'Britse Royal Mail is getroffen door Lockbit-ransomware'

De Lockbit-ransomwarebende zit achter het 'cyberincident' van de Britse postdienst Royal Mail. Dat melden meerdere media. Door de problemen kan het bedrijf geen post meer buiten het Verenigd Koninkrijk sturen.

Een bron die betrokken is bij het onderzoek zegt tegen BBC dat het om de Lockbit-ransomware gaat. De hackers zouden naar verwachting miljoenen willen van het postbedrijf. Het bedrijf wilde niet bevestigen dat het om ransomware gaat en waarschuwt dat er nog geen einde in zicht is als het gaat om de postproblemen.

Bleeping Computer zegt de losgeldbrief te hebben ingezien en dat printers van het postbedrijf deze vanzelf printen. Dit medium heeft ook contact opgenomen met LockbitSupport, een vertegenwoordiger van Lockbit. Die ontkent de Royal Mail te hebben aangevallen. In plaats daarvan zou een andere partij een uitgelekte ransomwarebuilder van Lockbit gebruiken. In de losgeldbrief zou gelinkt worden naar Lockbits Tor-site.

De postdienst maakte woensdag bekend te zijn getroffen door een 'cyberincident' waardoor post niet langer buiten het Verenigd Koninkrijk gestuurd kan worden. Post binnen het land werkt nog wel, post naar het land gaat met vertraging. De problemen liggen bij het systeem dat wordt gebruikt om post voor te bereiden voor zending naar het buitenland, en om die buitenlandse post te kunnen volgen. Royal Mail werkt onder meer samen met de Britse overheid om de problemen op te lossen.

Door Hayte Hugo

Redacteur

Feedback • 13-01-2023 08:23 87

13-01-2023 • 08:23

87

Lees meer

Ransomwaregroep Lockbit claimt ransomwareaanval op fastfoodketen Subway
Ransomwaregroep Lockbit claimt ransomwareaanval op fastfoodketen Subway Nieuws van 22 januari 2024
Lockbit zet gestolen data Noord-Brabantse zorgverlener online
Lockbit zet gestolen data Noord-Brabantse zorgverlener online Nieuws van 20 april 2023
Hackers delen paspoorten van werknemers van gehackte ouderenzorginstelling
Hackers delen paspoorten van werknemers van gehackte ouderenzorginstelling Nieuws van 7 maart 2023
Britse Royal Mail kan door 'cyberincident' geen internationale post meer sturen
Britse Royal Mail kan door 'cyberincident' geen internationale post meer sturen Nieuws van 11 januari 2023
LockBit-hackers bieden gratis ransomwaredecryptor aan voor kinderziekenhuis
LockBit-hackers bieden gratis ransomwaredecryptor aan voor kinderziekenhuis Nieuws van 3 januari 2023
Lockbit eist ransomwareaanval op Portugese haven op
Lockbit eist ransomwareaanval op Portugese haven op Nieuws van 1 januari 2023
Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie
Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie Nieuws van 6 december 2021
Ict-leverancier Accenture is hersteld van korte Lockbit-ransomwareaanval
Ict-leverancier Accenture is hersteld van korte Lockbit-ransomwareaanval Nieuws van 12 augustus 2021
Meer producten en artikelen
Beveiliging en antivirus Lockbit Ransomware Verenigd koninkrijk

Reacties (87)

-Moderatie-faq
87
85
70
5
0
9
Wijzig sortering
911GT2 13 januari 2023 08:28
Er is maar een oplossing tegen dit soort aanvallen en dat is ze niet lonend maken. Het zou derhalve bij wet verboden moeten worden om te betalen bij een ransomware aanval.
Anoniem: 454358 @911GT213 januari 2023 08:31
alleen is het dan zo maar mogelijk dat bedrijven omvallen. Als alle data weg is, kunnen veel bedrijven gewoon niets meer.
Als er dan honderden of zelfs duizenden banen op het spel staan is dat een lastige keuze.
The Zep Man
@Anoniem: 45435813 januari 2023 08:32
alleen is het dan zo maar mogelijk dat bedrijven omvallen. Als alle data weg is, kunnen veel bedrijven gewoon niets meer.
Een bedrijf bestaat omdat er een vraag is vanuit de markt. Als een bedrijf plots weg is (waarschijnlijk overgenomen en beginnen met een schone lei, of concurrentie die uitbreidt door het gat in de markt te vullen), dan wordt die vraag wel opnieuw ingevuld, en daarmee het benodigde aantal banen. Voor de Royal Mail zie ik de situatie niet zo somber in, want het is niet alsof de vraag naar internationale post plots minder wordt.

Als er in de nieuwe situatie minder banen nodig zijn, dan waren de verdwenen banen al overbodig. Werken enkel om te werken is geen goede reden om maar banen in stand te houden.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:44]

Tijgert @The Zep Man13 januari 2023 09:30
Als mijn baas daardoor zou omvallen heb ik toch liever dat hij betaalt en ik mijn baan niet kwijt raak. De gevolgen voor mijn familie zijn te groot als ik ontslagen zou worden en ik zelfs mijn huis kan kwijt raken. Leuk die theoretisch heldhaftige houding, minder leuk voor mensen die er slachtoffer van worden.
Frame164 @Tijgert13 januari 2023 10:46
Dat is wel een goede reactie. Er wordt hier heel vaak geroepen dat een bedrijf wel mag verdwijnen of omvallen (denk aan hoe sommigen hier over Facebook e.d. praten), maar daarbij wordt vergeten dat er bij bedrijven ook gewoon mensen werken.
unglaublich @Frame16413 januari 2023 22:32
Bedrijven om die reden overeind houden is niets anders dan een vorm van sociale zekerheid die dan net zo goed direct door de overheid gegeven kan worden…. Zoals het nu al gebeurt eigenlijk.
Anoniem: 454358 @The Zep Man13 januari 2023 08:40
dat is wel een heel theoretische opvatting.
Als een bedrijf als volkswagen omvalt, dan komt daar niet zo maar een gelijke vervanger voor. Maar gaan mensen auto;'s uit china kopen bijvoorbeeld.

En vergis je ook niet hoe veel banen overbodig zijn. Dat is bijv. bij een bedrijf op een gegeven moment zo gegroeid, maar zou bij een nieuwe start door bijvoorbeeld betere automatisering niet meer nodig zijn.
Frame164 @Anoniem: 45435813 januari 2023 10:45
Het zou niet zo moeten zijn dat een bedrijf niet om mag vallen omdat een nieuwe variant met minder mensen toe kan. Als organisatie zou je altijd moeten streven om met zo min mogelijk mensen en middelen te werken. Ongeacht of het commercieel is of niet. Het is een verspilling van mensen en middelen als die niet efficient worden ingezet.
sanniep9 @Frame16413 januari 2023 12:25
Het zou niet zo moeten zijn dat een bedrijf niet om mag vallen omdat een nieuwe variant met minder mensen toe kan. Als organisatie zou je altijd moeten streven om met zo min mogelijk mensen en middelen te werken. Ongeacht of het commercieel is of niet. Het is een verspilling van mensen en middelen als die niet efficient worden ingezet.
Dit is wel erg kort door de bocht.
Bedrijven hebben ook een maatschappelijke functie/verantwoordelijkheid. Zeker die een omvang hebben als Volkswagen.
Niet alles moet gericht zijn op winst/aandeelhoudersmaximalisatie en gelukkig is dat ook niet zo.
Het is goed dat dit soort bedrijven ook een plek bieden voor mensen om bijvoorbeeld te (re)integreren in het arbeidsproces of aan mensen die geestelijk/fysiek minder bedeeld zijn.
unglaublich @sanniep913 januari 2023 15:43
Jawel, alles moet gericht zijn op winst/aandeelhoudersmaximalisatie.

En het is aan de overheid om er voor te zorgen dat maatschappelijk ongewenst gedrag financieel wordt afgestraft.

Bijvoorbeeld door een emissietaks.
Bijvoorbeeld door subsidie voor het aannemen van beperkte mensen.

Juist door grote bedrijven te "vertrouwen" dat ze zich ethisch en verantwoord gedragen krijg je de meest schunnige praktijken, zoals je die nu al ziet: bedrijven die de slechtste invloed op de wereld hebben, hebben tegelijkertijd de grootste marketing praatjes over "netto 0", "duurzaamheid" en "gelijkheid".

Nee, juist door sociale en ethische belangen te vertalen naar directe financiele consequenties voor bedrijven heb je een keihard gereedschap in handen om bedrijven sociaal wenselijk gedrag te laten vertonen.
Deleon78 @unglaublich13 januari 2023 16:51
Jawel, alles moet gericht zijn op winst/aandeelhoudersmaximalisatie
Ik weet niet waar je dit op baseert. Er zijn verschillende soorten aandelen en dus ook aandeelhouders.
Aandeelhouders kunnen verschillende doelen hebben (waarvan korte termijn winstmaximalisatie er maar 1 is).

Dit is echt een hardnekkig misverstand / mythe, wat de basis is voor vele online betogen die daarmee veel waarde verliezen.
unglaublich @Deleon7813 januari 2023 22:29
Lees eens rustig.

Dit is niet mijn waarneming, maar mijn wens.

Wanneer maatschappelijke wenselijkheid in de winstgevendheid wordt teruggezien komt er eindelijk een einde aan het conflict tussen winst en ethiek.
Deleon78 @unglaublich13 januari 2023 23:50
Je bent niet de eerste die me hier op wijst. Dankjewel.
The Zep Man
@Anoniem: 45435813 januari 2023 08:44
dat is wel een heel theoretische opvatting.
Als een bedrijf als volkswagen omvalt, dan komt daar niet zo maar een gelijke vervanger voor. Maar gaan mensen auto;'s uit china kopen bijvoorbeeld.
Volkswagen is meer dan systemen die aangevallen kunnen worden dan ransomware. Het bedrijf zal nog steeds bestaan na een dergelijke aanval, mogelijk in een andere vorm. De waarde van Volkswagen zit niet in diens automatisering. Die is ter ondersteuning, en zelfs bij een faillissement is er voldoende resterende waarde om een doorstart te maken.
En vergis je ook niet hoe veel banen overbodig zijn. Dat is bijv. bij een bedrijf op een gegeven moment zo gegroeid, maar zou bij een nieuwe start door bijvoorbeeld betere automatisering niet meer nodig zijn.
Die banen zijn niet overbodig totdat er automatisering is. Enkel op weggeautomatiseerde banen gelet zie ik hier geen probleem mee. Dat minder banen door automatisering in het algemeen een maatschappelijk probleem is, vereist een maatschappelijke oplossing. Kunstmatig banen in stand houden voor werk dat geautomatiseerd kan worden is geen oplossing, maar slechts uitstel van executie.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:44]

Floor @The Zep Man13 januari 2023 08:56
Ik ben het deels met je eens maar wanneer je kijkt wat er gebeurde toen Maersk getroffen werd door NotPetya en de wereld handel in gevaar kwam, dan zie je dat je stelling niet zwart/wit is.
Darknet Diaries heeft daar een tweetal uitzendingen over die zeer de moeite waard zijn.
mphilipp @Floor13 januari 2023 09:36
Maar uiteindelijk is dit zelfs goed geweest voor Maersk. Ze hebben hun IT compleet op de schop genomen en konden inderdaad met een schone lei beginnen en hebben meteen het roer omgegooid zodat er geen wildgroei meer is van duizenden applicaties.

Ik heb alleen geen idee of dit allemaal nog banen heeft gekost, want dat is wel de keerzijde. Je kunt inderdaad heel theoretisch stellen dat zo'n bedrijf in een of andere vorm nog wel zal blijven bestaan, maar je spreekt dan wel over allerlei drama's in de gezinnen van de medewerkers. Er zijn heel veel mensen die niet zomaar meer een baan vinden. Ook de onzekerheid is voor velen erg naar. Dus zo droog zou ik er niet naar durven kijken, ook al klopt het in theorie.
Blokker_1999
@The Zep Man13 januari 2023 09:08
Dat is wel een heel eenvoudige stelling. Als een bedrijf omvalt kan dat zelfs een domino effect hebben en kan het jaren duren voordat heel de keren opnieuw in balans is met ondertussen sterk prijsstijgingen tot gevolg.
Alxndr @The Zep Man13 januari 2023 09:19
Automarkt heeft het over de banen die op het spel staan, dan zeg jij in andere woorden 'die kunnen wel bij de concurrent aan de slag'. Vind je dat zelf ook niet te makkelijk?

Voordat de concurrent zo op kan schalen moet er eerst heel wat water door de Rijn. Bovendien doet het helemaal niets af aan de economische/financiële schade.
kdekker @The Zep Man13 januari 2023 09:20
Je reactie is wel eenzijdig. Werken is zo'n beetje de meest basale manier om je van inkomen te voorzien. Een land moet een rij werkenden hebben, omdat als niemand werkt, geen enkele regering inkomsten heeft. Dat is snel over.

Daarnaast: als iemand geen werk heeft, is een zinvolle besteding van je tijd niet onbeperkt mogelijk. Kortom; als het leger niet werkenden er stijgt, hou je facilitaire beroepen als psycholoog, dominee, dokter, advocaat, vuilnisman over ;-). Dat is natuurlijk gechargeerd, maar op die mensen kan geen land draaien.

Ik denk dat heel erg veel bedrijven op de een of andere manier serieus afhankelijk zijn van automatisering. Direct dan wel indirect. Als een bedrijf een 'gat in de markt' heeft, dan is bij omvallen ook niet zomaar een ander die in dat gat kan springen. Zeker niet als de nieuwe bedrijven ook weer geraakt kunnen worden door een ransomware aanval.

Dat ze eigenlijk niet betaald zouden moeten worden, is evident, maar als je als bedrijf geen keuze hebt, dan weet ik het zo net nog niet wat ik in zo'n situatie zou doen.
robertlinke @Anoniem: 45435813 januari 2023 09:47
er is verder ook geen enkele garantie dat betalen wel je data weer vrijgeeft.
en daarbij moet je zeker als een royal mail gewoon een goed back-up beleid hebben
Blokker_1999
@robertlinke13 januari 2023 19:14
Er zijn zo goed als geen voorbeelden te vinden van ransomware groepen die na betaling alsnog de decryptiesleutels niet geven. Als het wel gebeurd dan vangen ze de volgende keer als ze iemand aanvallen sowieso bot. Nieuws gaat snel rond bij experts van wie betrouwbaar is en wie niet.

En het tegenargument dat je dan krijgt is dat ze dan gewoon een andere naam aannemen. Maar zo eenvoudig is dat niet. Ik kan morgen hier op de site aankomen met een ander accont. Maar als ik mijn taalgebruik niet aanpas, mijn manier van reageren en waarop ik reageer niet aanpas, dan halen gedragsspecialisten mij er zonder probleem en zeer snel uit.
robertlinke @Blokker_199917 januari 2023 10:03
ok, dan het argument dat je ermee de criminaliteit betaalt
kodak
@Anoniem: 45435813 januari 2023 12:58
Te groot om te falen is vaak een valse conclussie. Als dat soort argumenten gebruikt worden dan hoort dat vooraf erkend te zijn. Anders is het niets meer dan achteraf excuus bedenken om het nemen van te veel risico in het voordeel van andere belangen als winst en slechte bedrijfsvoering proberen goed te praten. Het risico op omvallen is er niet pas na infectie, dat was er al. Dus hoe heeft Royal Mail hier vodoende gedaan om het gevolg te voorkomen. Voldoende als in zorgen dat betalen geen optie hoeft te zijn, voldoende als een acceptabel alternatief hebben als het toch mis gaat. Ik lees die niet gegeven zijn, dan zijn ze eerder dus ook niet te groot om te falen en criminelen te belonen.
batjes @Anoniem: 45435813 januari 2023 11:56
Dat niet alleen. Op deze wijze train je ook de verdediging tegen dit soort aanvallen. Ergens is het juist goed, anders zijn we niet voorbereid op een grootschalige digitale oorlog.
The Zep Man
@911GT213 januari 2023 08:30
Er is maar een oplossing tegen dit soort aanvallen en dat is ze niet lonend maken.
Dat lost de motivatie op voor aanvallen voor geld van slachtoffers, en daarom geen slecht idee. Wel zijn er meer motivaties, o.a. van hacktivisten, overheden, black hats die betaald worden door een ander om schade te doen, etc. De misbruikte kwetsbaarheden bestaan immers nog.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:44]

Alxndr @The Zep Man13 januari 2023 09:22
Als het doel schade aanrichten is gebruik je geen ransom software, maar delete je alles gewoon.

Ransomware heeft er juist baat bij dat ze zaken ook weer vrijgegeven, anders betalen mensen de volgende keer zeker niet.
MischaBoender @Alxndr13 januari 2023 11:26
Er wordt wel vaker een wiper vermomd als ransomware. In dit geval is dat dus ook mogelijk het geval:
The note also contains multiple links to the LockBit ransomware operation's Tor data leak sites and negotiation sites, including a 'Decryption ID' required to log in to chat with the threat actors.

However, BleepingComputer has been told by multiple security researchers that this "Decryption ID" does not work.

It is unclear if the ransomware gang deleted the ID after news of the circulating ransom notes or if they moved negotiations to a new ID to avoid scrutiny by researchers and journalists.

BleepingComputer reached out to LockBitSupport, the public-facing representative of the ransomware operation, and was told that they did not attack Royal Mail and they blamed it on other threat actors using their leaked builder.
mloman @911GT213 januari 2023 09:53
Dat gaat toch nooit gebeuren. De enige oplossing is dat bedrijven IT-beveiliging serieus gaan nemen. Als een netwerk eenmaal is geïnstalleerd kijkt er haast niemand meer naar om terwijl het 24 uur per dag actief management vereist. Bij eigenlijk alle ransomware-incidenten is een aanvaller wel opgemerkt door de beveiligingsoplossing maar werd er niet op geacteerd, veelal omdat het 's nachts is. Een detectie betekent niet dat het dan opgelost is. Vind de oorzaak, onderneem actie. Dat doet 99% van de bedrijven niet (niet hun core business, geen capaciteit, te duur, etc.)

En daarbij zegt elke beveiligingsoplossing bescherming te bieden tegen ransomware. Dat is gewoon NIET zo als het alleen gebaseerd is op Indicators of Breach (IoB), AV signatures en AI/machine learning. Je hebt een oplossing nodig dat vooral JOUW data in de gaten houdt en niet alleen let op een mogelijke aanvaller. Microsoft Defender, Crowdstrike, etc. kijken uit / worden getest op het vinden van een mogelijke boef en worden daarom door Gartner en MITRE gewaardeerd. Maar ze bezitten de technologie NIET dat JOUW data in de gaten houdt. Het weet totaal niet of je data versleuteld raakt, kennen geen verschil tussen een normaal document en een versleuteld document. Daarbij, Defender ATP komt veelal gratis bij Windows enterprise-licenties en bied een uitgebreid dashboard, maar het beschikt TOTAAL niet over echte anti-ransomware.

En ook, er wordt te veel geïnvesteerd in het decentraal loggen van alles wat er op machines gebeurt; dat is wat de industrie denkt te moeten en is niet wat klanten willen (maar wordt opgedrongen). De laatste jaren is er gewoon te veel geïnvesteerd in loggen en te weinig in bescherming. Ook daarom gaat ransomware niet meer weg.
Anoniem: 25604 @mloman13 januari 2023 11:59
Bij eigenlijk alle ransomware-incidenten is een aanvaller wel opgemerkt door de beveiligingsoplossing maar werd er niet op geacteerd, veelal omdat het 's nachts is.
Heb je een betrouwbare bron voor dze stelling?
mloman @Anoniem: 2560413 januari 2023 13:19
Je hebt gelijk, vaak ziet de beveiligingssoftware helemaal niks omdat het niet op de machine was geinstalleerd waarvan de aanval plaatsvond. Klanten beknibbelen nogal eens ;)

Er zijn bijna altijd detecties en in gepubliceerde rapporten van incidenten bij publieke instanties kun je dit ook terugvinden:
  • Maastricht, waar McAfee een melding gaf, om 7 minuten voor 18u, als IT achter de boerenkool zit: https://www.maastrichtuni...universiteitmaastrichtpdf
  • Hof van Twente: "Signalen. De gemeente Hof van Twente beschikt ten tijde van de aanval over meerdere softwareoplossingen om kwaadaardige software te herkennen. Deze heeft gefunctioneerd en herhaaldelijk bestanden verwijderd en in de logboeken melding gemaakt van kwaadaardige software. In een aantal gevallen heeft de software de malware niet kunnen verwijderen of niet verwijderd, maar wel herkend". Meer: https://www.hofvantwente....e-goed-van-vertrouwen.pdf
  • Gemeente Buren, waar McAfee om 6 over 8 's avonds Cobalt Strike detecteert maar niet ingrijpt: https://openpub.buren.nl/...r_Report_v3.0_Publiek.pdf
  • Ransomware-aanval Ierse gezondheidszorg: "There were several detections of the Attacker’s activity prior to 14 May 2021, but these did not result in a cybersecurity incident and investigation initiated by the HSE and as a result opportunities to prevent the successful detonation of the ransomware were missed". Meer: https://www.hse.ie/eng/se...n-the-hse-full-report.pdf

[Reactie gewijzigd door mloman op 22 juli 2024 14:44]

avlt @911GT213 januari 2023 12:09
Advocaat van de duivel: Hoe zou het zijn om crypto te verbieden? Dan ontneem je de mogelijkheid van betalen.
CAPSLOCK2000
@avlt13 januari 2023 13:37
Advocaat van de duivel: Hoe zou het zijn om crypto te verbieden? Dan ontneem je de mogelijkheid van betalen.
Dan moet je dat verbod wel uit kunnen voeren. De legale handel in crypto verbieden lukt misschien nog wel maar we hebben het hier toch al over criminelen die de wet breken, die laten zich niet tegenhouden door een verbod op crypto. Het zou de slachtoffers alleen maar dwingen om zelf de wet te overtreden (door toch crypto te kopen) en vervolgens kunnen ze geen proffessionele hulp meer krijgen want ze zijn opeens zelf "cybercrimineel" geworden en dus willen de grote security bedrijven je niet als klant want dat is slecht voor hun reputatie.
Blokker_1999
@avlt13 januari 2023 19:16
Als je de manier van betalen zou kunnen verbieden vindt men wel andere manieren. Het is niet alsof dit soort aanvallen niet bestonden in de tijd voordat er crypto was.

Kan je even 10 miljoen in biljetten van 5 euro in 2 zwarte vuilniszakken dumpen op tijdstip X op locatie Y. Geen politie, geen tracker of we vernietigen de decryptiesleutel.
TD-er @911GT213 januari 2023 08:42
Het zou als een daad van terrorisme moeten worden gezien.
Het betalen van losgeld is daarmee dan eigenlijk ook hetzelfde geworden als het financieren van terroristen.

En die "LockbitSupport" heeft ook boter op z'n hoofd zeg. "Nee wij zijn het niet, het is een klant van ons die onze tools gebruikt om de boel te versleutelen om mensen af te persen"
The Zep Man
@TD-er13 januari 2023 08:53
Het zou als een daad van terrorisme moeten worden gezien.
Nee, want dat doet afbraak aan het woord terrorisme. De motivatie van dergelijke ransomware is geld. Het doel is niet maatschappelijke ontwrichting, politieke besluitvorming te beïnvloeden, etc. Dat soort zaken kunnen in bepaalde gevallen een resultaat zijn, maar dat lijkt zeker niet het doel.

Je zou het betalen van losgeld kunnen zien als het financieren van criminaliteit, en via die weg verboden kunnen maken.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:44]

TD-er @The Zep Man13 januari 2023 09:01
Deels kan ik meegaan in je (heldere) uitleg.
Echter in dit geval legt het een dusdanig cruciale dienst plat waardoor je eigenlijk een heel land kunt ontwrichten.
Dus in die zin is het wel zwaarder dan "crimilaliteit".
Wat nou als je met dit soort acties echt cruciale zaken zoals dijkbewaking plat zou gooien (even aangenomen dat het ook echt zou lukken, want mag toch aannemen dat die niet met de buitenwereld zijn verbonden) en er komen echt mensen te overlijden?
Dan zou de intentie wellicht niet kunnen zijn om een maatschappij te ontwrichten en te destabiliseren, maar dat is dan toch wel zeker het gevolg van je actie.
Op het moment dat zo'n ransomware groep door heeft welk soort bedrijf ze te pakken hebben -wat duidelijk het geval is hier- en ze gaan er mee door, dan is op dat moment de originele intentie niet meer van toepassing lijkt mij.
Dan is het slachtoffer wellicht niet bewust gekozen, maar de beslissing om door te zetten is dat zeker wel.
The Zep Man
@TD-er13 januari 2023 09:08
Deels kan ik meegaan in je (heldere) uitleg.
Echter in dit geval legt het een dusdanig cruciale dienst plat waardoor je eigenlijk een heel land kunt ontwrichten.
Royal Mail is een beursgenoteerd bedrijf en er zijn concurrenten. Zo cruciaal is de dienstverlening van een enkele partij niet.
Wat nou als je met dit soort acties echt cruciale zaken zoals dijkbewaking plat zou gooien (even aangenomen dat het ook echt zou lukken, want mag toch aannemen dat die niet met de buitenwereld zijn verbonden) en er komen echt mensen te overlijden?
Dat maakt het nog geen terrorisme. Hooguit iets van moord/doodslag.

Met terrorisme is het doel belangrijk. Het doel van ransomware is niet om delen van een land onderwater te zetten. Dat kan nog steeds de uitkomst zijn, en voor die gevolgen moet zeker verantwoording afgelegd worden (die best wel eens zwaar kan zijn, gezien de schaal in deze hypothetische situatie). Het valt simpelweg niet onder terrorisme.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 14:44]

JakkoFourEyes @The Zep Man13 januari 2023 12:40
Royal Mail is de Britse variant van PostNL en net zoals PostNL hebben zij ver uit het grootste aandeel van de post in handen. Ja er zijn concurrenten, maar die zijn niet zomaar in staat het stokje even over te nemen als die giganten vallen.
Anoniem: 25604 @The Zep Man13 januari 2023 12:16
Te gemakkelijk. Ik vind het aanvallen van ziekenhuizen, universiteiten, postbedrijven, noem het maar op... zodanig ontwrichtend terwijl het "geld vragen" maar één mogelijke uitkomst is, maar de aangerichte schade (bij betaling of niet) meestal onherstelbaar is. In Nederland zijn er zo'n 15 ziekenhuizen die zo'n 14.000 hartoperaties uitvoeren per jaar. Gemiddeld genomen dus 3 per ziekenhuis per dag. Een ransomware -aanval dat een paar weken voortduurt maakt tientallen slachtoffers en kost kapitalen. En dan heb ik het alleen nog over Nederland. Je zou bijna zeggen dat het woord terrorisme afbreuk doet aan dit soort laag bij de grondse aanvallen m.b.v. ransomware. En die organisatie die Ransomware As A Service aanbiedt is nog verachtelijker.
IJzerlijm @911GT213 januari 2023 09:25
Of je pakt de betaalmethode aan. Een dergelijke aanval is een stuk lastiger als je je losgeld in een zak cash moet ontvangen of naar een rekeningnummer moet worden overgemaakt in plaats van crypto.
Alxndr @IJzerlijm13 januari 2023 12:30
Dus waarom zouden ze die andere betaalmethoden accepteren? Kiezen voor een methode die (een groter) risico heeft getraceerd en opgepakt te worden is wel heel erg dom.

Daarnaast zijn crypto's helemaal niet zo anoniem als mensen denken, het is gebaseerd op een publieke ledger, iedereen kan (in theorie) alle transacties volgen. Je moet heel veel moeite doen om het 'geld' uiteindelijk te cashen/wit te wassen. Zeker met grote bedragen zoals waar het hier om gaat.
litebyte @911GT213 januari 2023 09:09
Net als bij ontvoeringen zal de slachtoffer-partij er toch meestal voor kiezen te betalen (en dit niet te bevestigen en/of de hoogte van het betaalde bedrag.)
Frame164 @911GT213 januari 2023 10:48
Dan nog zullen er hackers blijven die dit soort geintjes uithalen. Hetzij voor de fun, dan wel om te boel te destabiliseren.
CAPSLOCK2000
@911GT213 januari 2023 13:32
Het zou derhalve bij wet verboden moeten worden om te betalen bij een ransomware aanval.
Nee, dat moeten we niet doen want dan gaan we slachtoffers criminaliseren en het moeilijker maken om hulp te krijgen.

Geen enkel bedrijf zal zich aan die wet houden als dat betekent dat het bedrijf failliet gaat. Dan accepteren ze de straf wel als ooit uitkomt dat ze stiekem hebben betaald. Dat is nog altijd beter dan geen bedrijf meer hebben.

Bij organisaties als ziekenhuizen of het waterleidingbedrijf is failliet geen niet eens een optie want er vallen al snel doden.

Bij losgeld is het altijd zo dat de aanvaller het bedrag zo kiest dat het een no-brainer is om te betalen. Niemand wil criminelen belonen dus als het even kan zal niemand betalen, zelfs als dat iets duurder is. Dat weten de aanvallers ook. Het losgeld is dus altijd een schijntje in vergelijking met de kosten die je moet maken om het op een andere manier op te lossen.

Alleen de meest principiele en rijke partijen kunnen het zich permitteren om niet te betalen. Het is niet heel anders dan een pistool tegen je hoofd, er valt niet echt iets te kiezen.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 14:44]

911GT2 @CAPSLOCK200013 januari 2023 16:05
Het is niet heel anders dan een pistool tegen je hoofd, er valt niet echt iets te kiezen.
Als iemand mij een pistool tegen het hoofd zet daag ik ze uit te schieten, in beide gevallen lopen ze weg met niets maar bij schieten ook nog met een misdaad er bij. Succes daarmee.
gimbal @911GT213 januari 2023 12:50
Geld lijkt me mooi meegenomen, het hoofddoel zal toch echt zijn om gewoon schade aan te richten. Dat ga je niet tegenhouden met een "niet betalen" regel.
hooibergje 13 januari 2023 08:30
Hopelijk steekt de Royal Mail zijn grote dikke middelvinger op tegen dit gespuis.
Dan duurt het maar wat langer voordat het pakketje bezorgd is...
sys64738 Moderator F&V @hooibergje13 januari 2023 08:45
Tja, leuk in de theorie maar in de praktijk kun je als bedrijf natuurlijk niet je dienstverlening een hele week stilleggen. Los daarvan is het economisch veel gunstiger om gewoon te betalen met als gevolg/risico dat je dit vaker gaat overkomen (of zorgen dat je je spullen nog beter op orde hebt).

Om dit te soort aanvallen minder aantrekkelijk te maken zouden bedrijven zich beter moeten wapenen. Goede (read only) back-ups en makkelijk opnieuw uitrolbare systemen zouden al flink stuk helpen. Zou toch mooi zijn als je zo'n losgeldbrief kunt beantwoorden met "Leuk geprobeerd maar we zijn al weer up-and-running".
lenwar
@sys6473813 januari 2023 09:10
Goede (read only) back-ups en makkelijk opnieuw uitrolbare systemen zouden al flink stuk helpen
Het probleem zit hem met dit soort bedrijven vaak in het felt dat zij voornamelijk met kortetermijndata werken.
Poststuk wordt op dag 1 ingescand en op dag 2 à 3 uitgeleverd.
Als je op dag 1.5 niet meer bij je data kan, ben je dus de registratie van al je pakketjes die ‘onderweg’ (als in tussen ingescand en uitgeleverd) zijn kwijt. Dan zouden ze bijvoorbeeld iedere 5 minuten een dump moeten maken naar een read-only backup. En dan nog weet je niet meer welke fysieke pakketjes je wel of niet kent. Afhankelijk van het moment van de activering is het meer of minder gedoe. En ook de termijn waarop je er achter komt is heel erg van belang.

Uiteraard technisch mogelijk maar lang niet makkelijk te implementeren.

Herinstallatie van systemen is tegenwoordig al zelden meer een probleem.
ZwolschBalletje @sys6473813 januari 2023 08:57
Of terug naar je core business. Twintig jaar geleden waren al die systemen die nu down zijn, er ook niet en toch lukte het toen wel om poststukken naar het buitenland te versturen.

Wat in dit soort gevallen helpt is om je organisatie erop voor te bereiden dat er een keer zo'n ransomware zal plaatsvinden, en dan na te denken welke systemen en functies je kunt afschalen om toch een basis dienstverlening overeind te houden.

Hier lees ik dat het probleem zit in het voorbereiden van pakketjes en het volgen daarvan nadat ze in het buitenland zijn aangekomen. De postwet eist tegenwoordig track-and-trace voor pakketjes in het kader van fraudebestrijding, maar in een uitzonderlijke situatie als deze zou je volgens mij best mogen terugvallen op 'dom' pakketjes en brieven overdragen aan de juiste buitenlandse vervoerder, zonder dat je ze kunt traceren. Het voortgaan van die primaire communicatie en logistiek kan best opwegen tegen de fraudebestrijding die daardoor even wat moeilijker wordt.

ICT faalt en wordt gehackt, dat is een uitgangspunt. Alleen worden veel wetten, regels en ontwerpen nog gebaseerd op de happy flow, waardoor de hele keten tot stilstand komt als er één schakel uitvalt. Ik hoop nog mee te maken dat ontwerpen en regels expliciet beschrijven hoe moet worden omgegaan met een unhappy flow, maar wat ik in mijn omgeving zie is daar nog ver van weg.
koppie @ZwolschBalletje13 januari 2023 09:13
Deels heb je natuurlijk gelijk, en daar zouden (fatsoenlijke!) BCM plannen goed uitgewerkt moeten worden, en niet alleen met de ICT bril, maar juist met de gebruiker/klant. Ik heb er een aantal mede geholpen uit te werken, en het is zeker niet gemakkelijk, want je moet keuzes maken wat nu werkelijk belangrijk.

Eén onderdeel wat we wel heel veel tegenkomen als we teruggrijpen naar procedures van 20/40 jaar geleden dat er zovéél handwerk in zat, dat de bezetting tegenwoordig echt zoveel lager en efficiënter is geworden door de invoering van ICT in de processen dat dat geen optie meer is. Je hebt geen leger mensen meer om de pakketten handmatig te sorteren en in te laden in de juiste container.

Wat bijvoorbeeld wel kan, is nadenken welke clubs je kan opschakelen. Je zou alle pakketjes in een zeecontainers naar Leidschendam kunnen verschepen, en dan weer eens verder kijken. Kosten regelen we dan later wel, maar je moet al afspraken hebben wie je kan inschakelen.
Sannr2 @ZwolschBalletje14 januari 2023 10:08
20 jaar geleden waren die systemen er inderdaad niet, maar “toen lukte het wel” is een beetje te simpel. Toen lukte het zeker niet om de huidige aantallen pakketten te versturen met het huidige tempo voor de huidige prijzen.

Het volume is enorm gestegen de afgelopen 20 jaar door de ontwikkelingen op het internet. De concurrentie tussen de pakketbezorgers is enorm, wat er voor zorgt dat die enorme hoeveelheden pakketten ook nog eens voor een laag bedrag verstuurd moeten worden. Bovendien verwacht men ook nog eens dat het er allemaal heel snel is.

Dat kan alleen dankzij de automatisering. Een goed plan maken hoe het moet als de systemen uitvallen is inderdaad belangrijk, maar een dergelijk plan zonder enige systemen is ondenkbaar. Je moet dus zorgen voor goeie backup systemen en de boel snel weer up & running hebben. Zonder automatisering dit doen is zoiets als proberen een kanaal te graven met scheppen. Ja dat kon ooit, maar reserve graafmachines zijn een beter backup plan als de normale machines het niet doen.
Frame164 @hooibergje13 januari 2023 10:50
Klinkt leuk. Maar het gaat niet om 1 pakketje. Royal Mail "doet" ongeveer 1,5 miljard parcels per jaar. 4 miljoen per dag. Als je die niet kunt verwerken loopt het binnen een paar weken helemaal in het honderd.
Iblies @hooibergje13 januari 2023 11:56
De kans is niet uit te sluiten dat het met medewerking van medewerkers van de Royal Mail zelf is.

Die wordt al jaren uitgehold hoofdzakelijk tbv winst en protesteren al structureel al enkel maanden.

Het kan ook dat iemand zo gefrustreerd is dat die zijn pakketje weer niet heeft gekregen en de boel daar plat is gaan leggen.
HerrPino 13 januari 2023 08:59
Ik zou toch zeggen dat er iets tegen dit soort versleutelen iets gedaan moet kunnen worden? De kernel en driver icm de hardware moeten het toch op de een of andere manier moeten kunnen herkennen? Het lijkt me dat het feit dat dit soort zaken mogelijk is, dat er nog ergens iets teveel open staat en/of dat je nog te gemakkelijk in een bepaald proces kunt inhaken/tussenkomen.
Frame164 @HerrPino13 januari 2023 10:53
Het probleem is dat je de boel niet helemaal kunt dichttimmeren. Als klant willen we op zoveel mogelijk locaties onze pakketjes kunnen brengen en afhalen, we willen online de status kunnen zien en meer van dat soort dingen. Dat soort extra services vergroot de attack surface. Net zoals het waarschijnlijk mogelijk is om via deze site uiteindelijk DPG Media aan te vallen is (als je maar lang genoeg probeert).
klonic @Frame16413 januari 2023 12:37
Maar ergens meot een lek zitten, als bedrijven nou zichzelf gaan proberen aan te vallen dan kan je dat lek vinden voordat iemand anders het vindt. Maar of jij als Royal Post 50 man wil aannemen om constante penetration tests te gaan doen is een andere vraag. Ben je bereid offline te gaan als je echt een lek is? Heb je dan meteen 10x zoveel telefonisten om klanten te helpen?

Alle antwoorden zijn nee :)
Anoniem: 25604 @HerrPino13 januari 2023 11:37
Hmmm... kijk eens naar de reacties van (teveel) mensen toen Microsoft "verplichtte" om vanaf windows 11 TPM 2.0 te moeten gebruiken. Gemak gaat boven veiligheid. 8)7
jpsch @Anoniem: 2560413 januari 2023 11:48
Er is een verschil tussen bedrijven en consumenten.
Anoniem: 25604 @jpsch13 januari 2023 11:54
Ja. Bedrijven worden geleid door mensen. En security is maar één aspect waar rekening mee moet worden gehouden in de begroting. Uiteindelijk wordt er altijd een compromis gesloten. En precies op dat punt kan het pijn gaan doen.
klonic @Anoniem: 2560413 januari 2023 12:34
Security wordt echt gedreven door toezichthouders. In de industriele automatisering heeft geen enkel bedrijf hier echt zin in. Behalven de bedrijven die de afgelopen jaren zijn getroffen. ik dat dat in meer da 95% van de gevallen de IT Security een afterthought is als ik bij een klant zit. Uiteindelijk willen ze dat hun fabriek zo goedkoop mogelijk draait. Ransomeware (of andere aanvallen) is toch redelijk zeldzaam en een probleem voor het operationele team.
robertlinke 13 januari 2023 10:01
hierom moet je als bedrijf een goed afgesloten backup systeem moeten hebben
je disaster recovery procedure opstellen EN regelmatig testen! aan een plan heb je niets als het niet werkt.
een netwerk level anti-malware solution draaien, zodat het op netwerk niveau al gedecteerd en rereageerd word zodat een infectie niet meteen je hele netwerk platlegt, of een infectie weken ongemerkt kan draaien en daardoor alsog je back-ups infecteren

en gewoon meteen rollbacken als je gehit bent. iedereen kan geraakt worden. het enigste wat je kan doen is goed voorbereid zijn, en meteen reageren volgens een duidelijke prcedure als het gebeurt
Frame164 @robertlinke13 januari 2023 10:55
En hoe zorg je ervoor dat de backup gegarandeerd schoon is en redelijk up-to-date. Besmetting kan lang van te voren plaats vinden. Dat kan je natuurlijk nog oudere backups restoren maar is dat dan nog wel werkbaar?

En meteen rollbacken kan nog grotere schade aanrichten als je niet eerst goed hebt onderzocht wat er aan de hand is.
robertlinke @Frame16413 januari 2023 11:05
een netwerk level anti-malware solution draaien, zodat het op netwerk niveau al gedecteerd en rereageerd word zodat een infectie niet meteen je hele netwerk platlegt, of een infectie weken ongemerkt kan draaien en daardoor alsog je back-ups infecteren
staat er gewoon in.
En meteen rollbacken kan nog grotere schade aanrichten als je niet eerst goed hebt onderzocht wat er aan de hand is.
een rollback is je systeem terug zetten naar een eerdere nog goed werkende staat, dus dat zou geen problemen moeten opleveren, tenzij:
1. deze eerdere staat dus niet goed is, i.e test beleid niet goed op orde is of niet gevold is
2. de rollback zelf technisch faalt, i.e testbeleid niet op orde was of niet gevolgd is.

van te voren altijd je beleid en procedures testen zodat je weet dat ze werken wanneer je ze nodig hebt
Anoniem: 25604 @Frame16413 januari 2023 11:29
Precies! Menigen vergeten dat een schone backup van een maand, kwartaal, jaar oud terugzetten ook onwenselijk kan zijn voor een bedrijf, verlies van recentere relevantere data inhoudt en een flinke schadepost kan opleveren. Het is een maatregel om op terug te vallen, maar geen oplossing voor recente data en gegevens die verloren zullen gaan bij een restore. En aangezien recente data vaak belangrijker is dan gearchiveerde data...

[Reactie gewijzigd door Anoniem: 25604 op 22 juli 2024 14:44]

bArAbAtsbB 13 januari 2023 12:35
het blijft vreemd dat men nu ineens dan ook niet meer zonder het computersysteem kan werken (en alsnog de post kan versturen (oldskool)).

en dat er blijkbaar geen backups zijn die teruggezet kunnen worden en dat het weer werkt....het lijkt best wel amateuristisch te werken aldaar (weet niet of t hier beter is hoor)

Elk bedrijf weet toch dat je elk cruciaal computersysteem dagelijks een backup laat draaien die je in zijn geheel kan terugzetten!?

Consumenten wordt geadviseerd belangrijke data te backuppen, waarom worden bedrijven niet verplicht dit te doen om de dienstverlening te garanderen?
COMEX @bArAbAtsbB13 januari 2023 14:51
er geld altijd voorkomen is beter dan genezen en aan de voorkant moet je de juiste prioriteiten stellen, back-up en archief is het laatste resort maar moet wel goed in elkaar zitten anders heb je er idd niks aan...randsomeware valt altijd ook je back-up strategie aan...
bArAbAtsbB @COMEX13 januari 2023 15:20
niet als er gewoon een externe backup in roullatie is die wekelijks mee routeert...er zijn altijd wegen te bedenken om hier niet tegenaan te lopen.

Het verbaasd me gewoon dat zoveel bedrijven hier nog door getroffen worden en er weken of langer last van hebben. De Core van een bedrijf moet toch heel snel te fixen zijn, desnoods met volledig nieuwe installs. We hebben het hier niet over kleine bedrijfjes maar over hele grote organisaties.
COMEX @bArAbAtsbB13 januari 2023 15:51
Mee eens ..Je werkt tegenwoordig o.a. ook met snapshots die voor snel back-up en herstel kunnen plaats vinden van recente data die vervolgens direct een replica over sturen naar datacentrum (geolocatie proof..ivm brand/ramp bv ) en een kloon kopie direct klonen die je dagelijks of wat nodig is air-gapt, fysiek uit het netwerk haalt en een wisselmedium rouleert, altijd de nieuwste data beschikbaar .... en in geval ransomeware die bv 9mnd in je data zit kun je dit in een sandbox afgesloten omgeving onderzoeken let wel kost tijd en is specialisten werk, maar je hoeft niet te betalen want je hebt al je data nog... dit is vaak bij veel bedrijven zelfs gerenommeerde nog steeds niet het geval en blijft ondergeschoven kindje/prioriteit.. ect. ect. de grootste schade van ransomeware is vaak de downtime vd betreffende company en uiteraard de imago schade..

[Reactie gewijzigd door COMEX op 22 juli 2024 14:44]

COMEX 13 januari 2023 09:09
70% vd bedrijven heeft zijn data archieven, back-up sw niet als prioriteit goed op orde, maar veelal als sluit post op de begroting, vooraf investeren in bijv. een airgapped systeem (met of zonder WORM) voor data en back-up kan al veel schade beperken omdat je je data dan altijd terug kunt zetten (in een sandbox omg. bv om alle ransomware eruit te halen) om vv terug te zetten ( duurt uiteraard altijd paar dagen), maaar toch hoef je in zo'n geval geen losgeld te betalen omdat je je data altiid nog fysiek in de kluis hebt liggen ( of onder je bed als CEO) slaapt best rustig..

[Reactie gewijzigd door COMEX op 22 juli 2024 14:44]

friket @COMEX13 januari 2023 10:39
Backup terug zetten is ook berg werk als je beetje bedrijf hebt, kost je snel paar weken. Daarnaast moet je nog maar hopen dat je (recente) backups niet besmet zijn. Dan moet je ook nog zorgen dat je hardware schoon is, wat ook behoorlijk wat werk is. En je moet ook nog uitzoeken hoe ze binnen gekomen zijn, zodat ze het kunstje niet gewoon herhalen. Komt al snel neer op je hele IT omgeving vanaf de grond aan opbouwen en alles binneste buiten moet keren. En als je niet betaald wordt data tegenwoordig gewoon verkocht aan een andere partij die er wel interresse in heeft.
Donpretu_tweak @COMEX13 januari 2023 10:58
Helemaal met je eens echt oldskool style.
FrostyPeet 13 januari 2023 10:50
De britse Royal Mail is al jaren in een desolate toestand. Zie bijvoorbeeld deze docu: https://www.youtube.com/watch?v=IgIkfetsnVI De laatste jaren is er een chronische onderbetaling van personeel.

Het zal mij niet verbazen als het gemiddelde onderbetaalde personeelslid zoiets heeft van "ik volg de procedure" en voor de rest "not my problem".

Maar goed, ze zullen wel een vloot consultants inhuren om de boel op te starten, wat extra "are you sure" vragen inprogrammeren en tevreden hun bonussen opstrijken.
klonic @FrostyPeet13 januari 2023 12:27
wordt iedereen onderbetaald, of alleen het personeel in de sorteercentra/op straat? Volgens mij kan je bij PostNL prima verdienen als je op het hoofdkantoor zit. Zelfde geldt voor Ahold, Picknick, Amazon.
SomeOneNL 13 januari 2023 09:23
Het zal wel lastig worden om deze gasten te pakken als ze daadwerkelijk in Rusland zitten, maar weer een groot bedrijf/instantie die wordt aangepakt. Het is hopen voor de post dat de decryptor er al is voor die LockBit ransomware, anders is het of van scratch beginnen (corrupte backups o.i.d.) of gewoon de afpersings fee te betalen zodat alles weer draait. En natuurlijk hopen dat er geen windows XP of oudere windows server edities meer draaien op de kritieke systemen :+ https://www.nomoreransom.org/en/decryption-tools.html in de gaten houden maar deze ransomware variant is helaas nog niet gekraakt zo te zien.
CivLord 13 januari 2023 13:32
Ik weet dat er geen andere ideologie achter zit dat puur geld verdienen door afperserij, maar de ontwrichtende gevolgen lijken toch wel erg veel op terrorisme.
Misschien moeten er ook middelen tegen ingezet worden die voor terrorismebestrijding gebruikt worden. Dus opsporingsmiddelen die net iets verder gaan dan die voor normale criminelen. Een special forces team dat je van je bed komt lichten, ook wanneer je je ergens bevindt waar ze niet per se jurisdictie hebben. En een black site waar je vastgehouden wordt tot je alle schade hebt hersteld (voor zover mogelijk) en al je handlangers er bij gelapt hebt.
Zodra de geruchten over beginnen te circuleren zal het snel afgelopen zijn met deze ongein, want bij dit soort criminaliteit gaat het vooral om het gemak van veel geld verdienen vanuit de anonimiteit, met een vrijwel te verwaarlozen pakkans.
thunder7 13 januari 2023 08:48
Brexit 2.0 dus...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq