee, het kost zo al geld genoeg.
En mijn RAID set/SAN bied me al bescherming... /s
en toch draait exchange al 9 jaar zonder backup en zonder dataloss in de cloud met 170.000+ servers
Yup, alles dat in de cloud draait heeft niks van redundantie en daar wordt ook nooit een back-up van genomen want dat kost veel te veel geld... /s
andere wereld,

de backup zit hem juist in de redundancy van een allways on model
Always on? Dus de rest is not always on, leggen die hun servers af in het weekend misschien? :P

En ik denk dat Microsoft of gelijk welk ander bedrijf dat enkele tienduizenden servers en bijhorende storage op meerdere locaties heeft wel wat reservecapaciteit en hot spares staan heeft.
Bij KBC zat quasi alle storage van de zowat 5000 servers op het SAN (ik spreek over meer dan 10 jaar geleden), al had je hier en daar nog een fysieke server met een set bootschijven want booten over SAN ging niet altijd even vlotjes. Maar je zou er dus geen backup nemen met dat alles toch op SAN staat en gans de SAN live gerepiceerd werd van datacenter A naar B en vice versa... Kvraag mij dan af wat die gigantisch taperobot met een paar duizend DLT's dan altijd voor lawaai stond te maken.
Meschien even verdiepen in always on techniek en de Exchange PLA,

Azure kent wel degelijk backup , we noemen het niet voor niks Azure Backup.
https://azure.microsoft.c...71f85197aefe05d426886568e


Alleen voor allways on technieken is een backup overrated en niet nodig, effectief wat is een backup , gewoon een extra versie van de data op een andere kopie die terug in de tijd kan,

Laat dat nu net zijn wat exchange native doet met NDP ( Je draait met 6 kopieen van de data die 14 dagen terug de tijd in kunnen), en SAN daar hebben we nog nooit aan gedaan in de exchange wereld omdat de eindoplossing 5-10 keer zo duur is en dan half zo redundant en double zo veel failre domains. als wanneer je met jbod direct op de server draait.

https://docs.microsoft.co...ackups%20of%20your%20data.

We supporten het wel maar bevelen het niet aan en doen dat ook niet in O365. exhange servers zijn geoptimaliseert om zo te draaien als wij dat doen in O365 waaruit de PLA ook is voorgeschreven. Daarnaast is het juridische een probleem icm retention policies om een backup te hebben, echter als de deletion policy in place is moet je die data dus ook uit je backup gaan deleten dat is niet te doen @scale met miljarden mailboxen en tapejes.
Ik heb ook nooit beweerd dat je met Azure geen backup kan maken van al je zaken, van een cloud provider mag je wel verwachten dat ze de mogelijkheid bieden om verschillende deftige back-up formules aan te bieden.

En je principe van NDP is ook gewoon danig veel kopieen maken van je data zodat je geen backup meer van doen hebt omdat ze nooit allemaal tegelijk vanzelf kapot kunnen gaan, tenzij ze in hetzelfde datacenter staan maar daar zal dan ook rekening mee gehouden worden omdat je geen SPOF wil.
Wat er dan het meest praktisch en/of goedkoop voor de klant is zal ondertussen ook wel gekend zijn, als jij zegt dat je dan met genoeg JBOD's al je plan kan trekken.

Als ik iets opzoek over always on technology of zo krijg ik gewoon wat resultaten over wat ik dacht dat het is, namelijk 24/7 beschikbare system allerhande. Heb jij links die duidelijker het concept dat jij bedoelt uitleggen want met mijn info ben ik niets, of is het gewoon backup overbodig maken door meerdere keren je data te hebben, dat je dan wel nog constant in sync moet houden op een of andere manier?

Dat soft delete principe is ook gewoon de prullenbak van je OS nadoen maar dan met tijd in plaats van schijfruimte?
Dat komt omdat alle experts op dit gebied de hele dag commentaar geven op Tweakers i.p.v. dat ze bij dit soort bedrijven de IT up to date brengen en houden. Toch gek dat alle experts zoveel tijd hebben dat ze 's ochtends tijdens werktijd commentaar kunnen geven.
Mocht je zelf al eens in de IT gewerkt hebben als technieker of ergens onderaan dan zou je al weten dat het niet veel uitmaakt wat je tegen de klant of je baas zegt over hoe het er idealiter uit moet zien.

Want de klant wil het zo goedkoop mogelijk en heeft meestal geen idee of interesse waarover het gaat en je baas is zo' type dat een goed en veilig system erdoor duwen bij de kant ook liever niet doet want dat kost in eerste instantie nogal veel aan hard en software waar weinig aan te verdienen valt en het is veel lucratiever om om de zoveel maand een paar dagen aan werkuren voor een klant te kunnen inboeken dan iets te installeren waar je quasi geen werk meer aan hebt. En je wil jezelf als bedrijf niet overbodig maken.

[Reactie gewijzigd door Wim Cossement op 16 november 2021 15:55]

Dit klinkt als klink klare oplichting van je klanten en schaad je baas zijn bedrijf en trust. Als het toch zo is moet je toch echt eens gaan praten met ze want dit kost ze de kop op de lange termijn als alle klanten weglopen door dit gedrag. Daarnaast schaad het ook jouw reputatie en trust als je hier aan mee doet.
Eh, ik heb dat een paar keer geprobeerd maar heb het daar redelijk rap voor bekeken gehouden.
Gelukkig waren er nog 2 collega's die altijd alle brandjes blusten maar ik had soms medelijden met die gasten en de klanten want 2 keer in 2 weken bij hetzelfde visbedrijfje meer dan een dag data verliezen omdat er opnieuw een cryptolocker was binnengeraakt.

Tot dan blijkt dat de klant wil dat RDP constant open staat op de standaard poort, ze niet extra willen betalen voor iets van extra beveiliging of 2FA en er op staan dat de gebruikersnaam a is en het wachtwoord 1, want langer is te veel tikwerk en de machine mag zeker niet na 3 minuten zichzelf vergrendelen want das weer extra tikwerk... En in 2017 nog steeds op SBS 2003 draaien.

Sommige mensen zouden gewoon moeten wegblijven van computers en dergelijke! |:(

[Reactie gewijzigd door Wim Cossement op 18 november 2021 15:11]

Dan zeg je dus: als ze betalen hebben dus blijkbaar de boel niet in orde... mooie boel dan.

Maar betalen geeft geen garantie dat het goed komt / de data niet alsnog 'op straat komt' en erger: het blijft lucratief om te doen.

"We don't negotiate with terrorists" klinkt altijd heel hard maar blijft toch de enige oplossing.
In algemene termen is iedereen het er over eens dat je hen nooit moet betalen. Maar als het jezelf overkomt ga je kiezen wat goedkoper is. Betalen en je data terug.
Een hoop mensen lijken hier vooral te mikken op het feit dat betalen echt 'stom' is, maar deze organisatie lekt ook gegevens uit als er niet betaald wordt.

Ik ga er voor 99% vanuit dat de Mediamarkt zijn zaken niet op orde heeft en ook 99% zeker te veel data heeft bewaard die niet in bezit had moeten zijn bij de Mediamarkt (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) en zie dus ondanks dat je beter de boel niet in stand kan houden toch echt dat dergelijke gegevens niet op straat komen te liggen na een lek van dit formaat.

Het blijft een groot probleem helaas.
Betalen is prima, Maak er dan gelijk het dubbele van zodat alle slachtoffers van de gelekte data ook geconpenseerd worden.

Want mijn gegevens liggen op straat, of er nu wel of niet betaald wordt ze zijn al buit gemaakt. Komt er weer een golf flut berichten en spam mijn mailbox in.
Aannames zijn dodelijk. Ik weet dat Media Markt (van heel dicht bij mee bezig geweest) de AVG tot op de letter volgt. Geen idee waarom je deze aannamen doet maar die is zeker niet op feiten gebaseerd.

On-topic. Je kan dit niet voorkomen helaas.
Het is inderdaad een aanname, maar tot heden is zelden gebleken dat bedrijven van dit formaat die onderdeel waren van een lek hun zaakjes ook op orde hadden.

Zo heb ik ooit mijn ID moeten laten scannen voor een toestel verzekering, en mijn aanname is dus dat die scan nog steeds ergens bij hen rond zwerft.

Ik zeg niet dat er un-encrypted wachtwoorden staan, maar de AVG bepaald ook 'zo lang nodig wordt geacht' en zolang mijn verzekering of garantie loopt is het aannemelijk dat ze de data vasthouden en dus nu gelekt is waarbij de vraag gesteld mag worden, wat hebben ze wat eigenlijk niet nodig was.

Gevaarlijke aannames maar in dit soort gevallen kan je beter van het ergste uit gaan toch?
Meteen maar even mijn paswoord verandert, maakt niks uit voor de lek, maar toch.
Het blijft een groot probleem omdat mensen betalen. Je moet die cirkel nu eenmaal doorbreken om het te doen stoppen.

Helaas zal die cirkel echter nooit doorbroken worden, want betalen zal in teveel gevallen gewoon de goedkoopste optie zijn.
Ik ga er .. vanuit dat de Mediamarkt zijn zaken niet op orde heeft en .. te veel data heeft .. die niet in (hun) bezit had moeten zijn .. (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) ...
Wat denk je van nieuws: MediaMarkt stopt met afnemen vingerafdrukken van werknemers na kritie...
Is er dan werkelijk echt niks tegen te doen? Ten eerste hoe is het ze gelukt, heeft iemand stom genoeg een file geopend? Is het een aanval op het netwerk van mediamarkt?
Is er dan helemaal niks tegen te doen om er tegen te wapenen?

Laatst een documentaire gezien op de npo over deze kwesties, er werd eigenlijk gezegd dat het alleen maar erger gaat worden in de toekomst. Wat ik me afvraag, waarom? Wat is er in 15 jaar verandert? Het internet commercieel is al actief sinds de jaren 90, maar zulke dingen werden er toen niet gedaan. Ik iedergeval niet on zo een schaal. Misschien is het een idee op bepaalde infrastructuur te gaan splitsen, zodat de belangrijke infrastructuur niet met elkaar in contact komt.

[Reactie gewijzigd door dutchnltweaker op 9 november 2021 08:30]

Realistisch gezien? Ik denk dat er helaas steeds meer bedrijven slachtoffer zullen worden en daar vrij weinig aan kunnen doen.

Om te beginnen worden bedrijven gericht uitgekozen door hackersgroepen. Op het moment dat deze groepen, die enorm veel kennis in huis hebben, een gerichte phish (of andere aanval gaan uitvoeren) dan zal er in een bedrijf met duizenden werknemers altijd wel iemand zijn die net even niet goed oplet.

Vanaf dat moment is het een kwestie van monitoring, goede netwerk segmentatie en cold storage backups. Professionele groepen kunnen zich vaak goed onder de radar houden en maanden binnen zijn terwijl ze hooguit minimale monitoring triggeren. Vervolgens is het op zoek gaan naar slordigheidjes en configuratiefouten om hogere rechten te verkrijgen. Zoals gezegd: waar mensen werken worden fouten gemaakt, dus je vind altijd wel ergens een wachtwoordje van een hoger account op een server.

Tot slot is het doel om zo veel mogelijk te versleutelen, waarbij specifiek naar backup systemen gekeken wordt.

Is er wat aan te doen? Je kunt het hackers zo moeilijk mogelijk maken met de meest simpele basisregels (goede wachtwoorden, awareness over phishing, netwerk segmentatie, goede AV/monitoring, cold storage backups), maar in een bedrijf met duizenden werknemers gaat een professionele hackersgroep hoe dan ook binnenkomen.

Wordt het alleen maar erger? Als een hackersgroep tientallen miljoenen binnenharkt kan je er van op aan dat ze een deel van dat geld in ontwikkeling steken en zich niet zo geroepen voelen om te stoppen. Ik denk daarmee dat de grote hacks steeds vaker voor zullen komen.
Daarnaast denk ik ook dat 'lone wolf' acties gebruikelijker gaan worden. De bakker om de hoek moet ook steeds digitaler worden. Ik vermoed dat we binnenkort ook acties zullen krijgen door kleinere groepjes die kleine/MKB bedrijven aan zullen vallen voor een paar duizend euro losgeld.

Edit: belangrijk te benoemen dat dit slechts één mogelijk scenario is. Voor hetzelfde geld heeft de betreffende hackersgroep met de eerder verdiende miljoenen een paar leuke zerodays gekocht en zijn ze op die manier binnengekomen. Er zijn tal van mogelijkheden, maar mijn punt is voornamelijk dat zelfs met alle dure producten en awareness sessies je nooit volledig waterdicht zal zijn.

[Reactie gewijzigd door blk op 9 november 2021 09:34]

Het simpelste wat men kan doen is niet betalen. Het is doorbijten, een flinke zure appel, maar ik kan je garanderen dat als het normaal (of normaler) wordt om dit soort bedragen te betalen aan criminelen het hek echt van de dam is.
Zo denk jij, het andere beeld is...
Zijn de backups wel goed genoeg om alles weer terug te zetten en weer operationeel te worden, zo ja hoelang duurd het dan voordat we weer alles draaiend hebben.
Hoeveel verlies maken we tot we weer volledig operationeel zijn. Welke data is gevoellig als deze door de hackers openbaar gemaakt word en krijgen we hier nog boetes door andere instanties voor.
Een commercieel bedrijf wil winst maken, als het losgeld lager is dan de andere kosten om weer operationeel te worden dan zal hier gewoon voor gekozen worden.
Puur kortetermijn denken, puur voor eigen gewin handelen en de maatschappelijke verantwoordelijkheid opzij zetten. Inderdaad zoals de meeste organisaties opereren. Natuurlijk is het allemaal handiger op korte termijn maar te betalen, vooral bij grote organisaties. Maar op de lange termijn is het geen oplossing, want je houdt criminelen een hele vette vorst voor. Er liggen miljoenen hier voor je klaar, kom je het halen?
En idd - net als alles weer rond is - maandje later: hoppa weer een ransomware-attack.

Het is chantage - dat los je nooit op door te betalen.... alsof de andere partij die dus op geld belust is dat opeens niet meer is....?
Bij vliegtuigkapingen heeft het wel geholpen.

Veel mensen op tweakers zijn te jong om zich te dat herinneren. En niet ingeven aan de eisen is daar nog veel moeilijker. Maar het heeft wel gewerkt. (naast extra veiligheids maatregelen)

Op ander gebied zie je hetzelfde effect bij gijzelingen. In bepaalde landen gebeurd het nogal veel dat ze buitenlanders gijzelen en losgeld vragen. Maar ze doen dat niet bij buitenlanders uit landen die nooit betalen en wel meteen special forces inzetten.
In dat geval zou je het betalen van losgeld ook strafbaar kunnen stellen.
Precies wat jij beschrijft is ook de reden dat veel bedrijven in de ellende komen. Het is altijd een kostenpost om de backups beter in te richten.

De kosten om weer operationeel te worden [door de te betalen] is altijd gunstig omdat niet bekend is hoeveel kosten gemaakt moeten worden om op een andere manier operationeel te worden en wat idd de mogelijke boetes / gevolgkosten zijn.

Maar ja, geen garanties dat alles ook echt goedkomt en zeker geen garantie dat het niet weer gebeurd. Daar staan ook kosten tegenover. Een bedrijf dat langer wil bestaan dan zou toch verder moeten kijken dan alleen de volgende dag....
Het is niet altijd de back-up die het probleem is. Soms is het zaadje al maanden geleden geplant en kan je domweg niet op de back-up vertrouwen.
kan je domweg niet op de back-up vertrouwen.
Dat weet ik (helaas proefondervindelijk :| ) maar dat bedoelde ik niet. Was meer een voorbeeld dat calamiteiten beleid altijd gezien wordt als low-prio.
Dus ook de security is vooral onhandig - tot het een keer misgaat - dan is het top-prio.
Beste Tintel,

Zou je dat eens willen toelichten?
Mits je dat wilt en kan uiteraard.
Tja - bedrijf dat ik 'ken' had wel backups maar waren dus al maanden corrupt/versleuteld.
Het hek is van de dam. In de states komt er een wet waarbij bedrijven verplicht worden een voorval te melden en te melden in welke cryptocurrency de ransom betaald wordt. Zelfs met die wet gaan we nog niet alles weten wat zich afspeeld. Het is namelijk flink gezichtsverlies voor je organisatie.
Tja, gaat alleen nooit gebeuren want dan is het zo simpel als einde bedrijf.
En als dat een optie is dan is het voor velen alsnog een hobbie om bedrijven om zeep te helpen omdat ze tegen bedrijf x zijn.

Hoe erg ook een financieel incentive is minder ziek dan dat andere scenario.
Niet betalen betekent voor veel bedrijven faillisement. Soms omdat de hele boel niet decrypted kan worden, soms omdat ze de maanden erop gewoon opnieuw getarget worden.

Een bedrijf met een miljardenomzet gaat niet weigeren om 40 miljoen te betalen om het hele bedrijf om zee te helpen.
En als dat betekend dat je bedrijf failliet gaat?
Ik vermoed dat we binnenkort ook acties zullen krijgen door kleinere groepjes die kleine/MKB bedrijven aan zullen vallen voor een paar duizend euro losgeld.
Ik kan je uit ervaring vertellen dat het al een tijdje gebeurt.
Precies. De impact op het MKB wordt helaas onderschat.
Daarom is dit ook de verantwoordelijkheid van onze overheid. Als er allerlei supermarkten met brandbommen worden aangevallen komt ze ook in actie omdat het disruptive is voor het vertrouwen van de burger in de stabiliteit en veiligheid van onze maatschappij, digitale aanvallen zijn imho niet anders. Alleen is IT bij onze overheid nog een "ver van je bed show" ding...helaas. Maar dat snel moeten veranderen.

[Reactie gewijzigd door olafmol op 9 november 2021 10:14]

Goeie mop, verantwoordelijkheid van onze overheid. De dino's bij de overheid vechten nog tegen encryptie |:( Het is onze eigen verantwoordelijkheid om een beetje IT kennis op te doen en onze eigen zaken goed te beveiligen / te backuppen. Je kan blijven naar vadertje staat roepen, zeker op dit vlak moet je echt geen nuttige hulp gaan verwachten.
Ik zeg nergens dat je je eigen zaakjes niet op orde moet hebben. Net zoals dat je je sloten, verzekeringen, etc op orde moet hebben. Maar als er iemand een brandbom naar binnen smijt, komt toch echt de overheid wel in actie. Als je bakker op de hoek bent, hoeveel specialistische ICT kennis kan en moet je dan hebben om je operatie te draaien? De realiteit en de ideale wereld liggen natuurlijk nog ver uit elkaar, maar het is een feit dat de overheid hierin veel actiever moet worden om onrust weg te nemen.

Deze discussie speelt natuurlijk al lang: https://www.agconnect.nl/...vanwege-te-trage-overheid
Ik ben altijd meer voorstander van een technische oplossing. Mensen moeten gewoon anders gaan denken over hun data en safety. Bouw een simpel IT systeem op in plaats van een systeem dat veel te bloated is met 100 attack vectors. Alles dat aan het internet komt kan morgen uitlekken of versleuteld en gegijzeld worden. Leuk als de politie de boefjes kan pakken, maar verspil aub mijn belastings geld niet aan een overheid die probeert dit probleem technisch op te lossen want dat kunnen ze simpelweg niet.
Er is vast nog wel ergens een Windows XP machine bij de overheid. En Windows 7 ook trouwens.
Totaal mee oneens.. Is me een beetje te socialistisch gedacht. Het wordt tijd dat bedrijven zelf eens de verandtwoordelijkheid nemen en stoppen met beknibbelen op hun automatisering en infrastructuur. Je zou denken dat men inmiddels nu toch wel wakker zou zijn.. Het is volgens mij nooit goed om slecht ondernemer schap te belonen door het maar op de overheid af te schuiven. Daarmee wil ik niet zeggen dat er geen bedrijven worden getroffen die hun zaakjes wel goed op orde hebben.

Ze brengen niet alleen hun eigen bedrijfs voering in gevaar maar ook de privacy van klanten en werknemers e.d.

[Reactie gewijzigd door Darth Malak op 9 november 2021 14:50]

En de bakker die z’n IT wel op orde heeft gaat na 2 jaar failliet. Omdat z’n kosten te hoog zijn en z’n brood te duur wordt. Voor niets gaat de zon op.

En ja, de bakkers die hun bedrijfsvoering door cybercriminelen getorpedeerd zien worden gaan ook misschien failliet.

Mijn punt: er wordt hier op tweakers vaak veel te gemakkelijk gedacht. “Moet je je IT maar op orde hebben” etc. Als het zo makkelijk was, was het ook geen probleem. Dit is gewoon zware criminaliteit dat je niet ff voorkomt met een “goede IT consultant” en “betere software en backups”. Vergeet dat maar. Als jij dat kan dan zou je hier niet zitten want dan verdiende je nu gouden bergen over de hele wereld.

[Reactie gewijzigd door olafmol op 9 november 2021 15:05]

Ik vrees dat we niet aan bepaalde markt werking ontkomen.. Hoe sneu en jammer het ook is.. Ik haat het dat de grote supermarkt jongens alles reguleren tegenwoorig ten kostte van de eerlijke hardwerkende MKB'ers... Warme bakkers worden al steeds vaker meer fabrieks bakkers en de prijzen vind ik niet echt concurrerend meer. Maar goed.. Het blijft een soort van terrorisme dit soort aanvallen en buiten het feit dat ik vind dat de overheid niet zomaar alles moet oplossen, hebben ze wel een grote taak in voorlichting, ondersteuning e.d. vind ik.
De bakker om de hoek moet ook steeds digitaler worden. Ik vermoed dat we binnenkort ook acties zullen krijgen door kleinere groepjes die kleine/MKB bedrijven aan zullen vallen voor een paar duizend euro losgeld.
Ik zie dit als een voorbeeld van een veel groter probleem.
Geen populaire mening natuurlijk op deze techsite maarr: je ziet de digitale wereld overgenomen worden door immorele groepen op allerlei gebieden (Google: verzamelen, maken en vermarkten van psychoanalyses, Fake News generators, professionele criminelen zoals deze Mediamarkt hackers). Dus de digitale wereld wordt onveiliger en onstabieler, vanwege de dikke winsten die er te halen zijn. Dus als we het over onze bakker hebben: voor een goede en stabiele voedselvoorziening wil je dus meer back to basic. Als bakker heb je liever niet dat je smart-ovens gehacked worden of dat ze niet werken omdat de cloudprovider omviel :+ Dit geldt natuurlijk voor heel veel meer sectoren, waarbij het voor voedsel, energie en veiligheid kritischer is dan voor bijvoorbeeld de Mediamarkt, maar het raakt wel de zekerheid en het welvaartsniveau.

En dat laatste, het welvaartsniveau, is de reden waarom alles naar meer efficientie en digitalisatie wordt geduwd, op een ongezonde en onduurzame manier. We denken dat we meer spullen, meer techniek en productie op grotere schaal ons gelukkiger gaat maken. Terwijl dat helemaal niet waar is, dat is een overtuiging vanuit oude overlevingsdrang (na de oorlog was er schaarste en dus was productie en efficientie echt wel belangrijk, neem als voorbeeld melkproductie, toen nodig voor de voederselvoorziening in NL, nu is het dmv techniek doorgeschoten naar een groot systeemprobleem) en programmering vanuit de marketing (moderne marketing bestaat nu ongeveer 100 jaar.. lees het boek Influence van Cialdini). De enige stabiele manier hieruit is de focus terug verschuiven van economie naar de maatschappij: doen we investeringen waar mensen meer gelukkig van worden? Dit is ook een keuze die elk individu zelf moet gaan maken, en als er genoeg zijn kunnen we het democratisch oppakken en gaan sturen op maatschappelijk niveau. Ik weet alleen niet of dat op tijd gaat gebeuren.

[Reactie gewijzigd door Dooxed op 9 november 2021 10:05]

Kijk eens naar life after google op youtube, bescherm jezelf en vergeet al de chaos. Veel aangenamer leven zo.
Je hebt ergens wel gelijk hoor maar dit is van alle tijden en gaat verder dan digitalisering.

De fysieke wereld kan ook steeds onveiliger worden en in sommige landen is dat dus ook al zo.

Als rijken steeds rijker worden en armen geen eens meer een kans hebben om ooit nog voldoende middelen te krijgen om wat minder zorgen te hebben, dan zal criminaliteit toenemen.

Het is niet enkel de digitale wereld waarin we risico lopen. Die overtrokken efficiente die jij ook noemt is niet een gevolg van digitalisering maar van het mechanisme van schulden maken en rente moeten betalen. Digitalisering is enkel een middel - niet de oorzaak.
Eens, assume breach..... je moet er vanuit gaan dat ze al binnen zijn en daarop maatregelen nemen. Je noemt er al een paar, waarbij ik vooral ook logging en monitoring (SOC!) wil benoemen.
Alleen maatregelen zonder controle heeft geen nut. Privileged access moet tot in details worden gecontroleerd en toestemming voor worden verleend. Zo niet, dan blijft de (spreekwoordelijke) deur dicht.

Zolang bedrijven security niet echt serieus nemen en dit niet door het management wordt uitgedragen, is het dweilen met de kraan open. En daar kan een IT'er wel in meedenken en meewerken maar niet volledig oplossen . Daarvoor heb je echt security specialisten nodig. Niet alleen om het op te zetten, maar ook om het te onderhouden, te bewaken en constant te verbeteren.

Threat intel kun je vervolgens inkopen om de maatregelen te versterken zodat je ook weet van waaruit de mogelijke dreigingen nu komen.

Als een simpele maatregel als hashing van bestanden was toegepast, waren ze er al snel achter gekomen dat er iets aan de hand was (i.c.m. een SIEM/SOC/monitoring). Een plotseling toename van de hoeveelheid veranderende hashes moet een teken aan de wand zijn. Dan had men op zijn minst de schade kunnen beperken.
Toen ik bij de Medimarkt retourafdeling was, ongeveer een jaartje geleden,
had de man die mij hielp had niet de juiste rechten om een retourbon te printen...

Hij vermeldde dat hij dan maar even een managementwachtwoord moest opzoeken
en daarop opende hij een excel-document

Hij wist wellicht niet welk wachtwoord hij moest kiezen en liep bij de computer weg
en in de spiegel achter hem, een tabel; met daarop een rijtje van zo'n 10 wachtwoorden

Er stond dan ook geen camera op de computer gericht, anders was de man mogelijk al ontslagen.
Wel stond de achterkant van de computer naar mij gericht, met USB poorten beschikbaar.

Ik heb toen, in gedachte, de mogelijke vectoren verzonnen:
- foto maken spiegel, foto maken scherm
- USB dongle maken met een (virtueel) keyboard, die dmv macro's / zoekacties recente exceldocumenten mailt
- toegang netwerk verkrijgen fysiek/wifi
- tunnel naar buiten opzetten voor remote access
- retrourbonnen aanmaken, extern printen
- netwerk verder gaan portscannen en in kaart brengen
- unencrypted verkeer monitoren (email?)

Vanaf dat punt zou het ook mogelijk zijn om gerichte phishing te gaan doen door bijvoorbeeld intern email te versturen die normaal niet door de spamfilters komt, zoals het emailadres van een leidinggevende spoofen als afzender-adres.

Ik ben geen hacker, wel software engineer en redelijk savvy met infra.
Man wat een uitnodiging
Maar sorry, echt...
Als dat je securitybeleid is, dan hoef je niet op China te gaan zitten wachten.
Vriendje.. Mooie gedachte... Maar bij de ingang loop je met hoofd door de camera. Dus op het moment dat je dit doet ben je er al bij voordat je met je macro of usbtje aan de gang kan...

Digitale rechere en of gewone recherche vinden je echt wel... Of 't nou lang of kort duurt.

Ook deze 43 miljoen actie laat mega sporen na, die bitcoin wallet is bekend, transacties van waar het geld naar toegeboekt gaat worden, alles is te herleiden zelfs al gebruik je tumblers. (zoek dat laatste maar is op), ook dat is niet waterdicht.

Verstandiger en veiliger en slimmer op lange termijn is gewoon eerlijk zijn, belasting betalen en je best doen om er wat van te maken. 't is duurzamer en we moeten elkaar een beetje helpen Ipv alleen maar kapot maken, afpakken en jaloezie omdat iemand anders meer heeft al jezelf. (dat laatste is algemeen en niet naar jou als persoon).
Is er dan werkelijk echt niks tegen te doen? Ten eerste hoe is het ze gelukt, heeft iemand stom genoeg een file geopend? Is het een aanval op het netwerk van mediamarkt?
Is er dan helemaal niks tegen te doen om er tegen te wapenen?
barbarbar in 'nieuws: MediaMarkt is getroffen door cyberaanval'

In feite komt het neer op kennis op ITIL- en Prince2-gebied, mensen die de protocollen volgen, voldoende geld en middelen, management wat mee werkt enz.

Edit: verkeerde link..

[Reactie gewijzigd door Janbraam op 9 november 2021 08:35]

Heel leuk dat hier de gemiddelde Tweaker meedenkt en het beter weet.

Er zijn hacks uitgevoerd zonder tussenkomst van personeel, denk bijvoorbeeld aan een besmette update, (onbekend) beveiligingslek, buitenlandse hack groepen met kennis van zaken, etc.

Het gaat veel verder dan medewerker X opent bijlage Y of een besmette Usb-stick. Je voorkomt er zeker mee dat het gebeurt, dus vooral personeel blijven opleiden, maar je kunt de schuld niet altijd makkelijk aanwijzing. Dat maakt deze praktijken ook erg tijdrovend en frustrerend.

[Reactie gewijzigd door foxgamer2019 op 9 november 2021 09:50]

We weten het ook beter :D :Y)
We weten het ook beter :D :Y)
Vooral omdat je achteraf meepraat.
Dan heb je al meer data en gegevens dan op het moment zelf.

Maar als je het al beter zou weten ...
HOE zijn ze binnen gekomen, dan kunnen we over 2 maanden terugkijken of je gelijk had.
Het kan nog veel simpeler: iemand stopt een rubber ducky in een verkoop pc die daar staat in een winkel.
Toegang geregeld.

[Reactie gewijzigd door ShellGhost op 9 november 2021 09:11]

Achja, in een utopie is alles wel goed te doen, en nu terug naar de realiteit.
Er is genoeg tegen te doen, oa je backups op immutable storage plaatsen.
Tegenwoordig worden vaak eerst de backup encrypt met een timer en daarna pas je systemen waardoor er weinig te restoren valt en je wel moet betalen.

Ik neem aan dat een bedrijf als Mediamarkt dit wel voor elkaar heeft en dan zou je binnen een week weer up and running moeten zijn net zoals VDL.
Het dingetje is. Je kan alles wel terug gaan zetten en de hackers niet betalen.
Maar... wat kost het per dag om niet online te kunnen verkopen?
Deze overwegingen worden ook gemaakt.

Ze hebben een omzet van 20,8 miljard euro (2020) waarvan 236 miljoen winst.
De feestdagen komen eraan, dus ik denk dat ze alles weer ASAP online willen hebben.

Slim moment om ze te hacken, voert de druk wel op.
Wel erg vervelend voor mediamarkt.
Vaak zie je bij dit soort acties dat ze al maanden binnen zijn en nu pas "de knop omzetten".
Dat suggereert een hoop. Meer dan je eigenlijk zou beseffen. Immers even in het hoofd van een hacker gedoken die op deze manier snel cash wilt verdienen. Ieder uur dat je in een systeem zit heb je kans dat het ontdekt wordt. Het is immers een kat en muis spelletje en je weet nooit wat voor expertise je tegenover je hebt. Ja, je kan zsm andere backdoors maken, maar dat is geen garantie. Wil je dus snel gegarandeerd cashen dan ga je niet al maanden op systemen bivakkeren maar ga je liefst het snel mogelijk aan het werk.

Dan hebben we het daarnaast over een losgeld bedrag van 46 miljoen euro. Dat mag dan wel peanuts zijn voor grote bedrijven, maar het blijft een enorm groot bedrag. Als ik weer in het hoofd van een groep hackers ga zitten dan zou mijn eis een stuk lager liggen. Heel simpel omdat bij bijvoorbeeld 8 miljoen een bedrijf met zo'n omzet veel sneller eieren voor zijn geld zou kiezen. Ik zou dus nooit het randje opzoeken en dus langer willen wachten dan nodig is omdat men het bedrag te groot vind.

Nee het betreft in mijn optiek hier geen groep mensen die snel wilt cashen. Zoals ik al zei dan zoek je geen randen op en wat moet je met 46 miljoen en daarnaast waarom blijf je dan bezig. Iedere keer dat je je truc uithaal bestaat immers de kans dat je gepakt wordt. Hier zit dus meer achter en het lijkt meer op terrorisme. Nu niet met zelfmoordaanslagen, maar met omzet en gegevens. Iets waar de kapitalistische landen eerder aan toe te lijken geven dan aan een aanslag. Gelet op wat ik net allemaal schreef kan je zelfs vermoeden is dat dit allemaal slechts een proeftuin is. Dat ze op deze manier de middelen en kennis proberen bij elkaar te krijgen om straks niet alleen geld te verdienen, maar ook om politieke motieven door te drukken.

Als je beseft dat het bij commerciele bedrijven vaak een stuk beter geregeld is dan bij overheden is het immers straks een koud kunstje om dezelfde truc bij een overheid toe te passen. Dan is het niet 'betaal x bitcoin', maar 'laat die gevangene vrij' of 'trek je terug uit x land'. Sterker nog: ze kunnen hun diensten dan op de markt aanbieden waardoor ze als een soort huurlingen worden.

Terug naar je quote dat ze er al maanden inzitten. We gaan er nu gemakshalve alsmaar vanuit dat dit gebeurd is door phishing, door verkeerde policies of een fout updatebeleid, een medewerker die een fout maakt of een verdwaalde usb key. Echter als je er vanuit wilt gaan dat ze al maanden in een systeem zitten dan moet je ook andere mogelijkheden overwegen. Een intern job is helemaal zo vreemd nog niet. Ergens in een filiaal in Europa onwetend een weekendkracht aannemen die stiekem voor deze boevenbende werkt en die maandenlang in kaart brengt hoe het systeem werkt, wat de kwetsbaarheden zijn en met deze gegevens dus juist een gerichte aanval weet voor te bereiden samen met zijn kornuiten en zelfs de gevolgen te monitoren van binnenuit. We gaan er gemakshalve alsmaar vanuit dat het allemaal van buitenaf gebeurt door superhackers in een verlaten schuur ergens in het buitenland, maar is dat wel reeel? Zoals ik al zei riekt dit naar terrorisme dus wellicht zitten er nu verspreid bij de MediaMarkt in Europa wel een handvol mensen verspreid in kantoren, filialen en zelfs systeembeheer die juist in dienst zijn bij deze bende.

Al met al is het inderdaad absoluut niet wenselijk om het losgeld te betalen. Het is alsof iemand je onder schot hou en vraagt om de code van de kluis. Wie zegt dat je niet alsnog neergeschoten word als je de code daadwerkelijk geef. In dit geval weet je niet hoe ze zijn binnengekomen, hoeveel data ze van je hebben. Je weet eigenlijk niks. Je capituleert onvoorwaardelijk. Nu kan je stellen dat de hackers hun woord nooit zullen breken omdat dit juist hun verdienmodel is, maar dan ga je er vanuit dat ze het inderdaad alleen maar om geld te doen is. Een heel gevaarlijke aanname als je het mij vraagt. Als het westen niet toegeeft aan terrorisme moet je jezelf afvragen waarom ze dit soort terrorisme wel accepteren.

We gooien miljarden weg in zaken als klimaatdoelen en corona en geven dan geen zier om de staatsschuld, maar voeden in de tussentijd wel deze digitale vorm van terrorisme omdat een winkel en hun personeel anders financieel in gevaar zou komen. Daarbij is het een wereldwijd probleem. Beter zou het zijn om niet te betalen. De winkel en het personeel vanuit een speciaal internationaal fonds te compenseren voor het verlies en een compleet nieuw systeem op te richten dat beter bestand is tegen dit soort aanvallen. Je spekt dan niet alleen meer een terroristiche cel met alle mogelijke gevolgen van dien, maar in het kat en muis spelletje kan je jezelf transformeren van muis naar kat.
Beter zou het zijn om niet te betalen.
Dat is zonder meer waar.
De winkel en het personeel vanuit een speciaal internationaal fonds te compenseren voor het verlies en een compleet nieuw systeem op te richten dat beter bestand is tegen dit soort aanvallen.
Onzin. Het is een bedrijfs risico. Wil je echt iedereen gaan compenseren als het fout gaat dan verminder je de motivatie om je systemen op orde te houden nog even wat verder...
MediaMarkt verkoopt geen eerste levensbehoeftes. |:(
Waarom toch altijd de gemeenschap laten opdraaien voor kapitalistische problemen? Socialisme en kapitalisme gaan niet echt goed samen. MedaiMarkt profiteert van het kapitalisme - de consument niet. Maar als het misgaat mag dus de burger (=consument) er wel voor opdraaien?
Dat MM de prijzen zal verhogen na de ellende - dat zou kunnen. Maar dan heeft de consument dus een keuze om daar wel of niet produkten te kopen.

Jouw aannames dat meer geld dus betekent dat het geen gewone hackers zijn puur op basis van een bedrag gaan wellicht wat te ver. Waarom zijn hackers nooit hebberig dan? MediaMarkt is geen kleine jongen dus hebben ze meer te verteren denken ze dan.
Het is een bedrijfs risico.
Dan is het dus ook geen probleem als een bedrijf dit risico beperkt door het losgeld te betalen....
Hoezo risico beperkt? Het risico wordt dus juist groter dat het vervolgens weer gebeurt.
Wat er nu gebeurd is dat verzekeringsmaatschappijen polissen bedacht hebben om deze schade te dekken. Een bedrijf betaalt een premie en het bedrijf krijgt een gedeelte of het geheel terug als ze slachtoffer zijn. Deze verzekeringsaanbieders zijn geen kleine bedrijven en behartigen veelal ook de normale polissen van consumenten zoals inboedelverzekering, wa verzekering etc. etc. Aan het einde van de rit betalen deze consumenten dus ook mee aan de uitbetaling van ransom vergoedingen. Dus of je het links draait of rechts draait de consument is de [mannelijk voortplantingsorgaan].

Daarnaast stellen verzekeringsmaatschappijen natuurlijk wel voorwaarden aan hun polis, maar desalniettemin zullen bedrijven een kosten/baten afweging maken. Ze zijn verzekerd dus de motivatie om hun systemen op orde te houden is dan ook minder prangend. We hebben het daarnaast over aanvallen op commerciële instellingen, maar zodra er een overheid(sinstantie) mee gemoeid is het geen bedrijfsrisico meer. Waar gaat het geld dan vandaan komen.

Een internationaal fonds waar bedrijven en overheden aan bij moeten dragen middels een belasting vergroot de draagkracht enorm. Dit fonds is dan niet voor het betalen van bedragen aan de hackers, maar juist om ze niet te betalen en ervoor te zorgen dat een bedrijf niet gegijzeld kan worden. Hackers weten dan al op voorhand dat ze niks krijgen en dus wordt het minder lucratief. Uiteindelijk blijft er dus geld over in dit fonds wat ingezet kan worden voor het bestrijden, voorkomen en traceren van zulke groeperingen.

Als laatste: een hacker is inderdaad wel degelijk hebberig anders zou hij het niet eens proberen. We hebben het echter hier niet over scriptkiddo's. Hier zitten mensen met verstand achter die wel degelijk weten waar ze mee bezig zijn. Natuurlijk is het allemaal koffiedik kijken, maar als je jezelf verplaatst in de gedachtegang van zo'n hacker en je wilt geld hebben dan ben je al blij met een substantieel bedrag. Ga je dan echt het risico nemen om niet met een miljoen of 5 tevreden zijn, maar het onderste uit de kan te willen en hierdoor niks te krijgen. Hier zit simpelweg meer achter in mijn optiek.
Nou, ik ben het niet eens met de constructie van alles verzekeren. Dat is op termijn geen haalbare oplossing (eigenlijk nu al niet meer).
Verzekeringsmaatschappijen zijn inmiddels veel te machtig doordat ze op een grote bak geld zitten. Premies lopen alleen maar op en het risico wordt niet minder. Verzekeringsmaatschappijen voegen ook weer overhead toe.
En precies wat je zegt: als burger draai je dus op voor al het risico in de wereld maar zelf zul je nooit voordeel hebben van al die verzekeringen.

Het idee van een verzekering was om calamiteiten op te vangen waarvoor je zelf geen (geld)buffer hebt. Inmiddels zijn de kosten zodanig opgelopen - ook dankzij het principe "het is toch verzekerd" - dat veel niet meer wordt vergoed. Verzekeringsmaatschappijen spelen doktertje. En als burger betaal je dus voor bedrijven die als maar rijker worden.

Sommige risico's horen bij het vak zeggen we dan. Maar dankzij de macht van geld is dat niet meer zo lijkt het. We krijgen steeds meer verplichte verzekeringen voor niet primaire problemen. Bijv. WAO-gat verzekering is ook zo'n maf ding. Dit zou ook zoiets zijn. Verzekering tegen diefstal is 1 ding maar die heeft ook een probleemvergotend effect. Nu is dit dus geen diefstal maar 'blokkering'.

Gaan we dan naar een situatie waarbij je straks verplicht je kind moet verzekeren tegen het risico dat deze een ruit intrapt met zo'n voetbal? We hebben al iets wat daarin voorziet maar het is nog niet verplicht. Maar eigenlijk moet het toch gewoon mogelijk zijn dat je die ruit vergoed? Maar nee - die kosten zijn harder opgelopen dan de meeste inkomens. Dus hebben we een verzekering nodig. Het nadeel is dat dit dus je besteedbaar inkomen weer verlaagd. Terwijl de kans op bal door ruit niet eens zo heel groot is. Maar de kosten dus wel => elk jaar hogere premie.
En zo zitten we in een neergaande spiraal. En wie spint er garen bij? De verzekeringsmaatschappijen - die al zo 'rijk' waren en steeds rijker (en machtiger) worden... dat was niet de bedoeling.

En daar bovenop: criminaliteit neemt toe indien het verschil tussen rijk en arm groter wordt (en het aantal armen harder toeneemt dan het aantal rijken). Dus verzekeren helpt de maatschappij verder te criminaliseren.


(goh - wat een cynisch verhaal weer...)
Het is alsof iemand je onder schot hou en vraagt om de code van de kluis. Wie zegt dat je niet alsnog neergeschoten word als je de code daadwerkelijk geef
Dan weeg je de kans af tussen geexecuteerd worden omdat je hem niet geeft.... redelijk groot, en de kans dat dat niet gebeurt als je de code wel geeft.... zelfs als die erg klein is, is dat waarschijnlijk beter voor je dan de code niet geven... het is immers maar geld.
Als een overvaller jou nodig heeft voor de code van een kluis en bedreigt je leven dan heeft die overvaller jou op dat moment nodig. Schiet hij je neer omdat je de code niet afgeeft dan kan hij ook niet in de kluis en is de overval voor niks geweest. Heeft hij een (poging tot) moord gepleegd en geen enkele winst.

Als jij de code wel geeft dan heeft hij zijn buit binnen. Jij hebt vanaf dat moment niets meer te bieden, maar je vormt wel een risico omdat jij eventueel de overvaller kan identificeren dan wel een profiel kan schetsen. Onder het mom van 'leave no witnesses' zou het dan juist voor de overvaller het slimst zijn om je neer te knallen.

Nu snap ik dat je zegt: het is maar geld en ik ben het dan ook met je eens, maar in de praktijk is het een stuk moeilijker. Tegen winkelpersoneel wordt ook altijd gezegd "direct het geld uit je kassa afgeven en observeren', maar de kluis heeft meestal een tijdslot. Dit moet ervoor zorgen dat overvallers afschrikt. Stel dat het toch komt tot een overval en je geeft de code dan moet je meestal nog eens een half uur wachten totdat deze open gaat. De overvaller staat al die tijd vol van de adrenaline en dan duurt een half uur lang en kan er van alles gebeuren. Beter dus de code van de kluis niet afgeven.
Heeft hij een (poging tot) moord gepleegd en geen enkele winst.
Het is een crimineel.... grote kans dat die moord hem niet echt wat doet.
De overvaller staat al die tijd vol van de adrenaline
Waarschijnlijk staat hij als sinds binnenkomst onder druk, en de weigering zal hem alleen nog maar bozer maken......
Iemand die je al met geweld dreigt ook nog eens bozer maken door hem de code niet te geven en denken dat hij je dan niet neerknalt..... het is geen hollywood.
Om naar maar even verder offtopic te gaan. Ik heb het aan de lijve ondervonden. Niet met een geweer, maar met een mes. Als ass. bedrijfsleider was ik de enige in het pand met code van de kluis. Overvaller bedreigde mij ook. Heel simpel gezegd dat alleen de bedrijfsleider die code had en dat zij er niet was en dat De kluis gisteren al geleegd was en er niet meer dan een paar honderd euro in zat. Hij droop daarop af en is er vandoor gegaan met de inhoud van de 5 kassa's wat door het niet tijdig afromen (grom) een substantioneel groter bedrag was dan die paar honderd euro. Signalement doorgegeven en HIV test gehad (hij had me gekrabt) en een paar dagen later is hij opgepakt en kon ik daarvoor nog eens een paar uur op bureau zitten voor een verklaring. Geen hollwood dus, maar gewoon real life.
Blij dat het goed afgelopen is voor je, maar er zijn genoeg keren dat dat niet gebeurt in dergelijke situaties.
Het haalt overigens ook een van je eigen argumenten onderuit, blijkbaar was het geen probleem om getuigen in leven te laten.
Het zou mij inderdaad niets verbazen als ze daarom juist dit moment hebben gekozen om de encryptie te doen. De hack heeft waarschijnlijk al veel eerder dit jaar plaatsgevonden.
Als ik het principe goed begrijp is het niet de encryptie die nu wordt aangezet, maar de automatische decryptie die wordt uitgezet. De encryptie loopt waarschijnlijk al weken / maanden.
Heb je hier meer informatie over?

Als het om grote hoeveelheden data gaat, is het wel een idee om die te encrypten en when necessary te decrypten. Datt betekend echter dat de sleutel voor decryptie op al die duizend systemen aanwezig moet zijn, grote kans dat die dan nog kan worden achterhaald.
Dan zijn ze niet slim, hadden ze het rond blackfriday moeten activeren.

Maar achteraf denk ik nu, nu is er natuurlijk wel een druk om alle systemen voor blackfriday weer online te krijgen.. dus denk dat ze wel slim zijn haha

[Reactie gewijzigd door moonlander op 9 november 2021 09:33]

Vergeet Kerstmis, deze maand is het Black Friday, en als je daar niet meedoet dan ben je al helemaal de (commerciële) Sjaak.

Het ziet er inderdaad niet naar uit dat MediaMarkt veel keuze gaat hebben in deze, zelfs al hadden ze de beste contingency plannen, dan zie ik niet echt veel scenario's waar ze binnen een week weer up and runnning kunnen zijn.
Erge is alleen hierdoor gaat de MM al van mijn lijstje af. Vertrouw ze nu niet met mijn gegevens en mijn geld dus zal ik er dit jaar niets meer kopen...
Of je gaat naar de winkel ipv te bestellen.
Met oog op garantie enz heb ik dat toch liever niet. Erg lullig voor de MM marja het is niet anders. Ik heb alleen nog een paar peperdure dingen op mijn verlanglijstje staan en dat wil ik gewoon goed geregeld hebben.
Ook als je een product in de winkel koopt, heb je net zoveel recht op garantie.
Alleen de regels rond kopen op afstand (dat je binnen 14 dagen het product terug kunt sturen) zijn niet van toepassing.
Er is genoeg tegen te doen, oa je backups op immutable storage plaatsen.
Tegenwoordig worden vaak eerst de backup encrypt met een timer en daarna pas je systemen waardoor er weinig te restoren valt en je wel moet betalen.
Men vraagt 50 miljoen, voor de hacker is er inderdaad een serieuze business case om je backups te vernaggelen. Maar het zijn vaak ook clubs met geduld: ze infecteren de backups vaak maanden voordat ze gaan cashen. Zelfs immutable storage helpt dan niet.
Kan je dan niet na elke backup (of om de zoveel tijd) de backup checken. Desnoods met een volledig clean systeem, altijd vers geïnstalleerd besturingssysteem ofzo, zonder enige netwerkconnectie?
Ik ben geen expert, ik vraag mij dit oprecht af. Misschien zie ik dit te simpel.
Je hebt het over de backup van een compleet bedrijf, inclusief serverparken en kassa-systemen. Dat is gewoon niet te doen. Zo'n backup terugzetten als het moet kost vaak al dagen werk. En hackers zijn ook slimmer dan dat: ze kunnen 50 miljoen verdienen als ze een backup weten te slopen zonder dat je het merkt, en ze verdienen het niet als je de backup schoon weet terug te zetten.
Niet echt nee. De aanval werkt vaak met een trigger, bijv. een bepaalde activatiedatum of een externe URL, om actief te worden. Tot die tijd sluimert de code. Hij besmet wel zoveel mogelijk bestanden maar probeert niet op te vallen en niks te beschadigen. De enige hint die je in die tijd vaak ziet is dat er allerlei schrijfacties plaatsvinden naar bestanden die al lang niet meer beschreven zijn.
Bij VDL heeft het een maand geduurd...
Nu is VDL wel een heel extreem voorbeeld met een groot aantal segmenten. Wel een goed voorbeeld omdat zij daar heel duidelijk de backups goed op orde hadden.
Het gaat er toch niet alleen maar om om "up and running te komen"? Ze dreigen ook om data te publiceren. Ik kan mij voorstellen dat bedrijven gruwelen bij de gedachte dat allerlei privacy/financieel gevoelige informatie van hun klanten online komt te staan.
Ik denk dat er maar weinig bedrijven zijn die daar meer dan prioriteit aan geven dan wettelijk noodzakelijk is.
Probleem is wel sinds wanneer zijn ze binnen? Wat is een veilige restore point? Wat kost het om te restoren, ben je daardoor niet teveel value kwijt? Hoe zijn ze binnengekomen, want als je dat niet oplost zijn ze zo weer binnen.

Dus het is niet een kwestie van 'even een backup terugzetten'.
Als ze onderhandelen dan lijkt me toch meer aan de hand te zijn. Het is erg nasty want ondanks backups, kunnen die door dit soort malware echt wel versleuteld worden en is het zoeken naar welke data nog wel clean is. Tevens verlies je inkomen en mogelijk klanten, dan is elke dag al een probleem.

Dit soort praktijken worden steeds meer ben ik bang. Het is goed verdienen en je hebt als bedrijf niet altijd een oplossing. De cloud helpt wellicht en je kunt simpelweg niet op readonly gaan werken.

[Reactie gewijzigd door foxgamer2019 op 9 november 2021 08:47]

Nee - het zou niet goed verdienen moeten zijn [voor de hackers].
Dat het geld en moeite kost. Tja. Dat heb je ook na een brand. En je verliest omzet en je moet je medewerkers door betalen. Maar het zou niet onoverkomelijk moeten zijn.

Het 'voordeel' is nu dat de produkten nog steeds in de winkel / het magazijn liggen. Inventaris kun je opnieuw opmaken. Natuurlijk veel werk. Maar de belangrijkste asset heeft MM nog steeds.
Ook het geld op de rekeningen en de transacties daarop zijn niet verloren. Dus je weet welke leveranciers zijn betaald en welke niet. Ik vermoed dat ze weinig contante geldstromen hebben met leveranciers. En de contante geldstromen met klanten zijn voor het grootste deel, geen bestellingen maar directe afname.

Pragmatisch denken i.p.v. "betaal maar en hoop voor het beste" is de oplossing.
De cloud helpt wellicht
Hoe dan? Die data is dan toch ook versleuteld.
VDL was een maand volledig down volgens mij
Zou het niet mogelijk zijn met wetgeving te komen die het VERBIEDT om in te gaan op dergelijke ransomware afpersingen? Van zodra de hackers doorhebben dat Belgische/Nederlandse bedrijven onmogelijk kunnen ingaan op hun eisen valt er voor hen toch ook niets meer te rapen, niet?

In ons ziekenhuis wordt dit als volgt aangepakt (ik ben absoluut een leek):

- server A: alle medische data
- server B: exacte mirror van A, synchronisatie elk half uur
- backup tapes: 3de, cold storage copy van alle data

[Reactie gewijzigd door PearlChoco op 9 november 2021 09:01]

Over verbieden wordt inderdaad nagedacht, dat speelt al langer.
Over het backupschema wat je aangeeft; ik hoop dat je het te beknopt neerzet want voor een ziekenhuis is dat wat je beschrijft absoluut onder de maat, en zeker niet opgewassen tegen een ransomware aanval.
Backupschema: dat is wat ik ervan met mijn beperkte kennis van weet :)

In welke zin is dat ondermaats? Er wordt mij gezegd dat in geval van een ransomware attack, de volledige database vanaf nul weer kan worden opgebouwd aan de hand van de tapes. Is dat onvoldoende?
Ja, dan moet er nog veel meer gebeuren.
Off line backups is wel een onderdeel van het geheel.
Moeilijk te zeggen, maar aangezien je zelf een leek bent (eigen woorden) kan het zijn dat je dingen verkeerd geinterpreteerd/ anders onthouden hebt.

Als gebruiker van de faciliteiten van het ziekenhuis (IT), ik neem aan dat je er werkt gezien het "ons ziekenhuis". Moet het jou niet uitmaken hoe de systemen beveiligd zijn, maar wil je weten dat ze beveiligd zijn. Stapje verder wil je weten hoeveel data je max kwijt kan raken gemeten in tijd (laatste 5 minuten/uren/dagen), wellicht wil je ook weten hoe lang het duurt voor je de staat van zaken van 5 minuten/uren/dagen terug bereikt hebt. Als je helemaal intresse hebt vraag dan eens de BCP op van je BU/organisatie.
Dat hangt er van af, onderstaand een voorbeeld van eenvoudig backupschema.
Stel dat je elke nacht een back up maakt van je omgeving, en dat is je enige backup. Op dinsdagmiddag klikt iemand een geïnfecteerd bestand aan en dat begint met versleutelen, als dat dezelfde dag nog gedetecteerd wordt ben je de data van dinsdag eigenlijk al kwijt want daar is geen backup van. De laatste backup is immers van maandag.
Maar stel, je detecteert het op dinsdag nog niet maar op woensdag, dan is de backup op dinsdag gaan draaien en maakt een backup van geinfecteerde/versleutelde bestanden. Dan is je backup dus ook nutteloos geworden.
@PearlChoco geeft letterlijk aan "ik ben absoluut een leek". Dus over die beknoptheid van het backup schema, wat denk je nu zelf?
Zou het niet mogelijk zijn met wetgeving te komen die het VERBIEDT om in te gaan op dergelijke ransomware afpersingen? Van zodra de hackers doorhebben dat Belgische/Nederlandse bedrijven onmogelijk kunnen ingaan op hun eisen valt er voor hen toch ook niets meer te rapen, niet?

In ons ziekenhuis wordt dit als volgt aangepakt (ik ben absoluut een leek):

- server A: alle medische data
- server B: exacte mirror van A, synchronisatie elk half uur
- backup tapes: 3de, cold storage copy van alle data
Ja want verbieden werkt zo goed ...

Wie gaat het bedrijf weer up n running krijgen ?
De overheid, of moet een bedrijf dan maar in elkaar storten omdat de kosten te hoog worden.
Either way, de consument betaalt de prijs

Het is een eenvoudige rekensom, kijk naar de uni van Maastricht ... het kost xx miljoen om weer te starten, of 2 maal xx miljoen om van de grond op te bouwen.
In het begin gaan bedrijven het wellicht moeilijk krijgen na een aanval, maar als er nooit betaald wordt dan lost het probleem zich vanzelf op omdat het dan uiteindelijk stopt. Dus eerst duurder, daarna goedkoper.
Wellicht kan de overheid, als zij losgeld betalen verbieden, financieel bijspringen om een gehacked bedrijf weer op de rit te krijgen. Of een steunfonds oprichten waar bedrijven aan bijdragen.
Dan rest nog het probleem hoe je bedrijven verhinderd losgeld te betalen. Niet mogen, betekent dat men een aanval wellicht probeert stil te houden en onder de radar gaan betalen.
Bij een goede ransomware is de vraag: betalen we liever 43 miljoen aan hackers of laten we onze wereldwijde keten met een miljardenomzet failliet gaan waardoor duizenden werknemers op straat komen te staan.

Ja, een verbod zou kunnen, maar ik denk dat dit geen oplossing is waar bedrijven zich bij neer zullen leggen of aan zullen houden. Hackers zullen daarnaast andere targets pakken die erg belangrijk zijn voor de overheid (denk aan nutsbedrijven of de Rotterdamse haven) waardoor ze direct de overheid raken.
En dan tientallen bedrijven de nek om draaien omdat ze niet meer kunnen werken. De meeste bedrijven zullen niet in staat zijn alles weer te herstellen en door te gaan. En hoe ga je zoiets bijvoorbeeld belasting technisch afhandelen met een bedrijf als ze wel vanaf niets kunnen starten. De hele administratie is pissen.
Waarom toch weer hopen op een overheid die het gaat voorkomen? Alsof verbieden gaat helpen als het niet eens te controleren is....
Op zich een aardig idee om het betalen van ransomware te verbieden maar dan wordt de data niet alleen versleuteld maar ook geëxfiltreerd (zoals nu ook het geval lijkt te zijn bij de MM). Als de data onversleuteld is opgeslagen in de database (wat nog steeds gewoon gebeurt) zijn de gegevens van de klanten (naam, adres, rekeningnummer) gewoon beschikbaar. En als de boel wel versleuteld is, dan hebben ze een bestand waar ze naar believen brute force tools op los kunnen laten, genoeg botnets die het rekenwerk voor je kunnen doen. Dat kun je dan weer voor een leuke duit slijten op het dark web.

Security blijft moeilijk, zeker naarmate de techniek vordert (zowel voor de aanvallers als de verdedigers). En zoals iemand hierboven al zei: als verdediger moet je je hele aanvalsoppervlakte de hele tijd zien te bewaken en verdedigen, zij hoeven maar 1 keer geluk te hebben om binnen te komen.
Vaak door het openen van een geïnfecteerd bestand in de vorm van een factuur of iets dergelijks.
Dit is in ieder geval niet "zomaar" bij de MM terecht gekomen.

Het is dan ook vaak een medewerker die per ongeluk zoiets opent en het circus begint.
Belangrijk is je personeel op de hoogte te houden van ontwikkelingen op dit gebied en eventueel "opleidingsdagen" aan te besteden. Helaas zien bedrijven ondanks alle ontwikkelingen security en opleidingen hierin nog als een vervelende kostenpost.
Bij mij op de werkvloer heeft de ict een mail met bijlage naar meerdere mensen gestuurd om te kijken hoeveel mensen deze bijlage (die duidelijk malafide was) zouden openen. Geloof dat 80% de bijlage heeft geopend.
De “normale” burger heeft totaal geen idee wat betrouwbaar of onbetrouwbaar is in www land.
En dan als titel: "Vanaf 1-12 wordt de koffie niet meer gratis, maar kost 50 cent". Bijna 100% garantie dat er op geklikt wordt in alle emotie ... :)
En dan als titel: "Vanaf 1-12 wordt de koffie niet meer gratis, maar kost 50 cent". Bijna 100% garantie dat er op geklikt wordt in alle emotie ... :)
Dit, maar vooral dat @4x4 benoemt hoeveel het fout gedaan heeft.

Het is altijd "vingerwijzen" dit soort tests .... 'kijk nu eens, dat mag niet hoor!' belerend toespreken na dit soort tests.

Gelukkig doen ze het bij ons andersom, geen vage testjes of beleringen, maar een voor iedereen verplichte 'cursus' in de vorm van een game, verspreid over het hele jaar.
Duidelijk gewezen op ( soms voor de hand liggende ) gevaren en problemen, maar vooral spelenderwijs aanleren wat de triggers kunnen zijn ...

[Reactie gewijzigd door FreshMaker op 9 november 2021 09:52]

Nee hoor, geen vingerwijzen. Bij ons precies wat jij zegt, voor iedereen om de zoveel tijd een verplichting om een aantal mini-bewustwordings dingetjes te volgen. Doe je ze niet dan word je daar keurig op aangesproken. Maar dat wordt wel gevolgd door naar een selecte groep een "teaser" te sturen. Nooit om "straf" op te leggen, maar als bewustwording. En dan is het altijd wel grappig wat voor onderwerpen er gekozen worden. Betaalde koffie, parkeergarage alleen nog voor het management, klokken bij het binnenkomen en weggaan, het werkt als een rode lap op een stier. In die emotie klikken er toch veel mensen op zoiets blijkbaar. Aardig neveneffect was kortgeleden een personeelsaanbieding die echt was, maar de security club kreeg die vele 10-tallen keren gemeld :)

Kortgeleden ook wat USB sticks rondgestrooid rond de ingang, ook garantie voor veel moois. Maar de boodschap is wel goed om daar enorm terughoudend op te reageren.
Duidelijk gewezen op ( soms voor de hand liggende ) gevaren en problemen, maar vooral spelenderwijs aanleren wat de triggers kunnen zijn ...
Daarbij ga je er dan echter vanuit dat de oorzaak waarom mensen op phishing mails klikken een gebrek aan kennis is.
Ik denk echter dat dat grotendeels niet het geval is. Als mensen bedacht zijn op het risico dan kunnen ze echt wel een phishing mail herkennen.
Maar in de hektiek van elledag, met een hoge werkdruk lezen mensen niet elk mailtje even nauwkeurig.
En wie kan eerlijk zeggen dat ze altijd elk mailtje van PostNL altijd nauwkeurig bekeken hebben voor ze op de track en trace knop drukken, wanneer ze die dag ook juist zo'n mailtje verwachten.

Een moment van onoplettendheid heb je al snel. En hoe meer medewerkers hoe sneller je beet hebt.
Daar helpt geen training tegen.
Wat ik vooral merk, is dat het een erfenis uit het verleden is.
Reacties die ik ook hier regelmatig terug zie komen, en het verkeerd uitleggen van de 'zero trust'

Ik kom uit een cultuur die vooral inhield verbieden, toen ik pas begon hadden we geen internet op de werkstations.
Maar door de vooruitschrijdende wereld is dat onhoudbaar gebleken.
Wat deed de toenmalige ICT - allow-listings opstellen .. dat mag je bekijken, en vooral dat niet.

Dus sinds een paar jaar waar ik veel mag inregelen, moet ik veel collega's vooral dingen opnieuw aanleren lijkt het.
veel te veel mensen gaan er maar vanuit dat "wat niet goed is, is geblokkeerd"
Dus dit soort awareness trainingen zijn wel degelijk nodig
Wordt inderdaad in meerdere bedrijven gedaan en geeft en goed beeld van de klik-bereidheid van je medewerkers. Helaas is iemand direct confronteren met een verkeerde inschatting of onzorgvuldigheid de enige manier om ze scherp te houden. Uiteraard in een no-blame setting.

In ons geval is het gedaan voor en nadat er een uitgebreid training- en awarenessprogramma rondom cybersecurity is gehouden. Hoewel (gelukkig) een flink aantal medewerkers de bewuste email had aangemeld als spam/phishing, was er nog steeds een alarmerend groot deel dat alle rode vlaggen in de email negeerde en binnen enkele seconden de bijlage had geopend of op de link geklikt heeft.

De medewerker is in veel gevallen de zwakste schakel. Je moet als bedrijf dus continu de medewerker scherp houden om niet zomaar in de val te trappen. Een intensieve taak die bovendien erg lastig uit te voeren is, omdat de medewerker bij de zoveelste herinnering/training/email/... zo snel mogelijk naar de skip-knop gaat zoeken of ondertussen de boodschappenlijst voor de bezorgservice gaat invullen. De thuiswerk situatie waar we nu inzitten maakt dit alleen maar lastiger.

[Reactie gewijzigd door Vullisbak op 9 november 2021 09:54]

Bij mij op het werk hebben ze voor alle emailverkeer wat buiten het netwerk komt een header geintroduceerd wat boven de tekst komt te staan, in rode koeienletters dat je moet oppassen. Moet zeggen dat het goed werkt, je oog blijft er altijd opvallen dus denk je toch even twee keer na.
Hier een linkje met de vraag om wachtwoord te resetten, in een bedrijf met grotendeels ingenieurs oftewel technisch onderlegd. Vergelijkbare dramatische resultaten...

Zelf bijna er in getrapt, toch sterk onderschat hoe snel het kan gaan, het hoeft maar één klein momentje van onoplettendheid te zijn.

[Reactie gewijzigd door looptwellos op 9 november 2021 10:11]

Slechte test als de verzender bekend is (eigen ICT). Want we handelen allemaal vanuit vertrouwen. Niet vanuit wantrouwen.

De 'normale' burger vertrouwt ook vooral de mail van bekenden. Daarom wordt altijd de naam 'gespoofed' - terwijl het adres echt wel vaag is.
Naast opleiding moet je er ook gewoon vanuit gaan dat het mis gaat. Als de training wat tegenhoudt is dat mooi meegenomen, maar dat is maar een fractie van beveiliging. Zie het als het bordje "pas op hier waakt een hond", dat houdt ook maar een klein beetje tegen.

[Reactie gewijzigd door Koeitje op 9 november 2021 09:31]

Dit is de "spam 10.000 bedrijven" en zie wat er lukt.
Voor die grotere vissen als MM word echt wel wat meer moeite gestoken.

ik heb al van een poging gehoord bij een groter bedrijf, waarbij er gebeld werd met een gespoofed nr van een ict leverancier, een perfect nederlands sprekende man aan de lijn kregen, die precies alle namen en termen daar kende,. En belde met problemen over een verbinding, en daar wat wou laten aanpassen voor wat testen.

Het leek een compleet normaal verzoek, en als we het hadden uitgevoerd, hadden ze een kleine ingang gehad. Het is dat mijn collega om onduidelijke reden toch een "spidersense gevoel" kreeg, en na controle met dat bedrijf bleek dit geen actie van hen te zijn geweest.

Is nog aangifte van gedaan, maar daar is vziw nooit iets uitgekomen
Is er dan werkelijk echt niks tegen te doen?

Ja, hoor. Genoeg. Ten eerste moderne IT hebben. Moderne werkplekken zijn individuele geïsoleerde werkplekken dus impact is veel veel kleiner. Goed permissie systeem zorgt dat impact nog kleiner wordt en moderne filesharing technieken zoals OneDrive en Google drive maakt het nog weer kleiner (one click restore). Met oplossingen zoals Google workspace heb je er helemaal geen last van (voor nu) want de gebruiker heeft alleen toegang tot data via een website. Laat staan als ze Chromebooks hebben.

Anyway, genoeg tegen te doen maar deze bedrijven zijn vooral van de oude IT.

Computers in domeinen hebben toegang tot domain controllers. Als je die te pakken hebt, dan heb je toegang tot alle computers in dat domein. Slechts twee ‘hops’ nodig dus. Oude IT uitfaseren betekent echter ook nieuwe werkwijzen. En daar is geen geld voor, net als security.
Het is voor een organisatie als de MediMarkt echt niet zo simpel als even een Google Workspace abbonementje af te sluiten...
daar heb je gelijk in maar voor een klein deel van die 43 miljoen hadden ze mischien best wel een iets beter beveiligd systeem kunnen opzetten en was dit mischien voorkomen.....
Dat hoor ik vaker maar toch zie ik wekelijkse bedrijven die er totaal geen moeite mee hebben. Nee, het is niet simpel maar als je tegenwoordig nog in de 'oude IT' zit dan snap je het niet... Office 365 is al weer 10 jaar oud en Microsoft is niet echt subtiel geweest in wat je moet gaan draaien.
haha, jij moet de politiek in gaan, in een week hebben we dan vrede op aarde, en geen honger meer.

De vraag was "is er dan werkelijk ...", als antwoord dan met wat theoretisch gebrabbel komen wat leuk staat op een schoolproefwerk is dan niet echt een oplossing.
Ik werk veel met overheden en kan je garanderen dat daar geen vrede te halen valt :+

De vraag was "is er dan werkelijk ...", als antwoord dan met wat theoretisch gebrabbel komen wat leuk staat op een schoolproefwerk is dan niet echt een oplossing.

Geen theoretisch gebrabbel, Microsoft Office 365 bestaat al 10 jaar en Google Workspace al 15 jaar. Het is ook niet zo dat Microsoft bijvoorbeeld niet duidelijk is in zijn boodschap. Als je nog op oude IT zit dan heb je er gewoonweg niets aan gedaan en ondervindt je tegenwoordig de gevolgen.

Als je het alsnog gebrabbel vind dan raad ik je aan om eens met Microsoft te bellen. Die kunnen je een mooie demo geven.
En de ervaring IT-ers onder ons weten:
Een demo/powerpoint werkt het altijd. De praktijk is echter anders.

Dat betekent niet dat er geen maatregelen getroffen kunnen worden. Maar aangezien we nooit horen hoe de slachtoffers beschermd waren, weten we ook niet welke maatregelen wel en niet effectief zijn gebleken.
En de ervaring IT-ers onder ons weten:
Een demo/powerpoint werkt het altijd. De praktijk is echter anders.


Agree to disagree, de demo/powerpoint is prima duidelijk en al honderd keer vertoond. Microsoft (als voorbeeld) geeft al bijna een decennia aan dat ze enkel nog maar aan hun cloud werken. Dat zie je ook vaak bij grotere bedrijven, die werken al jaren op die manier. Voorbeeld is een klant met +20.000 man (en vrouw) in de media wereld. Ze zaten al vroeg in Azure en krijgen weinig mee van crypto malware. Mede ook omdat ze hun medewerkers de keuze geven in hardware (en veel voor Mac kiezen).

Als ervaren IT-er kan ik je garanderen dat er meestal simpelweg de wil of leiderschap ontbreekt om er mee door te pakken. Men wil liever doormodderen met de huidige omgeving en bij de eerste de beste tegenslag wordt de handdoek in de ring gegooid... Applicaties zijn hierin de grootste showstoppers en men is dan niet bereid om die oude stoffige Windows applicatie de nek om te draaien.

Bedenk je ook even dat in een ouderwets domein je maar 1 hop verwijderd bent van volledige controle over de omgeving. Een domain controller (de kroonjuwelen van je organisatie) zijn altijd bereikbaar vanaf een domain-joined computer. En met Print Nightmare was het maandenlang een open deur... Oude IT is inherent kwetsbaar voor malware ellende en het gaat nog veel groter worden. Microsoft maakt zich niet druk want die heeft al een oplossing. Klanten hoeven die alleen nog maar te implementeren.

Ik vind het helemaal prima dat ik mij tegenwoordig geen zorgen hoef te maken over die oude ellende.
oh wow, jij hebt de oplossing gevonden....... wacht even OneDrive en Google Drive, maar hoe denk jij dat dat gaat helpen, is immers gewoon een datastorage.
Tuurlijk kun je het wel proberen te beperken, maar vaak genoeg wordt bij dit soort zaken ook gebruik gemaakt van zeroday leaks, tja, en daar doe je heel weinig tegen.
En soms zijn bepaalde werkwijzen gewoonweg niet praktisch. Maar altijd leuk om te bedenken dat het allemaal wel even simpel aan te passen is omdat bepaalde werkwijzes wel bij jouw situatie werken.
oh wow, jij hebt de oplossing gevonden....... wacht even OneDrive en Google Drive, maar hoe denk jij dat dat gaat helpen, is immers gewoon een datastorage.
Beide oplossing hebben ingebouwde herstel mogelijkheden (versioning) zodat herstel eenvoudig is. Microsoft stuurt je zelfs een mailtje met een one-click restore:
https://support.microsoft...fd-40f4-acc7-b8c12c73637f

Ik zeg ook helemaal niet dat het probleem verhelpt, ik reageer op de vraag of hier helemaal niets aan te doen is. Maar aan de reactie te zien denk je meer in de problemen dan de oplossingen.
Maar aan de reactie te zien denk je meer in de problemen dan de oplossingen.
Stop alsjeblieft met dat soort onzinnige uitspraken.

Als iemand beren op de weg aanwijst, dan is het niet omdat die persoon in problemen denkt ipv oplossingen, maar dan is het omdat die persoon wil voorkomen dat ze in volle vaart tegen de beer botsen.

Het zijn juist de mensen die "in oplossingen denken" die vervolgens tegen de beer botsen omdat ze de andere geluiden niet wilden horen.

Om even terug te gaan naar de cloud.
Soms is het gewoon verboden om de data in de cloud op te slaan. Daar sta je dan met je OneDrive en Google Drive oplossing. Soms is het alleen voor sommige klanten verboden. Maar ga je dan twee systemen met klantdata optuigen?

En de belangrijkste bedrijfsdata staat meestal niet in simpele storage oplossingen als OneDrive en Google Drive. En dan is een one-click restore met versioning vaak ontzettend complex of zelfs onmogelijk.

Als je het met OneDrive af kunt, dan heb je daar mooie opties ja. Maar dat is maar een minderheid van de bedrijven.
En weer iemand die denkt in problemen. Wie kan er zijn data niet in de cloud opslaan? Overheden? Gaan allemaal naar Azure. Zorg? Zitten allemaal al in een cloud…

Ik hoor dit excuus zo vaak maar wijs mij eens 1 organisatie aan die dit ‘niet mag’. En graag een link naar de regel graag.

Als je echt kijkt naar regelgeving dan staat daar nooit ‘mag niet in cloud’. Regelgeving is niet zo specifiek.

En de belangrijkste bedrijfsdata staat meestal niet in simpele storage oplossingen als OneDrive en Google Drive.

Wat? Bepaal jij voor iedereen wat belangrijke data is? Dat is een grote uitspraak. Wat voor speciale storage systemen denk je dat gebruikers data dan nodig hebben?
Ik hoor dit excuus zo vaak maar wijs mij eens 1 organisatie aan die dit ‘niet mag’. En graag een link naar de regel graag.
Ik hoor dit excuus zo vaak maar wijs mij eens 1 organisatie aan die dit ‘niet mag’. En graag een link naar de regel graag.
https://www.defensie.nl/d...ta-s/2020/02/04/abdo-2019
Hoofdstuk 4, onderdeel 4.9 voorwaarde 29
Het gebruik van een public Cloud-dienst (computing, opslag, transport) is niet toegestaan
Dat jij nooit te maken hebt met klanten die zeer vertrouwelijke informatie hebben, betekent niet dat anderen hier daar niet mee te maken hebben.
Deze kan ik makkelijk noemen omdat het publiekelijk staat.
Maar als je Defensie als klant hebt, dan mag je het feit dat ze je klant zijn vaak niet eens vertellen. En dat geld ook veel voor andere klanten met zeer vertrouwelijke informatie. In de meeste gevallen zal iemand je dus niet kunnen verwijzen naar zo'n regel omdat ook dat verboden is.

En je noemt de overheden wel zo makkelijk. Die hebben in het verleden dat inderdaad toegestaan, maar recent zijn ze tot de conclusie gekomen dat O365 toch niet voldoende GDPR compliance bied en zijn met Microsoft in onderhandeling over speciale extra vereisten voor de overheid.
Die uiteraard voor alle bedrijven moeten gelden, maar de overheid onderhandeld op dit moment alleen nog voor zichzelf.

Nu je bij deze weet dat de wereld complexer is dan waar jij mee te maken hebt, hoop ik dat je voortaan wat anders reageert op mensen die aangeven dat het niet altijd zo makkelijk is.
Ha, ik had al wel verwacht dat je met Defensie zou komen. De club die nog draait op Windows XP en Windows 7.

Dat jij nooit te maken hebt met klanten die zeer vertrouwelijke informatie hebben, betekent niet dat anderen hier daar niet mee te maken hebben.
Ik werk regelmatig met vertrouwelijke informatie en cloud diensten worden daar veelvuldig gebruikt. Maar gefeliciteerd, je hebt gelijk. We kunnen niets doen tegen de crypto malware en moeten maar gewoon blijven betalen. Dat is je doel, toch? Ik zou niet weten wat je hiermee behaalt maar ik vind het prima want des te meer incidenten, des te meer cloud migraties.

En je noemt de overheden wel zo makkelijk. Die hebben in het verleden dat inderdaad toegestaan, maar recent zijn ze tot de conclusie gekomen dat O365 toch niet voldoende GDPR compliance bied en zijn met Microsoft in onderhandeling over speciale extra vereisten voor de overheid.
Allemaal mooi die onderhandelingen en theorie maar je vergeet dat de oude IT bij de overheid volledig afbrokkelt en migraties aanvragen gaan er niets minder hard om. Vorige maand heeft een collega nog een mailbox migratie afgerond voor een grote gemeente en er zijn twee gemeenten aanstaande. SharePoint Online aanvraag ligt er ook al. De gemeentes zijn het kat-uit-de-boom kijken zat en moeten door. En het is niet zo dat Microsoft ergens anders ontwikkeltijd in steekt anders dan cloud. Voor gemeenten is het ook prima dat ze clouddiensten gebruiken zolang ze zich aan de BIO regelgeving houden.

Die uiteraard voor alle bedrijven moeten gelden, maar de overheid onderhandeld op dit moment alleen nog voor zichzelf.
Enkel de rijksoverheid heeft momenteel afspraken. De gemeenten moeten het zelf regelen (via hun vakorganisatie).

Nu je bij deze weet dat de wereld complexer is dan waar jij mee te maken hebt,
Nope, gaan we helaas niet doen. Alleen omdat je aan komt zetten met een organisatie zoals Defensie wil dat niet zeggen dat dit de norm is. Of dat ik ooit weer ouderwetse IT aan zou raden. Tevens, als we defensie als standaard zouden nemen dan zaten we allemaal nog op Windows XP/7. Zij hebben dezelfde problemen als iedereen en
de 'terughoudenheid' van defensie is geen maatstaaf maar een uitzondering. Een niche... De praktijk is dat iedereen en alles over gaat op cloud. Er zijn zoveel aanvragen (ook van onze overheid) dat de IT organisaties de vraag niet eens aankunnen.

hoop ik dat je voortaan wat anders reageert op mensen die aangeven dat het niet altijd zo makkelijk is.
Je mist ook helemaal het punt. Mijn opmerking is dat er prima wat te doen is tegen crypto malware: moderne IT. Nee, die bied niet 100% weerstand maar het mitigeert de meeste problemen van oude IT waardoor de impact zeer klein is. Het gesprek:

Is er dan werkelijk echt niks tegen te doen?

Ja, hoor. Genoeg. Ten eerste, moderne IT hebben.

oh wow, jij hebt de oplossing gevonden....... wacht even OneDrive en Google Drive, maar hoe denk jij dat dat gaat helpen, is immers gewoon een datastorage.

Beide oplossing hebben ingebouwde herstel mogelijkheden
Ik zeg ook helemaal niet dat het probleem verhelpt, ik reageer op de vraag of hier helemaal niets aan te doen is.

Dan kom jij:
Stop alsjeblieft met dat soort onzinnige uitspraken.
Als je het met OneDrive af kunt, dan heb je daar mooie opties ja. Maar dat is maar een minderheid van de bedrijven.


Wat? Bepaal jij voor iedereen wat belangrijke data is? Dat is een grote uitspraak. Wat voor speciale storage systemen denk je dat gebruikers data dan nodig hebben?

Ik zal eerlijk zijn, ik draai de hele dag cloud migraties en ik twijfel ook wel eens of het wel verstandig is dat klanten hun gehele hebben en houden bij een Amerikaans bedrijf neer te leggen. Maar daar gaat het hier niet over, als we crypto malware tegenkomen dan heeft het nauwelijks impact.

En ps. ik zeg nergens dat een cloud transitie 'makkelijk' is. Als het makkelijk zou zijn dan zouden we niet zoveel nieuws hebben over bedrijven die volledig worden platgelegd door malware. Maar met oude IT knoop je alles aan elkaar en ben je altijd maar 1 hop verwijderd van volledige netwerktoegang (domain controllers).

En weet je wat het resultaat is al deze commotie? Dat de mediamarkt eens goed naar zijn infrastructuur gaat kijken en overgaat naar moderne werkplekken. Alle cloud twijfel is plotseling weg want management hangt in hun nek. Die crypto criminelen zullen net zolang doorgaan tot al die oude IT weg is.
Serieus? Denk je echt dat een simpele offsite file storage de oplossing is? :/
Phishing mails zijn tegenwoordig zo goed dat het niet ‘stom’ is dat ze geopend worden. Dat beeld moet echt verdwijnen.

In het geval van de Hive groepering is het waarschijnlijk via Cobalt Strike beacons gegaan en iedere moderne IDS/IPS zou dat toch moeten detecteren.

Er is zeker wat tegen te doen, maar besef je ook dat een aanvaller vanuit Rusland tot in den treuren kan blijven proberen tot hij binnen is. Ben je als bedrijf in staat zo’n aanval wekenlang af te slaan?
Phishing mails zijn tegenwoordig zo goed dat het niet ‘stom’ is dat ze geopend worden. Dat beeld moet echt verdwijnen.
Dat beeld moet juist aangescherpt worden. We moeten van de naïeve houding echt af.
Ik ben benieuwd dan. Ik weet bijna 100% zeker dat er een mail te maken is waar ook jij in zou trappen. Ik zie het zelf bij mijn ouders die gewoon normale mails ook niet meer durven openen omdat ze bang zijn voor de gevolgen, en de kwaadwillende mails zijn tegenwoordig zo 'goed' dat je dat echt niet zomaar op pikt.
Klopt helemaal.

Daarom moet je als bedrijf zorgen dat in ieder geval je eigen interne mails makkelijk te herkennen zijn tov de phishing mails. Helaas is dat makkelijker gezegd dan gedaan.
Hoeveel bedrijven hebben geen nieuwsbrieven die vanuit externe adressen verstuurd worden, met allerlei moeilijke te interpreteren links, omdat ze dan zo mooi kunnen zien welke items uit de nieuwsbrief goed gelezen worden?
Ik moet de eerste phishingmail nog tegenkomen zonder spelfouten en met een opmaak en toonzetting die lijkt op iets wat ik van een betrouwbare afzender zou ontvangen.
Tip: verdiep je eens in de Nederlandse taal, en je vist alle nepmails er zo uit.
Internet-criminaliteit met phishing-mails die niet eens meer als phishing herkenbaar zijn, omdat ze zo goed geschreven zijn, is zo beangstigend, dat het met de klimaatverandering nog veel meer reden geeft om niet te willen leven ;( . Ik wordt de wereld zo zat. :|
Totaal niet mee eens. Het is in 99,9% van de gevallen zo simpel als je statusbalk checken en kijken waar de link naar toe gaat. Voor die overige 0,01% kijk ik even naar de bron en dan zie je ip adressen uit landen die duidelijk niet bij de mail horen.
Zolang er duizenden hackers met goedkeuring en ondersteuning van hun overheid mogen opereren om bedrijven kaal te plukken en onrust te zaaien stopt dit niet.
Dit moet op een hoger niveau worden aangepakt.
En dat gaat niet gebeuren.

Die overheden zijn maar wat blij dat deze hackers buiten hun grenzen onrust zaaien.
In de bassis is dat splitsen goed voor veel bedrijven maar in comersie zoals mediamarkt dienen system met elkaar te praten zie digitale prijskaarten, en facturatie en betaal systemen die praten met elkaar anders zouden prijzen nooit op die kaartjes komen en ook nooit in een kassa bekend zijn
Snap ik, maar is er niet iets aan te doen om deze infrastructuren met elkaar te laten praten als standalone? Dus ze communiceren wel maar als de 1 gehackt wordt blijft de ander overeind.
Soms laat men met opzet besmette usb-sticks in de buurt van een potentiële slachtoffer slingeren in de hoop dat een medewerker die oppakt en uit nieuwsgierigheid in een werk pc stopt.
Dat is wel zo’n oude truc, inmiddels ook wel achterhaald maar in het verleden is dit wel voorgenomen.
Waarom de usb poorten op een werk pc überhaupt werken is me een raadsel.


Bij de MediaMarkt staan er overigens pc's in de winkel die lang niet altijd afgeschermd staan. Niet heel handig.
Nouja, bij een mediamarkt zou het dan best simpel kunnen zijn. "Ik heb vorige week deze USB-stick hier gekocht, heb er data op gezet en gister kon ik deze ineens niet meer lezen." en dan gaat die fysieke helpdesk eens kijken of zij die USB-stick kunnen inlezen.. Ja, dat zouden ze natuurlijk alleen moeten doen op een PC/Laptop die compleet los staat van welk netwerk dan ook, en ook alleen via CD's zouden worden geupdate.
Dit zijn nog de zichtbare aanvallen doordat er op openlijk om losgeld wordt gevraagd. Onderwater vinden veel meer aanvallen plaats door groepen in het buitenland die gesteund worden door de overheden (state actors) met vaak als doel het leeg trekken van bedrijven qua data.
Is er dan werkelijk echt niks tegen te doen? Ten eerste hoe is het ze gelukt, heeft iemand stom genoeg een file geopend?
Het is erg gemakkelijk om te stellen dat iemand een bestand heeft geopend. Ik ben werkzaam bij een grote organisatie met meer dan 40.000 gebruikers en die krijgen met enige regelmaat een fake phising mail toegezonden om te zien dat ze opletten wat wel of niet te openen.

Deze manier van testen is naar mijn idee alleen een inventarisatie maar geloof mij iedereen trapt er wel eens in! Onder de juiste (vervelende) omstandigheden zoals stress of met de juiste inhoud kan het ook jou gebeuren.

Het is veel belangrijker als IT organisatie om te kijken welke schade je kunt voorkomen als iemand zo'n link opent.
Wat is er in 15 jaar verandert?
Bitcoin
heeft iemand stom genoeg een file geopend?
de zwakste schakel is nog steeds de mens....
Zolang er betalingen via crypto kanalen kunnen plaatsvinden zonder dat iemand ook maar weet wie er achter die rekeningen zit denk ik dus dat dit probleem alleen maar erger wordt. Wij mogen als gewone burger niet eens een bankrekening openen zonder uitgebreide legitimatie en inschrijving bij gemeente terwijl er met BitCoin totaal niets achterhaald kan worden.
Naar mijn idee is er geen technische oplossing nodig voor dit probleem maar een sociale oplossing. Zelfs met zeer specialistische kennis mag je kiezen tussen werken tot je dood gaat of werken tot je dood gaat. Dat maakt criminaliteit zeer aantrekkelijk, na een succesvolle aanval kan je met pensioen. Klinkt dat niet een stuk aantrekkelijker dan werken tot je 75ste?
BITCOIN,

Voorheen moest men via bank transfer betalen, dat was traceable,

nu met Bitcoin is er een heel betaalnetwerk met zeer moeilijk te tracen en makkelijk wit te wassen netwerk van currency ontstaan.
Voorkomen is nauwelijks mogelijk.

In theorie kan je je primaire systemen van het internet afkoppelen, in de praktijk is dat niet werkbaar.

Je kassa's zijn gekoppeld aan voorraadbeheer, voorraad beheer aan order management en die order zullen toch een keer de deur uit moeten. Voorraadbeheer is gekoppeld aan de back office en een back office zonder email of chat apps is tegenwoordig ondenkbaar.

Bij ons op het werk wordt er geëxperimenteerd met software die op storage niveau de I/O patronen van ransomware probeert te herkennen. In zo'n geval wordt de machine waar dat patroon vandaan komt van het netwerk gehaald. Klinkt goed, maar als een developer b.v. een groot zip archief uitpakt of een checkout doet in versie beheer slaat die software ook aan.
En zelfs als ze dat opgelost krijgen: het is natuurlijk een kwestie van tijd tot de malware industrie daar omheen weet te werken.
Je vermoeden is spot on: In de meeste gevallen krijgt een medewerker een phishing mail met een link waar op geklikt wordt. Vervolgens is het hek van de dam.

Voor een deel is dit echt iets waar mensen zelf bewust van moeten worden en tegen op moeten treden. Een andere optie is om alle html opmaak uit mails te schrappen. Een link die er in de mail uitziet zoals dit voorbeeld kan dan bijvoorbeeld niet gemaskeerd zijn als iets anders. Of hier nog een beter voorbeeld: https://tweakers.net (code : [url ="https://niettweakers.net"]https://tweakers.net[/ url]
Wat is er in 15 jaar verandert? Het internet commercieel is al actief sinds de jaren 90, maar zulke dingen werden er toen niet gedaan. Ik iedergeval niet on zo een schaal.
Steeds meer bedrijven hebben in die 15 jaar steeds meer gegevens online gezet waardoor het voor criminelen steeds aantrekkelijker is geworden, en die criminelen hebben 15 jaar ervaring kunnen opdoen en hebben dus knowhow en tools kunnen ontwikkelen. En dat alles gaat in de toekomst gewoon door.

Daartegen beveiligen is uiteindelijk een kwestie van geld, en bedrijven maken altijd een afweging tussen kosten en winst.
Als de winkels nog open zijn zou ik er toch niet graag zaken doen. Duidelijk is dat de hackers al binnen zijn, de vraag is in hoeverre zijn ze binnen? Ik zou er niet graag een pinbetaling doen wetende dat ze gehackt zijn er het onwaarschijnlijk is dat de kassasystemen al veilig/geaudit zijn. Ik denk dat Mediamarkt in het belang van de consument de winkels gewoon dicht moet doen.
En wie betalen zo meteen die bitcoins als ze betalen?
Precies jij als consument.
Die betalen we allemaal als belastingbetaler vrees ik, Bitcoin is nepgeld en die wordt omgewisseld voor echt geld en zomaar weer miljoenen euro verdwenen van de markt in criminele handen
Word betaalt met Monero. Niet Bitcoin.
Waar baseer je dat op? Volgens dit artikel (en andere nieuwsbronnen) gaat het om bitcoin.
Volgens RTL Nieuws zit de Hive-groepering achter de aanval en eisen de criminelen 43 miljoen euro in bitcoin.
Omdat Bitcoin gezien het feit de FBI ook met deze groep bezig is veelste riskant is. De media maakt er Bitcoin van. Bitcoin word zelden tot nooit gebruikt met dit soort bedragen in het illegale circuit.
Ze hebben het er regelmatig over om niet in te gaan op dit soort aanvallen.
Helaas gaat dat niet werken, want een bedrijf maakt altijd een afweging tussen kosten voor het “losgeld” en de kosten voor alles op opnieuw opzetten.
Het is ook makkelijk praten van de overheid, die verliezen er niks mee. Zo roepen dit wel maar bieden geen bescherming zoals bij een “normale” gijzeling waarbij de politie het overneemt en achter de daders gaan.

Ik ben er ook geen voorstander van maar bedrijven moeten door. En dan gaat het mij niet eens om de aandeelhouders maar om het personeel wat er werkt, die hebben hier ook niet voor gekozen en ook geen invloed op de IT infra
Helaas is dat de verkeerde overweging voor een kosten baten analyse, het moet zin, alles opnieuw opzetten, waarbij de nadruk ligt op een systeem waar ransomware onmogelijk/zeer lastig is. Of losgeld betalen + de kosten om je huidige systeem aan te passen zodat ransomware onmogelijk/zeer lastig is.
In dit geval kan het eerste goedkoper zijn. Maar het is hier natuurlijk makkelijk speculeren.

Edit. Ik vergat dat ze natuurlijk ook data in handen hebben die, ik zeg maar wat, niet voldoen aan de GDPR. Dus dan moeten ze dat ook meenemen in de calculatie.

[Reactie gewijzigd door Rob_Dielemans op 9 november 2021 09:57]

Regeling maken dat ze voor elke euro losgeld twee euro moeten betalen om de criminelen op te laten sporen en te berechten. Ze maken het probleem erger dus betaal dan ook maar voor het oplossen.
De meeste threat actors vallen buiten de NLse jurisdictie. Ze zitten in landen die niet meewerken aan uitlevering of zijn in dienst van de overheid aldaar (Noord-Korea en Rusland om de 2 bekendste te noemen), die lachen je gewoon uit als aankomt met je verhaal.

Als je ze al ergens mee zou kunnen pakken dan zou je het fundamentele principe van crypto (ontraceerbaarheid) moeten gaan kraken zodat je "gemarkeerde" crypto kan overboeken en daarna de wallet kan blokkeren/overnemen.
In dit geval is kosten-baten niet het enige ding... Deze organisatie staat bekend om ook gegevens (van klanten!) uit te lekken als er niet betaald wordt. Ik ga er voor 99% zeker vanuit dat de Mediamarkt zijn zaken niet op orde heeft en 99% zeker ook te veel data heeft bewaard die niet in bezit had moeten zijn bij de Mediamarkt (denk aan rekeningnummers, credit cards, paspoort scan bij verzekering?) en dus echt niet mogen worden uitgelekt.
Als het goed is maak je ook de afweging of het ethisch en legaal is criminelen financieel te laten verdienen.
Hoezo voorkomt betalen dat je niet alles opnieuwed moet opzetten, want dat moet je toch , je kunt bij een admin credential compromise nl niks meer vertrouwen.
Wat ik nou nog steeds niet snap (zoals vele)
Zorg dat je minimaal 1x per dag back-ups maakt en het je zelf als bedrijf makkelijk kunt maken om dat terug te zetten.
*En zeker de backups op een andere locatie opslaan.

Dan maar 1 dag alles sluiten en iedereen naar huis sturen om je systemen terug te zetten.
En uiteraard gewoon ouderwets een papieren of externe "simpele" rapport van ins en outs van je goederen.

Geef deze manier van oplichting geen kans om "te onderhandelen" en vermeld er lach gewoon de eisers uit doormiddel van je backups.
-
Excluparts mooi voorbeeld, die ging niks betalen.
Dan maar alles opnieuw tellen/balansen.
Vaak zijn je backups ook encrypted. Ze zitten soms al weken of maanden op je netwerk.
Back-ups zouden op immutable storage moeten staan. Dan kan de malware wel in de back-ups zitten maar is deze nog niet versleuteld. De uitdaging is dan wel om de data uit de back-ups te gaan halen zonder het activeren van de malware.
Back-ups zouden op immutable storage moeten staan. Dan kan de malware wel in de back-ups zitten maar is deze nog niet versleuteld. De uitdaging is dan wel om de data uit de back-ups te gaan halen zonder het activeren van de malware.
Dan is de factor tijd een goede ...
want wanneer is jouw backup obsolete ?
Sales data van 6 maanden geleden is leuk voor de statistiek, maar helpt je niet met de inventaris.
Als ik een backup van 6 maanden geleden moet terugzetten van "alles" dan heb ik een enorme achterstand, en kan ik net zo goed 'schoon' beginnen.
Zodra het daadwerkelijke versleutelen begint zou je dat op moeten merken d.m.v. tools of doordat je er simpelweg achter komt dat applicaties niet meer werken. De voorgaande back-up zou nog intact moeten zijn doordat hij immutable is.
Systemen plat gooien, applicaties opnieuw inrichten (of image die gemaakt is bij het opbouwen van het systeem), back-up bestanden terugzetten uit de laatste back-up, zorgen dat de malware niet overgezet wordt en draaien.

De schaal waarop dit bij de Mediamarkt speelt maakt dit natuurlijk niet eenvoudig...
Vrijwel altijd zit er tussen het versleutelen en de echte infectie meer tijd.

Er wordt gebruikt gemaakt van een sleutel online, die niet acteif is.
Sluimerend op de achtergrond doet de aanvaller zijn werk, en als hij alle gewenste data heeft, zet hij op een forum of website een berichtje wat nergens op slaat.

( simplistische manier "if user pietje post hallo then encrypt")

Zie je de versleuteling gebeuren, ben je te laat ... data is al gekopieerd, en terugzetten backup laat het over X dagen weer opnieuw beginnen
Daarbij ga je er vanuit dat je complete machine images terug zet. Dat moet je natuurlijk niet doen. De backups van de data zet je terug, maar al je machines bouw je vanaf de grond af aan opnieuw op. Op die manier bestaat de infectie niet meer, en wanneer de data weer terug gezet is, ben je weer in de lucht.

Ik ben zelf werkzaam als AWS Architect, en ik snap ook echt wel dat het makkelijker gezegd dan gedaan is. Echter is een op de juiste manier opgezet systeem wat betreft backups en infra relatief makkelijk te herstellen, zonder dat de infectie weer opnieuw optreed (mits het lek gedicht is).

Het probleem zit hem 9/10 keer op hoger niveau. Geen budget om te investeren in beveiliging, geen budget om een CISO aan te nemen, geen budget om engineers te trainen op gebied van informatiebeveiliging, of simpelweg geen tijd om dingen juist te doen door onmogelijke deadlines.

De technologie is er, en is niet eens zo moeilijk om juist te gebruiken. Je moet het echter wel doen. Wanneer het bedrijfsleven maar ook het MKB hun zaken gewoon goed op orde hebben verliezen dit soort hacker groepen hun bestaansrecht. Uiteraard vinden ze wel weer iets anders, maar ransomeware is echt iets dat gewoon gemitigeerd kan worden.
Precies dat kan ook nog gaande zijn.
Zal alleen maar meer voorkomen in de toekomst helaas.
Jammer dat het ene bedrijf na het andere bedrijf volgt, en niet van elkaars fouten leren of wellicht al te laat zijn.
Kosten plaatje en vermoedelijk zou er toch iets meer geïnvesteerd moeten worden in de beveiliging
Wie zegt dat de backups van gisteren geen slapende malware bevatten, en 24u later weer alles om zeep is ? En 3000+ servers restoren is met de meeste forever incremental ook wel even een opgave.
en wie zegt dat de backdoor niet nog steeds open staat nadat je je losgeld hebt betaald?
Of dat de data gestolen is en het vrijgeven daarvan onderdeel uitmaakt van de bedreiging. Dan heb je wellicht je systemen weer draaien maar kunnen financiële gegevens, persoonlijke gegevens van klanten en leveranciers gelekt zijn die daarna weer gebruikt kunnen worden om deze bedrijven en personen aan te vallen en te bedreigen.
Wie zegt dat de backups van gisteren geen slapende malware bevatten,
Aan de andere kant, backup van gegevens hoeft in principe geen uitvoerbare code te bevatten. Daarnaast kan voordat een backup wordt gemaakt de integriteit vd gegevens worden getest (evt als tussenstap; eerst een testbackup maken). Hoe dan ook zal betere beveiliging meer geld kosten en dus de winst drukken. Er moet eerst bereidheid zijn om er meer geld aan uit te geven.
De backup server is natuurlijk de eerste die geformatteerd(lees: onklaar gemaakt) gaat worden. Enige wat helpt is er voor zorgen dat backups nooit(ook niet door de beheerders van het systeem ) verwijderd kunnen worden of offline worden bewaard.
Nee, dat is meestal niet wat gebeurt want veel te opvallend. Meestal worden de bestanden al maanden eerder besmet maar nog niet 'geactiveerd' en dus maandenlang zijn er besmette bestanden gebackupt. Als de aanval dan getriggerd wordt, door tijdstip of een externe trigger, zijn je backups eigenlijk een mijn die op scherp staat. Welke backup kun je veilig terugzetten? Hoe ver moet je terug gaan? Als je een backup terugzet die besmet is, wordt dan alles opnieuw besmet en moet je dan opnieuw beginnen? Etc.
Dat is probleem 2. Natuurlijk, 'immutable storage' is niet het antwoord op alle problemen, maar als je de data nog hebt, ook al moet je die daarna gaan 'wassen' is beter dan dat je helemaal niets meer hebt.
Overigens als we het hebben over b
v. een fileshare, het valt veel te veel op om individuele bestanden te infecteren al maanden voordat ze op de knop drukken.
Nee, dat is meestal niet wat gebeurt want veel te opvallend. Meestal worden de bestanden al maanden eerder besmet maar nog niet 'geactiveerd' en dus maandenlang zijn er besmette bestanden gebackupt.
Dat is niet hoe time-delayed cryptolockers in de regel werken.
In de regel werken ze door een filter-driver op het geinfecteerde systeem te installeren die bestanden op de achtergrond, alsmede in real-time (wanneer ze opgeslagen worden) dmv een public key encrypt. Bij het uitlezen van de bestanden decrypt de filter-driver de content on-the-fly mbv de bijhorende private key die ook ergens op schijf weggemoffeld staat.
Na verloop van tijd is alles op je systeem grondig encrypted en zijn de encrypted files ook je backups ingevloeid, maar heb je als gebruiker nog niets gemerkt. Echter: die backups zijn dan al lang en breed versleuteld en waardeloos. Op dat moment loopt de timer af; wordt de lokale kopie van de private key gewist; en activeert de malware popups etc. om zich aan de gebruiker kenbaar te maken.

Hier is alleen tegen te wapenen door niet alleen backups te maken, maar ze ook op een schoon systeem te inspecteren.
Probleem daarbij is dat je waarschijnlijk gelijk de backdoor die de aanval mogelijk heeft gemaakt terugzet. De aanvaller kan het truukje zo herhalen. Bovendien is het mogelijk dat de data al enige tijd geleden is versleuteld en alleen maar “on the fly” werd ontsleuteld voor businessapplicaties. Dan heb je ook niets meer aan je backup van gisteren maar moet je (veel) verder terug.
on the fly
Oprechte vraag, heb je voorbeelden van malware die dat doet?

Zoiets hoorde ik nog niet voorkomen, al is het niet onmogelijk.
Je snapt het niet omdat je blijkbaar niet in de materie zit, dat geeft niet maar doe dan niet alsof je het allemaal wel weet.

Met betrekking tot malware heb je vaak *niets* (of niet veel) aan backups, je weet vaak niet (snel genoeg) wanneer de malware binnengekomen is waardoor je geen veilig herstel punt hebt.

Daar zit je dan met je 23 Exabyte aan backups van 3000+ servers.

Beter gewoon betalen, je bedrijf weer online en daarna verdere stappen ondernemen
of (maar dit is vaak geen optie) opnieuw opbouwen.
Niet elk bedrijf heeft 3000 servers. Back-up terugzetten is vaak het redmiddel bij Ramsomware. Zeker bij kleinere bedrijven. Zorgen dat je een goede (offline) backup hebt.
Excluparts lijkt mij een veel kleiner bedrijf dan Mediamarkt.
Jij gelooft toch niet dat je op 1 dag een paar duizend servers opnieuw hebt ingericht en meerdere petabyte aan data gerestored, getest en gevalideerd hebt?

Indien wel: binnenkort komt er een hele aardige man met een witte baard op bezoek, ik zou alvast een plekje reserveren.
Is de helpdesk van Hive klantvriendelijk? Weet iemand dat?
Meestal proberen we de klant toch gerust te stellen en proactief naar een betaalbare oplossing te werken ;)
[Sarcasme]
Ze vroegen naar verluid eerst $240 miljoen, dus de helpdesk heeft ze al een flinke korting gegeven. Best klantvriendelijk zou je zeggen...
Op een geven moment kan ik me voorstellen dat onderdeel van dit verdienmodel gaat worden dat ze systeembeheerders proberen te benaderen en deze een flink geldbedrag bieden om ergens een achterdeurtje te bouwen. Ook met gegarandeerde uitbetaling uiteraard, anders is het niet interessant. Er zal in elk bedrijf wel een gefrustreerde systeembeheerder rondlopen.

Blijft een bijzonder vervelende ontwikkeling dit, keihard aanpakken, maar wie dan precies…
Inderdaad, wat pak je aan? Toch rijst bij mij de vraag; zou dit ook zo lucratief zijn zonder crypto? Geld overmaken naar een willekeurige bankrekening is een stuk makkelijker te traceren en terug te halen.
Bitcoin is gestart in 2009. Hoewel ransomware al sinds de jaren 90 bestaat is het pas echt gaan groeien vanaf ca 2011. Noem het een educated guess, maar ik denk dat het succes van cryptocurrency en ransomware (en andere computercriminaliteit) aan elkaar gekoppeld zijn.
Internet is gestart in xxxx. Hoewel ransom al sinds de jaren x bestaat is het pas echt gaan groeien vanaf ca de start van internet. Noem het een educated guess, maar ik denk dat het succes van internet en ransom(ware) (en andere criminaliteit) aan elkaar gekoppeld zijn.
de vraag is dan wie drijft wie aan ?
Inderdaad, wat pak je aan? Toch rijst bij mij de vraag; zou dit ook zo lucratief zijn zonder crypto? Geld overmaken naar een willekeurige bankrekening is een stuk makkelijker te traceren en terug te halen.
Als ik zo eens een rondje systeembeheerders maak, denk ik dat er heel veel zijn, die niet eens het verschil kennen tussen een paper wallet en een online wallet, laat staan dat ze die crypto 'ongezien' op hun eigen rekening gaan krijgen.

Want die persoon moet gewoon zijn huur/hypotheek blijven betalen uiteindelijk
Op een geven moment kan ik me voorstellen dat onderdeel van dit verdienmodel gaat worden dat ze systeembeheerders proberen te benaderen en deze een flink geldbedrag bieden om ergens een achterdeurtje te bouwen. Ook met gegarandeerde uitbetaling uiteraard, anders is het niet interessant. Er zal in elk bedrijf wel een gefrustreerde systeembeheerder rondlopen.
Is chantage niet effectiever? Want als de Admin toch nog enige integriteit heeft meldt hij het zonder schade voor zichzelf bij de organisatie. Bij chantage sluit je die weg af...
Meestal beide, je wordt eerst gelokt met geld, groot deel vooraf betaald, dan hebben ze al 1 voet achter de deur als je toch iets probeert
Verbaast mij dat veel bedrijven geen Disaster Recovery Plan hebben.

Als ze die hadden dan heb je echt wel binnen een paar dagen de boel weer draaien. Al is dat wel heel veel werk en niet alles zou tip top zijn maar toch.
De data die ze hebben en zullen publiek maken zou niet heel erg schokkend moeten zijn. leuk is het niet.
Maar 1 manier hoe je dit kan laten stoppen: betaal niet als we dat allemaal doen, is er geen geld meer mee te verdienen.
Waarschijnlijk weten die gasten dat ook. Zij zullen dan ook de losgeld vraag daarop aanpassen. M.a.w. het is (veel) goedkoper om het losgeld te betalen dan het niet te doen en een "disaster recovery plan" (wat dat ook inhoud) uit te voeren.

Edit: wat justitie wel moet doen is als ze de mensen pakken die dit doen ze opsluiten en de sleutel weggooien. De pakkans is hoogstwaarschijnlijk zeer klein maar als ze gepakt worden moeten ze ook heel zwaar gestraft worden.

[Reactie gewijzigd door Dick Ravestein op 9 november 2021 08:54]

Wat een bijzondere conclusie. Een disaster recovery plan en goed inrichten van je backupstrategie hoeft helemaal niet zoveel te kosten.
Daarom zet ik het het er ook achter " wat dat ook inhoud ". Waar praten we dan over voor een multinational als de MediaMarkt qua kosten? Die criminelen vragen ca. 50 miljoen dollar in Bitcoin. Kun je het daarvoor beveiligen?
Het maken van zo'n plan en de boel eenmalig inrichten is peanuts vergeleken bij het bijhouden en testen van zo'n plan en de maatregelen, laat staan de uitvoering van een hele "reset" na een calamiteit.

zomaar een paar dingen die in me opkomen:
- hoe waarborg je je backup
- hoe controleer je bij een test of na een calamiteit al je systemen (bij een organisatie als de MM makkelijk een paar duizend servers, om nog maar niet te spreken over POS, Kiosken, IoT devices, printers, routers, storage)
- hoe toets je dit alles en zorg je dat je bij blijft (processen, budget) terwijl de top alleen maar ziet dat het (heel veel) geld kost maar zogenaamd niets oplevert.
Dat zijn zaken die je allemaal geautomatiseerd onder controle kan hebben en met de juiste procedures (ISO 27001 enz) moet kunnen waarborgen.

Is het allemaal zo simpel? Uiteraard niet.
Kan het goedkoper dan nu losgeld betalen (los gezien van de reputatieschade?) Absoluut.
Vooropgesteld dat we het alleen hebben over versleuteling en niet over exfiltratie van de bedrijfsdata (dan ben je hoe dan ook de Sjaak want je (klant-)gegevens kunnen zo op straat komen te liggen met alle gevolgen van dien):

ISO27001 is net de zwakste standaard van het stel, dat zegt helemaal niets over security behalve dan dat je er wat procesjes en procedures voor hebt ingericht. SSAE 16 &18 of ISAE 3402 doet daar voor de financiële markten wat bovenop, maar dat heeft voornamelijk te maken met compliancy hoewel er daardoor ook wat security zaken geraakt worden. SOC 2 is wat dat betreft wat flexibeler en moderner. Let wel, dit is vanuit het oogpunt van een auditor, iets waar een hacker lak aan heeft of hooguit gebruikt om (als ie die gegevens gevonden heeft) te bepalen wat zijn makkelijkste aanvalsvector is. Zodra een hacker ziet wat je DR is gaat ie op zoek naar de gaten in die flow en zal ie deze uitbuiten.
Verbaast mij dat veel bedrijven geen Disaster Recovery Plan hebben.
Dat is niet altijd genoeg. Met goede voorbereiding kun je inderdaad relatief snel de boel weer op de rails zetten vanuit je backups, maar steeds meer ransomware aanvallen versleutelen de data niet alleen, maar uploaden ook een kopie naar een server van de aanvaller, met de bedreiging dat de data openbaar gemaakt wordt als het losgeld niet wordt betaald.

Afhankelijk van de aard van het bedrijf kan het uitlekken van zoveel interne gegevens ontzettend schadelijk zijn voor het bedrijf, de klanten en toeleveranciers. En tegen deze dreiging heb je niet zoveel aan een goed backup systeem.
[...]
maar steeds meer ransomware aanvallen versleutelen de data niet alleen, maar uploaden ook een kopie naar een server van de aanvaller, met de bedreiging dat de data openbaar gemaakt wordt als het losgeld niet wordt betaald.
Het begint er mee dat ongeoorloofde toegang mogelijk is; de beveiliging is niet op orde.
Decentralisatie... centraal alles beheren maakt het ook stuk makkelijker centraal alles stuk te maken.

En kennis in huis hebben ipv voor elk dingetje een dure consultant willen inhuren die regelmatig er te weinig van weten zelf maar daar terecht komen door marketing power van het consultantsbureau.

En reeele recovery testen.
hoe wil je beheer anders doen? fysiek naar iedere bak? is ook kansloos :+

blijf van mening dat overheid bedrijven verplicht zou moeten stellen tot een gedegen backup; nee dat vangt niet alles af (stel men zit al maanden in je systeem, en dus ook in je oudere backup). Echter heeft het verleden aangetoond dat in praktijk dat de enige 'werkbare' oplossing is.

Heb je niet een bruikbaar backup systeem / procedure, is betalen de enige optie. Tenzij je jouw toko wilt opheffen, incl. voltallig personeel op straat.
Met dit soort Ransomware is een gedegen backupstrategie misschien je enige kans, maar het is niet voor niets dat een infectie pas na dagen wordt getriggerd en dan de boel op slot gaat. Daar gaat geen enkele backup tegen helpen, zeker niet als je ook nog eens dagelijks online mogelijk 1000-en bestellingen aanneemt, moet verzamelen en uitleveren. Terug gaan naar een paar dagen ervoor is niet te doen, als je al te weten komt hoelang ze al in je systemen zitten.

Dergelijke groeperingen moeten niet alleen voor computercriminaliteit worden gepakt, maar van mij mag de aanklacht nog wel een tandje zwaarder. Wereldwijd levenslang eisen zonder kans op vervroegde vrijlating, zodat het niet uitmaakt in welk land je je verstopt. Daarnaast mag de pakkans ook hoger, dus meer internationale samenwerking om dit soort criminelen eerder op het spoor te komen en te pakken. Het gaat hier niet om een paar scriptkiddies, maar om professionele criminele organisaties die een maatschappelijk ontwrichtende functie hebben. Wil nog niet zeggen dat het terroristen zijn, maar het zit er ook niet heel ver vanaf.
blijf van mening dat overheid bedrijven verplicht zou moeten stellen tot een gedegen backup; nee dat vangt niet alles af (stel men zit al maanden in je systeem, en dus ook in je oudere backup). Echter heeft het verleden aangetoond dat in praktijk dat de enige 'werkbare' oplossing is.
Wat heb je aan een maanden oude backup? Je voorraadposities kloppen niet meer, je prijzen kloppen niet meer en ook al je bestellingen zijn verdwenen. Dit soort bedrijven zijn enorm kwetsbaar omdat een backup van een week oud net zo goed aan decennium oud kan zijn: de data is te volatiel om het zo te backuppen dat het bedrijfstechnisch nog zin heeft.

Overigens is dat niet voorbehouden aan dit soort winkeliers. Zelfs een administratief bedrijf of adviesbureau hebben daar last van. Een backup klinkt leuk, totdat je meer dan een dag terug moet.
blijf van mening dat overheid bedrijven verplicht zou moeten stellen tot een gedegen backup; nee dat vangt niet alles af
Om te beginnen gedegen beveiliging zodat geen ongeautoriseerde toegang mogelijk is.
Decentralisatie... centraal alles beheren maakt het ook stuk makkelijker centraal alles stuk te maken.
Wat je zei klopt helemaal waar :P
Maar decentralisatie is ook gevaarlijk, denk maar aan Skynet :')
Als Skynet ransomware was, zijn we zwaar "vernuked".

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee