'Britse Royal Mail is getroffen door Lockbit-ransomware'

De Lockbit-ransomwarebende zit achter het 'cyberincident' van de Britse postdienst Royal Mail. Dat melden meerdere media. Door de problemen kan het bedrijf geen post meer buiten het Verenigd Koninkrijk sturen.

Een bron die betrokken is bij het onderzoek zegt tegen BBC dat het om de Lockbit-ransomware gaat. De hackers zouden naar verwachting miljoenen willen van het postbedrijf. Het bedrijf wilde niet bevestigen dat het om ransomware gaat en waarschuwt dat er nog geen einde in zicht is als het gaat om de postproblemen.

Bleeping Computer zegt de losgeldbrief te hebben ingezien en dat printers van het postbedrijf deze vanzelf printen. Dit medium heeft ook contact opgenomen met LockbitSupport, een vertegenwoordiger van Lockbit. Die ontkent de Royal Mail te hebben aangevallen. In plaats daarvan zou een andere partij een uitgelekte ransomwarebuilder van Lockbit gebruiken. In de losgeldbrief zou gelinkt worden naar Lockbits Tor-site.

De postdienst maakte woensdag bekend te zijn getroffen door een 'cyberincident' waardoor post niet langer buiten het Verenigd Koninkrijk gestuurd kan worden. Post binnen het land werkt nog wel, post naar het land gaat met vertraging. De problemen liggen bij het systeem dat wordt gebruikt om post voor te bereiden voor zending naar het buitenland, en om die buitenlandse post te kunnen volgen. Royal Mail werkt onder meer samen met de Britse overheid om de problemen op te lossen.

Door Hayte Hugo

Redacteur

13-01-2023 • 08:23

87 Linkedin

Reacties (87)

87
85
70
5
0
9
Wijzig sortering
Er is maar een oplossing tegen dit soort aanvallen en dat is ze niet lonend maken. Het zou derhalve bij wet verboden moeten worden om te betalen bij een ransomware aanval.
alleen is het dan zo maar mogelijk dat bedrijven omvallen. Als alle data weg is, kunnen veel bedrijven gewoon niets meer.
Als er dan honderden of zelfs duizenden banen op het spel staan is dat een lastige keuze.
alleen is het dan zo maar mogelijk dat bedrijven omvallen. Als alle data weg is, kunnen veel bedrijven gewoon niets meer.
Een bedrijf bestaat omdat er een vraag is vanuit de markt. Als een bedrijf plots weg is (waarschijnlijk overgenomen en beginnen met een schone lei, of concurrentie die uitbreidt door het gat in de markt te vullen), dan wordt die vraag wel opnieuw ingevuld, en daarmee het benodigde aantal banen. Voor de Royal Mail zie ik de situatie niet zo somber in, want het is niet alsof de vraag naar internationale post plots minder wordt.

Als er in de nieuwe situatie minder banen nodig zijn, dan waren de verdwenen banen al overbodig. Werken enkel om te werken is geen goede reden om maar banen in stand te houden.

[Reactie gewijzigd door The Zep Man op 13 januari 2023 08:55]

Als mijn baas daardoor zou omvallen heb ik toch liever dat hij betaalt en ik mijn baan niet kwijt raak. De gevolgen voor mijn familie zijn te groot als ik ontslagen zou worden en ik zelfs mijn huis kan kwijt raken. Leuk die theoretisch heldhaftige houding, minder leuk voor mensen die er slachtoffer van worden.
Dat is wel een goede reactie. Er wordt hier heel vaak geroepen dat een bedrijf wel mag verdwijnen of omvallen (denk aan hoe sommigen hier over Facebook e.d. praten), maar daarbij wordt vergeten dat er bij bedrijven ook gewoon mensen werken.
Bedrijven om die reden overeind houden is niets anders dan een vorm van sociale zekerheid die dan net zo goed direct door de overheid gegeven kan worden…. Zoals het nu al gebeurt eigenlijk.
dat is wel een heel theoretische opvatting.
Als een bedrijf als volkswagen omvalt, dan komt daar niet zo maar een gelijke vervanger voor. Maar gaan mensen auto;'s uit china kopen bijvoorbeeld.

En vergis je ook niet hoe veel banen overbodig zijn. Dat is bijv. bij een bedrijf op een gegeven moment zo gegroeid, maar zou bij een nieuwe start door bijvoorbeeld betere automatisering niet meer nodig zijn.
Het zou niet zo moeten zijn dat een bedrijf niet om mag vallen omdat een nieuwe variant met minder mensen toe kan. Als organisatie zou je altijd moeten streven om met zo min mogelijk mensen en middelen te werken. Ongeacht of het commercieel is of niet. Het is een verspilling van mensen en middelen als die niet efficient worden ingezet.
Het zou niet zo moeten zijn dat een bedrijf niet om mag vallen omdat een nieuwe variant met minder mensen toe kan. Als organisatie zou je altijd moeten streven om met zo min mogelijk mensen en middelen te werken. Ongeacht of het commercieel is of niet. Het is een verspilling van mensen en middelen als die niet efficient worden ingezet.
Dit is wel erg kort door de bocht.
Bedrijven hebben ook een maatschappelijke functie/verantwoordelijkheid. Zeker die een omvang hebben als Volkswagen.
Niet alles moet gericht zijn op winst/aandeelhoudersmaximalisatie en gelukkig is dat ook niet zo.
Het is goed dat dit soort bedrijven ook een plek bieden voor mensen om bijvoorbeeld te (re)integreren in het arbeidsproces of aan mensen die geestelijk/fysiek minder bedeeld zijn.
Jawel, alles moet gericht zijn op winst/aandeelhoudersmaximalisatie.

En het is aan de overheid om er voor te zorgen dat maatschappelijk ongewenst gedrag financieel wordt afgestraft.

Bijvoorbeeld door een emissietaks.
Bijvoorbeeld door subsidie voor het aannemen van beperkte mensen.

Juist door grote bedrijven te "vertrouwen" dat ze zich ethisch en verantwoord gedragen krijg je de meest schunnige praktijken, zoals je die nu al ziet: bedrijven die de slechtste invloed op de wereld hebben, hebben tegelijkertijd de grootste marketing praatjes over "netto 0", "duurzaamheid" en "gelijkheid".

Nee, juist door sociale en ethische belangen te vertalen naar directe financiele consequenties voor bedrijven heb je een keihard gereedschap in handen om bedrijven sociaal wenselijk gedrag te laten vertonen.
Jawel, alles moet gericht zijn op winst/aandeelhoudersmaximalisatie
Ik weet niet waar je dit op baseert. Er zijn verschillende soorten aandelen en dus ook aandeelhouders.
Aandeelhouders kunnen verschillende doelen hebben (waarvan korte termijn winstmaximalisatie er maar 1 is).

Dit is echt een hardnekkig misverstand / mythe, wat de basis is voor vele online betogen die daarmee veel waarde verliezen.
Lees eens rustig.

Dit is niet mijn waarneming, maar mijn wens.

Wanneer maatschappelijke wenselijkheid in de winstgevendheid wordt teruggezien komt er eindelijk een einde aan het conflict tussen winst en ethiek.
Je bent niet de eerste die me hier op wijst. Dankjewel.
dat is wel een heel theoretische opvatting.
Als een bedrijf als volkswagen omvalt, dan komt daar niet zo maar een gelijke vervanger voor. Maar gaan mensen auto;'s uit china kopen bijvoorbeeld.
Volkswagen is meer dan systemen die aangevallen kunnen worden dan ransomware. Het bedrijf zal nog steeds bestaan na een dergelijke aanval, mogelijk in een andere vorm. De waarde van Volkswagen zit niet in diens automatisering. Die is ter ondersteuning, en zelfs bij een faillissement is er voldoende resterende waarde om een doorstart te maken.
En vergis je ook niet hoe veel banen overbodig zijn. Dat is bijv. bij een bedrijf op een gegeven moment zo gegroeid, maar zou bij een nieuwe start door bijvoorbeeld betere automatisering niet meer nodig zijn.
Die banen zijn niet overbodig totdat er automatisering is. Enkel op weggeautomatiseerde banen gelet zie ik hier geen probleem mee. Dat minder banen door automatisering in het algemeen een maatschappelijk probleem is, vereist een maatschappelijke oplossing. Kunstmatig banen in stand houden voor werk dat geautomatiseerd kan worden is geen oplossing, maar slechts uitstel van executie.

[Reactie gewijzigd door The Zep Man op 13 januari 2023 08:48]

Ik ben het deels met je eens maar wanneer je kijkt wat er gebeurde toen Maersk getroffen werd door NotPetya en de wereld handel in gevaar kwam, dan zie je dat je stelling niet zwart/wit is.
Darknet Diaries heeft daar een tweetal uitzendingen over die zeer de moeite waard zijn.
Maar uiteindelijk is dit zelfs goed geweest voor Maersk. Ze hebben hun IT compleet op de schop genomen en konden inderdaad met een schone lei beginnen en hebben meteen het roer omgegooid zodat er geen wildgroei meer is van duizenden applicaties.

Ik heb alleen geen idee of dit allemaal nog banen heeft gekost, want dat is wel de keerzijde. Je kunt inderdaad heel theoretisch stellen dat zo'n bedrijf in een of andere vorm nog wel zal blijven bestaan, maar je spreekt dan wel over allerlei drama's in de gezinnen van de medewerkers. Er zijn heel veel mensen die niet zomaar meer een baan vinden. Ook de onzekerheid is voor velen erg naar. Dus zo droog zou ik er niet naar durven kijken, ook al klopt het in theorie.
Dat is wel een heel eenvoudige stelling. Als een bedrijf omvalt kan dat zelfs een domino effect hebben en kan het jaren duren voordat heel de keren opnieuw in balans is met ondertussen sterk prijsstijgingen tot gevolg.
Automarkt heeft het over de banen die op het spel staan, dan zeg jij in andere woorden 'die kunnen wel bij de concurrent aan de slag'. Vind je dat zelf ook niet te makkelijk?

Voordat de concurrent zo op kan schalen moet er eerst heel wat water door de Rijn. Bovendien doet het helemaal niets af aan de economische/financiële schade.
Je reactie is wel eenzijdig. Werken is zo'n beetje de meest basale manier om je van inkomen te voorzien. Een land moet een rij werkenden hebben, omdat als niemand werkt, geen enkele regering inkomsten heeft. Dat is snel over.

Daarnaast: als iemand geen werk heeft, is een zinvolle besteding van je tijd niet onbeperkt mogelijk. Kortom; als het leger niet werkenden er stijgt, hou je facilitaire beroepen als psycholoog, dominee, dokter, advocaat, vuilnisman over ;-). Dat is natuurlijk gechargeerd, maar op die mensen kan geen land draaien.

Ik denk dat heel erg veel bedrijven op de een of andere manier serieus afhankelijk zijn van automatisering. Direct dan wel indirect. Als een bedrijf een 'gat in de markt' heeft, dan is bij omvallen ook niet zomaar een ander die in dat gat kan springen. Zeker niet als de nieuwe bedrijven ook weer geraakt kunnen worden door een ransomware aanval.

Dat ze eigenlijk niet betaald zouden moeten worden, is evident, maar als je als bedrijf geen keuze hebt, dan weet ik het zo net nog niet wat ik in zo'n situatie zou doen.
er is verder ook geen enkele garantie dat betalen wel je data weer vrijgeeft.
en daarbij moet je zeker als een royal mail gewoon een goed back-up beleid hebben
Er zijn zo goed als geen voorbeelden te vinden van ransomware groepen die na betaling alsnog de decryptiesleutels niet geven. Als het wel gebeurd dan vangen ze de volgende keer als ze iemand aanvallen sowieso bot. Nieuws gaat snel rond bij experts van wie betrouwbaar is en wie niet.

En het tegenargument dat je dan krijgt is dat ze dan gewoon een andere naam aannemen. Maar zo eenvoudig is dat niet. Ik kan morgen hier op de site aankomen met een ander accont. Maar als ik mijn taalgebruik niet aanpas, mijn manier van reageren en waarop ik reageer niet aanpas, dan halen gedragsspecialisten mij er zonder probleem en zeer snel uit.
ok, dan het argument dat je ermee de criminaliteit betaalt
Te groot om te falen is vaak een valse conclussie. Als dat soort argumenten gebruikt worden dan hoort dat vooraf erkend te zijn. Anders is het niets meer dan achteraf excuus bedenken om het nemen van te veel risico in het voordeel van andere belangen als winst en slechte bedrijfsvoering proberen goed te praten. Het risico op omvallen is er niet pas na infectie, dat was er al. Dus hoe heeft Royal Mail hier vodoende gedaan om het gevolg te voorkomen. Voldoende als in zorgen dat betalen geen optie hoeft te zijn, voldoende als een acceptabel alternatief hebben als het toch mis gaat. Ik lees die niet gegeven zijn, dan zijn ze eerder dus ook niet te groot om te falen en criminelen te belonen.
Dat niet alleen. Op deze wijze train je ook de verdediging tegen dit soort aanvallen. Ergens is het juist goed, anders zijn we niet voorbereid op een grootschalige digitale oorlog.
Er is maar een oplossing tegen dit soort aanvallen en dat is ze niet lonend maken.
Dat lost de motivatie op voor aanvallen voor geld van slachtoffers, en daarom geen slecht idee. Wel zijn er meer motivaties, o.a. van hacktivisten, overheden, black hats die betaald worden door een ander om schade te doen, etc. De misbruikte kwetsbaarheden bestaan immers nog.

[Reactie gewijzigd door The Zep Man op 13 januari 2023 08:31]

Als het doel schade aanrichten is gebruik je geen ransom software, maar delete je alles gewoon.

Ransomware heeft er juist baat bij dat ze zaken ook weer vrijgegeven, anders betalen mensen de volgende keer zeker niet.
Er wordt wel vaker een wiper vermomd als ransomware. In dit geval is dat dus ook mogelijk het geval:
The note also contains multiple links to the LockBit ransomware operation's Tor data leak sites and negotiation sites, including a 'Decryption ID' required to log in to chat with the threat actors.

However, BleepingComputer has been told by multiple security researchers that this "Decryption ID" does not work.

It is unclear if the ransomware gang deleted the ID after news of the circulating ransom notes or if they moved negotiations to a new ID to avoid scrutiny by researchers and journalists.

BleepingComputer reached out to LockBitSupport, the public-facing representative of the ransomware operation, and was told that they did not attack Royal Mail and they blamed it on other threat actors using their leaked builder.
Dat gaat toch nooit gebeuren. De enige oplossing is dat bedrijven IT-beveiliging serieus gaan nemen. Als een netwerk eenmaal is geïnstalleerd kijkt er haast niemand meer naar om terwijl het 24 uur per dag actief management vereist. Bij eigenlijk alle ransomware-incidenten is een aanvaller wel opgemerkt door de beveiligingsoplossing maar werd er niet op geacteerd, veelal omdat het 's nachts is. Een detectie betekent niet dat het dan opgelost is. Vind de oorzaak, onderneem actie. Dat doet 99% van de bedrijven niet (niet hun core business, geen capaciteit, te duur, etc.)

En daarbij zegt elke beveiligingsoplossing bescherming te bieden tegen ransomware. Dat is gewoon NIET zo als het alleen gebaseerd is op Indicators of Breach (IoB), AV signatures en AI/machine learning. Je hebt een oplossing nodig dat vooral JOUW data in de gaten houdt en niet alleen let op een mogelijke aanvaller. Microsoft Defender, Crowdstrike, etc. kijken uit / worden getest op het vinden van een mogelijke boef en worden daarom door Gartner en MITRE gewaardeerd. Maar ze bezitten de technologie NIET dat JOUW data in de gaten houdt. Het weet totaal niet of je data versleuteld raakt, kennen geen verschil tussen een normaal document en een versleuteld document. Daarbij, Defender ATP komt veelal gratis bij Windows enterprise-licenties en bied een uitgebreid dashboard, maar het beschikt TOTAAL niet over echte anti-ransomware.

En ook, er wordt te veel geïnvesteerd in het decentraal loggen van alles wat er op machines gebeurt; dat is wat de industrie denkt te moeten en is niet wat klanten willen (maar wordt opgedrongen). De laatste jaren is er gewoon te veel geïnvesteerd in loggen en te weinig in bescherming. Ook daarom gaat ransomware niet meer weg.
Bij eigenlijk alle ransomware-incidenten is een aanvaller wel opgemerkt door de beveiligingsoplossing maar werd er niet op geacteerd, veelal omdat het 's nachts is.
Heb je een betrouwbare bron voor dze stelling?
Je hebt gelijk, vaak ziet de beveiligingssoftware helemaal niks omdat het niet op de machine was geinstalleerd waarvan de aanval plaatsvond. Klanten beknibbelen nogal eens ;)

Er zijn bijna altijd detecties en in gepubliceerde rapporten van incidenten bij publieke instanties kun je dit ook terugvinden:
  • Maastricht, waar McAfee een melding gaf, om 7 minuten voor 18u, als IT achter de boerenkool zit: https://www.maastrichtuni...universiteitmaastrichtpdf
  • Hof van Twente: "Signalen. De gemeente Hof van Twente beschikt ten tijde van de aanval over meerdere softwareoplossingen om kwaadaardige software te herkennen. Deze heeft gefunctioneerd en herhaaldelijk bestanden verwijderd en in de logboeken melding gemaakt van kwaadaardige software. In een aantal gevallen heeft de software de malware niet kunnen verwijderen of niet verwijderd, maar wel herkend". Meer: https://www.hofvantwente....e-goed-van-vertrouwen.pdf
  • Gemeente Buren, waar McAfee om 6 over 8 's avonds Cobalt Strike detecteert maar niet ingrijpt: https://openpub.buren.nl/...r_Report_v3.0_Publiek.pdf
  • Ransomware-aanval Ierse gezondheidszorg: "There were several detections of the Attacker’s activity prior to 14 May 2021, but these did not result in a cybersecurity incident and investigation initiated by the HSE and as a result opportunities to prevent the successful detonation of the ransomware were missed". Meer: https://www.hse.ie/eng/se...n-the-hse-full-report.pdf

[Reactie gewijzigd door mloman op 13 januari 2023 13:25]

Advocaat van de duivel: Hoe zou het zijn om crypto te verbieden? Dan ontneem je de mogelijkheid van betalen.
Advocaat van de duivel: Hoe zou het zijn om crypto te verbieden? Dan ontneem je de mogelijkheid van betalen.
Dan moet je dat verbod wel uit kunnen voeren. De legale handel in crypto verbieden lukt misschien nog wel maar we hebben het hier toch al over criminelen die de wet breken, die laten zich niet tegenhouden door een verbod op crypto. Het zou de slachtoffers alleen maar dwingen om zelf de wet te overtreden (door toch crypto te kopen) en vervolgens kunnen ze geen proffessionele hulp meer krijgen want ze zijn opeens zelf "cybercrimineel" geworden en dus willen de grote security bedrijven je niet als klant want dat is slecht voor hun reputatie.
Als je de manier van betalen zou kunnen verbieden vindt men wel andere manieren. Het is niet alsof dit soort aanvallen niet bestonden in de tijd voordat er crypto was.

Kan je even 10 miljoen in biljetten van 5 euro in 2 zwarte vuilniszakken dumpen op tijdstip X op locatie Y. Geen politie, geen tracker of we vernietigen de decryptiesleutel.
Het zou als een daad van terrorisme moeten worden gezien.
Het betalen van losgeld is daarmee dan eigenlijk ook hetzelfde geworden als het financieren van terroristen.

En die "LockbitSupport" heeft ook boter op z'n hoofd zeg. "Nee wij zijn het niet, het is een klant van ons die onze tools gebruikt om de boel te versleutelen om mensen af te persen"
Het zou als een daad van terrorisme moeten worden gezien.
Nee, want dat doet afbraak aan het woord terrorisme. De motivatie van dergelijke ransomware is geld. Het doel is niet maatschappelijke ontwrichting, politieke besluitvorming te beïnvloeden, etc. Dat soort zaken kunnen in bepaalde gevallen een resultaat zijn, maar dat lijkt zeker niet het doel.

Je zou het betalen van losgeld kunnen zien als het financieren van criminaliteit, en via die weg verboden kunnen maken.

[Reactie gewijzigd door The Zep Man op 13 januari 2023 08:55]

Deels kan ik meegaan in je (heldere) uitleg.
Echter in dit geval legt het een dusdanig cruciale dienst plat waardoor je eigenlijk een heel land kunt ontwrichten.
Dus in die zin is het wel zwaarder dan "crimilaliteit".
Wat nou als je met dit soort acties echt cruciale zaken zoals dijkbewaking plat zou gooien (even aangenomen dat het ook echt zou lukken, want mag toch aannemen dat die niet met de buitenwereld zijn verbonden) en er komen echt mensen te overlijden?
Dan zou de intentie wellicht niet kunnen zijn om een maatschappij te ontwrichten en te destabiliseren, maar dat is dan toch wel zeker het gevolg van je actie.
Op het moment dat zo'n ransomware groep door heeft welk soort bedrijf ze te pakken hebben -wat duidelijk het geval is hier- en ze gaan er mee door, dan is op dat moment de originele intentie niet meer van toepassing lijkt mij.
Dan is het slachtoffer wellicht niet bewust gekozen, maar de beslissing om door te zetten is dat zeker wel.
Deels kan ik meegaan in je (heldere) uitleg.
Echter in dit geval legt het een dusdanig cruciale dienst plat waardoor je eigenlijk een heel land kunt ontwrichten.
Royal Mail is een beursgenoteerd bedrijf en er zijn concurrenten. Zo cruciaal is de dienstverlening van een enkele partij niet.
Wat nou als je met dit soort acties echt cruciale zaken zoals dijkbewaking plat zou gooien (even aangenomen dat het ook echt zou lukken, want mag toch aannemen dat die niet met de buitenwereld zijn verbonden) en er komen echt mensen te overlijden?
Dat maakt het nog geen terrorisme. Hooguit iets van moord/doodslag.

Met terrorisme is het doel belangrijk. Het doel van ransomware is niet om delen van een land onderwater te zetten. Dat kan nog steeds de uitkomst zijn, en voor die gevolgen moet zeker verantwoording afgelegd worden (die best wel eens zwaar kan zijn, gezien de schaal in deze hypothetische situatie). Het valt simpelweg niet onder terrorisme.

[Reactie gewijzigd door The Zep Man op 13 januari 2023 09:12]

Royal Mail is de Britse variant van PostNL en net zoals PostNL hebben zij ver uit het grootste aandeel van de post in handen. Ja er zijn concurrenten, maar die zijn niet zomaar in staat het stokje even over te nemen als die giganten vallen.
Te gemakkelijk. Ik vind het aanvallen van ziekenhuizen, universiteiten, postbedrijven, noem het maar op... zodanig ontwrichtend terwijl het "geld vragen" maar één mogelijke uitkomst is, maar de aangerichte schade (bij betaling of niet) meestal onherstelbaar is. In Nederland zijn er zo'n 15 ziekenhuizen die zo'n 14.000 hartoperaties uitvoeren per jaar. Gemiddeld genomen dus 3 per ziekenhuis per dag. Een ransomware -aanval dat een paar weken voortduurt maakt tientallen slachtoffers en kost kapitalen. En dan heb ik het alleen nog over Nederland. Je zou bijna zeggen dat het woord terrorisme afbreuk doet aan dit soort laag bij de grondse aanvallen m.b.v. ransomware. En die organisatie die Ransomware As A Service aanbiedt is nog verachtelijker.
Of je pakt de betaalmethode aan. Een dergelijke aanval is een stuk lastiger als je je losgeld in een zak cash moet ontvangen of naar een rekeningnummer moet worden overgemaakt in plaats van crypto.
Dus waarom zouden ze die andere betaalmethoden accepteren? Kiezen voor een methode die (een groter) risico heeft getraceerd en opgepakt te worden is wel heel erg dom.

Daarnaast zijn crypto's helemaal niet zo anoniem als mensen denken, het is gebaseerd op een publieke ledger, iedereen kan (in theorie) alle transacties volgen. Je moet heel veel moeite doen om het 'geld' uiteindelijk te cashen/wit te wassen. Zeker met grote bedragen zoals waar het hier om gaat.
Net als bij ontvoeringen zal de slachtoffer-partij er toch meestal voor kiezen te betalen (en dit niet te bevestigen en/of de hoogte van het betaalde bedrag.)
Dan nog zullen er hackers blijven die dit soort geintjes uithalen. Hetzij voor de fun, dan wel om te boel te destabiliseren.
Het zou derhalve bij wet verboden moeten worden om te betalen bij een ransomware aanval.
Nee, dat moeten we niet doen want dan gaan we slachtoffers criminaliseren en het moeilijker maken om hulp te krijgen.

Geen enkel bedrijf zal zich aan die wet houden als dat betekent dat het bedrijf failliet gaat. Dan accepteren ze de straf wel als ooit uitkomt dat ze stiekem hebben betaald. Dat is nog altijd beter dan geen bedrijf meer hebben.

Bij organisaties als ziekenhuizen of het waterleidingbedrijf is failliet geen niet eens een optie want er vallen al snel doden.

Bij losgeld is het altijd zo dat de aanvaller het bedrag zo kiest dat het een no-brainer is om te betalen. Niemand wil criminelen belonen dus als het even kan zal niemand betalen, zelfs als dat iets duurder is. Dat weten de aanvallers ook. Het losgeld is dus altijd een schijntje in vergelijking met de kosten die je moet maken om het op een andere manier op te lossen.

Alleen de meest principiele en rijke partijen kunnen het zich permitteren om niet te betalen. Het is niet heel anders dan een pistool tegen je hoofd, er valt niet echt iets te kiezen.

[Reactie gewijzigd door CAPSLOCK2000 op 14 januari 2023 12:16]

Het is niet heel anders dan een pistool tegen je hoofd, er valt niet echt iets te kiezen.
Als iemand mij een pistool tegen het hoofd zet daag ik ze uit te schieten, in beide gevallen lopen ze weg met niets maar bij schieten ook nog met een misdaad er bij. Succes daarmee.
Geld lijkt me mooi meegenomen, het hoofddoel zal toch echt zijn om gewoon schade aan te richten. Dat ga je niet tegenhouden met een "niet betalen" regel.
Hopelijk steekt de Royal Mail zijn grote dikke middelvinger op tegen dit gespuis.
Dan duurt het maar wat langer voordat het pakketje bezorgd is...
Tja, leuk in de theorie maar in de praktijk kun je als bedrijf natuurlijk niet je dienstverlening een hele week stilleggen. Los daarvan is het economisch veel gunstiger om gewoon te betalen met als gevolg/risico dat je dit vaker gaat overkomen (of zorgen dat je je spullen nog beter op orde hebt).

Om dit te soort aanvallen minder aantrekkelijk te maken zouden bedrijven zich beter moeten wapenen. Goede (read only) back-ups en makkelijk opnieuw uitrolbare systemen zouden al flink stuk helpen. Zou toch mooi zijn als je zo'n losgeldbrief kunt beantwoorden met "Leuk geprobeerd maar we zijn al weer up-and-running".
Goede (read only) back-ups en makkelijk opnieuw uitrolbare systemen zouden al flink stuk helpen
Het probleem zit hem met dit soort bedrijven vaak in het felt dat zij voornamelijk met kortetermijndata werken.
Poststuk wordt op dag 1 ingescand en op dag 2 à 3 uitgeleverd.
Als je op dag 1.5 niet meer bij je data kan, ben je dus de registratie van al je pakketjes die ‘onderweg’ (als in tussen ingescand en uitgeleverd) zijn kwijt. Dan zouden ze bijvoorbeeld iedere 5 minuten een dump moeten maken naar een read-only backup. En dan nog weet je niet meer welke fysieke pakketjes je wel of niet kent. Afhankelijk van het moment van de activering is het meer of minder gedoe. En ook de termijn waarop je er achter komt is heel erg van belang.

Uiteraard technisch mogelijk maar lang niet makkelijk te implementeren.

Herinstallatie van systemen is tegenwoordig al zelden meer een probleem.
Of terug naar je core business. Twintig jaar geleden waren al die systemen die nu down zijn, er ook niet en toch lukte het toen wel om poststukken naar het buitenland te versturen.

Wat in dit soort gevallen helpt is om je organisatie erop voor te bereiden dat er een keer zo'n ransomware zal plaatsvinden, en dan na te denken welke systemen en functies je kunt afschalen om toch een basis dienstverlening overeind te houden.

Hier lees ik dat het probleem zit in het voorbereiden van pakketjes en het volgen daarvan nadat ze in het buitenland zijn aangekomen. De postwet eist tegenwoordig track-and-trace voor pakketjes in het kader van fraudebestrijding, maar in een uitzonderlijke situatie als deze zou je volgens mij best mogen terugvallen op 'dom' pakketjes en brieven overdragen aan de juiste buitenlandse vervoerder, zonder dat je ze kunt traceren. Het voortgaan van die primaire communicatie en logistiek kan best opwegen tegen de fraudebestrijding die daardoor even wat moeilijker wordt.

ICT faalt en wordt gehackt, dat is een uitgangspunt. Alleen worden veel wetten, regels en ontwerpen nog gebaseerd op de happy flow, waardoor de hele keten tot stilstand komt als er één schakel uitvalt. Ik hoop nog mee te maken dat ontwerpen en regels expliciet beschrijven hoe moet worden omgegaan met een unhappy flow, maar wat ik in mijn omgeving zie is daar nog ver van weg.
Deels heb je natuurlijk gelijk, en daar zouden (fatsoenlijke!) BCM plannen goed uitgewerkt moeten worden, en niet alleen met de ICT bril, maar juist met de gebruiker/klant. Ik heb er een aantal mede geholpen uit te werken, en het is zeker niet gemakkelijk, want je moet keuzes maken wat nu werkelijk belangrijk.

Eén onderdeel wat we wel heel veel tegenkomen als we teruggrijpen naar procedures van 20/40 jaar geleden dat er zovéél handwerk in zat, dat de bezetting tegenwoordig echt zoveel lager en efficiënter is geworden door de invoering van ICT in de processen dat dat geen optie meer is. Je hebt geen leger mensen meer om de pakketten handmatig te sorteren en in te laden in de juiste container.

Wat bijvoorbeeld wel kan, is nadenken welke clubs je kan opschakelen. Je zou alle pakketjes in een zeecontainers naar Leidschendam kunnen verschepen, en dan weer eens verder kijken. Kosten regelen we dan later wel, maar je moet al afspraken hebben wie je kan inschakelen.
20 jaar geleden waren die systemen er inderdaad niet, maar “toen lukte het wel” is een beetje te simpel. Toen lukte het zeker niet om de huidige aantallen pakketten te versturen met het huidige tempo voor de huidige prijzen.

Het volume is enorm gestegen de afgelopen 20 jaar door de ontwikkelingen op het internet. De concurrentie tussen de pakketbezorgers is enorm, wat er voor zorgt dat die enorme hoeveelheden pakketten ook nog eens voor een laag bedrag verstuurd moeten worden. Bovendien verwacht men ook nog eens dat het er allemaal heel snel is.

Dat kan alleen dankzij de automatisering. Een goed plan maken hoe het moet als de systemen uitvallen is inderdaad belangrijk, maar een dergelijk plan zonder enige systemen is ondenkbaar. Je moet dus zorgen voor goeie backup systemen en de boel snel weer up & running hebben. Zonder automatisering dit doen is zoiets als proberen een kanaal te graven met scheppen. Ja dat kon ooit, maar reserve graafmachines zijn een beter backup plan als de normale machines het niet doen.
Klinkt leuk. Maar het gaat niet om 1 pakketje. Royal Mail "doet" ongeveer 1,5 miljard parcels per jaar. 4 miljoen per dag. Als je die niet kunt verwerken loopt het binnen een paar weken helemaal in het honderd.
De kans is niet uit te sluiten dat het met medewerking van medewerkers van de Royal Mail zelf is.

Die wordt al jaren uitgehold hoofdzakelijk tbv winst en protesteren al structureel al enkel maanden.

Het kan ook dat iemand zo gefrustreerd is dat die zijn pakketje weer niet heeft gekregen en de boel daar plat is gaan leggen.
Ik zou toch zeggen dat er iets tegen dit soort versleutelen iets gedaan moet kunnen worden? De kernel en driver icm de hardware moeten het toch op de een of andere manier moeten kunnen herkennen? Het lijkt me dat het feit dat dit soort zaken mogelijk is, dat er nog ergens iets teveel open staat en/of dat je nog te gemakkelijk in een bepaald proces kunt inhaken/tussenkomen.
Het probleem is dat je de boel niet helemaal kunt dichttimmeren. Als klant willen we op zoveel mogelijk locaties onze pakketjes kunnen brengen en afhalen, we willen online de status kunnen zien en meer van dat soort dingen. Dat soort extra services vergroot de attack surface. Net zoals het waarschijnlijk mogelijk is om via deze site uiteindelijk DPG Media aan te vallen is (als je maar lang genoeg probeert).
Maar ergens meot een lek zitten, als bedrijven nou zichzelf gaan proberen aan te vallen dan kan je dat lek vinden voordat iemand anders het vindt. Maar of jij als Royal Post 50 man wil aannemen om constante penetration tests te gaan doen is een andere vraag. Ben je bereid offline te gaan als je echt een lek is? Heb je dan meteen 10x zoveel telefonisten om klanten te helpen?

Alle antwoorden zijn nee :)
Hmmm... kijk eens naar de reacties van (teveel) mensen toen Microsoft "verplichtte" om vanaf windows 11 TPM 2.0 te moeten gebruiken. Gemak gaat boven veiligheid. 8)7
Er is een verschil tussen bedrijven en consumenten.
Ja. Bedrijven worden geleid door mensen. En security is maar één aspect waar rekening mee moet worden gehouden in de begroting. Uiteindelijk wordt er altijd een compromis gesloten. En precies op dat punt kan het pijn gaan doen.
Security wordt echt gedreven door toezichthouders. In de industriele automatisering heeft geen enkel bedrijf hier echt zin in. Behalven de bedrijven die de afgelopen jaren zijn getroffen. ik dat dat in meer da 95% van de gevallen de IT Security een afterthought is als ik bij een klant zit. Uiteindelijk willen ze dat hun fabriek zo goedkoop mogelijk draait. Ransomeware (of andere aanvallen) is toch redelijk zeldzaam en een probleem voor het operationele team.
hierom moet je als bedrijf een goed afgesloten backup systeem moeten hebben
je disaster recovery procedure opstellen EN regelmatig testen! aan een plan heb je niets als het niet werkt.
een netwerk level anti-malware solution draaien, zodat het op netwerk niveau al gedecteerd en rereageerd word zodat een infectie niet meteen je hele netwerk platlegt, of een infectie weken ongemerkt kan draaien en daardoor alsog je back-ups infecteren

en gewoon meteen rollbacken als je gehit bent. iedereen kan geraakt worden. het enigste wat je kan doen is goed voorbereid zijn, en meteen reageren volgens een duidelijke prcedure als het gebeurt
En hoe zorg je ervoor dat de backup gegarandeerd schoon is en redelijk up-to-date. Besmetting kan lang van te voren plaats vinden. Dat kan je natuurlijk nog oudere backups restoren maar is dat dan nog wel werkbaar?

En meteen rollbacken kan nog grotere schade aanrichten als je niet eerst goed hebt onderzocht wat er aan de hand is.
een netwerk level anti-malware solution draaien, zodat het op netwerk niveau al gedecteerd en rereageerd word zodat een infectie niet meteen je hele netwerk platlegt, of een infectie weken ongemerkt kan draaien en daardoor alsog je back-ups infecteren
staat er gewoon in.
En meteen rollbacken kan nog grotere schade aanrichten als je niet eerst goed hebt onderzocht wat er aan de hand is.
een rollback is je systeem terug zetten naar een eerdere nog goed werkende staat, dus dat zou geen problemen moeten opleveren, tenzij:
1. deze eerdere staat dus niet goed is, i.e test beleid niet goed op orde is of niet gevold is
2. de rollback zelf technisch faalt, i.e testbeleid niet op orde was of niet gevolgd is.

van te voren altijd je beleid en procedures testen zodat je weet dat ze werken wanneer je ze nodig hebt
Precies! Menigen vergeten dat een schone backup van een maand, kwartaal, jaar oud terugzetten ook onwenselijk kan zijn voor een bedrijf, verlies van recentere relevantere data inhoudt en een flinke schadepost kan opleveren. Het is een maatregel om op terug te vallen, maar geen oplossing voor recente data en gegevens die verloren zullen gaan bij een restore. En aangezien recente data vaak belangrijker is dan gearchiveerde data...

[Reactie gewijzigd door conces op 13 januari 2023 11:32]

het blijft vreemd dat men nu ineens dan ook niet meer zonder het computersysteem kan werken (en alsnog de post kan versturen (oldskool)).

en dat er blijkbaar geen backups zijn die teruggezet kunnen worden en dat het weer werkt....het lijkt best wel amateuristisch te werken aldaar (weet niet of t hier beter is hoor)

Elk bedrijf weet toch dat je elk cruciaal computersysteem dagelijks een backup laat draaien die je in zijn geheel kan terugzetten!?

Consumenten wordt geadviseerd belangrijke data te backuppen, waarom worden bedrijven niet verplicht dit te doen om de dienstverlening te garanderen?
er geld altijd voorkomen is beter dan genezen en aan de voorkant moet je de juiste prioriteiten stellen, back-up en archief is het laatste resort maar moet wel goed in elkaar zitten anders heb je er idd niks aan...randsomeware valt altijd ook je back-up strategie aan...
niet als er gewoon een externe backup in roullatie is die wekelijks mee routeert...er zijn altijd wegen te bedenken om hier niet tegenaan te lopen.

Het verbaasd me gewoon dat zoveel bedrijven hier nog door getroffen worden en er weken of langer last van hebben. De Core van een bedrijf moet toch heel snel te fixen zijn, desnoods met volledig nieuwe installs. We hebben het hier niet over kleine bedrijfjes maar over hele grote organisaties.
Mee eens ..Je werkt tegenwoordig o.a. ook met snapshots die voor snel back-up en herstel kunnen plaats vinden van recente data die vervolgens direct een replica over sturen naar datacentrum (geolocatie proof..ivm brand/ramp bv ) en een kloon kopie direct klonen die je dagelijks of wat nodig is air-gapt, fysiek uit het netwerk haalt en een wisselmedium rouleert, altijd de nieuwste data beschikbaar .... en in geval ransomeware die bv 9mnd in je data zit kun je dit in een sandbox afgesloten omgeving onderzoeken let wel kost tijd en is specialisten werk, maar je hoeft niet te betalen want je hebt al je data nog... dit is vaak bij veel bedrijven zelfs gerenommeerde nog steeds niet het geval en blijft ondergeschoven kindje/prioriteit.. ect. ect. de grootste schade van ransomeware is vaak de downtime vd betreffende company en uiteraard de imago schade..

[Reactie gewijzigd door COMEX op 13 januari 2023 16:14]

70% vd bedrijven heeft zijn data archieven, back-up sw niet als prioriteit goed op orde, maar veelal als sluit post op de begroting, vooraf investeren in bijv. een airgapped systeem (met of zonder WORM) voor data en back-up kan al veel schade beperken omdat je je data dan altijd terug kunt zetten (in een sandbox omg. bv om alle ransomware eruit te halen) om vv terug te zetten ( duurt uiteraard altijd paar dagen), maaar toch hoef je in zo'n geval geen losgeld te betalen omdat je je data altiid nog fysiek in de kluis hebt liggen ( of onder je bed als CEO) slaapt best rustig..

[Reactie gewijzigd door COMEX op 13 januari 2023 09:26]

Backup terug zetten is ook berg werk als je beetje bedrijf hebt, kost je snel paar weken. Daarnaast moet je nog maar hopen dat je (recente) backups niet besmet zijn. Dan moet je ook nog zorgen dat je hardware schoon is, wat ook behoorlijk wat werk is. En je moet ook nog uitzoeken hoe ze binnen gekomen zijn, zodat ze het kunstje niet gewoon herhalen. Komt al snel neer op je hele IT omgeving vanaf de grond aan opbouwen en alles binneste buiten moet keren. En als je niet betaald wordt data tegenwoordig gewoon verkocht aan een andere partij die er wel interresse in heeft.
Helemaal met je eens echt oldskool style.
De britse Royal Mail is al jaren in een desolate toestand. Zie bijvoorbeeld deze docu: https://www.youtube.com/watch?v=IgIkfetsnVI De laatste jaren is er een chronische onderbetaling van personeel.

Het zal mij niet verbazen als het gemiddelde onderbetaalde personeelslid zoiets heeft van "ik volg de procedure" en voor de rest "not my problem".

Maar goed, ze zullen wel een vloot consultants inhuren om de boel op te starten, wat extra "are you sure" vragen inprogrammeren en tevreden hun bonussen opstrijken.
wordt iedereen onderbetaald, of alleen het personeel in de sorteercentra/op straat? Volgens mij kan je bij PostNL prima verdienen als je op het hoofdkantoor zit. Zelfde geldt voor Ahold, Picknick, Amazon.
Het zal wel lastig worden om deze gasten te pakken als ze daadwerkelijk in Rusland zitten, maar weer een groot bedrijf/instantie die wordt aangepakt. Het is hopen voor de post dat de decryptor er al is voor die LockBit ransomware, anders is het of van scratch beginnen (corrupte backups o.i.d.) of gewoon de afpersings fee te betalen zodat alles weer draait. En natuurlijk hopen dat er geen windows XP of oudere windows server edities meer draaien op de kritieke systemen :+ https://www.nomoreransom.org/en/decryption-tools.html in de gaten houden maar deze ransomware variant is helaas nog niet gekraakt zo te zien.
Ik weet dat er geen andere ideologie achter zit dat puur geld verdienen door afperserij, maar de ontwrichtende gevolgen lijken toch wel erg veel op terrorisme.
Misschien moeten er ook middelen tegen ingezet worden die voor terrorismebestrijding gebruikt worden. Dus opsporingsmiddelen die net iets verder gaan dan die voor normale criminelen. Een special forces team dat je van je bed komt lichten, ook wanneer je je ergens bevindt waar ze niet per se jurisdictie hebben. En een black site waar je vastgehouden wordt tot je alle schade hebt hersteld (voor zover mogelijk) en al je handlangers er bij gelapt hebt.
Zodra de geruchten over beginnen te circuleren zal het snel afgelopen zijn met deze ongein, want bij dit soort criminaliteit gaat het vooral om het gemak van veel geld verdienen vanuit de anonimiteit, met een vrijwel te verwaarlozen pakkans.


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee