Deense windturbinefabrikant hervat werkzaamheden na ransomware-infectie

Deense windturbinefabrikant Vestas heeft zijn werkzaamheden hervat, nadat de systemen van het bedrijf op 19 november werden geïnfecteerd met ransomware. Er wordt momenteel nog onderzoek gedaan naar de cyberaanval.

Vestas meldt dat 'bijna alle systemen' van het bedrijf weer operationeel zijn. De windturbinemaker heeft de afgelopen tien dagen 'hard gewerkt' om de werkzaamheden te herstellen na de infectie met ransomware. Het bedrijf deed daarnaast onderzoek naar de cyberaanval en het heeft zijn IT-systemen en IT-infrastructuur 'versterkt', hoewel het daarbij niet in detail treedt.

De fabrikant maakt ook bekend dat er gegevens zijn buitgemaakt bij de ransomware-infectie. Er wordt nog onderzocht om welke gegevens dat gaat, maar volgens het bedrijf 'lijkt het erop' dat de gegevens met name betrekking hebben op interne zaken van Vestas. De windturbinemaker meldt daarbij dat er geen indicaties zijn dat de ransomware-infectie een impact heeft gehad voor klanten en de toeleveringsketen van het bedrijf. De directeur van Vestas schrijft daarnaast dat het functioneren van windturbines zelf ook niet is belemmerd.

Vestas maakt niet bekend om welke ransomware het ging. Er wordt verder niets vermeld over eventueel contact met de daders en de windturbinefabrikant maakt ook niet bekend of het bedrijf losgeld heeft betaald om zijn systemen te herstellen.

Door Daan van Monsjou

Nieuwsredacteur

29-11-2021 • 19:55

35

Submitter: Anonymoussaurus

Reacties (35)

Sorteer op:

Weergave:

Je hoort tegenwoordig wel heel vaak geslaagde randsomware aanvallen maar daarna nooit meer iets van de aftermath. En al helemaal bijna nooit dat ze daders pakken.

[Reactie gewijzigd door Rofdof op 30 juli 2024 20:28]

Inderdaad, Mediamarkt draait schijnbaar ook weer gewoon.
Er wordt wel met enige regelmaat gecommuniceerd over welke gevolgen het gehad heeft, welke leerpunten ze er uit getrokken hebben en hoe het nu is maar dan wel in een redelijk besloten groep. Veel van deze informatie zegt namelijk ook iets over je beveiliging en kan dus ook een nieuw risico vormen.

Het patchen, een goede firewall, goed beleid, goede backup strategie enz. is zeer van invloed op je digitale weerbaarheid. Maar wat veel mensen vergeten is dat ook je communicatie bijdraagt aan kwetsbaarheden. Als je bijvoorbeeld in het jaarverslag van je bedrijf communiceert dat je toegangsbeleid nog niet zo heel goed op orde is en dat je hier het komende jaar aan gaat werken dan kunnen kwaadwillende hier een voordeel uit halen. Dingen zoals jaarverslagen zijn vrij makkelijk op te vragen
Volgens mij worden daders nooit gepakt omdat ze vanuit landen opereren die het geen moer kan schelen wat je doet zolang je het maar buiten de grens doet. Goed juist, als je potentiële buitenlandse concurrenten uitschakelt.
Daarom moet cybercriminaliteit ook worden beschouwd als normale criminaliteit en in zo'n geval moet je die landen wat mij betreft beschouwen alsof ze en terroristische organisatie steunen; desnoods dus ingrijpen met geweld.
Vestas maakt niet bekend om welke ransomware het ging. Er wordt verder niets vermeld over eventueel contact met de daders en de windturbinefabrikant maakt ook niet bekend of het bedrijf losgeld heeft betaald om zijn systemen te herstellen.
Vrij vertaald: de ransomware kon binnenkomen via software die drie jaar geleden al end of life was, via een stepping stone waarop ongepatchte software draaide waar al twee nieuwe versies van waren. Ze hebben meteen contact opgenomen met de helpdesk van de ransomwareclub, hebben 10% afgedongen op het losgeld en zijn daarna snel gaan kijken of de decrypted databases niet stuk waren.
Wat een vooroordelen weer... Niet persoonlijk hoor, maar IT'ers zijn soms zo arrogant...

Ik heb een aardig voorbeeld voor je, een klant van ons ontdekte op tijd een aanval. Na onderzoek bleek dat ze via de exchange lek binnogekomen zijn. Dat lek was 2 dagen na bekendmaking door een collega van mij gepatched.

Kortom, je hebt niet altijd oude software nodig om gepakt te worden. En daarbij, genoeg voorbeelden waarbij je niet altijd oude software makkelijk kan vervangen...
Er lijken hier op tweakers redelijk wat mensen te zitten die denken dat de besmetting altijd ontstaat door iets simpels. Bij sommige besmettingen zijn ze maanden bezig geweest op zoek naar (0-day) kwetsbaarheden. Door kwetsbaarheden vervolgens aan elkaar te rijgen kunnen ze vervolgens de besmetting uitvoeren.

Dat bedrijven steeds beter voorbereid zijn op een besmetting begin je ook terug te zien in de aanvallen. Tegenwoordig is met enige regelmaat de boodschap van de aanvallers dan ook dat ze weten dat je mogelijk alles kan herstellen en dat ze daarom al je data buit gemaakt hebben en dat als je niet betaald dat je data verkocht zal worden. Zie bijvoorbeeld het Mondriaan of Cyberpunk (https://www.wired.com/sto...berpunk-2077-source-code/)
Of lang bezig via social engineering... fishing em-mails en weet ik wat. Niet eens is altijd een echt lek noodzakelijk.
Via social engiinering kan je inderdaad een mogelijke eerste ingang hebben en een account buit maken van een medewerker.

Wat je steeds meer ziet is dat de ene hacker een account buit weet te maken bij een bedrijf. Deze doet vervolgens niet veel anders dan te kijken hoe het netwerk in elkaar zit en welke mogelijke zwakheden er aanwezig zijn. Deze informatie wordt vervolgens online verkocht aan andere kwaadwillende welke aan de slag gaan met ransomware/malware, chantage enz.

Zo hebben hackers bijvoorbeeld maanden lang contact gehad en een band opgebouwd met een medewerker van Tesla om het vervolgens proberen om te kopen om ze te helpen (https://fortune.com/2020/...lot-tesla-factory-nevada/) in Tesla te besmetten en af te kunnen persen
Ja - hier is de term van georganiseerde misdaad heel erg op z'n plaats.
Ook geeft dat een mooie 'schuldverschuiving' (en minder morele bezwaren) want degene die het onderzoek doet heeft nog niemand gechanteerd. De software om de boel te encrypten wordt ook weer door iemand gemaakt die het niet zelf direct gebruikt en zo hebben we een 'fijn' groepje mensen die enkel kleine taken uitvoeren zonder al te veel morele impact. Heel vervelend dat dit zo werkt natuurlijk. Wel vermoed ik dat de bedenker/hoofduitvoerder van dit alles, het meeste eraan verdiend (als het lukt) en je die moet aanpakken.
Sterker nog ik denk dat de meeste randsome aanvallen verlopen op basis van onbekende bugs. Er wordt niet voor niets heel veel betaald voor zero - day exploits. En inderdaad de meeste IT-ers zijn arrogant omdat ze denken dat backups de heilige graal zijn tegen deze attacks. Ze zeggen er dan niet bij dat we het hebben over immutable backups. Een infra optuigen bv met een Datadomain die repliceert middels een airgap naar een andere Datadomain die wordt gemonitord door cybersense appliances om de kroonjuwelen veilig te stellen (zoals ASML en VDL bv doen) is wel andere koek dan zomaar even roepen "backup terugzetten". En dan hebben we het nog niet gehad hoe ingewikkeld het restore proces is met een Clean Area en automatie Run books in te richten om de applicaties weer te deployen in een clean room en te testen of ze echt schoon zijn. En wat denk je van RPO / RTO tijden? Geld kost het sowieso.
Ik ontdek geen arrogantie in @wankels opmerking. Volgens mij is het volledig terecht om te concluderen dat als een bedrijf niet expliciet vermeld dat ze geen losgeld betaald hebben, dat ze dan losgeld betaald hebben.
Dat is een aanname die je niet zomaar kan maken. Veel bedrijven communiceren bewust niet over besmettingen of over welke maatregelen ze genomen hebben of waar ze nu staan juist vanwege security. Door wel open te communiceren over wat je wel/niet gedaan hebt geef je informatie prijs over je huidige beveiliging en kwetsbaarheden en over de manier van werken. Juist dat kan weer tegen je gebruikt worden voor toekomstige besmettingen.

Dat de communicatie voor jou niet zichtbaar is zegt trouwens niet dat er niet in besloten groep wel over gecommuniceerd is. Het mondriaan is daar een goed voorbeeld van. Publiek is weinig gecommuniceerd over hoe en wat. Binnen een besloten groep van Surf is hier wel het nodige over gecommuniceerd.

[Reactie gewijzigd door daredevil__2000 op 30 juli 2024 20:28]

Of ze hebben niet betaald en de backups teruggezet.
Meer opties zijn er niet.
Gewoon alles greenfield! :+
En meteen upgraden van windhoos 7 naar windhoos 11 :+
Het zou goed zijn asl bedrijven verplicht bekend moeten maken (al dan niet t.b.v. hun aandeelhouders) of ze wel of niet betaald hebben, ook (als ze daar achter kunnen komen) wat voor software gebruikt is.
Om andere aan te moedigen dit ook te doen?
Nee, omdat de angst voor publiek op je bek gaan groter is dan de angst voor losgeld moeten betalen. Als bedrijven weten dat ze het bekend moeten maken als ze criminelen subsidiëren, dan zou het zomaar kunnen dat er opeens wél geld beschikbaar is voor beveiliging. Als beveiliging 1 miljoen kost, het verwachte losgeld 10 miljoen bedraagt en de kans om getroffen te worden onder de 10% ligt, dan is dat geld er niet. (Getallen volkomen uit mijn duim gezogen, puur ter illustratie.)
Betwijfel dat, werk al decenia in IT en iedereen denkt altijd dat dit hen nooit zal overkomen.
Het enige wat ik dit zie doen is als er een stroom van losgeld aankondigingen zijn dat meer crilminelen zien dat er daar veel geld in zit.
Er zijn zat bedrijven die wel flink investeren in de security en ook die zijn niet 100% waterdicht. Er zijn altijd onbekende 0-day lekken waardoor hoe goed je jouw beveiliging ook op orde hebt ze toch binnen kunnen komen. Je kan het hooguit zo moeilijk mogelijk maken voor de aanvallers.

Het is uit de diverse reacties wel duidelijk dat er hier wel veel IT-ers zitten maar dat het aantal IT-ers welke serieus betrokken zijn bij de digitale weerbaarheid van het bedrijf erg beperkt is.
Koop een aandeel en eis openheid bij de aandeelhoudersvergadering.
Zou idd een mogelijkheid zijn voor bestaande aandeelhouders.

Wettelijk bekend moeten maken zal bedrijven aanzetten om zich beter te beveiligen.
Waarom toch? Ze maken nu al wat bekend onder de noemer van AVG o.i.d. Waarom toch de vraag naar meer wetten?
Waarom denk je dat publiekelijke bekendmaking leidt tot betere beveiliging? Het is letterlijk een probleem en kost geld als het mis gaat - dat is echt een flinke motivatie.

(beetje rant: maar de roep om meer wetten is soms zo verdrietig aangezien het enkel ambtenaren tijdverdrijf is en meer uurtjes voor de juristen terwijl rechters toch altijd alles toetsen aan redelijkheid. Al die extra wetten die de laatste tijd worden bedacht (bijv. geen mobiel in je hand tijdens autorijden) zijn blijmakers voor de Wet Mulder uitvoerders (of te wel: cashgrabs) en blijhouders voor het volk maar voegen weinig toe.)
Rob hierboven geeft prima aan waarom
Gaat om deze reactie vermoed ik robvanwijk in 'nieuws: Deense windturbinefabrikant hervat werkzaamheden na ra... De reden waarom @litebyte dit bericht zo goed vind is omdat het zijn eigen standpunt ondersteund van het schandpalen van alle bedrijven.

Waarin even makkelijk gesteld wordt dat je bedrijven die betalen moet schandpalen en dat betalen van het losgeld ten alle tijde een slechte zaak zou zijn. Over het wel of niet betalen zijn de meningen flink uiteenlopend in de security. Sommige hier op tweakers gaan er voor het gemak maar vanuit dat de besmetting altijd ten gevolge is van iets wat je makkelijk had kunnen voorkomen.

[Reactie gewijzigd door daredevil__2000 op 30 juli 2024 20:28]

[aha]

Maar een schandpaal voor bedrijven die 'stiekem' criminelen subsidieren... 8)7
Alsof het bedrijf daar zelf op zit te wachten (dat betalen van losgeld / stilstaan / omzetverlies).
Gaan we dat dan ook doen met die mensen die in een scam trappen? "Aan de schandpaal! Dat zal ze leren!"

Natuurlijk is het onhandig dat het geld oplevert (dat chanteren) want dat werkt verdere criminaliteit in de hand. Maar om dan slachtoffers nog meer ellende te laten ondervinden? Dan is toch geen menswaardige oplossing?
Het schandpalen van bedrijven gaat echt niet alle besmettingen voorkomen. Er zijn zat bedrijven die het prima op orde hebben en flink investeren in de security en waar criminelen maanden aan tijd in hebben geïnvesteerd om op basis van 0-day kwetsbaarheden toch binnen te geraken of door simpelweg personeel om te komen om ze te helpen. Schandpalen is echt niet de oplossing.
Dan moet dat imho ook bij andere organisaties en wellicht ook bij consumenten. Want waarom ben jij zo stom geweest om jouw autoradio te "laten" stelen? Of waarom heb jij je laten verleiden tot een Ponzifraude?

Ik ben het met je eens dat er veel is te leren van zo'n aanval. Maar om dan wettelijk te gaan verplichten dat er openheid wordt gegeven, daar heb ik twijfels over. Want hoe open moeten ze dan zijn? Wat moet er dan minimaal in zo'n verslag komen te staan? En binnen welke tijd moet dit dan zijn gerapporteerd? Er kan heel veel tijd in gaan zitten om een goed en compleet verslag te maken, welke waarde heeft het dan nog?
Ja laat ze ook direct even bekend maken welk merk en model switches, firewalls enz ze gebruiken. Super handig om ze mee te schandpalen. Oh wacht dat is ook super handige informatie voor kwaadwillende om te weten hoe ze mogelijk binnen kunnen komen.

Wat hoop je te bereiken door te weten of een bedrijf wel of niet betaald heeft? Tegenwoordig wordt data ook gegijzeld en bij niet betalen worden alle gegevens publiek online geknald. Betalen kan dus ook betekenen dat een bedrijf wel om jou als klant geeft aangezien ze publieke publicatie van jouw gegevens proberen te voorkomen. Wel of niet betalen zijn dan ook redelijk wat discussies over.

Publiek publiceren over hoe je geraakt bent geweest, welke software je draait, wat je aanpak is enz, is security technisch echt een no-go.
Nee, waarom is dat nodig? Dat doe je bij verplichte bekendmakingen van data lekken/diefstallen toch ook niet?
Bekendmakingen rondom datalekker is bewust zodat de personen waar het (mogelijk) gevolg op gehad heeft geinformeerd zijn over wat er (mogelijk) buit gemaakt is. Dit ook zodat zij zich bijvoorbeeld kunnen voorbereiden op eventuele gerichte phising campagnes.

Wat wil je precies bereiken met het bekend maken van wel of niet betaald? Een bedrijf schandpalen? Een discussie op social media over het wel of niet boycotten van een bedrijf enz? Mesen zijn nogal makkelijk van het schandpalen van een bedrijf wat betaald heeft maar op het moment dat hun privé gegevens in ene online staan omdat een bedrijf niet betaald heeft zijn ze vervolgens verontwaardigd dat het bedrijf niet betaald heeft.
Hopelijk begrijp je dat er ook genoeg bedrijven wel gewoon een goed patch beleid hebben. De dag na patch tuesday staat dan ook bekend als hack wednesday. De patches welke de dinsdag bij de patch ronde worden vrijgegeven worden razendsnel reverse engineered om vervolgens misbruik te kunnen maken van de kwetsbaarheden.

Je kan het de malware zo moeilijk mogelijk maken door bijvoorbeeld onnodige protocollen en services uit te schakelen (bijvoorbeeld print spooler op servers), of door firwalling tussen machines zo strikt mogelijk te zetten, of door veel te segmenteren, etc. Maar 100% waterdicht ga je jouw systemen niet krijgen. Een kans op besmet te raken is er altijd. Gelukkig zijn er steeds meer bedrijven welke beter voorbereid zijn en makkelijker kunnen herstellen na een besmetting. Daarom zie je dat de malware groepen zich niet alleen langer richten op het versleutelen van je gegevens maar dat ze ook dreigen jouw gegevens te publiceren als je niet gaat betalen. Dat is wat je bijvoorbeeld al zag bij de ontwikkelaar van Cyberpunk 2077 https://www.wired.com/sto...berpunk-2077-source-code/

Op dit item kan niet meer gereageerd worden.