Winkelketen CASA getroffen door ransomwareaanval

Winkelketen CASA is getroffen door een ransomwareaanval. Volgens het bedrijf zijn er hierbij persoonsgegevens van klanten en personeelsleden uitgelekt. CASA stelt dat de cyberaanval snel gedetecteerd werd, maar dat de computersystemen toch versleuteld werden.

CASA maakt bekend dat het op 1 augustus slachtoffer werd van de cyberaanval. Klanten zijn hiervan per e-mail op de hoogte gebracht. Het is niet duidelijk van hoeveel klanten persoonlijke gegevens zijn uitgelekt. Volgens de winkelketen gaat het mogelijk om namen, e-mailadressen, telefoonnummers en klantnummers. Omdat CASA zelf geen bank- en betaalgegevens van klanten verwerkt, is deze data niet uitgelekt.

De winkelketen, met filialen in onder meer Nederland en België, geeft aan dat het na de vaststelling van de aanval experts heeft ingeschakeld. Het onderzoek naar het voorval loopt nog. Het is niet duidelijk of CASA losgeld heeft betaald om de getroffen computersystemen vrij te geven.

Winkels van CASA zijn momenteel gewoon open en er kan ook nog altijd via de website besteld worden. Volgens de keten kan de bezorging van online bestelde producten wel de nodige vertraging oplopen. CASA probeert ondertussen de IT-systemen op het hoofdkantoor te herstellen.

CASA

Reacties (109)

sus 9 augustus 2022 19:27

En wat is nou daadwerkelijk de beste (backup)strategie om hier mee om te gaan?

Hoe kan ik - kleine mkb’er - me hier tegen beschermen. Ik draai Windows Updates, heb Eset, draai backups die ik eens per zoveel tijd restore naar een andere machine. Klik geen vreemde linkjes aan, bijlages worden op de mailserver gecontroleerd.

Zijn er nog andere tips, trucs, opties?

Scriptkid @sus • 9 augustus 2022 20:09

backup zijn maar lap middelen, vaak is gebleken dat de backups ook al maanden terug infected zijn en zo ver terug restoren heeft meestal net zoveel impact als opnieuwed beginnen,

Beste is zorg dat je O day alles afgevangen heb, dus niet bijlages worden gecontroleerd op de mailserver, maar ze worden doorgestuurd naar een cloud vendor voor sandboxing zoals bijvoorbeeldt ATP van Microsoft.

Daarnaast op je servers NOOIT met admins inloggen op terminals waar clients ook komen , tenzijn het een speciaal account is dat alleen local admin op dat station is. (anders kan men makkelijk credentials achterhalen),

Verder mag er nergens ook maar een enkele manier zijn om je zelf te elevaten (Denk aan bijvoorbeeld scheduled scripts die draaien met meer rechten).

Maar vraagje , MKB en nogsteeds eigen servers draaien ? is dat niet een duur groot risico ?

R3m3d7 @Scriptkid • 9 augustus 2022 20:27

Dit klopt gewoonweg niet, ik weet niet wie je dit heeft verteld vwb de backup maar dit klopt niet. Het is een denkfout die ik vaak tegen kom helaas. Het is niet erg dat de ransomware in de backup zit zolang je maar kan herstellen naar een punt in de tijd van voor de ransomware activatie. Daarna kan je dan (al dan niet met hulp) de ransomware software uit je omgeving kan halen. Daar ga je flink voor betalen maar het gaat vaak vrij snel.

[Reactie gewijzigd door R3m3d7 op 23 juli 2024 14:16]

kw_nl

@R3m3d7 • 10 augustus 2022 14:20

Amen, overigens is echt heel zelden de back-up besmet. Ben het in de praktijk nog niet tegengekomen. Wel dat ze de NAS waar naar toe werd gebackuped gewiped. Maar in dit geval was de NAS slechts een tussenstation voor de back-up, hij syncte ook nog naar een cloud back-up dienst.

Mijn ervaring is juist dat je het amper kan voorkomen, alleen moeilijker maken. We hebben echt klanten gehad met een uitstekende anti-spam en antivirus, alles up-to-date, maar toch gepakt worden.

Uiteindelijk is je back-up je beste redding.

Maar vooral, zorg dat die back-up BUITEN het netwerk wordt opgeslagen, dus onbereikbaar voor het netwerk (denk aan tape of online back-up diensten).

Scriptkid @kw_nl • 14 augustus 2022 10:14

Ben diverse keren betrokken geweest bij een remediatie van een crypto en telkens zat het ook in de backup,

keuze is dan hoever terug wil je gaan , een backup terug zetten van 6 maanden geleden is bijna kosten technische net zo duur als opnieuw beginnnen zonder restore, de belangrijkste data is die van de afgelopen 2-6 weken.

Bij een domain compromise kun je ook AD wel restoren maar wat heb je daar aan, ze hebben de SID`s en de passwords van alle accounts inc pc accounts dus je moet alles opnieuwed lid maken van het domein inc je DC`s dat met risk dat je iets mist dan is opnieuwd beginnen een kleiner risico en vaak goedkoper.

Backup is alleen maar een lap middel om zo veel mogelijk data van belangrijke applicatie proberen veilig te stellen dus met goede offline backup zul je vaak toch nog dermate ver terug moeten dat je nogsteeds een flinke klap incaseerd zonder te weten of je de attacker buiten hebt gehouden en niet volgende week weer aan de beurt bent.

Grootste probleem is dat je niet weet hoegroot de foothold is. We praten hier niet over een paar clients of servers die crypto locked zijn.

HollowGamer @Scriptkid • 9 augustus 2022 20:24

Maar vraagje , MKB en nogsteeds eigen servers draaien ? is dat niet een duur groot risico ?

Genoeg met een eigen Exchange server.. die ook nog draait op iets van 10/15 jaar geleden (als het al niet langer is). Dan heb je nog NAS'en en gewoon notebooks/PC's/etc.

MKB kan niet alles vanuit de cloud doen. Veel te duur en veel zijn blijven hangen/willen niet (her)inversteren. Soms is support al ended of hun IT-partner/beheer is failliet.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 14:16]

david-v

@HollowGamer • 9 augustus 2022 22:01

Is dat voor het mkb echt zo duur? Voor iets van 50 man heb je al office 365 voor €5400 per jaar denk ik, dan heb je ook al 1 TB aan cloud opslag voor per persoon, kan je de nas ook weg doen. Ik weet niet of je veel goedkoper bent om het allemaal zelf te hosten, backup, afschrijving, beheer enz. Om maar niet te spreken over ransomware aanvallen en de daarbij horende financiële schade.

JvZ @david-v • 10 augustus 2022 12:54

Vergeet niet dat je met O365 (standaard in ieder geval) geen backup hebt van die data. Je zal dan ook moeten investeren in een backup van die data. Microsoft legt het risico dat bij hun iets mis gaat met die data namelijk gewoon bij de klant. Het liefste spreid je dan ook het risico door een backup van die data bij een concurrent bijv. AWS of op een lokale storage te zetten (kom je weer uit bij een NAS o.i.d. ernaast

).

Daarnaast wanneer een medewerker dan uit dienst gaat en het account wordt verwijderd, daarmee wordt ook de bijbehorende 1TB OneDrive opslag van die medewerker direct verwijderd. Die is alleen voor een korte periode uit de prullenbak te halen dacht ik. Maar sowieso wordt dat gezien als persoonlijke data en is mij verteld dat je als bedrijf niet zomaar in die data mag gaan neuzen vanwege GDPR.

Nu moet belangrijke bedrijfsdata natuurlijk nooit in de persoonlijke OneDrives staan maar in Teams of Sharepoint o.i.d. verwerkt worden. Zodat het gedeelde opslag is en bij een uitdiensttreding belangrijke data niet verloren gaat.

Concluderend, met alleen een 'O365 abonnement' ben je er dus nog niet.

Ik ben het met je eens dat voor een klein MKB een O365 een prima omgeving is om mee te beginnen en veel voordelen met zich mee kan brengen. Maar ze moeten zich wel bewust zijn van de risico's als ze niks anders regelen.

R3m3d7 @JvZ • 10 augustus 2022 18:29

Helemaal waar, Microsoft stelt zelf dat je de backup bij M365 zelf moet regelen. En M365 data word steeds vaker aangevallen, denk maar niet dat M365 het einde van aanvallen gaat betekenen.

Scriptkid @HollowGamer • 12 augustus 2022 22:37

dus jij vind 10-15 jaar oude exchange server met heel berg aan priv escalations die aan het internet hangt een goed idee en dan kom je hier vragen wat er beter kan aan je security??

Juist bij die cloud abbos is all included, en dat is met appels en appels vergelijken zeker voor MKB goedkoper dan zelf hosten of je moet een unsupported omgeving draaien , maar dat is een enorm risk en een grote kosten post als er issues zijn want niemand kan helpen.

Met je applicaties op compute stack kan je ten alle tijden overal draaien, MS, azmazone, google, alibaba, maakt niet uit waar kunnen zelfs op alle tegelijk draaien met micro services.

HollowGamer @Scriptkid • 13 augustus 2022 11:21

Waar precies zeg ik dat het een goed idee is? Sterker nog, alles dat >3 maanden geen updates heeft ontvangen, zou ik persoonlijk nooit (direct) aan het internet hangen, zeker geen Exchange-server/NAS.

Ik zou als MKB ook kiezen voor de cloud, alleen gaf ik aan dat sommige dat niet kunnen (bijvoorbeeld bij veel opslag of bij privacy issues).

dieAndereGozer @Scriptkid • 10 augustus 2022 13:50

Toch gek dat je door zoveel hoepels moet springen om een OS waarvoor je betaald een beetje normaal te kunnen gebruiken.

Maar vraagje , MKB en nogsteeds eigen servers draaien ? is dat niet een duur groot risico ?

Alles bij amazon is beter?
Hebben we nou echt niets geleerd van de China en Rusland perikelen rond afhankelijkheid dus gaan we afhankelijk worden van een Amerikaanse hostingssite(om nog maar te zwijgen van de patriot en cloud act).

Aalard99

@sus • 9 augustus 2022 19:54

In ieder geval zorgen dat je backups niet zomaar te benaderen zijn van je productie systemen. Gebruik volledig andere accounts op je backup systemen. Voor de rest doe je al de goede dingen, de basis op orde. Dus altijd patchen, MFA aanzetten, geen admin accounts gebruiken voor dagelijks werk, ect.

R3m3d7 @sus • 9 augustus 2022 20:04

Ik zou als kleine mkb’er backups maken en deze offline bewaren. Op een serie usb disken die je wisselt bv. Zorg ervoor dat wanneer ze op je netwerk komen gewoon nooitbij die disken kunnen.
Zorg voor virtualisatie en backup op die laag, dan heb je de eenvoudig en snelste restore.
Hou op dezelfde usb disken alles qua software, licenties en documentatie van je omgeving.
Ik heb geen idee hoe klein je bent maar het is al snel handig om vooraf na te denken over wie je gaat helpen met herstel en die gegevens ook goed te bewaren zoals op je telefoon en die usb disken.
Denk aan een ransomware herstelpartij en aan verhuur van compute en storage je internet providers, etc.
Maak een runbook waar je stappen in staan en test deze minimaal 1x per jaar en na veranderingen aan je backup software.
Zet mfa aan op je backup server en als het kan de software. Zet rdp of ssh uit op dit systeem. Hang het systeem niet in het domein en geef het externe ntp servers als je backup software oo basis van ntp gaat expireren.

[Reactie gewijzigd door R3m3d7 op 23 juli 2024 14:16]

kimborntobewild @sus • 9 augustus 2022 20:08

Een kleine MKB'er is nog niet interessant voor gerichte ransome-ware aanvallen. Dat kan echter veranderen, naarmate steeds meer bedrijven ingaan op de afpersing (dat moet dan ook z.s.m. bij wet verboden worden).
Je kan wel slachtoffer worden van random aanvallen.
Windows-updates: die gaan tegenwoordig allemaal automatisch; of je nu wilt of niet.
Eset: vroeger was het draaien van Windows zonder een third-party virusscanner een totale ramp. Tegenwoordig zit er zeer weinig verschil meer tussen de standaard meegeleverde tools en een third-party scanner zoals Eset.
Regelmatig restoren naar een andere machine: dat is zeer verstandig; het komt weinig voor dat mensen dat doen. Daarmee steek je al met kop en schouders boven andere MKB'ers uit.

Anoniem: 1322 @sus • 10 augustus 2022 15:21

Supersimpel: gebruik moderne IT.
Moderne systemen zoals chromebooks zijn veel beter beveiligt en men richt zich op het laaghangende fruit: Legacy Windows. Beveiliging werkt in lagen en hoe on-aantrekkelijker je jezelf maakt, des te minder risico je loopt. Een Mac loopt daarom bijvoorbeeld veel minder risico dan een Windows apparaat.

Bij Microsoft is het niet heel slecht hoor, als je het maar hun moderne werkplek concept gebruikt.
Een moderne werkplek van Microsoft heeft namelijk geen onderlinge verbindingen tussen machines. Dus men kan vrijwel niet 'horizontaal bewegen' (gaat ook lastig omdat je overal werkt met een moderne werkplek dus meestal zit je niet eens op hetzelfde netwerk). Backups draaien volledig afgezonderd en je Onedrive bestanden zijn met 1 click terug te halen. Het belangrijkste punt: een incident is geisoleerd tot die computer.

Het belangrijkste om te beseffen is dat iedereen fouten maakt. Loop daarom het scenario door en bedenk je vooraf wat je op dat moment zou doen (en belangrijker: test dit). Dan kom je vanzelf verbeterpunten tegen.

Ra_gdd

@sus • 10 augustus 2022 11:49

Hitman Alert die werkt via gedragsherkenning.

Als anti-virus Kaspersky of Bitdefender indien Rusland gevoelig ligt.
Beide scoren beter in detectie dan Eset wat ook geen slechte anti-virus is.

Dagelijks automatisch full backup naar een NAS die beschermd is met een eigen paswoord.
Ook backups redelijk lang bewaren zodat je ver in de tijd kan terug gaan.
Off-site backup indien zaak vernield is door brand of apparatuur weg door inbraak.

Accounts als standaard gebruiker in plaats van admin instellen zodat je toch controle hebt wat er op de PC wordt geïnstalleerd.

Geen domme blondjes in de zaak nemen die op alles klikken wat beweegt online of iedere bijlage openen zelfs als de mail in het chinees is opgesteld.

Verdachte bestanden/sites in een sandbox openen zoals Sandboxie.

Geen bring your own device toestaan in de zaak waar gebruikers hun eigen laptop/tablet/smartphone aan bedrijfsnetwerk hangen.

Firmware updaten van hardware in de zaak + software updates installeren.

[Reactie gewijzigd door Ra_gdd op 23 juli 2024 14:16]

dieAndereGozer @Ra_gdd • 10 augustus 2022 13:55

Geen domme blondjes in de zaak nemen die op alles klikken wat beweegt online of iedere bijlage openen zelfs als de mail in het chinees is opgesteld.

Onnodig gericht op mensen met blond haar?

Joepi @sus • 10 augustus 2022 12:46

Heeft jumbo soms ook problemen?
Tijdelijk niet berijkbaar?
De Jumbo website is tijdelijk niet bereikbaar
We doen er alles aan om je zo snel mogelijk weer bereikbaar te zijn.
Onze excuses voor het ongemak.

We helpen je graag verder
https://www.jumbo.com/recepten/tiramisu-503985

DVBNL @sus • 10 augustus 2022 18:06

Een fysieke Linux server met een Hardened repository zorgt er in ieder geval voor dat je altijd een bepaalde immutable periode hebt waarin de back-up files niet ge-edit kunnen worden.

Wel moet je dit ook zo inrichten dat er uiteraard geen andere methodes zijn om bij deze data te kunnen. Als je de Linux virtualiseert en ze kunnen bij de storage heeft dit al weinig nut bijvoorbeeld..

souplost @DVBNL • 12 augustus 2022 23:54

Inderdaad. Dat is ook het advies van NCSC ttps://www.ncsc.nl/binaries/ncsc/documenten/factsheets/2020/juni/30/factsheet-ransomware/71059_NCSC_FS+Ransomeware+NL_WEB.pdf

Anoniem: 454358 9 augustus 2022 18:44

Leek een tijdje wat rustig, en ineens weer wat succesvolle aanvallen. Wellicht dat een hoop it medewerkers op vakantie zijn en daardoor de beveiliging wat minder is?

Iblies @Anoniem: 454358 • 9 augustus 2022 18:57

Denk andersom,
er zijn heel veel jongeren die te veel tijd overhebben,
maar daarnaast werken er heel veel vakantiekrachten in de magazijnen.

Veiligheid van een systeem blijft verder functioneren zoals die is ingericht, als daar gaten in zitten dan veranderd dat niet als iemand een paar weken weg is.

Andere optie is dat de systemen al besmet waren en dat ze bewust de ransomware hebben geactiveerd tijdens de vakantie omdat de reactietijd dan langer zal zijn.

Frame164 @Iblies • 9 augustus 2022 19:04

Veiligheid van een systeem blijft verder functioneren zoals die is ingericht, als daar gaten in zitten dan veranderd dat niet als iemand een paar weken weg is.

Volgens de boekjes wel. De praktijk is echter niet zo simpel. Het patchen van nieuwe vulnerabilities blijft toch echt mensenwerk. Een IT-systeem is nooit "klaar". Het heeft continu onderhoud nodig.

Archcry @Iblies • 10 augustus 2022 07:50

Hacken gebeurt ook niet altijd alleen over het internet kabeltje van buitenaf. Vakantiekrachten die normaal niet bij het bedrijf werkzaam zijn hebben op dat moment mogelijk ook ineens toegang tot het netwerk van het bedrijf achter de firewall die het bedrijfsnetwerk veilig houdt van het grote boze internet. Als zo'n vakantiekracht kwaad wilt kan dat op die manier gemakkelijker dan van buitenaf.

Sluuut @Archcry • 10 augustus 2022 17:07

Daarom heb je ook al jaren het zero trust principe; ga er niet vanuit dat aanvallen alleen van buiten maar net zogoed van binnen afkomen.

wildhagen

Cybercrime
Beveiliging en antivirus
Ransomware

@Anoniem: 454358 • 9 augustus 2022 18:51

Of men ziet dat het een lucratief business model is, omdat steeds meer bedrijven betalen. Mogelijk willen bepaalde groeperingen daarop inspringen.

Hoe groter de kans op aanzienlijke betalingen, hoe aantrekkelijker het wordt om dit soort aanvallen te doen.

Zeker als je bedenkt dat de pakkans relatief klein is.

Iblies @wildhagen • 9 augustus 2022 19:23

De prijzen zijn eigenlijk hard omlaag gegaan en er wordt steeds meer ingezet op nog geen jaarsalaris,

een bedrijf paar dagen non-actief kan tonnen kosten terwijl.

Nog steeds lucratief overigens.

Orangelights23 @Anoniem: 454358 • 9 augustus 2022 18:53

In de zomerperiode zijn altijd minder cyberaanvallen. Ik volg deze trend al een aantal jaar en dat is duidelijk te merken. Ook binnen mijn organisatie zien we dat heel goed.

kimborntobewild @Anoniem: 454358 • 9 augustus 2022 19:51

Leek een tijdje wat rustig, en ineens weer wat succesvolle aanvallen.

Grapje zeker? Wereldwijd gezien gaat het aan de lopende band door.
Sterk aangewakkerd door de bedrijven die daadwerkelijk overgaan tot betalen. Het moet gewoon bij wet verboden worden om in te gaan op de afpersing van zulke criminelen. Dan maar failliet. Da's altijd nog 100x beter dan zo'n crimineel ook maar één cent te betalen.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 14:16]

CPV @kimborntobewild • 9 augustus 2022 22:18

Is er geen tussenweg: nooit betalen aan een hacker, maar een fonds opzetten om getroffen bedrijven te helpen, waardoor ze niet failliet gaan. Een soort Garantiefonds Reizen.
Als je de kosten die nu naar de hackers gaan als eerste in het fonds stort en vervolgens iedereen een bijdrage levert, waaronder ook de overheid die hier ook baat bij heeft, gaat het verdienmodel voor de hackers dood, maar zijn de (potentiele) slachtoffers de uiteindelijke overwinnaars.

PhilipsFan @CPV • 9 augustus 2022 22:31

Maar dan krijg je weer de situatie dat je eisen moet stellen aan de beveiliging van een bedrijf, anders is dat fonds binnen 1 seconde weer leeg. En dat is voor bedrijven weer lastig om aan te tonen met al die maatwerksoftware.

Bedrijven moeten gewoon stoppen met het verzamelen van klantgegevens. Wat je niet hebt kun je ook niet lekken.

Linke-soep @PhilipsFan • 9 augustus 2022 23:54

Waarom is het moeilijk om eisen te stellen aan maatwerk software? Je applicaties draaien op de laatste LTS, code framework en doen regelmatig een beveiligingsupdate. 1 keer per kwartaal een pen test.
Laat jaarlijks een audit doen en klaar is Kees.

Lapa @PhilipsFan • 10 augustus 2022 08:27

Maar geen klantgegevens betekent niet dat er minder ransomware aanvallen komen. Het gaat er gewoon om de bedrijfsprocessen stil te leggen met zo'n aanval. Wat er daarbij voor gegevens worden gegijzeld is secundair, als het maar bedrijfskritisch is.

CPV @PhilipsFan • 10 augustus 2022 11:38

Ja, je mag dan eisen stellen. Zoals ik al eerder zei: om auto te mogen rijden, heb je gewoon een rijbewijs nodig.
Of een beter voorbeeld: als je mee wilt doen in het Garantiefonds Reizen, moet je ook aan voorwaarden voldoen.
In dit geval heb je een gedegen, gekwalificeerd bedrijf nodig, dat de automatisering doet.

[Reactie gewijzigd door CPV op 23 juli 2024 14:16]

anno361 @CPV • 10 augustus 2022 10:59

Een mooi voorbeeld van een getroffen bedrijf is Picanol.
https://www.tijd.be/onder...-ransomware/10198454.html

Je zou kunnen stellen dat een 10-tal grote productie bedrijven vaak de hele economie van een land dragen. Rond die bedrijven ontstaan namelijk 100'en andere bedrijven die er diensten aan verlenen.

Toen Picanol getroffen werd, sloot het enkele dagen zijn deuren, en dat moet enorm duur geweest zijn. Maar anderzijds is het bedrijf zo groot dat het wel tegen een stootje kan.

Een fonds klinkt dan weer als een soort verzekering. Ik veronderstel dat er al verzekeringen genoeg zijn. Ik zou liever hebben dat de overheid zich niet gaat moeien in dit soort materie.

metalmania_666

@kimborntobewild • 9 augustus 2022 20:58

Makkelijk praten als je niet bij zo'n bedrijf werkt. Als het bedrijf failliet gaat, staan er wel gezinnen op straat. Niet alleen van het bedrijf zelf, maar bepaalde toeleveranciers zijn bijna volledig afhankelijk van zo'n bedrijf.

En kom niet aanzetten met " dan heb je toch zo weer een baan" want 55+ ers hebben het nog steeds niet makkelijk. Even zo ongezchoold personeel.

Ik vind dat het betalen van losgeld als laatste optie altijd mogelijk moet zijn. Zeg na 1 a 2 weken oid

Tintel @metalmania_666 • 10 augustus 2022 10:08

dan heb je toch zo weer een baan

Dat is idd niet waar. Want een baan heeft nogal wat randvoorwaarden; locatie, principiele bezwaren tegen bepaalde werkgevers, het loon, enz. Zaken die niet zomaar hetzelfde zijn.

Stellen dat een bedrijf er maar aan kapot mag gaan toont te weinig empathie. Als het een regulaire inbraak zou zijn dan zeggen we dat (hopelijk) toch ook niet?

Het is niet bedrijf dat 'evil' is - de ransomnemer is de kwaadwillende.

batjes @metalmania_666 • 10 augustus 2022 08:26

Een groot deel van de tekorten in de arbeidsmarkt zijn juist voor ongeschoold werk. Omscholen is als je bv de logistiek in wil geen probleem, een vrachtwagen rijbewijs is wat dat betreft zo geregeld. De IT is bereikbaar voor iedereen die thuis een computer heeft staan en via YouTube een paar cursusjes volgt.

55+ers is een ander verhaal, die hebben altijd al moeite gehad met nieuw werk vinden.

Anoniem: 454358 @kimborntobewild • 9 augustus 2022 21:11

Het is gelukkig niet mijn vak, en basseer mijn post op berichten hier op Tweakers. Er was hier dus een tijdje geen nieuws over, en nu deze week die tandarts club en nu dus deze winkelketen

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@Anoniem: 454358 • 10 augustus 2022 10:36

Soms wordt de vakantieperiode expres gekozen omdat de bezetting binnen bedrijven vaak minimaal is. Je ziet ook meer gerichte aanvallen rond bv feestdagen als kerst.

souplost @Bor • 12 augustus 2022 11:33

Onzin. Hackers hebben de hele dag door een algoritme lopen op zoek naar laaghangend fruit.
Heeft niks met bezetting binnen een bedrijf te maken. Dan zou het juist minder moeten worden want minder mensen die op een fout linkje kunnen klicken of msword macro openen waar bijna alle ransomware infecties mee beginnen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 12 augustus 2022 13:35

Heb je wel eens goed naar een targeted aanval gekeken? Daar wordt het moment van uitrol soms specifiek gekozen. Het gaat lang niet altijd om laaghangend fruit. Ja dat wordt ook misbruikt / gebruikt maar er gebeurd meer dan dat. Hoeveel ervaring heb je op dit vlak?

[Reactie gewijzigd door Bor op 23 juli 2024 14:16]

souplost @Bor • 12 augustus 2022 18:25

Het is mijn vak! Ik werk met alle soorten OSen en moment van uitrol uitkiezen door hackers gebeurd alleen als er specifiek wordt gekeken (meestal een groot bedrijf, waar men werkt met een installatie vlan om dit soort problemen te voorkomen). Er is dan eerst social engineering gedaan.
Daarnaast als je minimale bezetting hebt ga je niet projecten uitrollen maar op de winkel passen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 12 augustus 2022 18:34

Geen projecten uitrollen is toch niet geheel relevant? Of eigenlijk geef je juist een reden om een ransomware actie juist in die periode uit te voeren want er is veelal, zoals je zelf aangeeft,
alleen bezetting om op de winkel te passen. Wat is je werk nu precies? Werk je met OSsen of echt in de cybersecurity met ransomware als specialisatie? Ik lees namelijk nogal veel onderbuikgevoelens die gepresenteerd worden als feit.

souplost @Bor • 12 augustus 2022 22:15

Ga het maar over de vorm hebben. Er is helemaal geen reden om juist in vakantietijd aan te vallen. Ik ken de scene zal ik maar zeggen. Men gebruikt Linux als desktop (FoxIT gebruikt ook geen windows als werkplek om maar iets te noemen) https://devcount.com/linux-distros-hacking/ en dat levert zo veel resultaten op. Mooie grafischeomgeving waar je de ene na de andere device ziet oppoppen als onderdeel van een botnet.
Deze winkelketen waar dit onderwerp over is waarschijnlijk gewoon laaghangend fruit omdat het zo makkelijk gaat in een windowskantoortuin.
Specifieke gericht is alleen maar bij grote bedrijven dan zou vakantietijd een rol kunnen spelen omdat gewoon naar binnen lopen misschien wat makkelijker gaat.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 12 augustus 2022 22:26

De reden is evident; een grote kans op een succesvolle aanval vanwege verminderde aanwezigheid van beheer en security personeel. De rest van je post is irrelevant. Het gaat hier niet om het desktop OS of Linux distributies voor pentestiing of over naar binnen lopen bij bedrijven. Ik mis nog steeds elke vorm van onderbouwing. Uitspraken als ' omdat het zo makkelijk gaat in een windowskantoortuin.' zijn natuurlijk gewoon onzin. Dat je 'de scene' kent betwijfel ik sterk op basis van je reacties hier.

souplost @Bor • 13 augustus 2022 00:11

Het is zeker relevant. Stap uit je bubbel. Als een hacker windows zou gebruiken zou hij ook veel kwetsbaarder zijn en dat doet hij niet. Security mensen ook niet, alleen als honingpot. Bij diverse grote bedrijven zoals Google is windows zelfs verboden na een windows werkplek hack in Azie kantoor.
Waarom het zo makkelijk gaat bij windows heb ik al aan je uitgelegd op 12 augustus 2022 21:58.
De bekendste zijn driveby download infecties en automatisch executeren van bijlages. Vervolgens is er altijd wel een ongepatchte kwetsbaarheid te vinden (exchange, lpr) om domainadminrechten te verkrijgen en alles gaat op slot. Patch dinsdag laat namelijk zien dat er elke maand veel kritieke vulnerabilities zijn tot aan zero days toe.

Jij bent een van de mensen die vindt dat er geen focus op OS mag zijn. Ik ken de reden.

[Reactie gewijzigd door souplost op 23 juli 2024 14:16]

blorf @kimborntobewild • 9 augustus 2022 20:43

Wat volgens mij wel een goed plan zou zijn is de getroffen organisaties verplichten tot in detail openbaar te maken wat er is gebeurd. Ik denk dat het aantal gevallen heel sterk zal dalen.

Mopperman @blorf • 9 augustus 2022 20:54

Geloof me: meeste bedrijven hebben geen idee wat er gebeurt is.

blorf @Mopperman • 9 augustus 2022 20:55

Dat is alleen maar goed. Laat maar zien.

Iblies @kimborntobewild • 10 augustus 2022 09:19

Dit wordt vaker van de kade geroepen alleen het spel evolueert zich.

De mensen die dit doen vragen allang niet meer de hoofdprijs maar een relatief klein bedrag.
Een bedrijf lamleggen kost makkelijk 10duizenden euro’s zoniet tonnen,
als je een relatief klein bedrag vraagt dan gaat men vrij snel overstag. De criminelen houden zich in de regel ook aan hun woord.

Vergis je niet dat steeds meer informatie naar buiten komt mbt tot bedrijven doordat men massaal thuis wilt blijven werken en op een gegeven moment zakt de oplettendheid toch allemaal wat weg.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@Iblies • 10 augustus 2022 10:39

Wat je zegt klopt niet. De eerste hit op Google van Palo Alto;

The average ransomware payment in cases worked by Unit 42 incident responders rose to $925,162 during the first five months of 2022, approaching the unprecedented $1 million mark as they rose 71% from last year.

dieAndereGozer @kimborntobewild • 10 augustus 2022 14:03

Failliet gaan ondanks een computervirus, gaat u die maar uitleggen.

S.McDuck @Anoniem: 454358 • 9 augustus 2022 18:51

Die kunnen dan beter ook op vakantie blijven. Als je IT zo kwetsbaar is en afhankelijk van personen zit er iets goed fout in je proces en organisatie.

Frame164 @S.McDuck • 9 augustus 2022 19:02

Iets met stuurlui en de wal en zo.

RGAT @S.McDuck • 9 augustus 2022 20:04

Precies, als je de boel een beetje goed hebt ingesteld door bijvoorbeeld 'pleasedonthack.txt' op je server te zetten kan je het met gerust hart een paar weken zonder beheer laten lopen en kan/mag de hacker er niets mee doen.

'Als je IT zo kwetsbaar is' Zo kwetsbaar als wat? Zo kwetsbaar dat het gehackt kan worden, want dan heb ik vervelend nieuws voor je over alle IT omgevingen die er maar zijn

mjl @RGAT • 9 augustus 2022 21:23

‘pleasedonthack.txt' 🤣

Insomnia1988 9 augustus 2022 19:02

Mijn zin in IT neemt hier erg van af, het kan iedereen gebeuren en de impact is groot.
Ik heb er erg veel stress van, het monitoren van de backup, windows up to date houen. en toch is het altijd * hijg* heeft de backup goed gelopen. En tot hoever gaat je verantwoording.
Er zijn nog steeds mensen die zelfs met XP werken of Windows 7 het kan niet offline want dit en dat en dan werkt die machine weer niet. Ik blijf er om waarschuwen maar goed maar ik kan helaas niet altijd de stekker eruit trekken.

mrmrmr @Insomnia1988 • 9 augustus 2022 19:39

Segmenteer en monitor het netwerken houd je backup onbereikbaar (write once). Forward alle tc/udp poort 53 verkeer naar je eigen DNS op je routers en log lookups. Zodoende kan je zien wanneer er bepaalde lookups worden gedaan. Als je wat nieuws ziet op een raar tijdstip, dan controleren. Je kunt dat ook allemaal uitbesteden.

Het zijn vaak vergeten updates (op servers) en/of gebruikersfouten die dit soort inbraken mogelijk maken. Het ligt doorgaans niet aan een solo Windows XP of Windows 7. Die kun je isoleren (alleen tcp/ip, geen NetBIOS, geen rpc, browsers blokkeren voor open internet, etc) als je geen updates meer krijgt. W7ESUI kan nog steeds updates installeren.

Nog iets: soms worden beheerrechten verkregen door onvoorzichtige beheerders, wees je altijd bewust waar je wat doet en bescherm je beheerwerkstations. Niet inloggen met beheerrechten op een willekeurige PC, ga er van uit dat er een keylogger is geïnstalleerd. Microsoft heeft misbruik van adminaccounts al veel moeilijker gemaakt dan in de tijd van XP. De kans op problemen kan laag worden gehouden door dit soort preventieve maatregelen te treffen.

kimborntobewild @mrmrmr • 9 augustus 2022 20:00

Segmenteer en monitor het netwerken houd je backup onbereikbaar (write once). Forward alle tc/udp poort 53 verkeer naar je eigen DNS op je routers en log lookups.

De gemiddelde particulier snapt geen ene moer van wat je daar zegt, en ook als ze er 4 weekenden achterelkaar 8 uur per dag tijd zouden insteken, zijn ze na 1 maand niet veel verder gekomen.
(Het lijkt erop dat Insomnia het vooral heeft over particulieren.)
En dan nog is het de vraag of 'write once' enige zin heeft: of je moet elke keer een volledige nieuwe backup maken. Want als ransomeware zich langdurig nestelt, zijn intussen al je backups ook gewoon onbruikbaar (ook als ze write-once zijn).
Als je je backup wilt testen, moet je je backupbestanden op een compleet ander systeem checken. Wie heeft daar tijd voor om dat elke keer te doen? Bijna niemand.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 14:16]

mrmrmr @kimborntobewild • 9 augustus 2022 21:15

Ransomware wordt tegenwoordig vooral toegepast bij bedrijven door beroepscriminelen uit veelal niet welgezinde landen. Bij particulieren valt weinig te halen. Jaren geleden was dat anders, maar het malwarelandschap is veranderd.

Write once betekent dat je 1 keer kunt schrijven en daarna niets meer kan aanpassen. Vroeger was er hardware dat zo werkte (denk aan een CD-R en nog oudere apparaten). Het handige is dat het niet te wissen en dus ook niet te encrypten is. Je kunt write once hardware ook simuleren in backup servers.

Backups zijn in het algemeen bruikbaar, ook geinfecteerd. Desinfectie kost altijd tijd. Alleen al omdat disks en scanners erg traag zijn. Laat staan als je het handmatig doet, zoals op een besmette php website vaak wel nog te doen is.

[Reactie gewijzigd door mrmrmr op 23 juli 2024 14:16]

djfox741 @kimborntobewild • 10 augustus 2022 20:55

Nu ben ik een gemiddelde knurft, loop al 34 jaar te kloten met die rekendoosjes en pas in 2002 een PC in elkaar gestoken daarvoor met een Computer gewerkt.

Nu heb ik heel wat jaren in XP gestoken, zelf een WindowsXP omgeving gemaakt en raad en daad op forums bezig gehouden.

Nu heb ik natuurlijk ook Win7 en die 10 ja zelfs Vista nog en dat allemaal met een keuze menu, nu werk ik voornamelijk (99%) met XP omdat die nog "Uitlijnen op raster" heeft en als je aardig wat (sub) mappen heb is dat wel makkelijk dan op die 7 of 10, die dat "automatisch schikken" heb waar ik gek van word, als je daar net gewend bent waar ergens de mappen staan en je maakt ff een temp-mapje aan om iets ff op te bergen, kom je terug in die submap zoek je eigen weer de krampen waar welke map nu weer staat, dus gewoon XP.

Heb daar een fantastisch Firewall uit het jaar 2008 op lopen die elke wissewasje keurig meld, over backups heb ik extern staan en om de 2 weken draai ik er 1.

Die 10 doe ik dingen die zoals de HDD van 10Tb. benaderen wat XP niet snapt.

Insomnia1988 @mrmrmr • 9 augustus 2022 20:12

Bedankt voor de DNS lookup tip! $_/-\o_$ Helaas kan ik dat niet bij iedereen implementeren.
En is het ook niet mogelijk om altijd de TCP dicht te gooien, nogmaals als het aan mij lag dan trok ik de stekker eruit. Helaas weigeren fabrikanten van grote machines nieuwe drivers te schrijven voor een apparaat dat meer dan 50000 euro gekost heeft en zo heb ik nog een aantal redenen.

Glashelder

@Insomnia1988 • 9 augustus 2022 20:29

Heeft niet zo heel veel zin hoor met DNS over HTTPS tegenwoordig

[Reactie gewijzigd door Glashelder op 23 juli 2024 14:16]

Mopperman @mrmrmr • 9 augustus 2022 21:01

Microsoft werkt ook met de tier 1-2-3 accounts:

Tier 1; Domain admins - alleen in te loggen op Domain controllers

Tier 2; admin accounts - alleen in te loggen op servers waar je bij hoort te kunnen (bij ons regio afhankelijk)

Tier 3; gebruikers accounts voor eindgebruikers

Daarnaast LAPS voor lokaal admin account - dit wachtwoord word encrypted opgeslagen in AD, en verschilt per cliënt. Dit wachtwoord word iedere x-tijd veranderd.

Dit is wat MSFT ons heeft geadviseerd naar onze grote aanval.

[Reactie gewijzigd door Mopperman op 23 juli 2024 14:16]

mrmrmr @Mopperman • 9 augustus 2022 21:35

Separatie is goed. Als beheerder gaat vooral om de computer waar vandaan je inlogt, als een aanvaller een daarop keylogger weet te installeren, heb je een probleem. Dat kun je tegengaan (bijvoorbeeld) met 2-factor authenticatie of het gebruik van hardware token/pas in plaats van een wachtwoord of door alleen bepaalde hardware toegang te geven.

Het veelvuldig wijzigen van wachtwoorden zorgt naast voor veiligheid soms ook voor onveiligheid, want dat maakt onthouden moeilijker en dan wordt het weer opgeschreven, soms in een tekstdocumentje op een share.

metalmania_666

@mrmrmr • 9 augustus 2022 21:05

Write once back-up is een aardig hulpmiddel, maar niet meer dan dat. Want als het in een back-up van 29, 31 if voor mij part 45 dagen al zit, raakt het systeem meteen weer besmet.
En laten we wel wezen, als ze de nsa, nasa, fbi ed kunnen hacken, heb ik geen illusie dat het bij ons niet gebeuren kan. Je kan hoogstens mitigerende maatregelen nemen

mrmrmr @metalmania_666 • 9 augustus 2022 21:54

Waar het om gaat is dat die backup niet kan worden overschreven of versleuteld.

Het versleutelen tijdens de aanval vind vaak pas plaats in een weekend.

Dat er malware aanwezig is in backups is niet zo'n ramp. Je doet geen complete restore. Je gebruikt de oudste veilige backup eerst. Het gaat alleen om aangepaste bestanden zoals databases en aangepaste of nieuwe documenten. Dat reduceert de hoeveelheid data al enorm.

De mate van geavanceerdheid van dergelijke hackers valt wel mee (of tegen). Selectief restoren zou in principe iedereen kunnen die voldoende van malware weet, inventief en slim is en gezond verstand gebruikt. Het duurt lang, maar vaak is er dan toch veel terug te halen. Zo kun je generiek allerlei soorten malware uit docx bestanden halen. Met bijvoorbeeld bestandsconversie kom je al een eind. Docx is overigens een ZIP bestand, je kunt de inhoud bekijken met een ZIP programma. Het eruit slopen van bijvoorbeeld macro's is te automatiseren.

Scriptkid @mrmrmr • 9 augustus 2022 20:03

je wil niet weten hoe vaak ik ergens kom en dan constateer dat een priviledge escalation op de omgeving een eitje is. Zeker nadat je een normaal iemand hebt kunnen overhalen om je toegeang te geven tot een pc of beter terminal server van hun, daarna is het 5-10 minuten om door te gaan naar full domain compromise of andere priv escalations omdat de hele gebeheer infra niet correct gelaagd is en er ook totaal niet overna gedacht is.

Daarin zie je dat het bij cloud toch wel een stuk betere maturety level is en omdat het native al gescheiden is het toch echt een veel kwalitativere hacker nodig is om iets klaar te krijgen .

Ghandi @mrmrmr • 9 augustus 2022 23:02

Monitoren van je DNS. Je schrijft: je kan dat ook uitbesteden. Als je dit controleert, waar controleer je dan op? Zijn hier "matching" lists voor? Aan wat voor partijen zou je dat kunnen uitbesteden?

Ik zit even in mijn pfSense router te kijken; en heb logging even aangezet:

server:
log-queries: yes

En binnen enkele minuten zie ik o.a. voorbij komen:

Aug 9 22:51:52 unbound 6503 [6503:0] info: 2001:1c01:411c:5d00:b9af:d4e4:dbf1:3c4f a564.dscz.akamai.net. A IN
Aug 9 22:51:52 unbound 6503 [6503:1] info: 2001:1c01:411c:5d00:b9af:d4e4:dbf1:3c4f a564.dscz.akamai.net. AAAA IN

iets zegt me wel - gezien onze toepassing van dit moment dat het goed is, maar hoe zou je dan moeten bepalen dat het "niet goed" is.

mrmrmr @Ghandi • 9 augustus 2022 23:49

akamai is bijna altijd goed, dat zijn onder andere update servers die worden gebruikt door grote organisaties zoals Microsoft of Debian. Bij Microsoft kun je wel twijfelen of al dat verkeer wel echt goed is (met name telemetrie).

Het gaat met name om afwijkend verkeer. Iets dat je nog niet eerder hebt gezien of op een niet eerder gezien tijdstip. Software dat naar huis belt doet dat meestal op dezelfde manier.

Er zijn (commerciële) producten en diensten die DNS gebruiken om verdacht verkeer te detecteren. Je kunt standaard blocklists gebruiken (vaak publiek opvraagbaar zoals DBL van spamhaus), malware domain blocklists, Google virustotal (voor url's en domeinen) en lijsten van vers geregistreerde domeinen die zelden voor iets goeds worden gebruikt. Soms is een top level domain al verdacht, zoals bijvoorbeeld .su, .ru en .рф (.xn--p1ai). Je kunt ook IP nummers op die manier controleren.

Dit is een voorbeeld van zo'n DNS beveiligingsdienst: https://www.netcon-consulting.com/.

SIEM is een meer algemene term voor dit soort controles.

Insomnia1988 @Ghandi • 10 augustus 2022 16:31

Eh ben ook even aa nhet spieken of ik dat aan kan zetten, maar waar zet jij dat aan ?

Ghandi @Insomnia1988 • 12 augustus 2022 14:07

bij de advanced settings (unbound), pfsense en dan onderstaande toevoegen

server:
log-queries: yes

Dan logt hij de DNS lookups

Als je iets met blocking list wilt, dan kan je pfblocker-ng installeren

Ik ben daar - driekwart jaar terug - mee bezig geweest en het werkt perfect (alleen mijn huisgenoten klaagden over het feit dat de advertenties van google niet meer aanclickbaar waren;)

Het ging me toen te veel tijd kosten, dus ik heb het indertijd vooruit geschoven.

Insomnia1988 @Ghandi • 12 augustus 2022 18:52

Ik ga er eens mee aan de slag thanks!

Mavamaarten @Insomnia1988 • 9 augustus 2022 19:34

Gelukkig zijn er meer vakgebieden binnen IT en niet allemaal zijn ze even afhankelijk of gevoelig voor dit soort toestanden.

pk128934 @Insomnia1988 • 9 augustus 2022 19:11

Snap je heel goed. Voor mij was het de reden om te stoppen als beheerder. Ben nu ontwikkelaar (Java, Groovy, C#). Ja, je hebt dan ook stress, maar je hebt wel meer controle over je werk. Jij bepaald voor een groot deel de kwaliteit en beheerbaarheid.
Als beheerder van tig duizend werkstations/notebooks/surfaces werd ik op een gegeven moment heel erg ongelukkig. De organisatie wilde geen afscheid nemen van legacy, weigerde de risicos te accepteren en daardoor werd de technical debt voor mij als ITer alleen maar groter en groter.

Insomnia1988 @pk128934 • 10 augustus 2022 16:33

Helaas vindt ik programmeren niet leuk, hoogstens scripten of php. Wel goed om te horen en lezen dat het je nu beter af gaat. Als ik stop met ICT dan wil ik totaal iets anders gaan doen. Ik weet wel niet wat.. misschiens schaapsherder ofzo.

Zer0 @pk128934 • 9 augustus 2022 21:38

Ben nu ontwikkelaar

Ah, in plaats van security issues oplossen als beheerder ben je dus overgestapt naar het creëren van security issues....

pk128934 @Zer0 • 9 augustus 2022 23:56

Hihihi. Zo zou je het ook kunnen zien. 22 jaar beheerkennis (Solaris, Windows, Linux), maakt wel dat ik een aardig gevoel heb over wat beheerbaar is, wat slechte security habbits zijn en heb ik respect voor het vak van beheerder.

Zer0 @R4gnax • 9 augustus 2022 22:14

Jij bepaald voor een groot deel de kwaliteit en beheerbaarheid.

Jouw woorden

pk128934 @Zer0 • 9 augustus 2022 23:57

Zijn mijn woorden, niet die van @R4gnax

Kriebelkous @Insomnia1988 • 9 augustus 2022 22:18

Dit soort machines blijven een lastig verhaal. Maar vaak kun je de risico's minimaliseren door het systeem alleen de toegang te geven die het nodig heeft. Dus in basis alles in en uitgaand blokkeren en vervolgens alleen verbinding toestaan naar de IP adressen en bijbehorende protocollen welke vereist zijn.
Idem met services en software die op het apparaat draaien en eventuele (USB) poorten die op de machine zitten. (Een USB poort is imo een grotere nono dan een goed gereguleerde verbinding met een gedeelde netwerkschijf.)
Dit naast het forceren van het gebruik van een eigen DNS server.
Wat je ook kan redden is het voorkomen dat software uitgevoerd kan worden vanuit download en temp folders.

Donstil 9 augustus 2022 19:23

Echt nog nooit een Casa winkel gezien hier in de randstad. In welke sector zitten ze?

Edit: Aah soort blokker/xenos, dat verklaard het wel

[Reactie gewijzigd door Donstil op 23 juli 2024 14:16]

TheVivaldi @Donstil • 9 augustus 2022 19:30

Echt nog nooit een Casa winkel gezien hier in de randstad.

Ze zitten anders wel degelijk in de Randstad. Ik woon ook in de Randstad en ze zitten ook in mijn stad.

Donstil @TheVivaldi • 9 augustus 2022 19:34

Ja ik zag het net, vandaar mijn edit.

Ze zitten gewoon buiten mijn aandachtsveld klaarblijkelijk (en dat mag zo blijven), door de foto bij het artikel had ik een soort tuincentrum verwacht ofz, geen idee waarom.

Aalard99

@Donstil • 9 augustus 2022 19:54

Even zoeken : https://nl.casashops.com/nl/winkels/

r03n_d @Donstil • 9 augustus 2022 22:48

Edit: Aah soort blokker/xenos, dat verklaard het wel

Sterker nog, tot 2021 was CASA eigendom van Blokker. Net als Xenos dat nog steeds is.

[Reactie gewijzigd door r03n_d op 23 juli 2024 14:16]

BaszCore @r03n_d • 10 augustus 2022 11:38

Dit klopt niet helemaal. CASA was van een Blokker (familie), niet het winkelketen Blokker.
Blokker (winkelketen) is onderdeel van Mirage Retail Group waar: BCC, Blokker, Intertoys en Miniso allemaal onderdeel van zijn. Xenos is dat dus niet.

r03n_d @BaszCore • 10 augustus 2022 13:14

Mirage Retail Group voormalige formules:
Xenos was tot 2018 van Blokker Holding.
Casa was tot 2016 onderdeel van Blokker Holding waarna het eigendom werd van de familie Blokker. Deze verkocht verkocht in 2021 weer haar belang.
Dus helemaal kloppen deed mijn uitspraak niet, meer Xenos is wel degelijk onderdeel geweest van een en hetzelfde concern op het moment dat CASA bij Blokker Holding hoorde (aangezien CASA daar eerder uit 'stapte').

[Reactie gewijzigd door r03n_d op 23 juli 2024 14:16]

WebHeer 10 augustus 2022 10:29

Vraagje, kan een unix / linux omgeving ook gehackt worden en met ransomeware besmet worden? Lijkt mij veiliger dan een Windowsomgeving.

[Reactie gewijzigd door WebHeer op 23 juli 2024 14:16]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@WebHeer • 10 augustus 2022 11:11

Ja dat kan ook. Geen enkel OS is immuun.

souplost @Bor • 12 augustus 2022 12:09

Alsof kwaliteit niet bestaat. Hij heeft gelijk. https://www.windowscentra...ing-new-virustotal-report

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 12 augustus 2022 13:29

Waar doel je op met kwaliteit? Ook Linux kent zijn kwetsbaarheden en kent ook ransomware waaronder Cheers crypt. Dat is het eerste voorbeeld uit 2022 wat zo bij mij opkomt, er zijn er meer. Je presenteert onderbuikgevoelens vanwege een afkeer van Windows als feit lijkt het.

[Reactie gewijzigd door Bor op 23 juli 2024 14:16]

souplost @Bor • 12 augustus 2022 21:58

Zie onder 12 augustus 2022 21:58. verkeerde reactie gepost

[Reactie gewijzigd door souplost op 23 juli 2024 14:16]

souplost @WebHeer • 12 augustus 2022 11:44

Is niet erg waarschijnlijk want patches zijn er snel en het OS is makkelijk te patchen tov windows waar de patch vaak zo groot is als het hele Linux OS. Alle ransomware incidenten die het nieuws halen zijn windows based (https://www.windowscentra...ing-new-virustotal-report) terwijl windows al lang niet meer het meest gebruikte platform is.
Ransomware op Linux krijgen is veel moeilijker dan op windows. Alles komt readonly via het internet binnen en kan niet automatisch worden opgestart. Systeemservices draaien i.t.t. windows niet met admin rechten. Als een service wordt gehackt lijdt dat dus niet tot het versleutelen van je systeem. Daarnaast is het aanvalsoppervlak veel kleiner. B.v op een server (waar de kroonjuwelen draaien) is een windows OS disk is erg veel groter (omdat o.a. de GUI verweven is met het OS).
Met andere woorden. Als jij je systeem automatisch patcht (gaat altijd goed) zal je nog een hele tijd zonder antivirus (onder Linux meer een probleem dan een oplossing) met een gerust hard kunnen werken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 12 augustus 2022 13:15

Alle ransomware incidenten die het nieuws halen zijn windows based

Kan je dat met een betrouwbare bron onderbouwen?

Als jij je systeem automatisch patcht (gaat altijd goed)

Behalve in de gevallen dat het niet goed gaat zeker? Patchen gaat niet altijd goed, automatisch patchen evenmin.

De link die je aanhaalt onderschrijft jouw stelling overigens niet

[Reactie gewijzigd door Bor op 23 juli 2024 14:16]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 12 augustus 2022 22:33

Een mooie rant met o.a. halve waarheden (zoals dat services met admin rechten draaien) en trolls maar geen enkel antwoord op mijn vraag en geen enkele objectieve onderbouwing. Ik vind het knap. Deze discussie heeft geen enkele zin. Die stoppen we dus ook.

[Reactie gewijzigd door Bor op 23 juli 2024 14:16]

souplost @Bor • 12 augustus 2022 22:52

Antwoorden heb je al lang gehad. Lees het nieuws. Het zijn altijd kantooromgevingen en de ransomware wordt altijd genoemd of is makkelijk te achterhalen en blijkt windows te zijn. Wat het ook meer aannemelijk maakt is dit onderzoek. Based on the ransomware files VirusTotal analyzed for its October 2021 report, 95% of all of them are for Windows PCs (Linux desktop 0 %) https://www.windowscentra...ing-new-virustotal-report
Laten we het omdraaien. Dat is makkelijker. Noem 1 ransomware incident waarbij LInux servers zijn versleuteld die het nieuws heeft gehaald en geen ESXi want dat is geen Linux maar VMware brouwsel.
Verder staan er geen halve waarheden in mijn rant. Noem er 3 en wat zijn de trolls?

Linke-soep 9 augustus 2022 23:49

Het blijft apart dat de winkels nog steeds zo laks met hun beveiliging omgaan. Dit zal een steeds hogere kostenpost worden.
Ik merk zelf ook dat er nog steeds een boel klanten zijn die het updaten van bijvoorbeeld PHP, frameworks, angular, Java, en zo verder maar onzin vinden en prijzig vinden. Sommige klanten nemen zelfs het risico om door te gaan op versies die end of life zijn en besluiten de applicatie dan maar zelf te hosten. Bizar...

MrWiggle 9 augustus 2022 20:07

Wat voor een soort winkel is dat Casa? Zit dat alleen in de randstad?

Ik zie inmiddels dat ze praktisch overal zitten, behalve hier in de Achterhoek.

[Reactie gewijzigd door MrWiggle op 23 juli 2024 14:16]

sus @MrWiggle • 9 augustus 2022 20:09

Soort Xenos

TheSmithNL 10 augustus 2022 11:13

Ik heb vorig jaar een verzoek gedaan tot het verwijderen van mijn data en ik heb alsnog een email gekregen. Ik heb een verzoek tot inzage gedaan, waarschijnlijk hebben ze helemaal niks gedaan met mijn verzoek tot verwijderen.

Elbaceever 10 augustus 2022 16:36

Ik vraag mij vooral af hoe vatbaar de O365 /M365 stack hier tegen beschermd is (of niet)
Binnenkort stappen we over van private DC naar M365 M3 en vroeg mij hoe vatbaar je nog bent voor dergelijke ransomware

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@Odder thing • 10 augustus 2022 10:18

Heb je er ook aan gedacht dat dit gewoon de waarheid kan zijn? Het encrypten kan heel erg snel tegenwoordig. Je hebt er ook niet per definitie extra rechten voor nodig. Je kan in veel gevallen zelfs encrypten onder user rechten. Dan gaan de files waar die betreffende gebruiker r/w toegang heeft op slot.

Op dit item kan niet meer gereageerd worden.

Winkelketen CASA getroffen door ransomwareaanval

Lees meer

Reacties (109)

Sorteer op:

Weergave: