Nederlandse Colosseum Dental betaalt losgeld aan criminelen na ransomwareaanval

Colosseum Dental Benelux heeft losgeld betaald aan de cybercriminelen die het systeem van de tandartsenorganisatie wisten binnen te dringen. Door de ransomwareaanval zijn zo'n 120 Nederlandse tandartspraktijken tijdelijk gesloten.

Het overkoepelende bedrijf kon naar eigen zeggen niet anders dan de criminelen betalen: "De zorg voor onze patiënten heeft onze allerhoogste prioriteit en was aanleiding voor Colosseum Dental om contact te leggen met de cyberaanvallers en afspraken te maken over teruggave en veiligheid van onze data. Alleen op deze manier konden wij op deze korte termijn het risico voor alle betrokkenen minimaliseren en de praktijkvoering relatief snel weer herstellen."

Tegenover het AD laat het bedrijf weten dat spoedgevallen tijdelijk worden ondergebracht bij collega's buiten Colosseum Dental. Naar verwachting kunnen de getroffen praktijken in de loop van de week weer normaal functioneren. Het is niet bekend hoeveel losgeld er betaald is. Er is hoe dan ook aangifte gedaan bij de politie en er is een melding gemaakt bij de Autoriteit Persoonsgegevens.

Op vrijdag 5 augustus werd bekend dat Colosseum Dental Benelux getroffen was door een ransomwareaanval. Door het voorval moesten 120 tandartsenpraktijken tijdelijk de deuren sluiten. Het bedrijf heeft vooralsnog niet bevestigd wat er precies gebeurd is, maar een bron met connecties binnen het bedrijf meldde nog voor de bevestiging van vandaag aan Tweakers dat het inderdaad om een ransomwareaanval ging. Dezelfde bron meldde dat back-ups verwijderd werden alvorens systemen versleuteld werden. Er zou volgens anonieme betrokkenen gedreigd worden met het lekken van data. Het is niet duidelijk of Colosseum Dental dit met de betaling van het losgeld heeft kunnen voorkomen.

Door Yannick Spinner

Redacteur

08-08-2022 • 19:49

297

Reacties (297)

297
285
127
2
0
97
Wijzig sortering
Vaak komt ransomware binnen via links in e-mail. Ik vraag me af welke beveiligingsmaatregelen er waren.
Hoe dan ook, ik neem aan (en hoop) dat ze het gehele IT landschap wat er nu is gaan doornemen en de architectuur gaan aanpassen dat zodra er opnieuw een ransomware aanval is men makkelijk de schade ongedaan kan maken (en geen geld hoeft te betalen).
Je hebt geen ongelijk, maar je opmerking kan geïnterpreteerd worden dat klikken op een linkje alles is. Er zit echter nog een keten van geautomatiseerde en handmatige stappen achter voor Ransomware wordt uitgerold.

Een voorbeeld (waar het nog net voorkomen is): https://thedfirreport.com...-its-way-to-domain-admin/

Op die site staan meer voorbeelden. Het kan beginnen met een linkje, maar een kwetsbare exchange, firewall, VPN en server met RDP aan het internet zijn andere voorbeelden waar het mis gaat.

[Reactie gewijzigd door BytePhantomX op 22 juli 2024 22:10]

de schade ongedaan kan maken
Nee, je kunt niet zomaar dingen "ont-lekken".

Als consument ben je al weer de dupe hier.
Iedereen moet ooit een keer naar de tandarts; en dan willen ze allerlei data opslaan.

En vervolgens ligt het allemaal weer op straat door wanbeleid.

Back-up is geen beveiliging. Alleen inderdaad iets om wat uptime te kunnen garanderen, maar zorg eens gewoon dat je daadwerkelijk er alles aan doet om het ook veilig te houden.
Ok, de schade kan je inderdaad niet ongedaan maken. Wel kan je diverse voorzorgsmaatregelen treffen:

-Geavanceerde spamfilter zoals b.v. mimecast
-Antivirus
-policies
-zo min mogelijk rechten voor de eind gebruiker
-Liefst werken onder citrix i.s.m. Ivanti
-Executables die egbruikt worden whitelisten en alle andere blokkeren
-firewall
-snapshots
-backups op tape
Bor Coördinator Frontpage Admins / FP Powermod @phantom098 augustus 2022 21:46
Al deze maatregelen kunnen in plaats zijn maar dat geeft nog geen enkel garantie dat je niet een keer aan de beurt bent. Sterker nog, het merendeel van deze maatregelen zijn zo common practice Dat de meeste bedrijven dit echt wel geregeld hebben.

[Reactie gewijzigd door Bor op 22 juli 2024 22:10]

De tern ransomware is enigzins misleidend. Ze zijn gewoon gehackt, zeer waarschijnlijk als gevolg van nalatigheid in beveiliging. De "ransom" suggereert een weerloos slachtoffer, maar dat is het nooit.

Vooral die controle op executables is een goed plan. Als een systeem op ieder moment bekend is met wie welke programma's uitvoeren wordt het deurtje heel erg klein, als "geen schijn van kans".
De tern ransomware is enigzins misleidend. Ze zijn gewoon gehackt, zeer waarschijnlijk als gevolg van nalatigheid in beveiliging. De "ransom" suggereert een weerloos slachtoffer, maar dat is het nooit.

Vooral die controle op executables is een goed plan. Als een systeem op ieder moment bekend is met wie welke programma's uitvoeren wordt het deurtje heel erg klein, als "geen schijn van kans".
Nou, controle op executable is een LAN aangelegenheid; m.a.w. je moet al voorbij de firewall zijn. Hier is sprake van brakke security & backup inrichting. Access-policies als primary target.

Is er iets bekent van hun infrastructuur, bijbehorende leveranciers en werkwijze? Gebruikten ze bijvoorbeeld RDP of Citrix of zo? Misschien wel Apple-only producten? Of is bijvoorbeeld alle mail-interactie meegenomen? Of de back-office met alle declaraties? Of de web-database van het klant-portaal? Anders blijft het speculeren, zeker gezien mij niet eens duidelijk is of, hoe en hoeveel er betaald is.

Ik bedoel, Colosseum Dental Benelux met 130 praktijken, 2.500 tandheelkundige professionals en 600.000 patiënten (waarvan 10 locaties in België; Colosseum Dental Group (van Jacobs Holding AG) werkt met 600 klinieken en laboratoriums na de overname van Curaeos, per October 8, 2021) kan je wel een professionele infrastructuur verwachten, zowel on- als off-premise, die aan alles voldoen; EU GPDR, NEN-EN 15224 en ISO en zo. Met SLA met up-time garanties en al. En dan nog verder onderverdeeld, zoals:
• CRM tooling,
• urenregistratie applicatie,
• kennisbanken (FAQ’s),
• PBX telefooncentrales (configuratie en onderhoud),
• Servicedesksoftware,
• Netwerk monitoring,

Zeker aangezien dit de tweede keer is.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 22:10]

Ik heb ook geen idee van de situatie. Volgens mij gewoon het oude verhaal. De clients zijn Windows-systemen en gebruikers doen daar ook andere dingen mee, waaronder het openen van executables in mail-links.
Op het moment dat dat door het beheer onmogelijk wordt gemaakt vanwege veiligheid heeft iedereen een andere computer nodig voor allerlei dingetjes los van het netwerk.
Ik heb ook geen idee van de situatie. Volgens mij gewoon het oude verhaal. De clients zijn Windows-systemen en gebruikers doen daar ook andere dingen mee, waaronder het openen van executables in mail-links.
Op het moment dat dat door het beheer onmogelijk wordt gemaakt vanwege veiligheid heeft iedereen een andere computer nodig voor allerlei dingetjes los van het netwerk.
mwah, ik zie zelden tandartsen zonder iPhone's en iBooks. Ook hun kids, met een iPad, zitten veel op het WLAN (met de vele praktijken aan huis), QNAP en een Sonos.

@R4gnax
Is er iets bekent van hun infrastructuur, bijbehorende leveranciers en werkwijze? Gebruikten ze bijvoorbeeld RDP of Citrix of zo? Misschien wel Apple-only producten? Of is bijvoorbeeld alle mail-interactie meegenomen? Of de back-office met alle declaraties? Of de web-database van het klant-portaal? Anders blijft het speculeren, zeker gezien mij niet eens duidelijk is of, hoe en hoeveel er betaald is.

Ik bedoel, Colosseum Dental Benelux met 130 praktijken, 2.500 tandheelkundige professionals en 600.000 patiënten (waarvan 10 locaties in België; Colosseum Dental Group werkt met 600 praktijken) kan je wel een professionele infrastructuur verwachten, zowel on- als off-premise, die aan alles voldoen; EU GPDR, NEN en ISO en zo. Met SLA met up-time garanties en al.
Wat zeker is, is dat wat Remote Desktop's betreft, het niet enkel RDP is; er zijn ook VNC varianten in overvloed. Bovendien is SMB niet het enige protocol, helemaal niet gezien een flinke papierstroom door zulke praktijken. Misschien is het wel via de VOIP gebeurd, wie zal het zeggen.

De webserver voor https://www.colosseumdental.nl zelf ziet er vrij onveilig uit, met Javascript, Jquery, Ajax en een cache-strategie.
<!--
FILE ARCHIVED ON 22:12:07 Mar 07, 2022 AND RETRIEVED FROM THE
INTERNET ARCHIVE ON 21:42:04 Aug 08, 2022.
JAVASCRIPT APPENDED BY WAYBACK MACHINE, COPYRIGHT INTERNET ARCHIVE.

ALL OTHER CONTENT MAY ALSO BE PROTECTED BY COPYRIGHT (17 U.S.C.
SECTION 108(a)(3)).
-->
<!--
playback timings (ms):
captures_list: 138.093
exclusion.robots: 0.426
exclusion.robots.policy: 0.406
RedisCDXSource: 2.162
esindex: 0.017
LoadShardBlock: 106.452 (3)
PetaboxLoader3.datanode: 122.758 (4)
CDXLines.iter: 23.041 (3)
load_resource: 146.879
PetaboxLoader3.resolve: 120.076
-->
En https://www.colosseumdental.com draait op Drupal wat nou ook niet bepaald een goede reputatie heeft.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 22:10]

Op het moment dat dat door het beheer onmogelijk wordt gemaakt vanwege veiligheid heeft iedereen een andere computer nodig voor allerlei dingetjes los van het netwerk.
En dan krijg je weer de larie van "onwerkbaar want <..>"

Wat feitelijk ook de grootste onzin is, want het is niet onwerkbaar - het is een kwestie van "geen zin om (de eenmalige kosten te maken om) een werkbaar proces er voor in te regelen."
[...]

En dan krijg je weer de larie van "onwerkbaar want <..>"

Wat feitelijk ook de grootste onzin is, want het is niet onwerkbaar - het is een kwestie van "geen zin om (de eenmalige kosten te maken om) een werkbaar proces er voor in te regelen."
Nou, de tandartsen-branche is één van de oudste markten van Nederland, met een flinke historie met overheids-bemoeienissen. Die branche vereniging, da's het beste wat Nederland te bieden heeft qua mond-hygiëne en aangezien gezondheid voorop staat mag je wel aannemen dat die een halszaak van deze materie hebben gemaakt.
aangezien gezondheid voorop staat
Vraag voor de gein de volgende keer aan je tandarts eens naar bijv. de mogelijkheden voor een volledige gebitsprothese en wanneer je voor welk type in aanmerking komt. Kom je er al snel achter dat geld voorop staat; ihb wat de verzekeraar bereid is te vergoeden. Die bepaalt welke behandeling jij mag krijgen; tenzij je zelf bereid bent de kosten te dragen, mogelijk alsmede toekomstig onderhoud. Niet de tandarts; die heeft zich maar te houden aan de normen die de verzekeraar oplegt.

Verzekeraars proberen je zo lang als mogelijk op een inleggebit te houden; want goedkoop.
Terwijl een klikgebit een veel betere kwaliteit van leven geeft, met minder doorwrijfplekken aan het tandvlees; minder problemen met kauwen; minder ongemak het het verschuiven in de mond of het moeten gebruiken van smerige kleefpasta (waarvan de veiligheid voor de gezondheid soms ook in twijfel getrokken wordt).

Zelfde met het plaatsen van een vervangende kroon of het aanmeten van een brug.
Goedkoopste oplossing regeert. Ook als deze van lagere kwaliteit is. Bevalt je dat niet? Dan zelf de onbetaalbaar hoge kosten ophoesten, incl. onderhoud tot in lengte van jaren.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

[...]

Vraag voor de gein de volgende keer aan je tandarts eens naar bijv. de mogelijkheden voor een volledige gebitsprothese en wanneer je voor welk type in aanmerking komt. Kom je er al snel achter dat geld voorop staat; ihb wat de verzekeraar bereid is te vergoeden. Die bepaalt welke behandeling jij mag krijgen; tenzij je zelf bereid bent de kosten te dragen, mogelijk alsmede toekomstig onderhoud. Niet de tandarts; die heeft zich maar te houden aan de normen die de verzekeraar oplegt.
Ik kan me nog herinneren dat een jong talentje een dik contract bij Arsenaal kon tekenen, mits hij zijn verstandskiezen liet trekken. Toen bestond Tand Extra en de eigen bijdrage volgens mij amper.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 22:10]

Ik kan me nog herinneren dat een jong talentje een dik contract bij Arsenaal kon tekenen, mits hij zijn verstandskiezen liet trekken.
WTF zou je dat moeten doen voor een contract by Arsenal? Of mis ik hier een grap?

Mijn tandarts heeft vroeger ook aangeraden om verstandskiezen te laten trekken zodra dat mogelijk was. Ik heb toen zelf gezegd: laat maar lekker erin zitten. Die trekken we wel als ze ooit problemen gaan geven. Zo gezegd, zo gedaan; ze zitten er nog steeds alle 4 in. Later wilde hij ook kiezen opvullen met kunststof "om gaatjes te voorkomen." Ook niet gedaan; nooit gaatjes gehad ook, behalve 1. Alles bij elkaar heb ik in mijn hele leven 1 gaatje in een tand gehad.

Vaak ben ik van mening dat tandartsgedoe meer gesjagger en gekwakzalver is dan geneeskunde.
Verstandskiezen was is een standaard check bij "de medische keuring". Niet bij alle clubs, en niet bij elke doctor en misschien niet eens voor alle leeftijden.

Maar de verhalen zijn bekent. Er zat een theorie achter rondom vestandskiezen, dat die ook getrokken moesten worden, ook al zaten ze niet in de weg.
Geen artsen nodig, alleen in noodgevallen.
Dus wel de lusten maar niet de lasten?
Waarom zou ik voor de fouten van andere betalen dan? Gezondheid kan je 100% zelf beïnvloeden afgezien van een klein aantal gevallen. Ik kan Weston Price of Dr. Terry Wahls aanraden als je dat niet gelooft.
Is er iets bekent van hun infrastructuur, bijbehorende leveranciers en werkwijze?
Ik heb in het vorige artikel in de reacties al eerder geschreven: de wijze waarop bij mijn tandarts de behandelkamers ingericht zijn, wil zeggen dat ik bij binnenkomen een heel goede blik heb op de monitoren waarop gebitsgegevens gepresenteerd staan.

Dat programma is zo oud dat ik de look & feel nul-komma-nul heb zien wijzigen sinds de windowing chrome nog Windows 3.11 was. En de meest recente windowing chrome die ik er om heen gezien heb, is Windows 7 geweest.

De client-kant is dus sowieso al HO-PE-LOOS achterhaald.
...
De "ransom" suggereert een weerloos slachtoffer, maar dat is het nooit.
...
Ehm, neen, "ransom" suggereert betekent letterlijk "losgeld" of "afkoopsom".
Garanties kan je inderdaad nooit geven. Maar ik durf te wedden dat maar weinig bedrijven nog backsups op tape hebben. Of minimaal roterende offline media. (en dan heb ik het over handmatig fysiek verwijderd, en niet via een robot)

Als je je data op tape hebt, dan KAN dit niet verwijderd worden.
En als je alleen data en databases restored dan KAN daar geen virus meer inzitten. Althans, niet uitvoerbaar. En dan nog, sommige backup producten zoals Veeam kunnen zelfs bij het restoren nog een extra anti-virusscan uitvoeren vóór de data daadwerkelijk op de bestemming staat.

Ik weiger te geloven dat er bedrijven zijn die alle data kwijt zijn terwijl dit op tape staat. Ik durf te wedden dat de bedrijven die zo in het nieuws komen geen goede backup op tape hebben.
Backups op tape zijn geen garantie voor het kunnen herstellen. Ik heb in demo’s al meerdere keren binnen korte tijd alle tapes in een library nutteloos gemaakt na toegang tot het systeem wat de library kan aansturen. Voor sommige applicaties hoefje namelijk alleen het eerste stuk te overschrijven en met een script plus de library tools is dat zo gedaan. Daarnaast vereist tape periodieke fulls en dit schaalt gewoonweg niet, doe je dat niet dan loopt de backup prima maar kan je je rto wel vergeten. Imho heeft Rubrik veel betere oplossingen voor veilige backups. Die zijn namelijk veilig, schaalbaar en snel met restores, een combinatie die ik met tape nog niet heb gezien.
Maar zeg je dan dat er werkelijk niks te doen is tegen ransomware (dat is wat ik hier een beetje lees)

Het is een oprechte vraag.

Ondanks je als consument niet zo snel de sjaak bent, is ransomware toch wel een van de dingen waar ik (ooit) het meest "bang" voor ben. Ik houd me ook zoveel mogelijk aan de standaard regels, maar als ik jouw moet geloven dan verklein je de kans iets, maar ben je altijd nog vatbaar voor ransomware?

[Reactie gewijzigd door Wachten... op 22 juli 2024 22:10]

Nee, dat zeg ik niet.
Er is veel te doen tegen ransomware maar je moet er vanuit gaan dat ze je gaan pakken, je moet zelfs doen alsof ze al binnen zijn.
En dan gaat het erom wat dat je kan terugvallen op je backup, die moet veilig en snel genoeg zijn om het bedrijf te kunnen redden als je hem nodig hebt.

Vroeger ging DR om te herstellen van een brand of overstrooming, nu gaat DR veel meer om te kunnen hertstellen van ransomware of andere varianten van malware.

En ik zeg dus dat tape kan werken maar dat het niet de oplossing is, het heeft schaalbaarheids problemen in de wat grotere KA omgevingen en de betrouwbaarheid is ook een risico, ik heb drives tapes zien eten. Er zit weinig tot geen redundancy ingebouwd en als je het dan nodig hebt is het allemaal behoorlijk spannend.

Investeer in security en vooral het opleiden van je medewerkers maar zet daarnaast een backup oplossing neer en richt deze zo in dat het een soort bunker is. Qua beheer is dit niet altijd even snel/makkelijk maar je gaat ZO blij zijn als je hem nodig hebt en hij doet wat hij moet doen.
Als je je data op tape hebt, dan KAN dit niet verwijderd worden.
En als je alleen data en databases restored dan KAN daar geen virus meer inzitten. Althans, niet uitvoerbaar. En dan nog, sommige backup producten zoals Veeam kunnen zelfs bij het restoren nog een extra anti-virusscan uitvoeren vóór de data daadwerkelijk op de bestemming staat.
Een echt slimme ransomware encrypt ook je backups naadloos, en gooit na activatie de sleutel weg. Als het daar enkele maanden mee wacht, zijn de backups ook vrij nutteloos geworden.

Het zou heel goed kunnen dat zoiets gebeurd is, al is het ook waarschijnlijk dat er gewoon geen goede backups waren hoor.
Wat vaak ook onderschat word is zelfs al heb je werkende backups, hoe ga je heel die omgeving op korte termijn terug online krijgen? Als jij 3 maand nodig hebt om alles te formateren en overal een backup terug te plaatsen dan kan de impact betekenen dat het bedrijf reeds de boeken heeft neergelegd. Het is vaak goedkoper om te betalen, te decrypten en vervolgens het lek te dichten, zelfs al heb je werkende backups.

Bijkomend probleem met die tape backups en backups in het algemeen zoals je terecht aanhaalt, het eerste waar men achter gaat zijn de backups. En ja als je het goed doet heb je nog cold storage backups van maanden terug, echter als je heel u omgeving moet restoren met backups van 6 maanden terug, tjah, verwacht niet meteen een applaus van het bedrijf als je daar mee afkomt.

Je hebt een volledig draaiboek nodig, een recovery plan dat het ook mogelijk moet maken om op korte termijn heel je omgeving te resetten. En laten we nu eens eerlijk zijn, hoeveel systeem admins hebben ergens een knopje dat letterlijk elke machine in hun omgeving volledig automatisch kan resetten naar een eerdere status op basis van een backup? Ja het kan maar het zullen er niet veel zijn.
Offline backups kunnen zeker wel gecomprimeerd raken, aangezien ze toch een keertje weer geplaatst worden voor de volgende backup. Als een aanvaller lang genoeg wilt wachten, kan 'ie zo ook offline backups encrypten. Ons bedrijf heeft nog wel tapes voor o.a. dagelijkse en weklijkse backups. In dat geval hoef je maar 1 maand lang als aanvaller onder de radar te blijven en alles encrypten op de achtergrond, zodat die data ook encrypted naar je offline backup weggeschreven wordt.

Je laatste statement klopt al helemaal niet, en dat weet je zelf ook. Je kunt prima in het nieuws komen vanwege een ransomware aanval en vervolgens enkele weken nodig te hebben voor restore. Wat overigens nog steeds geen enkele garantie geeft dat niet ergens een backdoor achterblijft voor de aanvallers om weer binnen te komen. Maar dat terzijde.
Access-policies en gereduceerde en gesegregeerde rechten heeft deze partij in elk geval niet goed geregeld, gezien criminelen ver genoeg konden binnen dringen om zelfs centrale backups te verwijderen.

Onbekende executables blokkeren kennelijk ook niet. (Of alles moet vanuit shell scripts gedaan zijn die met trusted executables gespawned zijn, natuurlijk.)

Firewalls goed geregeld?
Nou... het was kennelijk mogelijk om bulk-data in haast te exfilteren naar een onbekend IP adres buiten het eigen netwerk, zonder dat dit (op tijd) opgemerkt werd.
Dus ehm... nee?
(Laten we het houden op een beleefde neutrale 'nee,' hoewel enige vorm van krachtterm hier reëel gezien, eigenlijk wel op z'n plaats is. Mijn oude leraar techniek en handarbeid op de middelbare zou op zo'n moment in m'n oren hebben staan gillen: 'niet zo, stom konijn!')
ik voorzie eerder problemen onder de 120 leden, en al hun klanten. Die hebben toch gewoon een 99,9995% up-time SLA waaraan niet voldaan werd? Ik neem aan dat ze wel zo slim zijn geweest om een paragraaf over ransomware in te voegen, aangezien dit nou de tweede keer is, maar dat lijkt me tegenwoordig ook verplicht vanuit de verzekering.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 22:10]

Maar dat kost geld en de kans dat het bij “ons” gebeurt is altijd erg klein. Gewoon zoals het altijd gaat dus… er wordt pas geld voor vrij gemaakt als het al te laat is.
Eens met jouw verhaal, behalve het back-up deel (we blijven tweakers tenslotte). Back-up is voor integriteit, niet voor uptime (=availability). Daarvoor heb je allerlei andere zaken die, bij uitval van een component, deze taak overnemen (= vaak redundancy, zoals RAID).
1 kanttekening:
Als de data alleen maar ge-encrypt is [op de servers van Colusseum Dental] dan is het nog niet gelekt

Maar als het wel gelekt is: dan is betalen alles behalve de data 'terug' krijgen. Want waarom zou je erop vertrouwen dat geen kopie is gemaakt?

(en hebben ze dan alleen 'active' backups? En geen offline storage?... whoopsie)
Probleem is, ransomware wordt steeds geavanceerder, en wat vandaag veilig lijkt te zijn kan morgen zo lek als een mandje zijn.
Klopt, maar te weinig maatregelen treffen is ook niet goed. Het is allemaal een kwestie van tijd geld en moeite. Je wilt in principe zo min mogelijk geld/tijd/beperkingen uitvoeren maar een zo maximaal mogelijk veiligheid. Dat bestaat natuurlijk niet, daarom ergens iets tussenin.
Echt betalen aan dit soort actie moet strafbaar gesteld worden. Er mag NIET worden betaald!!!!! het einde is zoek en dweilen met de kraan open. Dit kost de samenleving veel meer dan de schade die gemaakt wordt als ze niet zouden betalen.
Bor Coördinator Frontpage Admins / FP Powermod @frankvanes8 augustus 2022 20:33
De schade wanneer er niet betaald wordt is dat bedrijven gewoon kapot gaan en informatie van onschuldige klanten wordt gelekt of verkocht. De schade is niet altijd direct in geld uit te drukken. Niet betalen klinkt nobel maar er is niet altijd een goed en acceptabel alternatief.

[Reactie gewijzigd door Bor op 22 juli 2024 22:10]

Als er strenge wetgeving komt die bedrijven VERBIEDT op straffe van zware boetes om losgelden te betalen, neem je gewoonweg de keuze weg bij de bedrijven en kan ik me moeilijk voorstellen dat ze nog een aantrekkelijk doelwit gaan vormen voor ransomware attacks, gezien de kans op payout zo goed als nul wordt.
Als er strenge wetgeving komt die bedrijven VERBIEDT op straffe van zware boetes om losgelden te betalen, neem je gewoonweg de keuze weg bij de bedrijven en kan ik me moeilijk voorstellen dat ze nog een aantrekkelijk doelwit gaan vormen voor ransomware attacks, gezien de kans op payout zo goed als nul wordt.
Ransomware versleuteling houdt daarmee dan misschien wel op; maar dan schakelen criminelen gewoon weer terug over op de klassieke vorm: informatie stelen en op het darkweb te koop aanbieden zonder hun aanwezigheid prijs te geven aan de getroffen instanties of bedrijven.

Maw dan zijn consumenten de dupe, maar weten ze het niet eens.
Dat is letterlijk een verslechtering voor de consument. Wel een verbetering voor bedrijven natuurlijk; want die kunnen veel makkelijker doen alsof hun neus bloedt en gewoon door blijven draaien zonder winstverlies. Dus nog minder motivering om hun beveiliging op orde te hebben dan nu het geval is.
Bor Coördinator Frontpage Admins / FP Powermod @PearlChoco8 augustus 2022 21:30
Als je het gaat verbieden wordt er waarschijnlijk alsnog betaald op minder inzichtelijke manieren. Bedrijven willen overleven. Je drukt betalen de illegaliteit in maar dat lost het probleem niet op.

[Reactie gewijzigd door Bor op 22 juli 2024 22:10]

Geachte medewerker,
we zijn gehackt en we mogen niet betalen dus het bedrijf is kapot. Het adres van het UWV is:
Groetjes, de directie.
Als het voortbestaan van je onderneming hier aan vast houdt, verwacht je dan niet dat het betalen van losgeld in een donker circuit zal voortbestaan? Immers... je levenswerk ligt in de waagschaal. Een kat in het nauw maakt rare sprongen. Ik verwacht een nieuwe zwarte markt van huurlingen die bedrijven zal helpen met het decrypten van hun data, tegen alle mogelijke kosten en zonder controle. Dit zijn nu legitieme security bedrijven.
Waarom moeten we verbieden om losgeld te betalen m.b.v. boetes?

Laat het gewoon verboden zijn (op straffe van zware boetes) om gegevens van andere mensen/bedrijven kwijt te raken.
Hoe ze de data 'terug' krijgen is hun probleem (en betalen van losgeld blijft dan dom) maar dat regelt zichzelf; die 'boete' wordt hoger omdat het systeem van ransomware dus werkt. Dat dan vooral criminelen er blij van worden, is een ander verhaal. Maar het reguleert zichzelf.

En daarbij komt: hoe controleer je of het een ransom betaling was? Weer extra werk voor de controleurs. Nee, we hebben controle nodig op bescherming van gegevens. Niet nog meer symptoom bestrijding.
De schade wanneer er niet betaald wordt is dat bedrijven gewoon kapot gaan en informatie van onschuldige klanten wordt gelekt of verkocht.
Je bent jezelf voor aan het liegen als je geloof dat die gegevens uiteindelijk niet alsnog verhandeld worden. Die gaan gewoon een paar jaar de koeling in, om daarna alsnog via dark web verkocht of geveild te worden.

En ja; ik zit er ook bij in. 'Mijn' praktijk was ook bij deze toko aangesloten.
Maar ik ga mezelf niet voor zitten liegen. Dat je er nu niet de gevolgen van gaat merken wil niet zeggen dat je dat over 2 maanden of over 2 jaar nog steeds niet gaat merken.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Je bent jezelf voor aan het liegen als je geloof dat die gegevens uiteindelijk niet alsnog verhandeld worden.
Dat maakt betalen ook niet meer uit, het is toch al rendabel voor de criminelen...
Het maakt wel degelijk uit: Het is het verschil tussen rendabel en meer rendabel.
Tussen een smak geld voor de verkoop; of een smak geld voor de verkoop en het losgeld.

En vanuit het bedrijf: het is het verschil tussen mogelijk je bedrijfsvoering compleet moeten staken en hoe dan ook tonnen verlies moeten maken om alles weer op orde te krijgen vanaf nul; of tegen betaling min-of-meer meteen weer verder kunnen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Bor Coördinator Frontpage Admins / FP Powermod @R4gnax8 augustus 2022 21:28
Er zijn voorbeelden waarin dit niet gebeurd is tot nu toe. Als bekend wordt dat een groep dit doet gaan bedrijven niet betalen in het vervolg. Het is geen goed business model.
Er zijn voorbeelden waarin dit niet gebeurd is tot nu toe.
Ratio van hoeveel op hoeveel?
Want dat is waar je het hier dan uiteindelijk over hebt, heh?
De informatie van de klanten is al gelekt. Door dit rendabel te maken, lekt er alleen meer informatie.
In handel is een beginsel dat je bedrijfsrisico als failliet gaan hebt als je je zaken niet op orde hebt. En dat had men duidelijk niet. Dat ze criminelen van geld voorzien is criminaliteit faciliteren om er proberen voordeel van te willen hebben. Maar dat weegt niet zomaar zwaarder dan als er niets te redden viel. Kennelijk ligt het ethisch besef niet bij het erkennen dat criminaliteit niet gefaciliteerd hoort te worden als het zo uit komt om als excuus te gebruiken.

Daarbij gaat hoe dan ook niet op dat als je criminelen van geld of andere verdiensten voorziet je zelf en anderen van de problemen af zijn. Je hebt hooguit het geluk dat je weer iets kan of hebt, maar dat is wat anders dan geen problemen meer hebben.
Het betalen is hier niets anders dan de gevolgen niet willen onderkennen en het prima vinden om criminaliteit te belonen en aan te moedigen.
Bor Coördinator Frontpage Admins / FP Powermod @kodak9 augustus 2022 13:36
En dat had men duidelijk niet.
Heb je meer of inside info? Er is vrijwel niets bekend gemaakt over maatregelen die men had. Op basis van onderbuik of slecht verwachtingen conclusies trekken is te makkelijk.
Dat ze criminelen van geld voorzien is criminaliteit faciliteren om er proberen voordeel van te willen hebben.
Men is al slachtoffer, van 'proberen voordeel van te willen hebben' is toch geen enkele sprake.

[Reactie gewijzigd door Bor op 22 juli 2024 22:10]

Hoe wil je het controle noemen als een ander je bedrijf heeft overgenomen? Want dat je het als verantwoordelijken liever stelt alsof je wel voldoende controle hebt doordat je meent nog iets te kunnen, dat je criminelen moet betalen is een ultiem kenmerk geen controle te hebben.

Dat iemand slachtoffer is wil niet zeggen dat je dus maar je ethische grenzen moet verleggen om daar minder of geen last van te hebben. Wat is er ethisch aan dat criminelen die je slachtoffer maken gaat helpen en aanmoedige als het je uit komt? Het hele punt wat die criminelen tonen is dat zij controle hebben en je jezelf op doe manier helpt, tenzij je niet betaald en je je zelf zo helpt.

[Reactie gewijzigd door kodak op 22 juli 2024 22:10]

Misschien kunnen bedrijven zich beter achter de oren gaan krabben om hun beveiliging op order te houden ipv losgeld te betalen

Uiteindelijk ben je goedkoper uit en speel je niet met de privacy van je klanten.

[Reactie gewijzigd door phoenix2149 op 22 juli 2024 22:10]

Uiteindelijk draait het merendeel van de tweakers hier de boel om. Wanneer je fiets gestolen wordt omdat je hem niet op slot hebt gezet is het niet jou fout dat de fiets is gestolen. De dief heeft hem gestolen en is fout. Het probleem zit erin dat er geen consequenties zijn voor de dief. M.a.w. de straf is te laag. Daarom geven we nu als maatschappij de schuld aan het slachtoffer. Dat is ook veel gemakkelijker dan het opsporen van de dief. Je kan beginnen met het afhakken van een been voor een fietsendiefstal. Eens kijken hoeveel fietsen er nog worden gestolen. Ditzelfde kan je doen door netwerken verantwoordelijk te houden en op nationaal niveau actie te ondernemen. Als blijkt dat Rusland de boosdoener is, dan moet Rusland gebombardeerd worden (of je sluit Rusland af van het internet) tenzij ze de hackergroep oppakken en het bedrag terugstorten... etc. etc. natuurlijk is dit wat overdreven maar uiteindelijk wil je goed belonen en fout bestraffen. Nalatigheid zou je meer moeten zien als iets dat gebeurt door iets onvoorziens wat wel voorkomen had kunnen worden. Bijvoorbeeld een bliksemafleider op een basisschool.
Voor een fiets kun je jezelf verzekeren.

Mochten dit ook zo zijn voor hacks, dan de k ik dat er ook wel wat wissen gesteld gaan worden.

Zoals met de fiets en tweede sleutel nodig is bijvoorbeeld, Zal het voor een IT aangelegenheid misschien wel een off site back-up en/of audits aan te pas komen.

Daarbij komen je vrienden, klanten en/of familie niet in gevaar door het stelen van je fiets

Hoe dan ook een crimineel betalen om je spullen Terug te krijgen is geen goede optie IMHO. Dat houdt het hele businessplan in stand.

[Reactie gewijzigd door phoenix2149 op 22 juli 2024 22:10]

Alleen betreft het hier een fietsenstalling met valet-service, waar honderden fietsen op een een vrachtwagen werden geladen omdat de stalling onbewaakt was en de deur gewoon open stond. Als eigenaar van een fiets mocht je er echter van uit gaan dat het een bewaakte stalling was en dat de fietsen op slot werden gezet, maar niets bleek minder waar.

Wie is er dus fout? En wie draait er voor de gevolgen op?
Idd - ook al is het slachtoffer soms niet zonder blaam - het/hij/zij is nooit de schuldige.

Echter de straf enorm verhogen heeft hele slechte neven-effecten. Het is geen simpel systeem. Ook de crimineel maakt een kosten baten afweging en doet aan risico analyse. Dus een hogere straf leidt niet tot minder vergrijpen. Bijv. in de US zijn de straffen hoog voor drugsbezit maar dat betekent vooral dat ze meer mensen in een cel hebben (relatief gezien) en dat mensen meer moeite doen (zeg: meer geweld toepassen) om aan de wet te ontsnappen. Ook betekent een zware straf minder kans op herintreden (nadat de straf is uitgezeten). Allemaal neveneffecten.
Net zoals de maatschappij opdraait voor iemand met slechts 1 been, want dan kan dan bepaald werk niet meer doen en heeft hulpmiddelen nodig. Laten verrekken kun je dan zeggen maar dan stijgt de strafmaat dus nog verder.
Bor Coördinator Frontpage Admins / FP Powermod @phoenix21498 augustus 2022 21:44
Spee je niet met de privacy van je klanten.
'speel je met"? Het gaat echt niet altijd om nalatigheid of slecht beveiligde systemen. Sommige ransomware groepen zijn behoorlijk geavanceerd.
Komop, en back-up naar was een dat een policy op zetten dat ze minimaal 30 dagen moeten blijven staan is niet zo vreselijk moeilijk hoor.

Dat dit bedrijf dat niet deed is gewoon nalatig. Ze hebben volledig vertrouwd op hun eigen infra.....

En die was niet op orde
Ze zullen best geavanceerd zijn, maar het gaat hier om een B2B oplossing die niet aan het internet hoeft te hangen: alles over een VPN laten lopen met citrix oid en de mails ontdoen van links en attachments als enige link naar het internet. Zoals het nu gaat bij veel van dit soort oplossingen is dat er ergens in de cloud een webservertje draaien en ieder kantoor individueel een verbinding legt naar de cloudserver. Dat betekent dat je attack surface met 120 aangesloten praktijken heel groot is en per definitie niet lekker veiliig te krijgen is: veiligheid begint met nadenken over je architectuur, niet met policies en op tijd patches draaien: dat is hygiene die je wel moet doen maar een rotte architectuur niet kunnen verhelpen.
Bor Coördinator Frontpage Admins / FP Powermod @phoenix21499 augustus 2022 09:16
Toegegeven dat waren wel privé aanvallen en geen bedrijfs aanvallen
Een compleet andere situatie en dynamiek dus. De ervaring bij een privé persoon is totaal anders dan in een enterprise omgeving.
Had het over hoe complex de ransomware is. En/of hoe complex off-site backups zijn.

Ik heb 3 backups van belangrijke data. NAS, HDD aan NAS en Cloud. Raad dit anderen ook aan.

Er zou een minimum eis moeten zijn voor een bedrijfsdata bescherming buiten deugdelijke veiligheidsmaatregelen. Elk bedrijf werkt wel op een of andere manier met data van derden wat dan weer privacy gevoelig is. Zeker voor bedrijven die met gevoelige data werken. Waaronder BSN.

Heb je dit niet op orde en wordt je gegijzeld dan mag dat wel een harde les zijn ipv maar wat geld geven niet wetende wat er met de data van je klanten gebeurd. Want die gegevens gaan echt wel verhandeld worden. Niet een kwestie van of, maar wanneer je als privé persoon daar last van gaat krijgen. Patiënten zouden er goed aan doen het bedrijf persoonlijk aansprakelijk te stellen voor schade die herleid kan worden naar gelekte persoonsgegevens.
Bor Coördinator Frontpage Admins / FP Powermod @phoenix21499 augustus 2022 13:33
Heb je dit niet op orde en wordt je gegijzeld dan mag dat wel een harde les zijn ipv maar wat geld geven niet wetende wat er met de data van je klanten gebeurd.
Je stelt 'in plaats van' en een 'harde les' maar het eea sluit het ander niet uit en het gaat echt niet altijd om verwijtbaar gedrag. Ja, in een perfecte wereld misschien maar ook met state of the art beveiliging kan je een keer de dupe worden.
Bor Coördinator Frontpage Admins / FP Powermod @latka8 augustus 2022 22:42
Dat de IT dan soms zo slecht beveiligd wordt is ronduit belachelijk te noemen en zal niet veranderen zolang bedrijven in de slachtofferrol kunnen schieten
Waarom gaan veel mensen er toch elke keer vanuit dat dit alleen bedrijven met belachelijk slechte beveiliging kan overkomen? Dat lees je meer hier op Tweakers en elders. De praktijk is dat het niet zo simpel is. Ook bedrijven met goede beveiliging kunnen de dupe worden. Het is niet alleen het laaghangende fruit wat wordt geplukt. Het is vooral een mate van kosten / baten. Voor een erg daadkrachtige organisatie zal meer effort worden gedaan dan voor de slagerij om de hoek.
Dan nog. Sociaal engineering kan de beste beveiliging omzeilen. Ook al is het herkennen van sociaal engineering onderdeel veiligheids protocol.

En mensen maken dus geen fouten?

[Reactie gewijzigd door Tintel op 22 juli 2024 22:10]

Uiteindelijk is er altijd data die de moeite waard is om terug te kopen. Dus als deze tandartsen niet betalen, gaan de criminelen gewoon op zoek naar een organisatie die dat wel doet. Patiënt gegevens van de tandarts niet interessant genoeg? Oké, dan doen we de volgende keer een ransomware aanval op Cito zodat alle groep 8 leerlingen hun Cito score niet meer krijgen, of we vallen een universiteit aan waar we alle cijfers gijzelen of behaalde studiepunten ongedaan maken. Etc. Er zal altijd een partij zijn die betaalt omdat de gevolgen van het verlies aan data niet meer te behappen zijn. Het verbieden van betalen bij ransomware is dan ook niet houdbaar. Dat je er alles aan moet doen om te voorkomen dat een ransomware aanval succesvol is, en daarna er alles aan moet doen om te voorkomen dat je moet betalen lijkt me logisch, maar verbieden gaat gewoonweg niet.
Breng ze nou niet op ideeën.....

Ik vertrouw de organisaties die jij nu noemt ook niet zo heel erg qua security
Niet alleen medische data , maar ook NAW, BSN , bankrekening nummer, geb datum , e-mail adress ,pasfoto, verz gegevens enz enz .
Niet alleen medische data , maar ook NAW, BSN , bankrekening nummer, geb datum , e-mail adress ,pasfoto, verz gegevens enz enz .
BSN krijgen ze vziw via de verzekeraar, waarvoor ze je verzekeringsnummer nodig hebben.
NAW hebben ze inderdaad.
Geboorte datum ook.
Email ook - als je ze dat gegeven hebt. Evenals mobiele telefoon.
Verzekeringsnummer ook.
Pasfoto? Wss niet. Denk niet dat ze een kopie identiteitskaart hebben.
Flauwekul…
Het onnodig lang onderzoeken en inhuren van dure consultancy clubs die na 2 weken proberen en onderzoeken constateren dat er het beste betaald kan worden - dat kost de samenleving veel geld.

Ik snap de keuze wel.. dienstverlening snel weer hervatten is belangrijk. Commercieel gezien zal het goedkoper zijn.
Wat denk je dat 10% van de totale jaaromzet kost als ze een GDPR boete krijgen voor data verlies?

Hopelijk doen ze nu wel iets aan hun backup beleid :). Dat is immers een andere eis om en boete alsnog te voorkomen.
Ik ben het niet met je eens. Cyber (of DDOS) aanvallen vinden al jaren plaats. Niet altijd gaat het om geld, soms ook om schade aan te richten. 0.00 garantie dat niet betalen ervoor zorgt dat er geen/minder aanvallen komen. Daarnaast kan de schade bij niet betalen (en data verloren) toch echt heel groot zijn voor de maatschappij. Het zou strafbaar moeten zijn wanneer je geen maatregelen treft, geen up to date systeem, geen backups, geen antivirus scanner. Daar ligt de oplossing. Ook dan reduceer je schade.
Ddos kun je je gewoon tegen wapenen....

Kost wel geld, maar cloudflare of Azure doen hun werk dan wel goed zonder dat je daardoor uit de lucht bent.
Er is zoveel dat verboden is en toch doen we het allemaal. Met verbieden los je niets op, je maakt de problemen alleen maar groter.
Gemakkelijk praten als het jouw systemen niet zijn. Bij wie moet je aankloppen? En wat willen die er aan doen?

Zonder decryptie key sta je nergens.
Misdaad loont op deze manier en dat is een gevaarlijke ontwikkeling.
Misdaad loont al tijden. :)
Echt betalen aan dit soort actie moet strafbaar gesteld worden. Er mag NIET worden betaald!!!!!
Hoe krom het ook is: een strikt niet-betalen beleid richt uiteindelijk meer schade aan, dan wel betalen.

Als niemand betaald, zullen criminelen van het ransomware model afstappen, terug naar het oude model waar ze persoonsgegevens ongemerkt proberen te jatten over langere tijd, om deze telkens door te verkopen.

Dat wil zeggen dat ze langer binnen zitten, maar gegevens zullen stelen, en dat de nominale operaties van bedrijven niet publiek merkbaar gehinderd worden zoals bij ransomware wel het geval is. Hierdoor wordt het voor bedrijven nog makkelijker om security breaches onder de pet te houden en enkel het minimaal wettelijke vereiste te doen - dwz. een private melding doen bij de AP.
En het wordt daarmee nog verleidelijker voor bedrijven om een perverse kosten/baten afweging op security vlak te gaan hanteren.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Als niemand betaald, zullen criminelen van het ransomware model afstappen, terug naar het oude model waar ze persoonsgegevens ongemerkt proberen te jatten over langere tijd, om deze telkens door te verkopen.
Je lijkt een aanname te doen alsof criminelen het nu al niet om beiden te doen is, terwijl dat om verschillende redenen al niet zomaar op gaat.

Er zullen vast criminelen zijn die niet opportunistisch te werk gaan en te vertrouwen zijn, maar dat klinkt niet als een redelijke aanname als veel van de slachtoffers vaak niet eens uit zichzelf weten slachtoffer te zijn en welke gegevens er allemaal weg zijn voordat ze last hadden van de versleuteling.

Daarbij hoeven die criminelen niet perse hun best te doen te voorkomen dat een slachtoffer niet weet dat ze ook met andere zaken doen. Het is niet alsof ze een open boekhouding bij houden, of dat je zomaar even kan stellen dat die criminelen dus maar gelekt hebben omdat je dat graag wil. En zelfs als je dat kan bewijzen, denk je dat die criminelen er geen rekening mee houden dat ze betrapt kunnen worden? Dan beginnen ze net zo makkelijk een nieuwe groep met een 'goede' reputatie of zoeken slachtoffers die net zo goed gelovig zijn dat je ze wel kan vertrouwen.
Je lijkt een aanname te doen alsof criminelen het nu al niet om beiden te doen is, terwijl dat om verschillende redenen al niet zomaar op gaat.
Lijkt; maar nee.
Mijn punt is dat onder het 'oude' model consumenten dubbel benadeeld worden ten opzichte van het 'nieuwe' ransomware model:

Ten eerste is er bij ransomware sprake van disruptie van dienstverlening die niet te verbloemen valt.
Het is zichtbaar en er moet uiteindelijk een uitleg voor komen; wat, als de media een beetje rond gaat porren, vaak wel resulteert in een medewerker die bereid is de klok te luiden.

Onder het oude criminele model heb je die zichtbaarheid niet en kunnen bedrijven er mee weg komen het bestaan van een lek en/of hack niet publiek te melden, maar enkel bij de AP te deponeren. Als consument weet je dus niet eens dat je gegevens gejat zijn en misbruikt kunnen worden, dus je bent er ook niet extra alert op.

Ten tweede; omdat e.e.a. makkelijker onder de pet gehouden kan worden en de gevolgen voor de essentiële bedrijfscontinuïteit laag tot nihil te noemen zijn, wordt het ook aantrekkelijker voor bedrijven om perverse kosten/baten spelletjes te gaan spelen met de vertrouwelijkheid en beveiliging van de gegevens die ze verwerken voor en over consumenten.

De kans is dus niet alleen groter dat je niet te weten komt dat er een hack of lek geweest is; de kans is ook groter dat er een hack of lek komt - omdat er minder reden is voor bedrijven om hun zaakje op orde te houden.


Het oude model is inderdaad wel gunstiger voor bedrijven die genegen zijn de kantjes er vanaf te lopen of te ijken op winstmaximalisatie - dwz spreekwoordelijk over lijken gaan. Maar hey; om eens even lekker los te gaan: fuck die sociopate eikels?

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Beide situatie is nog steeds dat je kennelijk de crimineel maar wil vertrouwen zich naar jou mening te schikken zodat je een punt kan maken dat niet betalen nadelig zou zijn.
Beide situatie is nog steeds dat je kennelijk de crimineel maar wil vertrouwen zich naar jou mening te schikken zodat je een punt kan maken dat niet betalen nadelig zou zijn.
Nee. Je leest alsnog totaal verkeerd wat ik schrijf. Als iedereen consistent niet betaald; dan gaan criminelen stoppen met ransomware en in plaats daarvan terug naar gewoon data kapen en doorverkopen zonder ruchtbaarheid te geven aan het feit dat ze in je systeem zitten, omdat hen dat in zo'n geval meer oplevert.

En aan die oude strategie kleven meer nadelen voor consumenten dan aan ransomware.
Dat kun je alleen beweren als die criminelen doen wat jij verwacht.

Je stelt daarbij nu de verwachting bij dat criminelen mogelijk iets schadelijkers zouden kunnen doen. Dat haalt je stelling dat het niet betalen meer schade veroorzaakt hoe dan ook onderuit, omdat je zowel geen controle over die voorwaarden hebt en ook niet over de criminelen.
Je stelt daarbij nu de verwachting bij dat criminelen mogelijk iets schadelijkers zouden kunnen doen. Dat haalt je stelling dat het niet betalen meer schade veroorzaakt hoe dan ook onderuit, omdat je zowel geen controle over die voorwaarden hebt en ook niet over de criminelen.
Je leest nog steeds niet wat ik schrijf, heh?

Het gaat er niet om of de criminelen iets doen wat schadelijker is of niet. Het gaat er om dat ransomware, in tegenstelling tot het oudere data jatten en doorverkopen, inherent disruptief is. Dwz. tenzij het getroffen bedrijf poogt er een doofpot van te maken (en daar ook nog eens in slaagt komt het uit en dus gaan getroffen gebruikers er weet van hebben dat er een aanval geweest is; waarbij dus mogelijk hun gegevens ook gestolen kunnen zijn.

Bij een klassieke aanval die alleen bestaat uit jatten en doorverkopen, maar niet verstoren, is die disruptie er veelal niet en blijft het business-as-usual. Hierdoor is het gevaarlijker voor consumenten omdat ze niet al in een vroeg stadium via zulke zijkanalen geinformeerd worden over het feit dat hun gegevens mogelijk gestolen zijn, en ze meer alert moeten zijn op phishing en identiteitsfraude.

Vaak kwamen dat soort aanvallen pas aan het licht als andere partijen die rondspeurden op dark web marktplaatsen toevallig tegen een dataset aan gejatte gegevens aanliepen waarvan de oorsprong herleidbaar was.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

De discussie gaat er om dat je een stelling hebt ingenomen dat niet betalen schadelijker is. Omdat niemand waarzegger is, is die stelling dus gebaseerd op aannames. Je doet aannames wat zal gebeuren, die hangen af van wat criminelen doen (oorzaak gevolg van crimineel niet betalen). Criminelen hebben vaak meerdere motieven, bijvoorbeeld inspelen op angst, schade veroorzaken ongeacht of ze betaald krijgen enz. Ik trek in twijfel dat je de aannames die je doet kunt doen door dat af te laten hangen van vage criminele modellen en andere voorspellingen. Want hoe je inhoudelijk antwoorden ook probeert te vermijden om te noemen wat je zelf bevalt, de schades ontstaan door keuzes die criminelen maken als gevolg van niet betaald krijgen en hoeveel controle je over die criminelen hebt door wel of niet te betalen. Dat is niet zomaar af te schuiven op voorspellen wat je uit komt voor je bewering, zoals je mening wat schadelijker is en zal gebeuren, want dat is puur speculeren. Je stelling gaat op of gaat niet op. Je toont geen bewijs dat het op gaat door niet in te gaan op vragen, anderen zelfs liever verwijten te maken, jezelf te herhalen en ondertussen steeds meer mitsen en maren toe te passen in wat je wel antwoord. Ik ben het overigens met je eens als je stelling is dat het niet betalen schadelijker kan zijn, maar niet dat het de enige mogelijkheid is en zeker niet dat het uiteindelijk is. Ook ben ik het met je eens dat bedrijven dit niet onder de pet horen te houden, daar is overigens wetgeving voor als het om persoonsgegevens gaat.
En wie wil je dan straffen? De sysadmin die de laatste patches niet geeft geïnstalleerd? De directeur die ervan uit gaat dat zijn IT afdeling hun werk goed doet?
Totdat je anders alles kwijt bent. Hoe reageer jij dan?
het zelfde als dat je huis is afgebrand compleet opnieuw dus!! Betalen is belonen dat kan echt niet
En als er geen andere optie is dan ben je verplicht te stoppen.

[Reactie gewijzigd door frankvanes op 22 juli 2024 22:10]

Betalen of niet, vaak een lastige keuze. Wat zou jij doen als je eigen bedrijf zo geraakt is dat je alleen maar de keuze hebt om te betalen of te stoppen met je bedrijf? Ik begrijp wel waarom ze betalen, al deel ik je mening dat het alleen maar extra motiveert voor ze om door te gaan.
Tussenweg kiezen, betalen om je bedrijf overeind te houden is wat voor te zeggen. Maar dan een fiscale boete van 10X dat bedrag wat tegoed komt aan de ACM zodat die ook wat meer armslag krijgen (noem me naief :D ). Wellicht een trigger voor anderen als afschrikking om de IT afdeling niet als sluitpost te zien, maar fatsoenlijk in te investeren in kennis, kunde, patchbeleid en dergelijke. Wellicht ben ik iets te rigide, maar al die ransomware gevallen hebben dus nooit backups getest op leesbaarheid van bestanden op een extern device.

Toevoeging: En die 10X boete komt 80% terug als je aantoonbaar een werkende backup strategie kan tonen. De rest blijft dan in de pot om dit ook te kunnen toetsen. Hebben de bedrijven ook een incentive om het alsnog goed te doen.

[Reactie gewijzigd door Houtenklaas op 22 juli 2024 22:10]

Wat ben je met zulke boetes als dat hetzelfde effect heeft als niet betalen, namelijk bedrijf failliet? En wie wordt er beter van die boetes?

Nee, we moeten blijven inzetten op sensibilisering en zelfs verplichten van data goed te beveiligen. Zeker voor grotere dienstverleners als dit bedrijf is het een must om een goede strategie te hebben om 95% van je data op redelijke termijn te kunnen herstellen zonder dat je moet betalen.
Het is niet alleen het herstellen van de data.

Wat gaan we doen met alle data die buit is gemaakt!? Er moet wel degelijk een precedent gesteld gaan worden. Leuk dat ie een random betaald, maar hier is de AP boete ook nog.

Kan me eigenlijk niet schelen dat een dergelijk bedrijf die de veiligheid van hun klanten niet waardeert over de kop gaat. Misschien leren andere bedrijven dan wel de data van hun klanten te waarderen.
phoenix2149 schreef onder meer:
maar hier is de AP boete ook nog.
Misschien kijk ik erover heen, maar ik lees nergens iets over dat de AP een boete gaat opleggen en voor welk bedrag?

Was dit bedrijf eerder door de AP gewaarschuwd, of hebben ze het extreem bont gemaakt? Anders is de kans op een boete van de AP sowieso klein.

Bovendien, zolang de teneur is dat "iedereen dit kan overkomen" (onvoldoende beveiliging is namelijk "normaal" - in de zin van dat dit geldt voor de meeste partijen), is de kans groot dat rechters boetes van de AP van tafel blijven vegen.
Was dit bedrijf eerder door de AP gewaarschuwd, of hebben ze het extreem bont gemaakt? Anders is de kans op een boete van de AP sowieso klein.

Bovendien, zolang de teneur is dat "iedereen dit kan overkomen" (onvoldoende beveiliging is namelijk "normaal" - in de zin van dat dit geldt voor de meeste partijen), is de kans groot dat rechters boetes van de AP van tafel blijven vegen.
Dat wordt een stuk anders wanneer er bijzondere persoonsgegevens in het spel zijn, zoals medische gegevens of nationale identificatie nummers zoals het Nederlandse BSN. De normen voor beveiliging die daarop rusten zijn hoger dan voor 'normale' persoonsgegevens; de voorwaarden strenger; en de boetes makkelijker te verantwoorden, en bij gevolg steviger.
Anoniem: 1576590 @R4gnax9 augustus 2022 01:41
R4gnax begin met:
Dat wordt een stuk anders wanneer er bijzondere persoonsgegevens in het spel zijn, [...]
Helaas - de AP beboet pas na een eerdere waarschuwing of als het bedrijf een overduidelijk slechte beveiliging had die de AP eenvoudig kan aantonen of waarover (voormalig) personeel uit de school klapt. Kruis of munt (met een grote kans in jouw nadeel).

Mocht de AP toch durven te beboeten, dan verwacht ik dat Colosseum naar de rechter zal stappen - en gelijk zal krijgen.

M.b.t. een BSN zal die rechter constateren dat een BSN een "informatieloos" getal is en bovendien dat de kans op identiteitsfraude met alleen een BSN klein is (d.w.z. niet op een scan van een identiteitsbewijs gelekt is, en "zelfs dan").

Sowieso is het overheidsbeleid rondom het BSN absurd tweeslachtig: enerzijds moet het zoveel mogelijk "geheim" blijven, terwijl steeds meer partijen het (al dan niet zwak gepseudonimiseerd) mogen gebruiken en uitwisselen. Anderzijds is het niet bedoeld als (remote) authenticatiemiddel; het kennen ervan bewijst geenszins dat jij degene bent aan wie dat nummer gekoppeld is.

M.a.w. geen enkele crimineel zou wat aan jouw BSN moeten hebben. Mocht dat in de praktijk anders zijn, dan mag jij de partij die onterecht dacht dat jij jij was, voor de rechter slepen (de bal ligt dan bij jou).

M.b.t. de gekopiejatte gebitsgegevens en behandelhistorie zal de rechter aanvoeren dat die gegevens niet jouw eigendom zijn en bovendien op de zwarte markt weinig tot geen waarde hebben.

En door het losgeld te betalen heeft Colosseum diens best gedaan om te voorkomen dat jouw gegevens verloren gaan.

Mede daardoor heb jij op dit moment nog geen aantoonbare schade (anders dan een sacherijnig gevoel). Hooguit loop je een risico, maar de kans op meetbare schade en de grootte daarvan zijn net zo voorspelbaar als het weer vandaag over een paar jaar. Kom maar terug als je concrete schade hebt geleden, mits aantoonbaar als gevolg van deze hack (succes daarmee).

De AVG/GDPR is grotendeels bangmakerij met onderbezette overwerkte en budgetarme tandenloze tijgers als handhavers.

Als jij en veel medepatiënten andere tandartsen (met fatsoenlijke ICT-leverancier) gaan zoeken, zouden de vorige tandartsen Colosseum daarvoor aansprakelijk kunnen stellen - maar daar schiet jij niks mee op (en dat is geen boete van de AP).
Bovendien, zolang de teneur is dat "iedereen dit kan overkomen" (onvoldoende beveiliging is namelijk "normaal" - in de zin van dat dit geldt voor de meeste partijen), is de kans groot dat rechters boetes van de AP van tafel blijven vegen.
Dat, en het is een zelfvervullende voorspelling, deze aanvallen worden veelal niet in z'n geheel opgezet door de aanvaller. Het is een commerciële aangelegenheid waarbij iemand payload koopt, tevens een wrapper die de payload kan versleutelen tegen detectie, en het belangrijkste: zero day exploits waarmee bedrijven te raken zijn.

Al deze componenten liggen gewoon los op de marketplace en iedereen kan ze kopen. Hoe meer geld je investeert in zero days, hoe meer bedrijven er binnen handbereik komen voor je aanval. Zolang mensen blijven betalen is het niet alleen motivatie om door te gaan met ransomware, het is broodnodig om het te kunnen bekostigen.

[Reactie gewijzigd door nst6ldr op 22 juli 2024 22:10]

Net zoals @phoenix2149 al zegt, als je data security - en daarmee de persoonsgegevens van je klanten - niet serieus neemt, is het maar beter als je bedrijf gewoon verdwijnt. Het verplichten om goed te beveiligen zal niemand tegen zijn, maar wel met een stok achter de deur zoals ik hierboven al vermeld. Op basis van vrijwilligheid gaat het gewoon niet lukken. Net alsof je tegen automobilisten zegt: "We gaan er van uit dat u niet harder dan 100 rijdt op de snelweg". Dat werkt daar helaas ook niet zo. Het is echt tijd voor een veel hardere aanpak.
De ellende is dat het moeilijk is om te beoordelen of de beveiliging slecht was of gewoon botte pech...

In dit geval betreft een tandheelkundig bedrijf; Die hebben echt niet alles echt nodig aan gegevens - wel lekker makkelijk natuurlijk.
Beter zou zijn dat de informatie bij een dergelijk bedrijf beperkt is. Maar dat past niet meer in de huidige maatschappij vermoed ik.
Waarom hebben ze adres nodig? Om de factuur naar toe te sturen? Waarom kan de tandarts deze niet meteen overhandigen?
Ze moeten weten wie je bent omdat ze een deal hebben met verzekeraars. Maar feitelijk hebben ze maar een beperkte set gegevens nodig van de persoon.
Ze zouden een uniek nummer moeten hebben (niet je BSN!) en daaraan hangen de gebitsgegevens. Meer zou niet nodig moeten zijn.
Maar ik ken natuurlijk niet de hele business case dus dit een wat kortzichtige analyse.

Maar minimalisatie en ontkoppeling zijn in het voordeel van de klant.
Blokker_1999 schreef onder meer:
we moeten blijven inzetten op sensibilisering
Die sensibilisering is juist het probleem, want dat zijn een maximaal bedrijfsresultaat en groei; voordeliger zijn dan je concurrenten.

Het doel is op het scherpst van de snede te gaan zitten qua uitgaven en dus qua genomen risico's - voor zover die voldoende betrouwbaar zijn ingeschat. Waarbij je er zelfs voor kunt kiezen om te besparen op je risicoanalyses. En waarbij je er zelfs voor kunt kiezen om rekening te houden met eens in de zoveel jaar een ernstig incident dat X kost.

Aanvulling 22:20: de meeste bedrijven kijken uitsluitend naar hun eigen risico''s. Daaronder vallen minder groei en weglopende klanten, maar niet de risico's van klanten of van de patiënten van klanten. En ook niet de risico's van het stimuleren van het business model van cybercriminelen, noch welk (Rus?) land profiteert van de inkomsten. Losgeld betalen is meestal de economisch voordeligste oplossing voor het bedrijf zelf.

Daarnaast verzekeren veel bedrijven zich tegen dit soort schade, wat uitbetalen alleen maar vanzelfsprekender maakt.

Zolang de meeste ransomwaremakers boter bij de vis leveren (een werkende decryptiesleutel), blijft dit een handelbaar risico voor veel cowboys - en verdrukken de Actions de HEMA's.

Gewoon beboeten met x% van de jaaromzet gedurende n jaar en/of een schaderisicovergoeding (volgens een vergelijkbaar uitbetalingssysteem) voor de klanten wiens persoonsgegevens zijn gekopieerd door de criminelen.

Te veel bedrijven zijn onethische rekenaars (aka handelaars) en bedoelen heel iets anders met sensibilisering dan jij lijkt te doen.

Blokker_1999 ging verder met:
en zelfs verplichten van data goed te beveiligen.
Die verplichting is er al (NEN 7510, AVG) maar werkt duidelijk niet.

[Reactie gewijzigd door Anoniem: 1576590 op 22 juli 2024 22:10]

Die verplichting is er al (NEN 7510, AVG) maar werkt duidelijk niet.
En vergeet vooral de EU GPDR niet; het excuus van de Nederlandse politici en bestuurders; doorverwijzings-politiek naar naar Europese Directives. Da's natuurlijk altijd struisvogel-politiek geweest.

Overigens, er is gewoon een SLA, lijkt me.
kijken uitsluitend naar hun eigen risico''s
Juist en kiezen puur op korte termijn economische afwegingen.
Bor Coördinator Frontpage Admins / FP Powermod @Anoniem: 15765909 augustus 2022 17:45
Nen7510 verplicht? Wanneer dan? Veelal is een NEN 7510 certificering niet verplicht maar laat een organisatie zich certificeren om zich te bewijzen naar zijn belanghebbende en zich te onderscheiden van de markt of wanneer bv partner of bv de verzekeraar dit vereist.

[Reactie gewijzigd door Bor op 22 juli 2024 22:10]

Anoniem: 1576590 @Bor9 augustus 2022 21:57
Bor schreef:
Nen7510 verplicht? Wanneer dan? Veelal is een NEN 7510 certificering niet verplicht [...]
Een certificering is niet verplicht, maar het beveiligen conform o.a. NEN 7510 wel.

Uit het Besluit elektronische gegevensverwerking door zorgaanbieders artikel 3 lid 2:
Een zorgaanbieder draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het zorginformatiesysteem en een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem waarop hij is aangesloten.
Makkelijk praten, totdat het jezelf overkomt, dan piep je wel anders. Soms is een klein foutje of moment van onoplettend al genoeg om de pineut te zijn.
Zeker als het een zero-day exploit betreft. Maar dan pak je een backup terug die je volgens een bepaalde beleidslijn maakt EN controleert en zet de boel weer terug. En dat lijkt de rode draad te zijn, er is geen gecontroleerde backup, alleen een versleutelde. Een klein foutje of zo, dat kan. Maar een gebrek aan een fatsoenlijk backup beleid, alles maar rücksichtslos aan het internet knopen waarbij dat in een productieomgeving vaak niet eens gewenst is? Dan vraag je er zo ongeveer om. Dat heeft niets met "makkelijk praten" te maken maar met een volledig uit de hand gelopen "gemak" waarmee bedrijven hun netwerk in elkaar harken, in de cloud backuppen, niets testen - de goeden daargelaten uiteraard.

Het vervelende is dat consumenten zo min mogelijk willen betalen voor producten en de IT-knoeiers daarvoor nog eens soort van worden beloond. Vandaar ook mijn roep om een buitensporige boete, die bedrijven kunnen we echt missen als kiespijn.
Waarom zijn het IT-knoeiers als de klant (het bedrijf) niet meer (als in: hoger bedrag) wil betalen voor de service?
En als het om de kosten gaat dan kan ik nog wel een besparing suggereren; tandarts is een overpaid beroep. Als op een willekeurig noodzakelijk onderdeel van de bedrijfsvoering wordt bezuinigd (IT) en de tandarts kan 3 a 4 per jaar op vakantie en valt in de hogere inkomensgroepen, dan krijgt/neemt deze een te grote hap uit de koek.

[Reactie gewijzigd door Tintel op 22 juli 2024 22:10]

Je bent een IT knoeier als je je backups niet op orde hebt en dat blijkbaar ook nooit getest hebt. De club in kwestie - Colosseum Dental - is geen kleintje (13000 man personeel in de EU) en is in zijn zorgplicht overduidelijk te kort geschoten. Een datalek is wellicht niet 100% te voorkomen, maar geen backup kunnen terugzetten? Ook niet van kortgeleden blijkbaar? Wat moet ik ze dan noemen? Incompetent? Klinkt wat netter als "knoeier" geef ik toe, maar het komt op hetzelfde neer. Nu betalen ze en moeten ze alsnog hun netwerk volledig opnieuw inrichten en hopelijk niet dezelfde deur open laten staan, wat ook had gemoeten bij het terugzetten van de backup. Daar zit dan ook geen verschil meer.

Juist van een overkoepelende club verwacht je dat ze juist dit op orde hebben en dat uit handen nemen van de onderliggende tandartspraktijken die blijkbaar hun IT hebben uitbesteed. Aangezien het geen kerncompetentie is van een tandarts, op zich een prima idee.

Of tandartsen (te) veel verdienen heeft m.i. niets met het onderwerp te maken, daar heb ik geen mening over.

[Reactie gewijzigd door Houtenklaas op 22 juli 2024 22:10]

En toch zie je ransomware gebeuren bij grote bedrijven waarvan de IT in principe gewoon op orde is. Je kunt nooit garanderen dat je veilig bent tegen ransomware, als je dat wel denkt, dan ben je echt erg naief.
Ik ben verre van naïef. Ransomware zelf is nooit 100% te voorkomen, dat is niet anders, heb ik ook nooit anders gezegd. Maar ik blijf zeuren over het backuppen. Alles gaat maar online tegenwoordig in de cloud, 100% geautomatiseerd, lekker makkelijk. En daar gaat het mis. Gemak is iets waar je elke dag lol van hebt, maar met ransomware de hel kan blijken. Dat sluipt er langzaam in helaas.

Backuppen is meer dan data overhevelen van A naar B. Dat is het simpelste en eenvoudigste deel ervan. Testen of je je data kan uitlezen, of je het elders kunt terugzetten - je tent kan immers in de fik gaan. Hoe lang wil ik terug kunnen? Wat is mijn schade als de data verloren is? Is er een disaster recovery plan? Allemaal zaken die leiden tot een beleid t.a.v. je backup strategie. En dat zijn vraagstukken die verre van simpel zijn. Daarnaast vergt het nogal wat om dat beleid maanden en jaren zo vol te houden, ogenschijnlijk voor "niets" als het niet nodig blijkt.

Dat bij grote bedrijven de boel op orde is, is een aanname vermoed ik? Mijn ervaring daar is zeker niet dat het slecht is, maar ook zeker niet dat het top geregeld is. En dat geldt voor zowel patchbeleid als backup/disaster plannen.

[Reactie gewijzigd door Houtenklaas op 22 juli 2024 22:10]

Toch is dat wat kort door de bocht. Als het bedrijf niet wil betalen voor IT oplossingen, dan is de IT-uitvoerder toch niet meteen een knoeier.
Laat ik het zo zeggen: dit zie je wel vaker. Managers, CEO's en bedrijven an sich mogen meer verdienen dan diens medewerkers want lopen meer risico en dragen meer verantwoordelijkheid. Maar als het mis gaat (omdat ze geen toestemming geven of geen budget vrijmaken) dan is het toch de schuld van de uitvoerende medewerkers. Natuurlijk "Shit rolls down hill" maar dat stigma is geen wetmatigheid.

(In eht artikel staat ook dat de backup's [die dus blijkbaar online waren], niet meer bruikbaar zijn)
Toch is dat wat kort door de bocht. Als het bedrijf niet wil betalen voor IT oplossingen, dan is de IT-uitvoerder toch niet meteen een knoeier
(In eht artikel staat ook dat de backup's [die dus blijkbaar online waren], niet meer bruikbaar zijn)
Maar dat heb ik toch ook niet gezegd? Ik zit telkens te zeuren over het gebrek aan backups, geen beleid e.d. Dat maakt ze knoeiers. In de Volkskrant van vandaag (10-8) stond ook dat er geen bruikbrare backups waren. Knoeiers dus.
Lijkt mee heel sterk dat ze zouden moeten stoppen. In het ergste geval (echt alle data weg) komen de mensen bij je praktijk komen vanzelf langs voor een afspraak en dan vraag je gewoon opnieuw om telefoonnummer etcetera.

Eventuele foto’s die kwijtraken maak je opnieuw, eenmalige kosten voor de praktijk.

Het zal vast veel geld kosten, maar dat hebben ze kunnen besparen door niet/te weinig te backuppen.

Maar goed, door het illegaal te maken is het speelveld iig gelijk, nu is het haast oneerlijke concurrentie als je het als bedrijf netjes wilt doen (is duur) en de ander betaald gewoon het losgeld aan criminelen en gaat door.

[Reactie gewijzigd door WoutervOorschot op 22 juli 2024 22:10]

Nogmaals, het is een bedrijfsmatige keuze, niet een IT keuze. Ik kan nu niet bepalen welke data er allemaal weg was. Vast een hoop meer dan een paar foto's. In de basis moet je dus alle praktijken weer opnieuw opzetten en hopen dat de klanten allemaal terug komen.
Volgens de media ALLE patiënten dossiers.
Eerste wat mijn tandarts doet als ik binnenkom is mijn dossier bekijken (makkelijk te zien op de p.c. die in de behandelkamer staat).
Gezien dit tandarts zoveel is i.v.m. verhuizingen en ik iedere keer mijn dossier heb laten verhuizen staan al mijn gegevens dus bij mijn huidige tandarts.
Die acht ik daar dus ook verantwoordelijk voor.

Ooit eens een kleine tandarts geholpen met zijn automatisering kleine 10 jaar geleden (die was echt om te janken) mocht allemaal niets kosten, en de leverancier van de software kon het woord security nog niet eens spellen.
En dit is helaas geen incident, bij huisartsen is de IT bijzaak (ze zijn te druk met andere zaken om dit goed op poten te (laten) zetten en hebben de kennis niet.
En sommige ziekenhuizen .. nahja ik kan uit eerste hand zeggen dat het qua security in de 3 ziekenhuizen waar ik heb rondgehobbelt er 1 was die zijn zaken op orde leek te hebben.

Er is nog heel HEEL veel werk aan de winkel in Nederland.
Ja, veel werk, maar voorkomen is beter dan genezen, beter poetsen zegt de tandarts dan. In plaats van een verbod op betalen van ransomware zou ik meer voelen voor meer verplichte controles van audit-bedrijven. De consument moet ook om de zoveel tijd naar de apk met zijn auto, dat moeten bedrijven dus ook dan.

[Reactie gewijzigd door Soldaatje op 22 juli 2024 22:10]

Eerste reactie was: Moet je niet willen, is een bedrijfsaangelegenheid. Twee hersencellen grepen echter in, het vergelijk met APK en veiligheid is wel een schot in de roos denk ik. Ook dit is veiligheid op een ander vlak weliswaar. Zou wel een aardig zijn dat zodra je persoonsgegevens verwerkt je verplicht een externe audit krijgt over je verwerking daarvan, je backup beleid etcetera. En net als bij de APK zo af en toe een steekproef. Goed vergelijk!
Bor Coördinator Frontpage Admins / FP Powermod @Houtenklaas8 augustus 2022 21:52
Daar heb je gewoon audits voor. Common practice binnen de grotere bedrijven en bedrijven met een certificering.
Zeker, die maak ik meer dan eens mee, maar dat is omdat het bedrijf waar ik werk aantoonbaar aan bepaalde standaarden willen voldoen wat we dan ook willen laten zien aan klanten met een audit door een "onpartijdig" keuringsinstituut (die wij betalen :))

Maar dat is nog steeds op basis van vrijwilligheid. Het toverwoord hier is "verplicht" net als de APK die @Soldaatje noemt.
Daar heb je gewoon audits voor. Common practice binnen de grotere bedrijven en bedrijven met een certificering.
Probleem is dat deze praktijken ook gewoon veelal gecertificeerd zijn. Maar, er hoeft er maar ééntje tussen te zitten die dat niet is, en je hebt al een potentieel gat naar binnen toe. Of één certificeerder die hun certificering bij een kuipje boter weggeeft, bij wijze van.
Bor Coördinator Frontpage Admins / FP Powermod @R4gnax8 augustus 2022 23:02
Of één certificeerder die hun certificering bij een kuipje boter weggeeft, bij wijze van.
Ik betwijfel of die er zijn maar dat probleem heb je bij een 'APK' ook. Als je naar de auto APK kijkt weet je zeker dat het niet overal even goed en streng gebeurt.
Wat ik dus ook bedoel te zeggen:
het antwoord is niet certificering. Maar dat kan er wel onderdeel van zijn.
Je zult gewoon op defense in-depth moeten blijven richten.

Waar ik met mn pet niet bij kan is:
als je een koppeling met een centraal systeem afneemt middels een dienstverlener ; of in één of ander samenwerkingsverband treedt met hen - hoezo zou die dienstverlener jou dan niet contractueel die audits op kunnen leggen? Incl. willekeurige periodiek terugkerende, niet aangekondigde steekproeven en de hele rataplan.

Daarmee kun je in elk geval de voorkant; de eerste linie, scherp houden.
Hoezo lijkt dat nergens een ding te zijn?

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Mee eens. Tevens zou de afkoopsom voor de ransom ook als boete uitbetaald moeten worden aan de klanten caravan de gegevens op straat zijn komen te liggen.
Mee eens, gewoon als je meer vertrouwelijke data omdat, even aantonen hoe je dat beveiligd hebt.

En als je dat als bedrijf niet zelf kan, laat het dan hosten door een professionele partij die wel ziet dat er gigabytes naar een vreemd ip worden geüpload
Bor Coördinator Frontpage Admins / FP Powermod @well05499 augustus 2022 17:50
Als je het ziet is het (deels) al te laat he; reactief dus. Ook het het wegsluizen van GB's niet op te vallen. Het hoeft niet full speed he. Je kan het zelfs rustig doen via covert channels.

[Reactie gewijzigd door Bor op 22 juli 2024 22:10]

Of nog een stap verder: de consument mag niet eens een auto rijden zonder een rijbewijs.
Zo zou niet iedereen die een PC thuis heeft, zich IT-expert of security deskundige mogen noemen en de automatisering van zijn eigen AVG gevoelige bedrijf mogen inrichten.
Ik ken een case van een ziekenhuis waar een nep-phising was verstuurd naar alle 3000 medewerkers.... 1900 kliks...
Ik ken een case van een ziekenhuis waar een nep-phising was verstuurd naar alle 3000 medewerkers.... 1900 kliks...
Dat gebeurt helaas geregeld. En niet alleen bij leken, zoals ziekenhuispersoneel.
Ook gewoon bij technisch goed onderlegd IT personeel die beter zouden moeten weten. Ik ken anecdotes van kennissen over CIOs en CSOs die gewoon op dat soort links klikken. Het is om je kapot te schamen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Bor Coördinator Frontpage Admins / FP Powermod @Tusk8 augustus 2022 23:05
Awareness is zeer belangrijk maar bij sommige mensen blijft helaas weinig plakken op dit gebeid. Punt in de zorg is ook nog eens dat men doorgaans erg goed van vertrouwen is; open en laagdrempeling aanspreekbaar. Er heerst een heel andere cultuur als bij bv een bank. Het gaat om de mens en de techniek is ondergeschikt en wordt soms als lastig gezien.
Zowel artsen als tandartsen verdienen een goed belegde boterham maar betalen voor IT willen ze niet... maar eigenlijk hebben ze er dus wel degelijk de middelen voor.... tja... dan moet je op de blaren zitten. Helaas is dan ook de klant de dupe.

Hoeveel IT-systeembeheerders (in loondienst) hebben een inkomen dat in de buurt komt van een arts? Terwijl ook een IT-er een lange opleiding moet doen en blijkbaar niet iedereen het kan. En ook die IT-er moet 'bijblijven' (bijleren).
Nu kan ik niet zomaar zeggen of stellen dat beide beroepen even complex zijn. Maar vreemd genoeg is bij de opleidingen geneeskunde vaak sprake van inloting en bij de IT-opleidingen is het aantal aanmeldingen nog steeds te laag...
Toch vreemd.... en blijkbaar hebben we echt wel IT-ers nodig.
Met de huidige tekorten in de zorg denk ik dat ze aan het einde meer klanten hebben dan ze voor de hack hadden; mensen die ze eerder geweigerd hebben zeggen nu ineens al klant te zijn.
Grapjas, patienten hebben zelf niet het dossier, het gaat niet om simpel alleen maar naw, het gaat om hele behandelingstrajecten, medicijn lijsten, voorgeschiedenis en dan dus ook je xrays.. dat is niet zomaar opgelost met 'even langsgaan en telefoonnummer vragen'.
Grapjas, patienten hebben zelf niet het dossier, het gaat niet om simpel alleen maar naw, het gaat om hele behandelingstrajecten, medicijn lijsten, voorgeschiedenis en dan dus ook je xrays.. dat is niet zomaar opgelost met 'even langsgaan en telefoonnummer vragen'.
Goed punt eigenlijk:
Waarom hebben mensen geen hard-copy van hun eigen dossier?
En... zijn instanties gezien de huidige AVG wetgeving en het recht op uitwisseling gegevens en het recht deze aangeleverd te krijgen in een standaard verwerkbaar formaat, ook niet verplicht dit op te hoesten indien er om gevraagd wordt?

Over AVG gesproken:
Ik kan me trouwens niet herinneren dat ik ooit bij mijn tandarts getekend heb voor het mogen overdragen van mijn gegevens naar een andere commerciële partij die deze ergens centraal bewaart. Iets over informatieplicht is daar wellicht ook nog wel van toepassing.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Zodra je geïnfecteerd bent met ransomware ben jij het probleem. Je bent niets anders dan een gastheer voor een virus. Je probeert jezelf te redden en betaalt, vervolgens maak je het probleem 10x zo zwaar voor toekomstige potentiele slachtoffers.
Betalen voor ransomware is het slechtste dat je kunt doen. Het is vergelijkbaar met aderlating ten tijden van de pest: vooral een vector om de ziekte verder te verspreiden.
Ethisch dillema vraagje:
Zou je betalen of niet betalen wanneer het voortbestaan van je eigen onderneming aan de data hangt? En aannemende dat je het na betaling met succes kan decrypten.
"Assumptions are the mother of all fuck-ups...." :Y)

Als werkelijk het leven of kwaliteit van het leven van klanten (cq. patienten) afhankelijk is van die data en die data kan niet opnieuw worden samengesteld (door bijv. opnieuw een foto te maken - op kosten van het bedrijf). Dan is er toch wel erg mis.

Betalen is dom. Betalen is de ultieme vorm van korte-termijn denken.
Je vergeet gemakshalve dat er wellicht veel facturen die nog niet verstuurd waren ook "weg" zijn wat een direct liquiditeitsprobleem kan geven, en foto's opnieuw maken is leuk voor nu, maar zijn ook extra kosten zonder inkomsten. Data uit het verleden om een progressie van een ziekteverloop te kunnen zien ben je sowieso kwijt.

"Betalen is dom" is makkelijk om te zeggen, maar het zit echt iets genuanceerder. Ik heb er wel een soort van begrip voor dat er betaald wordt, maar er moet een incentive zijn om het beter te MOETEN doen. Wat ik al eerder aanhaalde, een boete die nog 10X hoger ligt dan de betaalde som, waar je 80% (ik zeg maar wat) van terugkrijgt als je (jaarlijks) aantoonbaar een werkende backupstrategie hebt.

Iemand vergeleek het eerder met de APK, dat vind ik een juist vergelijk. Dit gaat om persoonsgegevens die veilig moeten blijven. Prima zo'n check.
Stekker uit de bv trekken, en een nieuwe starten xD
Ja klopt, maar dan moet er al wel een voortraject zijn of zeer duidelijk frauderend gedrag.
Er zijn genoeg redenen om niet te betalen. En er zijn minstens zoveel redenen om het wél te doen.
Er zijn meer redenen om dat wel te doen.

Je salaris volgende maand bijvoorbeeld
Dat zou in theorie het aantal doelwitten voor ransomware aanvallen moeten verminderen. Als je als crimineel weet dat een bedrijf slechter af zal zijn wanneer ze jou betalen, dan ben je eerder geneigd een makkelijker doelwit te kiezen. Dan resteert alleen nog bedrijven zover te krijgen om hun beveiliging en backups in orde te krijgen, want de dreiging van ransomware lijkt met incidenten zoals deze nog niet effectief genoeg.
Ik ben het direct met je eens. Zo financier je de criminele activiteiten.
Echter staan ondernemers wel met de rug tegen de muur.
Zolang er nog geen helpdesk is die deze getroffen ondernemers helpt zullen ondernemers, om te overleven, soms wel moeten betalen.
Helemaal mee eens. Het bedrag wat betaald is als losgeld zou gelijk een boete moeten worden.
Tja. Gelukkig hebben we hier nog een goed sociaal opvangnet. Hoefnagels ook ons bedrijf neemt IT behoorlijk serieus. Mag ook wel als zorg IT en hardware provider.
Hmm als tweakende tandarts voel ik me wel wat aangesproken. Moet zeggen dat ik het al beter heb geregeld dan 90% van m’n collega’s maar tegen zo’n gerichte aanval is lastig verdedigen.

Software die zij gebruiken (exquise / oase geloof ik) is net als andere tandheelkundige software zeer slecht beveiligd. Mochten jullie tips hebben hoor ik het graag om dit zgm te beveiligen.

Wat ik al doe
Versleutelde backup in de cloud, backup die niet toegankelijk is vanaf primaire server, verbieden dat usb sticks ed ingeplugd worden, alles op automatische updates

Waar ik over nadenk
Server draaien in VM, backup op fysiek afgeschermde installatie, internet alleen toestaan met whitelist, apparaten net werk op Mac adres toegang verlenen

Alle hulp is welkom, door deze stomme actie zullen er meer gaan gaan volgen denk ik..
Wat @R4gnax aangeeft, whitelisting is echt een van de beste dingen ooit. Wel erg lastig goed in te richten.

Afhankelijk van je huidige e-mail provider en IT partij, er een goede anti-spam e.d. dienst tussen internet en je dienst plaatsen. Bijvoorbeeld "Barracuda Email Security Gateway".

Edit:
Oh ja, nooit gebruik maken van je admin-account tenzij nodig voor onderhoud.
Gebruik te allen tijde een 'normaal' user account zonder admin-rechten. Mocht er een virus oid op je computer komen, dan is de kans groot dat het niet meer kan dat je gebruiker-account rechten toe heeft. Dit is wel een hele belangrijke die mensen vaak vergeten of te lastig vinden. Met name beheerders vinden zichzelf hier te goed voor. Trap er zelf niet in.


Verder, niet (alleen) online backups, maar (ook) offline backups.
Sla die zaken op een harde schijf of backup tape op en bewaar die in een kluis, het liefst buiten het pand.
Hiernaast ben je ook nooit volledig afhankelijk van een partij en ook niet van je internet verbinding.

Een van de dingen die mensen niet weten is dat je je backup bijna nooit meer UIT de cloud krijgt, je kan niet echt overstappen met behoud van history. Je bent dus gebonden aan die ene leverancier voor de rest van je leven. En dit kan ook komen door failissement.

Je hebt ook 1-tape drives, je moet ze alleen handmatig wisselen.
Wel je media af-en-toe vervangen uiteraard.

[Reactie gewijzigd door Triblade_8472 op 22 juli 2024 22:10]

Oh ja, nooit gebruik maken van je admin-account tenzij nodig voor onderhoud.
Gebruik te allen tijde een 'normaal' user account zonder admin-rechten.
Ter aanvulling:
NIET gebruik maken van de standaard door Microsoft aangeboden vorm van token-split administrator account en denken dat dat een normale user account is omdat de admin rechten schuilen achter een UAC prompt! Maak gebruik van een gescheiden normale gebruikersaccount en administrator account.

Reden is dat Microsoft sinds Windows 8 UAC niet meer als security boundary ziet en bypasses niet als high-priority security risk afhandelt. (Ja, echt; je verzint het niet...)

E.e.a. wil zeggen dat er vaak legio mogelijkheden tot bypass aanwezig zijn in Windows om ondanks het uitblijven van een UAC-prompt, toch de admin-rechten van je 'normale' user account te misbruiken. Het is maar net wat er toevallig nog tijdens een patch-ronde door MS meegenomen wordt of niet.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Ik heb dit nog in geen enkel geval voorbij zien komen dat het helpt, het gebruik van gescheiden accounts. Het blijft nog steeds een goed idee maar heeft tegen deze aanvallen geen nut.

Als je wat forensische onderzoeken leest, zoals op https://thedfirreport.com/, zie je vrijwel altijd dat ze Domain admin willen worden. Een gescheiden account helpt dan niet. Least privilege helpt dan wel, je moet je domain admin account simpelweg niet gebruiken, behalve voor het beheren van de domain controller. Het tiering model van Microsoft is een goed en vrij veel toegepast concept.
Ik heb dit nog in geen enkel geval voorbij zien komen dat het helpt, het gebruik van gescheiden accounts. Het blijft nog steeds een goed idee maar heeft tegen deze aanvallen geen nut.
Het verkrijgen van local admin rechten kan alleen wel een springboard zijn naar domain admin.
Zeker op een dichtgetimmerd systeem waar de rechten voor normale gebruikers sterk ingeperkt zijn.
Ze gaan geen moeite nemen voor jou, dit is gewoon een scan voor de 'zwakste' en daar sla je toe, dit is 'inbreken anno 2022', mensen op vakantie, mensen met slechte sloten, mensen met raampje open, dat is in deze tijd weinig anders. 1 fout, 1 misser en ze zijn binnen.

Het blijft een kostenplaatje afweging, cloud is niet gratis (en AVG), server inrichting, protocollen, zaken wat gewoon een rekensom is tot welk niveau je zou willen gaan.

Ik kan ook wel pochen dat wij een distasterplan hebben die binnen 24 uur bedrijf tot 90% operationeel kan brengen, maar daar hangt een kostenplaatje aan die simpelweg niet rendabel is voor gros van bedrijven.
cloud is niet gratis (en AVG)
AVG is minder een probleem als je backup encrypted is. Cloud storage provider heeft dan geen toegang tot de echte gegevens.
Mochten jullie tips hebben hoor ik het graag om dit zgm te beveiligen.
Executable white-listing.
Enkel de applicaties toestaan die daadwerkelijk op je systeem nodig zijn voor dagelijks werk.
Heb je meer nodig? Dan moet dat met een speciaal daarvoor gerechtigd account gebeuren.
Waarom is iedereen zo cloud minded.... Hou ook backups offline, daar kan niemand bij!
Als de overkoepelende organisatie dat ook goed voor elkaar had, hadden ze (na het vinden van het lek) alle gegevens zo terug kunnen draaien. Maak backups van meerdere dagen...

Noem het overkill, maar ik maak backup van 14 dagen in een loop na de 14e dag wordt backup 1 weer overschreven. En zou rouleer ik mijn externe backups. Maar tegenwoordig moet het allemaal in de cloud..
Misschien een domme opmerking, maar alles zelf regelen voorkomt dat je bij een grote groep hoort en zorgt ervoor dat de kans dat jij specifiek gericht aangevallen wordt, heel klein wordt. Met andere woorden, je blijft gewoon onder de radar omdat het niet interessant is qua tijd/energie die erin gestoken moet worden.
Zie er al hele goede dingen tussen staan. Feit dat je backup goed gescheiden is een belangrijk punt om terug te kunnen komen.

Twee dingen die ik nog zou doen:
1. Laat een pentest uitvoeren en kijk of je nog dingen over het hoofd hebt gezien. Een pentest is goed vergelijkbaar met hoe Ransomware aanvallers werken.
2. Schaf een goede next-gen antivirus aan. Bijvoorbeeld Defender for Endpoint, sentinel one, ESET xdr, carbon black, etc. Kijk minimaal dagelijks naar de meldingen of overweeg de monitoring uit te besteden.

Als beide te duur zijn, kies dan voor de tweede. Een gewone AV is vaak niet goed genoeg, maar het belangrijkste is dat je iets doet met de meldingen.
Geen idee over hoeveel data het gaat ...

Wat direct bij me opkomt:
- Niet langer nadenken, fysiek gescheiden locaties per direct invoeren
- Backups maken in drievoud (op locatie, twee externe locaties), onderling 100% onbereikbaar voor elkaar
- Backups met ijzeren regelmaat testen op een externe machine op het kunnen terugzetten/leesbaarheid van je data
- Backupstrategie opstellen (per dag/week/maand/kwartaal) tot hoe lang je terug wil kunnen

Alles wat automatisch gaat, kan automatisch ook encrypt worden als je "gepakt" wordt en is onzichtbaar zolang de ransomware niet actief is. Je data wordt decrypted op het moment dat je het ziet. Op het moment dat de ransomware actief wordt is alles versleuteld. Vandaar het testen op de externe machine.

En ja, het is een heel gedoe ja ...
Het zijn criminelen, die data wordt sowieso doorverkocht. Dan openbaren ze het niet zelf maar komt het ook in handen van anderen die er ook geen goede intenties mee hebben. Lood om oud ijzer als je het mij vraagt.
die data wordt sowieso doorverkocht
Weet je dat of denk je dat?

Ik denk namelijktdat niemand meer losgeld betaald als de criminelen de data toch door verkooen, dus als crimineel denk je daar wel 2x over na
Criminelen zijn immers hele nette mensen nietwaar?

Of gewoon verstandig:
"Als ik die data alsnog doorverkoop krijg ik op mijn donder?"

[Reactie gewijzigd door SvenHe op 22 juli 2024 22:10]

Nee, maar vaak wel heel slim. Is het slim om de data alsnog te publiceren?

Wat denk je dat hun volgende 'klant' gaat doen? Betalen of toch maar niet?
Die heeft al betaald of doet dat sowieso.
Ze betalen voor toegang, niet voor het niet verspreiden. Voor dat laatste kun je ook nooit bewijs krijgen dat het weg is bij de crimineel.
Ik weet niet precies wat er afgesproken is bij de deal. Garantie heb je zeker niet, alleen bij de Blokker krijg je garantie.
Nee, maar vaak wel heel slim. Is het slim om de data alsnog te publiceren?

Wat denk je dat hun volgende 'klant' gaat doen? Betalen of toch maar niet?
Daarbij neem je al aan dat uit gaat komen dat zij die data als zodanig toch doorverkocht hebben.
Als je dit ophakt in kleine pakketjes en duidelijke tells zoals de medische gegevens weglaat - wie gaat dan nog achterhalen waar die gegevens uit gelekt zijn?
Zekers, kijk maar in Den Haag... gebouwen vol met criminelen en allemaal strak in pak.
Je hebt geen grip op wat de criminelen met jouw data down. En hoe weet je dat ze uit je systemen gaan? Voor het zelfde geld word je over 2 jaar weer aangevallen door een achtergebleven beacon.... financieel sponsoren van criminelen is nooit een goed idee....
Bor Coördinator Frontpage Admins / FP Powermod @Mr_Dirk8 augustus 2022 21:55
Dat is een van de redenen dat het herstellen na een ransomware aanval zo duur is. Je moet veel tot alles op nieuw opbouwen, verbeteren en blijven monitoren.
Dat monitoren moet je sowieso....
Verbeteren ook, die twee argumenten gaan dus niet op.

En ook als je betaald moet je alles opnieuw(secure) opbouwen....

Zodat je in de toekomst gevrijwaard blijft.

De reden om te betalen is om dit te kunnen, maar daarna moet echt alles op de schop om het een volgende keer te voorkomen.
Bor Coördinator Frontpage Admins / FP Powermod @well05498 augustus 2022 22:45
Verbeteren deed je misschien al maar toch zijn ze binnen gekomen. Je moet de oorzaak achterhalen en juist dat (ook) verbeteren anders zijn ze zo weer binnen natuurlijk.
Tja.

Dan ga je er van uit dat elke crimineel van hetzelfde partijtje is en dat de criminelen überhaupt te vertrouwen zijn.

Daarnaast, denk je dat; Colosseum Dental dat losgeld betaald om er voor te zorgen dat niets gelekt wordt?

Waarschijnlijk wordt het betaald om hun tandartspraktijken door te kunnen laten draaien.

Als ze iets hadden gegeven om de privacy van de klanten; dan zijn ze daar simpelweg te laat mee.
Daarnaast, denk je dat; Colosseum Dental dat losgeld betaald om er voor te zorgen dat niets gelekt wordt?
Waarschijnlijk wordt het betaald om hun tandartspraktijken door te kunnen laten draaien.
Als ze iets hadden gegeven om de privacy van de klanten; dan zijn ze daar simpelweg te laat mee.
Precies. Enige wat ze nu nog kunnen doen waaruit zou spreken dat ze enigzins om hun klanten geven, is 100% garant staan voor elke vorm van identiteitsfraude waar deze klanten vanaf nu tegen aan kunnen gaan lopen.

Tot in lengte van dagen; want tenzij je gaat verhuizen zullen deze gegevens bij de standaard telefonische NAW-check natuurlijk altijd blijven werken. En als er BSNs bij de gestolen gegevens zitten... tja; het is niet alsof de overheid je die een nieuwe gaat geven. Ik bedoel - het kan wel; met heel veel moeite omdat de overheids-IT op veel vlakken met ductape aan elkaar hangt en absoluut niet op veranderbare BSNs berekend is, maar met handmatig corrigeren zou het kunnen. Het kost dan alleen veel geld en moeite. En daar is de overheid een tikkie avers van.


(...)

Hey; dat zou eigenlijk best een goede strafmaat kunnen zijn voor als je als organisatie die met BSNs om gaat je beveiliging niet op orde blijkt te hebben en gehacked wordt: je mag gewoon voor de kosten opdraaien om al je getroffen klanten te laten verschonen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

De data kunnen wel op de zwarte markt (dark web) door worden verkocht.
Denk je dat echt? Bedrijf wil/moet gewoon door en dat kan alleen met betalen van losgeld omdat de data zeer belangrijk is. Dat de data alsnog verder gelekt wordt is dan klote, maar het bedrijf kan wel weer verder. DAT is het vervelende aan ransomware, overigens wil dat helemaal niet zeggen dat de data uberhaupt gelekt is, met ransomware is de data vaak vooral encrypted zodat je niet verder kunt zonder key.
overigens wil dat helemaal niet zeggen dat de data uberhaupt gelekt is
Hier is er sprake van een niet nader genoemde bron binnen het bedrijf die heeft laten weten dat er bij de losgeld-eis gedreigd is met het publiceren danwel doorverkopen van de gegevens van betrokkenen.

Dat betekent - tenzij dat een loos dreigement was - dat de data ook gelekt is.
Ik had het niet specifiek over dit bedrijf, maar over een bedrijf dat te maken heeft met ransomware, dat was misschien niet helemaal duidelijk.
Bij een double of triple extortion is dat zo ja. Maar lang niet alle malware-groeperingen bedienen zich daarvan. Die zijn alleen belust op geld verdienen. Het zijn soms ook daadwerkelijk bedrijven met een eigen IT-afdeling, HR, supportdesk en alles erop en eraan.

Er zijn legio varianten ransomwaregroepen .. ook groepen of individuen die daadwerkelijk je data teruggeven. Alleen is de kans niet groot en resultaat niet gegarandeerd.
The demise of tape is highly overrated.....

Ze hadden dus gewoon een off-site backup moeten hebben. Iets anders is géén backup.
Inderdaad.
Het had niet eens echt off-site hoeven zijn. Alleen een locatie die niet direct toegankelijk is en die enkel met write-once semantics werkt. Dus geen update/delete vanuit normale automated access toestaan. Dat sta je alleen toe via een speciale administrator login.

Dat kan al gewoon een cloud dienst zijn, mits je je backups degelijk met een private key encrypt voordat je ze daarheen gooit. ... En dan natuurlijk die private key isoleren in een degelijke key-vault zodat deze niet verwijderd of door ransomware ge-encrypt kan worden.

Wat me doet denken:
Zou het niet heel ironisch zijn als deze toko offsite backups allemaal correct opgezet had met encryptie usw. -- en het zo'n backup-sleutel is die door de ransomware de wereld uit geholpen werd? Dat zou wat zijn zeg.
Klopt, backup server in een apart segment op je netwerk, en dan alleen traffic over de agents toestaan qua poorten scheelt ook al een pak.
Wij hadden PTAM, (Pickup Truck Access Method), naar een site 100 km verderop. Die krijg je nooit te pakken.
Ben ik helemaal met je eens. Onze backups liggen 30 km verderop en 55 meter boven NAP.

@J_van_Ekris Geïnfecteerde backups worden eerst door een scanstraat heen gehaald. Die worden netjes gecleand. Al moet je het domein eigenlijk opnieuw opbouwen omdat je geen idee hebt wat ze er nog meer in achtergelaten hebben.
Nou. Als je ze kan “cleanen” en “scannen” dan kan je ze ook voor de poort tegenhouden. Het is simpel, dit zijn zoals vaak gezegd geen kleine jongens. Miljoenen vangen ze en ze kunnen dus ook perfecte zero days inkopen die nog door geen enkel “scan” systeem onderschept worden. Ze zitten al maanden in je omgeving, weten zeer goed welke software je hebt en zullen ook zeker gericht zero-days inkopen voor jouw omgeving. No worries.. ook bij jouw omgeving kunnen ze prima binnenkomen en de boel infecteren.. het is puur de vraag of het de moeite en het geld waard is. Ze kunnen de zero days immers maar een enkele keer inzetten.

Juist de gedachte dat je denkt, dat ze niet binnenkomen.. maakt het zo makkelijk.

Het is een drama/nachtmerrie voor de ITers van dit bedrijf..

[Reactie gewijzigd door jordy5 op 22 juli 2024 22:10]

Oh, de illusie is allang opgegeven. Je hebt maar 1 systeem nodig waar de scanner gecrashed is om alle onheil uit te halen, om maar een zijstraat te noemen. Maar je doet qua IT'er wat je kunt. Meer kun je niet doen.
Als je data (de zuivere SQL van je database) clean van de tape weet te halen ben je een eind. Maar een domein van de ground up opbouwen terwijl het bedrijf plat ligt is een nachtmerrie. Alleen je AD al kwijt zijn is een drama.

En dit soort systemen verwerken ook beelden (JPEG? DICOM?), waar natuurlijk weer rommel in kan zitten. Je scanstraat moet het maar net herkennen. En als je pech hebt begint het spel weer van voren af aan.

Ben blij dat ik niet in die ITers hun schoenen sta.
Dit is geen ad-hoc actie, die hackers zijn al weken bezig geweest hiermee. Er zijn gevallen bekend waar men maanden al ook de backups met malware injecteerden, dus hoe bedoel je "Die krijg je nooit te pakken". Dit zijn geen ongeduldige schooljochies maar goed georganiseerde en berekende criminelen. Ze weten dat de business case om hun te betalen naar de knoppen gaat als er werkende backups zijn, dus daar hebben ze gewoon een mannetje voor, en geduld. Je injecteert backups met malware die op een moment X actief wordt, en dan is die backup net zo waardeloos als je productiesystemen.

Dus tenzij je routinematig (zeg eens per maand) een restore doet heb je 0,0 zekerheid. En zelfs dan kan er een timbomb in je backup geinjecteerd zijn.
dus hoe bedoel je "Die krijg je nooit te pakken".
In ieder geval niet om te verwijderen, zoals hier gebeurd is.
Crypto zeker? Want dat is waar alle criminelen zaken mee doen.

Ban erop, probleem grotendeels opgelost.
Crypto bannen of enkel toestaan indien volledig traceerbaar zou een mogelijkheid zijn.
De EU is al bezig met regelgeving voor dat laatste, vziw. In het slechtste geval krijg je daarbij wel te maken met gekaapte of gewerfde wallets die als muilezel ingezet worden, maar dat is niet anders dan nu met bankrekeningen het geval is. Of tenminste: was - totdat criminelen massaal op crypto over schakelden.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Ja een ban op crypto dan is alle criminaliteit grotendeels opgelost. :+ |:(
Dat niet, maar dit soort gein vanuit een halve wereld weg zal toch een stuk minder worden.
Hopelijk. Maar of het echt helpt...? Zou er niet veel direct een alternatief zijn? IBAN van een bank op een of ander vaag eiland?
Té traceerbaar en blokkeerbaar.
Je mist even de huidige internationale samenwerking tegen witwassen? Dat is niet een simpele wet in Nederland, dat is een wereldwijd (tot daar europese/aziatische en amerikaanse wetten gaan) samenwerking.
Dus als criminelen een bankrekening gebruiken moeten we banken sluiten?
En als criminelen cash gebruiken bannen we cash?
En vervolgens gaan de weer met de ruilhandel beginnen en dan bannen we schapen oid?

Criminelen gebruiken tegenwoordig met name het internet, niet crypto. Zullen we dat maar afschaffen?
Volgens mij kan je beter de criminelen bannen... Oh wacht.

Je moet niet aan dit soort ideeën willen beginnen, dan is het einde zoek.
Ik begrijp niet waarom de praktijken geen spoed behandelingen doen en andere praktijken, die geen dossier hebben, dit moeten opvangen. Je kunt toch gewoon de behandeling doen, daar komt geen computer aan te pas. Desnoods schrijf je in een agenda welke patiënt je welke behandeling hebt gegeven en voer je dat later eens in. Lijkt mij veel klantvriendelijker dan duimen te draaien totdat het is opgelost.
Praktisch gezien kan het ook prima, een tandarts of een mondhygieniste heeft bijna standaard behandelingen (schoonmaken etc) wat gewoon allemaal prima door kan gaan, maar het wordt een te grote chaos te bepalen wie wel en wie niet, ze hebben werkelijk niets meer op papier.

Paar maanden geleden was ik er nog, was er netwerkstoring, mag je gewoon nog half uurtje langer in de wachtkamer blijven wachten.
Paar maanden geleden was ik er nog, was er netwerkstoring, mag je gewoon nog half uurtje langer in de wachtkamer blijven wachten.
Collega van mij trof het grote geluk afgelopen donderdag toen de systemen down gingen.
Daar werd alles op papier aangetekend.
Ze hadden dus geen backups.
Dezelfde bron meldde dat back-ups verwijderd werden alvorens systemen versleuteld werden.
Die backups hadden ze dus wel, maar werden verwijderd (door de hackers?) voor de data werden versleuteld.

/edit @hieronder
Het is wel heel makkelijk om die tandartsenclub af te fakkelen zonder dat hier alle informatie bekend is.

[Reactie gewijzigd door bas-r op 22 juli 2024 22:10]

Dat is te makkelijk. Er waren dus geen backups (meer) door een mogelijk gebrekkige backup strategy.
Of doordat men de backups al maanden met malware (timebombs) heeft geinfecteerd. Dit soort zaken zijn vaak voorbereid, en de hackers weten dat er miljoenen kunnen worden verdiend als de backups onbruikbaar zijn, en dat ze een hoop werk voor niets hebben gedaan als ze wel werken. Dus zal men zeer doelbewust juist zorgen dat ook backups onbruikbaar worden. Dit soort partijen hebben geduld, ze wachten totdat ze alles naar hun hand zetten, dan pas slaan ze toe. Ze zijn waarschijnlijk al maanden binnen geweest.
Denk dat je daar een heel valide punt hebt. Jezelf binnenwerken bij een organisatie die op landelijke schaal medische gegevens; verzekeringsgegevens; en; nationale ID nummers verwerkt, dat is een lotje uit de loterij als data-wegslurpende crimineel.
Die data is veel geld waard an sich op de zwarte markt; maar omdat er ook nog eens veel schade mee gedaan kan worden zal de originele dataverwerker bij wie je binnen gedrongen bent, er ook alles aan gelegen zijn om te zorgen dat die data niet uitlekt.
Dus kun je hen relatief makkelijk afpersen: betaal of we lekken het uit.
... En natuurlijk kun je nog steeds gewoon een kopie in de ijskast zetten en een jaar of 5 later alsnog op de zwarte markt aanbieden, wanneer het originele incident al weer lang en breed overgewaaid is. Hatsjee; lekker double-dippen!
Een excuus die al 100x gebruik is. Maar als je alleen bestanden en databases restored gaat je excuus niet meer op.

Ofwel, gewoon goede offline (tape) backups en geen zorgen meer. Kwestie van geld en kunde.
Dat is te makkelijk.

Als er geen fatsoenlijke back-up strategie was; dan was er dus geen fatsoenlijke back-up.
Eens, toegangscontrole was denk ik niet goed ingeregeld. De hackers waren in staat om de backups ook te verwijderen, of er waren inderdaad geen fatsoenlijke backups gemaakt.

Backups moet je volledig scheiden van je productie omgeving, dus volledig andere accounts om de backups te benaderen, geen mogelijkheid om iets te verwijderen of aan te passen ( alleen met speciaal account ) en als er iets wordt aangepast of verwijdert dan had er op zijn minst ergens een alarmbel af moeten gaan.
Eens. Bij deze onderneming ontbreekt waarschijnlijk elke vorm van dergelijke in-depth security boundaries en actieve monitoring. Want anders had dit er gewoon niet doorheen kunnen komen.

Het feit dat er geen alarmbellen afgaan wanneer er data ge-exfiltreerd wordt geeft ook aan dat de serveromgevingen niet goed gefirewalled waren. Er is absoluut 100% geen enkele reden dat zulke servers naar arbitraire IP addressen naar buiten toe zouden moeten kunnen verbinden. Deze zouden enkel naar een strak afgeregelde lijst IP addressen van de aangesloten praktijken mogen verbinden.

En daarnaast zouden er heel veel alarmbellen af moeten gaan als er bijv. ineens een grote bulk dataverkeer ontstaat die de normale lijn aan verkeer tussen server en praktijksystemen ver overstijgt. (Wat aangeeft dat er iemand heel veel data aan het slurpen is.)


Bij Samenwerkende Tandartsen, wat een flink aandeel van de praktijken zijn die onder Colloseum vallen, was het al eerder in Nijmegen raak, in 2017. Toen hebben ze het voorval 2 maanden lang in een doofpot weten te houden, onder het mom eerst te willen achterhalen wie er precies getroffen was en niet iedereen op de kast te jagen. Totdat het er toch uit moest komen. Te weten: via de media. Want mensen persoonlijk inlichten was er gezien de vele reacties destijds van getroffenen die verbolgen waren op zulke wijze van e.e.a. kennis te moeten nemen, kennelijk niet bij.

Het zou me, gezien die negatieve reputatie van het onder-de-pet-houden, he-le-maal niet verbazen als blijkt dat men sinds die tijd eigenlijk niets structureel verbeterd heeft. Dus het spreekwoordelijke glas; plas; en alles bleef zoals het was. En dat men hier op min of meer dezelfde manier opnieuw binnen gekomen is, maar nu met reeds vernomen kennis over de infrastructuur makkelijk tot in het centrale systeem kon doorstoten en toen vrijspel had.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

@bas-r
die tandartsenclub af te fakkelen
Nou ja, er gaat iets fout in de back-up procedure. Je weet toch ook niet hoeveel ze betaald hebben?
@Aalard99
Eens, toegangscontrole was denk ik niet goed ingeregeld. De hackers waren in staat om de backups ook te verwijderen, of er waren inderdaad geen fatsoenlijke backups gemaakt.

Backups moet je volledig scheiden van je productie omgeving, dus volledig andere accounts om de backups te benaderen, geen mogelijkheid om iets te verwijderen of aan te passen ( alleen met speciaal account ) en als er iets wordt aangepast of verwijdert dan had er op zijn minst ergens een alarmbel af moeten gaan.
@R4gnax
Eens. Bij deze onderneming ontbreekt waarschijnlijk elke vorm van dergelijke in-depth security boundaries en actieve monitoring. Want anders had dit er gewoon niet doorheen kunnen komen.

Het feit dat er geen alarmbellen afgaan wanneer er data ge-exfiltreerd wordt geeft ook aan dat de serveromgevingen niet goed gefirewalled waren. Er is absoluut 100% geen enkele reden dat zulke servers naar arbitraire IP addressen naar buiten toe zouden moeten kunnen verbinden. Deze zouden enkel naar een strak afgeregelde lijst IP addressen van de aangesloten praktijken mogen verbinden.

En daarnaast zouden er heel veel alarmbellen af moeten gaan als er bijv. ineens een grote bulk dataverkeer ontstaat die de normale lijn aan verkeer tussen server en praktijksystemen ver overstijgt. (Wat aangeeft dat er iemand heel veel data aan het slurpen is.)
Dit is toch ondertussen al bejaarde technology? Zoals ITIL en alles wat bijvoorbeeld onder MCSE valt? Dat het voor de tweede keer gebeurd, dat lijkt me wel opvallend.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 22:10]

Tja; we weten niet zeker of het via dezelfde weg opnieuw gebeurd is.
Maar... lightning never strikes twice, zeggen ze.
Dus dit is op z'n minst opmerkelijk. Iets is er op organisatie-niveau toch procedureel niet op orde, zou je denken.
Die was er dus niet blijkbaar niet…
"Backups that don't exist in at least two physical locations are not backups"
Op twee fysieke locaties, maar in hetzelfde netwerk is voor dit soort aanvallen geen oplossing. Dan wordt de andere locatie ook gewoon gewist. Te vaak gezien dat bedrijven een off-site backup hadden en dachten dat ze daarmee beschermd waren.

In dit soort gevallen gaat het niet om off-site, maar off-line.
Dat haalt nog vaak weinig uit. Je data kan al maanden lang versleuteld zijn en live decrypt, of de ransomware gaat gelijk aan de gang na een restore. Je kunt terug grijpen naar een back-up van voor de besmetting, maar als die een half jaar oud is... Nouja beter dan niks.
Software op welke machine doet die live decryptie dan? Als er een aparte backupserver is die via het netwerk bestanden uitleest en opslaat op tape, hoe zou dit dan moeten werken? Als de server met bestanden live decrypt dan ontvangt de backupserver dus de echte data.
Software op welke machine doet die live decryptie dan?
De geinfecteerde machine zelf.

Windows bevat een kernel driver API om filesystem mini filter drivers te schrijven. Een soort van 'plugins' die inprikken op het filesystem en die je dingen kunt laten doen als onderdeel van alle lees/schrijf operaties voor/na dat de daarom vragende programma's er vat op krijgen.

Als je systeem door ransomware gekaapt wordt kan er met wat privilege escalation zo'n kernel driver geinstalleerd worden. Deze kan op de achtergrond vrolijk je hele file system staan te encrypten en kan daarover liegen tegen elk ander aspect van je OS incl. andere kernel modules die via de kernel file system APIs bij het file system komen. Bijv. over of er handles naar bepaalde files nog open staan; over de wijzigingsdatum van files. Over de grootte van files. Het verborgen houden van sommige additionele metadata streams, zoals markeringen die aangeven of een file al door de ransomware versleuteld is of niet. Etc.

En deze driver kan tegelijkertijd ingrijpen op alle lees- of schrijf operaties om een bestand wat geschreven wordt meteen actief versleuteld weg te schrijven; en een bestand wat gelezen wordt even snel langs de (op dat moment nog lokaal aanwezige) decryptiesleutel te halen.

Je kunt uit deze filesystem operaties een boel informatie halen en als je dat een beetje bij elkaar puzzelt kun je ook achterhalen of een read operatie bijv. afkomstig is van proces IDs die gelieerd zijn aan bekende tools die voor backups gebruikt worden. En in zo'n geval slaat zo'n stuk malware de on-the-fly decryptie stap over, zodat backups wel de versleutelde en waardeloos gemaakte data bevatten.

Vervolgens is op een goed moment de ransomware klaar met encrypten; wordt de lokale kopie van de decryptiesleutel gewist en voor de zekerheid wordt er een paar keer een random byte reeks overheen geschreven zodat deze ook niet meer forensisch terug te halen is.

En dan krijg je bij de volgende reboot een mooi nieuw splash screen om even af te tikken.
En als je betaalt voor de teller op nul staat, krijg je 20% korting.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Maar als dat op je fileserver dus het geval is (zo'n driver geïnstalleerd) maar niet op je backupsysteem, dan krijgt het backupsysteem toch de gedecrypte bestanden terug van de fileserver? Op de fileserver worden de bestanden immers on the fly gedecrypt.
Nee. Want die filter driver kan zo in elkaar steken dat deze de copy-operatie naar een remote systeem of de aanvraag van een read operatie door een proces ID dat de naam of checksum van een bekend zijnde backup tool draagt, als dusdanig herkent - en voor die operaties de on-the-fly decryptie over slaat.
Voor een database Read gaat dat niet op, die moet data teruggeven.

Daarom is opslag in een en DB veiliger dan losse files
Voor een database Read gaat dat niet op, die moet data teruggeven.
En wat denk je dat het database proces uiteindelijk gebruikt om die data op disk te persisten?
...
Juist ja...
Ging om de backup
Nee, maar daarvoor moet je de reactie van @R4gnax denk ik even opnieuw lezen want ik kan het niet beter uitleggen (en ik had ook 2x nodig).

Overigens is met de uitgelegde techniek nog steeds te controleren hoe groot de delta is, en kan je daarnaast eventueel met wat simpele scripting valideren of bijgewerkte bestanden met bekende bestandsformaten nog okee zijn. Dit door ze naar een test-VM door te sturen en deze de documenten te laten openen, met eventueel een check op bepaalde markers.
Yup. Dat kan. En moet je ook doen.

Randomized honey pot files is ook een goede:
Collectie onschuldig uitziende files vanuit de backup server naar de target machine schrijven.
Bij een volgende backup controleren dat deze niet aangepast zijn.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Nee. Als je in NTFS compression of encryption aanzet, en je shared zo'n bestand of map, hoeft de andere kant daar toch ook niks aparts voor te hebben?

Maar buiten dat... Wie backupped er nog vanuit de machine / VM zelf? Ik denk dat de meesten toch wel agentless zijn inmiddels en je VM's op VM niveau backupped, of (disctuabel) beter nog op storageniveau. En dan zit het dus gewoon in je backups. Je zou dan wel zoals hierboven gezegd is een trend moeten kunnen zien in de grootte van je incrementals, maar ook dat is weer afhankelijk van je backup schema.
Als je via een agent file voor file uit je systeem trekt naar je backup, ja dan kan je bij sommige ransonware wel het geluk hebben dat je data 'live' gedecrypt is tijdens het backuppen. Maar ik heb al jaren geen bedrijven meer gezien die op die manier nog backuppen. Maar ze zullen er absoluut nog zijn.

Hoe dan ook, ik ben er van overtuigd dat ALS je de 'juiste' ransomware hebt, het echt geen drol uitmaakt HOE je backupped (offline, tape, paper-tape, floppies, uitprinten), in de zin dat wanneer je machines al geinfecteerd zijn, zijn je backups dat ook. En die triggeren vanaf een bepaalde datum, en geen connectie naar een time-server is ook meteen het haasje. Ik denk dat je dan per definitie hele slechte kaarten hebt..
Daarom moet je een backup maken vanaf de backup locatie en niet naar de backup locatie.
Ook dit is onzin.

Je moet zorgen dat je back-up systemen beveiligd zijn. Dus dat je systemen die je back-upped niet standaard bij de back-up systemen kunnen. Dat is 9/10 keer het probleem. De attack hoeft enkel het netwerk te scannen waar het over poort 445 toegang tot heeft en dat allemaal proberen te encrypten.

Als je het goed beveiligd zit je backup locatie dicht en kan de encryptie software er niet bij.
Of nog beter, write once
Haalt allemaal niks uit als de ransomware al maanden in je systemen zit. Je kunt teruggrijpen naar een backup die nog niet geinfecteerd is, maar dan ben je vaak maanden terug. Dat is zoals gezegd beter dan niks, maar verre van ideaal. Met write once of Immutable backup storage voorkom je enkel dat backups gewist kunnen worden, niet dat de systemen en dus de data die je backupped al geinfecteerd in die backups zit.
Zie mijn reactie hierboven.

Als de encryptie plaatsvind merk je dat gelijk. Dan is de backup van gister nog dus nog niet encrypt. Dan kun je nog prima restoren van die backup op file level.
Tenzij je net een full hebt op die dag. Wijzelf doen nog steeds wekelijks fulls tov forever incremental, omdat anders met één enkele omgeklapte bit potentieel je hele chain aan gort is. Mocht dan net de slag geslagen zijn voor die full zie ik het niet omdat die altijd even groot zijn. Er zit wel wat compressie in die backup files die wellicht een stuk minder zou zijn. Hoe dan ook dat hebben we in Zabbix staan. Deltra groter dan x procent tov gisteren, dan alarm.
Met die methode zorg je altijd dat je meerdere chains hebt. Dus maak je wekelijks een full + dagelijks incre. dan bewaar je minimaal 2 weken.

Met Forever incremental gaat niet je hele chain kapot bij 1 omgevallen bit. Dit hebben goede backup leveranciers goed voor elkaar. Mocht je een backup uit de chain niet kunnen aanspreken kan 9 van 10 de leverancier van je backup dat nog wel.

Als de slag geslagen is zie je het sws wel omdat er dan niks meer te openen is. Dus je hebt het binnen een minuut in de gaten.

Daarnaast wordt incremental wel ineens veel groter omdat alle bestanden opnieuw zijn weggeschreven door de encryptie. Dus deze gaat de backup software ook allemaal opnieuw wegschrijven. Dus jou incremental zal ineens veel groter zijn.

Ook kun je gewoon een incremental van een dag daarvoor nog gewoon openen. Dus je chain gaat niet stuk als deze ineens encrypte files moet backuppen.
Dat is meer de 'hoe' en ik had het over de 'wat'.

De 'wat' in dit geval is: zorg dat je backups beveiligd zijn.
De 'hoe' in jou geval is: write once

Overigens zou ik zelf daar niet aan beginnen. Is stuk lastiger te managen. backup tijden en de controles daarvan worden veel langer.

Je kunt het ook gewoon dichttimmeren met firewall en login's e.d.
Azure cold storage
Ja prima, als dat voor jou/jullie omgeving goed werkt is dat top.

Hoe je het doet maakt niet zoveel uit. Als ze maar beveiligd zijn.
Maarja, je backup maakt backup van de liveomgeving, welke mogelijk dus al langer besmet is. Leuk dat je backup veilig is, maar de data is niet terug te halen omdat die al encrypted is.
Dat maakt an sich niet uit veel uit om de ransomware uit de backup te halen en/of bepaalde bestanden er uit te halen.


Een ransomware wordt geactiveerd in principe geactiveerd door tijd of door een externe factor.
Een externe factor kun je uitsluiten en als het door tijd wordt geactiveerd dan kun je dat nog in een bepaalde omgeving weer terugzetten.


Bij beide geld dat periodiek complete back-ups moeten worden gemaakt en niet bepaalde bestanden worden ge-update.
Voor dat laatste wordt vrij snel gekozen omdat het een stuk sneller gaat maar het is ook een groter risico.
Maar je data die gebackupped is, is dus al lang encrypted door de ransomware lang voirdat ze een melding/blokkade tonebln, dat kan soms zelfs dus al weken of maanden zijn. En genoeg van die software is intelligent genoeg om 'datum aanpassing' te detecteren, al dan niet omdat ze bv standaard websites gebruiken om datums te controleren, is het compleet afgesloten voor X aantal tijd dan activeert die zichzelf alsnog.
Ook onjuist.

Je hebt namelijk het besmettingsmoment en het encryptie moment (9 van de 10x is dit gewoon tegelijk). Dus mogelijk bevat je backup inderdaad al de besmetting. Maar als de encryptie nog niet heeft plaatsgevonden kan je gewoon je data nog restoren.

Het enige wat je dan moet doen is een nieuw systeem bouwen en daarop op file level de data herstellen.

Is niet ideaal. Maar je kunt altijd je data gewoon restoren.
Dat is geen onzin, dat is hoe het werkt.

Die crypto ellende draait meestal al een hele tijd voordat deze geactiveerd wordt. Je data wordt dus, zolang het nog niet geactiveerd is ontsleuteld. Backups moet je dus vanaf een remote locatie maken en je moet de data uitlezen, dan zul je de ontsleutelde data ontvangen. Als je de data vanaf locatie naar je backup wegschrijft dan schrijf je versleutelde data weg.
Die crypto ellende draait meestal al een hele tijd voordat deze geactiveerd wordt.
Onjuist, meestal juist niet. Het gebeurd zelden dat de encryptie pas maanden na besmetting start.
Je data wordt dus, zolang het nog niet geactiveerd is ontsleuteld.
Nee, zolang het nog niet geactiveerd is wordt de data ook niet encrypted. Dus er hoeft niks ontsleuteld te worden. Zodra de encryptie start is een bestand onbruikbaar en zul je dus gelijk merken dat er iets niet goed is.
Backups moet je dus vanaf een remote locatie maken en je moet de data uitlezen, dan zul je de ontsleutelde data ontvangen. Als je de data vanaf locatie naar je backup wegschrijft dan schrijf je versleutelde data weg.
Zie ook hierboven. Waarvandaan je wat wegschrijft maakt maakt niks uit. Enige wat anders is zijn de source en destination paden. Goede backup software maakt altijd een snapshot welke vervolgens wordt weggeschreven in de backup. Of dat nu remote of lokaal wordt getriggerd maakt niks uit.
Op het moment dat een systeem geinfecteerd wordt, wordt er een kernel mini-filter driver bovenop je filesystem geinstalleerd die zoetjes aan op een druppellading alles begint te encrypten. Dit type driver kan alle I/O requests en responses van het filesystem onderscheppen en aanpassen. Hierdoor kan het een file wat door de malware reeds encrypted weggezet is, on-the-fly decrypten. Zolang de sleutel hiervoor nog lokaal ter beschikking is.

Zodra de malware 'activeert' wordt die sleutel gewist en kan er met het filesystem (wat wellicht al weken lang encrypted is geweest zonder dat je iets doorhad) niets meer gedaan worden.

Zie ook:
R4gnax in 'Nederlandse Colosseum Dental betaalt losgeld aan criminelen na ransomwareaanval'

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Ja het werkt dan hetzelfde als bitlocker. Dit is inderdaad een hele vervelende, die gelukkig niet vaak voorkomt.

Maar hier doet het remote initiëren van de backup ook niks aan.

Het komt eigenlijk gewoon op hetzelfde neer en dat is je backup goed beveiligen. Zodra de malware wordt geactiveerd en de sleutel dus gewist wordt kan je niet meer bij je files. De werkwijze is: nieuwe systemen bouwen / installeren, system backups van de dag voor de malware activatie in geïsoleerde omgeving terugzetten restoren, vervolgens de data op file level uit de geïsoleerde omgeving halen en terugzetten op de nieuwe omgeving.

Punt is vaak ook dat IT-ers vanuit directie geen of te weinig tijd krijgen om dit goed uit te zoeken op het moment dat een bedrijf encrypt wordt. De directie heeft dan al de keuze gemaakt om te dokken.
Maar hier doet het remote initiëren van de backup ook niks aan.
Nou, dat is niet helemaal waar.
Dat hangt er vanaf.

Ransomware die van deze opzet gebruik maakt zal uitgaand SMB verkeer waarschijnlijk nog steeds on-the-fly decrypten, want anders valt de aanwezigheid op omdat op de doelmachine de files bij ontvangst meteen stuk zijn. Sysadmins zouden dan vrij triviaal network-based integrity checks kunnen gaan uitvoeren.

Betreft het een lokaal draaiend backup proces, dan kan de driver a/h proces ID aan wat bij de file handle hoort en via andere APIs kijken welke procesnaam hier bij hoort; kijken wat de plek is van waaraf dat proces gestart is, cq waar de executable staat geparkeerd en zo achterhalen of het een bekende backup tool betreft - en in dat geval de on-the-fly decryptie overslaan en zo de files encrypted de backup in sturen.

Die mogelijkheid is er bij een backup proces op basis van pull-semantics in elk geval niet omdat het backup process op een andere machine draait en de malware enkel het SMB verkeer ziet.
Ja maar dit geldt enkel als je op file level backups maakt...

Bij een system of volume image backup werkt dat niet zo omdat er dan een snapshot wordt gemaakt, als je fatsoenlijke backup software gebruikt.

Daarnaast vermoed ik (weet ik niet zeker) dat een automatische backup validatie bij het valideren erachter komt dat files niet te openen zijn waardoor de validatie faalt wat weer een trigger geeft in de monitoring.
Dat is dan ook de reden dat je periodiek complete images moet wegzetten en niet alleen bepaalde bestanden updaten.

Best-case scenario zijn de versleutelde bestanden nog niet gebackup,
worst-case scenario heb je een image van een week of een maand geleden waar dus wel ergens de ransonware in zit maar de bestanden die “belangrijk” zijn niet versleuteld.


Wordt wel een k.u.t werk.
En backup software gebruiken die een seintje geeft als een incremental opeens veel groter is dan verwacht bijv. Verder een fatsoenlijke SIEM inrichten en je backup logs goed laten analyseren.

Je zult nooit 100% beschermd zijn maar er zijn genoeg zaken die je in kunt regelen.
Mis nog wat...

Periodiek controleren of je backups nog leesbaar zijn, dus restore uitvoeren in aparte omgeving.

Doe ik zelf in prive situatie, 1 keer per week van enkele zeer belangrijke bestanden.
Zeker, een backup is geen backup als een restore niet werkt inderdaad :)

Je ziet dit vaan mis gaan dat men denkt dat een Windows system image van een systeem ook een backup is… als de hardware kapot gaat dan heb je een redelijke kans dat de vervangende hardware (indien niet exact hetzelfde) niet compatible is met de reeds geïnstalleerde drivers bijv.
Daarom moet je een backup maken vanaf de backup locatie en niet naar de backup locatie.
Yup. Backups op basis van read-only pull-semantics. En de backup uitvoeren vanuit een speciale stripped down virtual machine zonder grafische shell en toevoegingen, zodat het risico geminimaliseerd wordt dat er via een side channel alsnog een executable payload mee kan komen om de VM te infecteren.
Alles kan gehacked worden naar mijn mening. Alleen offline backup tapes niet.
Alles kan gehacked worden naar mijn mening. Alleen offline backup tapes niet.
Als je echt wilt kunnen ook die wel om zeep geholpen worden.
Waar een wil is, is een weg - zeggen ze wel eens.

Het is alleen een kwestie van: hoe moeilijk wil je het ze maken?
En het enige acceptabele antwoord daarop is: zo moeilijk mogelijk.
Zodra het meer moeite kost dan bij de buren; of zodra het duurder wordt dan wat het op kan leveren, ben je met vrij grote zekerheid gevrijwaard.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Hmmmm, ja en nee. Ja als je genoeg moeite doet kan je fysiek uit Noord-Korea (voorbeeld land) naar mijn kantoor fietsen om daar de persoonlijk de tapes te slopen.

Maar ik denk dat dit wel meevalt in 99,99999% van de ransomware gevallen.
Ook de data op die tapes kan corrupt zijn. Als je tape drive gehackt wordt zijn die ook nutteloos.

Uiteindelijk is het een wapen strijd tussen backup technologie en malicious actors. De hackers worden ook steeds slimmer en hebben steeds meer geavanceerde technieken en methodes. De backup technologie blijft daar natuurlijk op inspelen, het is dus maar net of de een of de ander net een stapje voor is, en voor hoe lang.

Uiteraard aan de eigenaar van een systeem om te zorgen up to date te blijven en niet denken dat een eenmalige aanschaf van een backup technologie het enige is wat je moet doen.
Een excuus die al 100x gebruik is. Maar als je alleen bestanden en databases restored gaat dat excuus niet meer op.
[...]
Het is wel heel makkelijk om die tandartsenclub af te fakkelen zonder dat hier alle informatie bekend is.
Ik ben benieuwd wie de IT voor ze doet? Kan me niet voorstellen dat de tandartsen zelf de IT deden en dat dit iets is wat uitbesteed is.
Dit is een hele grote club die juist tandartsen in loondienst heeft die niks anders doen dan tandartsen. Geen financiën niks. Dus er zit gewoon een it leverancier achter.

Ik schat ook zomaar dat het dus niet dit bedrijf is wat deze beslissing neemt maar de IT er. Die zullen de schade ook wel dragen, hetzij door aansprakelijkheid hetzij door de verzekering.
Nou, het maakt voor de AVG niet uit WIE het werk doet, uiteindelijk is er iemand verantwoordelijk voor de goede beveiliging van de biometrische gegevens. Een verzekering is leuk, maar ik mag toch aannemen dat de autoriteit persoonsgegevens dit zeer zwaar opneemt (controle verlies over medische/biometrische gegevens). Als jein Portugal al een boete krijgt van de toezichthouder als je een camera op weg richt, en in NL een 750K boete als je vingerafdrukken gebruikt voor tijdregistratie, mag ik toch hopen dat dit bedrijf de grond in geprocedeerd word door de NL staat.
Bor Coördinator Frontpage Admins / FP Powermod @mfkne8 augustus 2022 22:00
Heb je niet gelezen?
Dezelfde bron meldde dat back-ups verwijderd werden alvorens systemen versleuteld werden
De back up was vast een file op andere partitie hahahaha...tja
Maar we kennen de feiten niet alleen dat er betaald is.
Ben ik nou de enige die vindt dat die informatie-pagina van Colloseum meer leest als een marketing praatje dan daadwerkelijk verslag van de situatie en excuses?

Waar is de berichtgeving over wat voor soort gegevens criminelen de hand op hebben kunnen leggen?
NAW? Email & Telefoon? BSN? Medische gegevens?
Welke gegevens stonden er centraal; en wat stond er bij de praktijken zelf en is buiten schot gebleven?
Waren de centraal bewaarde gegevens nog additioneel beschermd, bijv. door de databases zelf te versleutelen? (Zal alleen niet veel helpen; wordt uiteindelijk toch wel gekraakt. Of de sleutel hebben ze al mee geexfiltreerd, natuurlijk.)
Etc. etc. etc.

Ik lees hier niets substantieels in, anders dan: "Oopsie woopsie! Foutje, bedankt! Maar we gaan ons stinkende best doen om te zorgen dat we zo snel mogelijk alles weer op orde hebben om dit nog eens te laten gebeuren!"


Die "persoonlijke excuses" mogen ze van mij persoonlijk in hun achterste hol steken.
Dat er losgeld betaald is wil niets zeggen over hoe "veilig" die data nu is. Die kan gerust eventjes 5 jaar de vriezer in gaan om later alsnog doorverhandeld te worden.

Dat ze eerst maar eens mooi zwart op wit en ondertekend neerzetten dat Colloseum voor alle mogelijke gevolgschade, direct en indirect, op gaat draaien mochten klanten in de problemen komen door identiteitsdiefstal en bijv. het afsluiten van valse contracten; of problemen met overnames van accounts dmv social engineering, omdat van iedereen NAW gegevens; leeftijd; etc. uitgelekt zijn.

Daarna kan er eens gepraat worden over excuses; dwz geexcuseerd worden. Excuses is nl. niet iets wat jij geeft. Het is iets wat de partij die onrecht aangedaan is, jou moet verlenen. En tot dusver heeft Colloseum bijster weinig gedaan om geexcuseerd te worden.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

ben benieuwd of de ict daar intern was of een extrene partij, maar dat ze ook backups hebben verwijderd is wel heel slecht.

verder natuurlijk de standaard zaken hoe ze daar mee omgingen.

update beleid, end point security, nooit als admin werken op een werkplek, 3 party patching.
eind gebruiker opvoeden, externe emails taggen dat de afzender van buiten zijn. etc.. etc...

[Reactie gewijzigd door sourcecode op 22 juli 2024 22:10]

ben benieuwd of de ict daar intern was of een extrene partij
Familie van mij had vandaag een afspraak die gewoon is doorgegaan en heeft e.e.a. uitgevraagd.
De relevante bottomline kan ik er uit destilleren voor je, in een paar punten:
  • Ja, alles staat centraal - de praktijken bewaren zelf helemaal niets. Alles wordt meteen geupload en wordt on-demand opnieuw gedownload voor weergave.
    (Het is dus schijnbaar ook geen Citrix thin client systeem of zo; het is een fat client die werkt als een gammele not-the-web browser.)
  • Ja, echt alles was weg.
    (Dus criminelen hadden ook overal toegang toe.)
  • Ja; BSN werd ook opgeslagen.
    (Dus is ook gestolen, neem ik dan aan. Hoewel er geen concrete uitlatingen over gedaan werden wat er precies allemaal ontvreemd zou zijn.)
  • Nee; IT is niet onder eigen beheer. Dat is allemaal uitbesteedt aan een niet nader genoemde beheerderspartij gezeteld in Rotterdam.
  • In het midden gelaten is of deze partij een centrale on-premise omgeving aanhield bij Colloseum zelf; een on-premise omgeving bij zichzelf in-house had staan; of alles in een cloudomgeving weggefrot had staan.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:10]

Op dit item kan niet meer gereageerd worden.