Betaaltechnologiebedrijf NCR meldt ransomwareaanval

Het Amerikaanse betaaltechnologiebedrijf NCR is getroffen door een ransomwareaanval. Deze treft 'een deel van de horecaklanten', die het Aloha-kassasysteem gebruiken, ook in Europa. NCR ziet 'een duidelijk pad naar herstel' en betalingen zouden niet verhinderd worden.

NCR legt in een brief aan klanten uit dat het gaat om een 'enkel datacenter' dat sinds woensdag een storing heeft wegens de aanval. Deze treft Aloha-gebruikers, dus horecagelegenheden, maar het zou gaan om een 'beperkt aantal secundaire Aloha-applicaties', voor 'een deel van de horecaklanten'. NCR concretiseert de impact verder niet, noch welke diensten precies buiten werking zouden zijn. Op de NCR-website valt te lezen dat NCR ook diensten verleent op het gebied van payrolling, digitale uithangborden, trouweklantenbeloningen, e-mailmarketing en meer.

Ondanks de claim van NCR dat gewone betalingen niet verhinderd worden, vallen er wel posts te vinden waarin gemeld wordt dat dat toch het geval is. De aanval werd op 13 april ontdekt. Of NCR erin slaagt om de data te ontsleutelen of dat het het losgeld gaat betalen, is niet duidelijk. Securityonderzoeker Dominic Alvieri meldt dat de ransomwarebende BlackCat, ook bekend als Alphv, verantwoordelijkheid voor de aanval opgeëist heeft. NCR zou inmiddels met BlackCat in gesprek zijn.

De dienstenonderbreking betreft Noord-Amerika, Europa en Azië-Pacific. In Europa zou de storing beperkt zijn tot systemen voor online bestellen, aldus een statuspagina.

NCR Aloha-hardware

Reacties (35)

blorf 17 april 2023 17:18

Het blijft apart dat organisaties met dergelijke omvangrijke computersystemen het niet op tijd door hebben dat iets het fysieke formaat van opgeslagen data probeert te veranderen...

wildhagen

Hackers
Verenigde staten
Ransomware
Beveiliging en antivirus
Networking en security

@blorf • 17 april 2023 17:28

Ik weet niet of je weleens live een ransomware aanval hebt zien gebeuren?

Ik wel, en dat gaat bloedsnel. Als één cliënt besmet is, gaat die in recordtempo door alle shares waar die user rechten heeft heen om de bestanden te encrypten.

Tegen de tijd dat de gebruiker de IT afdeling gebeld heeft, of dat er qua bijvoorbeeld virusscanners de alarmbellen gaan rinkelen is al de halve fileserver onderhanden genomen. Zo enorm snel gaat dat.

Johan9711 @wildhagen • 17 april 2023 17:34

Ik heb het aan het werk gezien, en @blorf heeft een valide punt. Soms worden vele TB's aan data versleuteld,en ook als er meerdere clients tegelijk besmet zijn heeft dit gewoon behoorlijk tijd nodig.
Een soort "ransomware switch" die het netwerk plat legt bij het vermoeden van ransomware zou best schade kunnen voorkomen denk ik. Vraag is alleen of het erg kostenefficent is en interessant is voor bedrijven.

wildhagen

Hackers
Verenigde staten
Ransomware
Beveiliging en antivirus
Networking en security

@Johan9711 • 17 april 2023 17:40

Vele TBs vereist maximaal enkele minuten.

Heb het gezien dat de cliënt begon met versleutelen, gebruiker belt de helpdesk, die meteen naar systeembeheerders (waaronder ondergetekende) doorzette.
Dit was helaas ook nog eens een gebruiker met erg veel shares, vanwege zijn functie.

Daar ging 5 minuten overheen in totaal. Toen was van de fileserver van 9 TB al bijna de helft encrypted, nog voor we de kans kregen om op de fileserver in te loggen...

Dit was wel in de begintijd van ransomware, toen virusscanners nog niet zo goed waren in het blokkeren van zo'n aanval, dat is tegenwoordig wel beter geregeld.

latka @wildhagen • 17 april 2023 18:47

9tb over een gigabit lijn duurt 25 uur of lag er 100tb netwerk naar die cliënt?

wildhagen

Hackers
Verenigde staten
Ransomware
Beveiliging en antivirus
Networking en security

@latka • 17 april 2023 18:58

Als het zo zou werken had je een punt. Echter, dat is dus niet hoe ransomware in de praktijk werkt...

@themadone legt het in deze reactie vrij duidelijk uit. Op die manier gaat het dus erg, erg snel.

Backups zijn hier dus keihard noodzakelijk. Als je mazzel hebt is er voor de ransomware die je bedrijf treft een werkende decryptor, maar vaak is die er niet.

Je wil uiteraard ook de daders niet betalen, want daarmee beloon je de aanval immers, en maak je het tot een lucratief business model.

[Reactie gewijzigd door wildhagen op 24 juli 2024 00:04]

latka @wildhagen • 17 april 2023 22:04

Kijk, dat helpt. Ik had al het idee iets te missen, maar dat was dit dus. Ik zeg ZFS snapshots met een 1 minuut pauze en een paar jaar retentie ;-)

OruBLMsFrl @latka • 17 april 2023 19:05

Ligt aan de soort ransomware ook. Soms wordt zelfs maar een deel van een file encrypted, bijv. eerste 16KB ongemoeid laten, en dan zeg even 16KB encrypten van wat direct erna komt. Zo gaat die bloedsnel door fileshares heen, en alles van docx, xlsx, backup files en heel veel anders is als geheel compleet kapot als je er 'slechts' 1MB data in vernietigd, of voor heel grote files, elke zoveel tiental MB's weer een keer een blokje van 16KB. Er zit soms nog iets aan metadata parity of algemeen structuurherstel mogelijkheid in, maar haast nooit genoeg om 16KB danwel random 1% verlies op te kunnen vangen. Dan is je 9TB stukmaken, slechts ergens zo 90GB aan writes, en dat kan op een 1Gbps client richting enterprise SSD storage vervelend snel gebeuren. Om precies te zijn, met 100MB/s zit je in een kwartier al op die 1% schade zelfs als de storage die blokken van 16KB naar verwachting extreem snel kan verwerken. Meeste file formats sterven ook al met maar 0,1% schade natuurlijk, dat is net hoe optimized die specifieke aanvallers zijn. Maar veel te snel zijn ze meestal helaas.

[Reactie gewijzigd door OruBLMsFrl op 24 juli 2024 00:04]

NiGeLaToR

@wildhagen • 17 april 2023 17:46

Herkenbaar - voeg daarbij twee compliceerbare elementen toe en je begrijpt dat je ook veel tijd en energie moet stoppen in een werkend herstelplan wat je regelmatig toetst:

- aanvallen worden vaak in het weekend of met feestdagen geinitieerd, dan is er niet eens iemand die de helpdesk belt want iedereen zit lekker thuis of slaapt. (hackers zijn gemiddeld meer dan 10-14 dagen binnen voor ze de encryptie starten, dus retentie tijd moet ook lang genoeg zijn wil je kunnen herstellen, als je backups niet al verwijderd zijn).
- als het omgevingen betreft waar productie op wordt gedraaid moet je wel zeker weten wat je moet doen en dat dan ook durven: vaak zie je dat er lang wordt gewacht met de knoop doorhakken en alles uit te zetten. Vanaf dat moment ligt je productie immers stil. Ook iets om procedureel vast te leggen dus.

Dus met preventie ben je er lang niet altijd meer - veel is gericht, via 0-days en ontdek je pas als het te laat is. Detectie en herstel zijn inmiddels net zo belangrijk. Tis geen leuke wereld meer sinds het slopen van computers een verdienmodel werd, met omzet wat zich kan meten aan een forse bedrijfstak.

[Reactie gewijzigd door NiGeLaToR op 24 juli 2024 00:04]

themadone @NiGeLaToR • 17 april 2023 18:48

Enige moment waarop je ze eventueel kan pakken is als ze nog in de verkenning zitten, hier heb je wel meerdere systemen voor nodig om ze uberhaupt te detecteren, maar het kan.

Dan per direct alles op slot, malwarebytes heeft hier in hun platform een isolatie knop voor waarmee je een machine compleet onbereikbaar kunt maken. Dit voorkomt niet dat je die bak verliest, maar wel dat het verder door kan gaan.

De forensics om uit te vinden hoe wat en waar duren dan nog het langst, maar je moet wel echt mazzel hebben of knullige hackers wil je ze op tijd zien. Bij een kennis op de zaak botsten ze tegen de 2 factor van een admin aan bijvoorbeeld dus hij had mazzel want amateurs, maar de grote jongens gaan zo snel en onzichtbaar door je hut heen dat het alleen maar geluk mag heten als je ze buiten weet te sluiten als ze eenmaal binnen zijn.

Cergorach

Beveiliging en antivirus
Networking en security

@wildhagen • 17 april 2023 19:09

Ik heb het jaren geleden op oudere hardware meegemaakt dat ik zie dat er wat vreemds aan de hand is en tijdens het restore process, voordat ik klaar ben met restoren er iets alweer bezig is met de boel te encrypten. Dat zal nu nog veel erger zijn met snellere hardware en SSDs bijna overal. In het geval van toen was er eigenlijk geen security software aanwezig (op die systemen) die hier effectief wat tegen kon doen, de uitvoerbare bestand wat de files encrypte werd ook links en rechts verspreid.

Tegenwoordig, mits je de juiste tools heb draaien worden dergelijke aanvallen al bij executie geblokkeerd en zelfs als het daar doorheen komt kan je veel sneller de aanvals methode volgen en onderdelen van je 'netwerk' afsluiten van de rest. Echter zijn dergelijke implementaties relatief kostbaar en vaak niet weggelegd voor kleinere bedrijven (hoewel ik verwacht dat dit de komende jaren gaat veranderen). Maar zelfs grote bedrijven lopen vaak achter, juist omdat het grote bedrijven zijn en verandering veel tijd kost in vaak complexe omgevingen.

Ik maak me echter zorgen dat zo een issue optreed bij een financieel georiënteerd bedrijf met bijna 40.000 medewerkers. Nog zorgwekkender is dat ze met de bende in gesprek zijn, dat hint er op dat ze de aanval niet onder controle hebben en/of niet fatsoenlijk kunnen restoren.

m_snel @Cergorach • 17 april 2023 23:19

Voor 2000 kon je al gewoon met bv ntfs rechten voorkomen dat een gebruiker bestanden kon plaatsen en daarna uitvoeren. Tegenwoordig is makkelijker en complexer.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware

@Johan9711 • 18 april 2023 09:00

Een soort "ransomware switch" die het netwerk plat legt bij het vermoeden van ransomware zou best schade kunnen voorkomen denk ik.

Heb je hier nu niet een heel makkelijke denial of service mogelijkheid gecreëerd? In jouw voorbeeld leg je het hele netwerk plat wanneer je een of meerdere bestanden aanpast.

metalmania_666

@Johan9711 • 17 april 2023 17:59

Ik weet dat banken een netwerk killswitch hebben, maar voordat die in gebruik wordt genomen ben je zo 5 á 10 minuten verder

still_the_same @Johan9711 • 17 april 2023 19:51

Wij gebruiken een whitelist aan bestanden. Niet 100% sluitend, maar veelal zijn de ransomware extensies niet iets wat je normaal gebruikt. In het begin wel even tobben, maar nu eigenlijk geen last meer van en ik weet uit betrouwbare bron dat we er 1 aanval mee hebben kunnen counteren.

Verwijderd @Johan9711 • 17 april 2023 20:09

Een soort "ransomware switch" die het netwerk plat legt bij het vermoeden van ransomware zou best schade kunnen voorkomen denk ik.
Er zijn genoeg 'scripts' op het internet te vinden. Maar uiteindelijk is het allemaal maar symptoombestrijding naar mijn mening.

blorf @Johan9711 • 17 april 2023 22:45

Het ligt er natuurlijk aan hoe ver je wil gaan met beveilig, maar een onderdeel dat alle schijfactiviteit en linkt aan bekende processen en alarm slaat bij iets afwijkends?

blorf @wildhagen • 17 april 2023 17:37

Het versleutelen van op schijf opgeslagen data, en deze op dezelfde plek opnieuw opslaan kost een gigantische hoeveelheid systeembronnen en schijfactiviteit.

themadone @blorf • 17 april 2023 18:45

ja en dat is dus ook niet hoe dit werkt, de meeste ransomware pakt een klein stukje meestal aan het begin van de file en niet de hele file.

Ik heb zelf auditing draaien die bij meer dan 100 acties meteen alle bellen laat afgaan, en ja, dat geeft false positives maar die zijn bekend en een mooie continu test van het systeem.

Verder is het van extreem belang om offline backups te hebben en backupsoftware die corruptie in de backup files ziet en rapporteert. Bij ons liggen er zeker 100 tapes op een plank, just in case, die retentie is lang zat en als er al een corrupte file op een tape terecht komt hebben we er nog 99 om weer data uit te kunnen halen.

edit: typo

[Reactie gewijzigd door themadone op 24 juli 2024 00:04]

blorf @themadone • 17 april 2023 19:00

Het wordt al twijfelachtig op het moment dat bestanden die door het getroffen systeem worden opgevraagd door de daadwerkelijke service door een filter oid heen gaan en niemand van het beheer dat per direct merkt. Dat kan als je het mij vraagt niks anders zijn dan een rootkit die een bekende exploit heeft gebruikt. Het beveiligingslek is dan iets genuanceerder dan'ransomware-aanval'. Dat is alleen maar het gevolg.

HVinduction @wildhagen • 17 april 2023 22:33

Ik gebruik gewoon AVG met strenge ransomware beveiliging, dat wil zeggen dat alleen programma's die ik toestemming heb gegeven bij m'n belangrijke mappen kunnen. Het is een schande dat zoveel belangrijke bedrijven hun beveiliging niet op orde hebben, ik maak zeker elke week een backup op zowel Google Drive als op een externe harde schijf. Die bedrijven hebben dus een slechte firewall en een slechte antivirus.

CivLord

@HVinduction • 18 april 2023 09:55

Dus je hebt elk apart onderdeel van elk geïnstalleerd programma en van je hele OS apart toestemming gegeven om in bepaalde mappen te schrijven? En je doet dat bij elke update opnieuw? Wanneer je antwoord 'nee' is, dan heb je voor jezelf slechts schijnzekerheid geschapen.

Ransomware werkt niet door het programma 'Ransomware.exe' te laten draaien. Het werkt vaak met aangepaste systeemonderdelen die tijdens een update vervangen kunnen worden. Veel updates gaan via de download- of temp-map, waar meestal alles vrij toegang tot heeft. Het is de aangepaste versie van het onderdeel dat jij toegang tot je bestanden hebt gegeven dat deze bestanden vervolgens versleutelt.

Sommige bedrijven hebben hun zaakjes inderdaad niet goed op orde. Maar wanneer je denkt dat ransomware enkel toe kan slaan bij bedrijven die incompetent zijn, geeft dat enkel je eigen gebrek aan kennis weer.

HVinduction @CivLord • 18 april 2023 18:12

Ik ben vroeger getroffen door een Trojaans paard (downloader) en heb weleens computers hersteld van ransomware. Ik ben al lange tijd ethisch aan het hacken door virussen uit elkaar te halen en te kijken hoe ze werken. De meest bekende ransomware virussen kopiëren zichzelf gewoon naar een voor de normale gebruiker onzichtbare locatie (meestal idd Temp omdat dat een standaard locatie is voor een installatieprogramma) en maken een registersleutel aan of een taak in Taakplanner om automatisch op te starten. WannaCry, Xorist, Shell locker, etc. zijn heel makkelijk om te verwijderen, er zijn slechts enkele die een rootkit gebruiken zoals bijvoorbeeld Petya of Stuxnet.

Je vergeet dat er een heel groot verschil zit tussen bedrijven die aangevallen worden en gewone particuliere computers / netwerken. Bij bedrijven zijn het vaak gewoon slecht beveiligde inloggegevens of een lek in de firewall. Hierdoor kunnen de hackers meekijken en een goed plan maken. Hier gaan ze dus gericht op aanvallen.
Bij de particulier is het juist vaak een bijlage die gedownload wordt of dat degene zelf iets download waar een virus inzit, meestal is dat adware of een keylogger. Een antivirus is daarentegen wel een soort rootkit en kan door malware eigenlijk niet gestopt worden zonder dat de gebruiker toestemming geeft om het te verwijderen of als er ergens een gevaarlijk beveiligingslek inzit.

Ik heb nooit gezegd dat ik alle mappen heb beveiligd, ik heb juist alleen de belangrijke mappen (documenten, bureaublad en afbeeldingen) beschermd met de strenge modus en de enige programma's die daarvoor toestemming hebben zijn Explorer, Word, Excel en PowerPoint dus dan hoef ik ook niets te veranderen. Het gevaar zit hem juist in dat er steeds nieuwe ransomware wordt gemaakt en antivirussoftware kijkt eerst naar de database met de hashes en bij nieuwe virussen gaat dat al mis dus heb je alleen maar de bescherming die kijkt naar het gedrag van programma's, en dat werkt veel trager en slechter. Ik heb alles in virtuele machines getest en de bescherming werkt heel goed.

Tonkie1967 @HVinduction • 18 april 2023 09:34

Dat weet je met minimale informatie zo te zeggen? Omdat ze getroffen zijn dus slecht beveiligd en omdat jij (nog) niet getroffen bent bij jou alles prima voor elkaar?
Zou van dat laatste nog niet zo zeker zijn, maar ik hoop dat je dat nooit hoeft uit te vinden want het is niet eenvoudig om te herstellen als je door een geavanceerde aanval wordt getroffen. Een backup op google drive of een 2e vaste schijf is vaak genoeg niet voldoende... Soms moet je weken terug voor echt schone kopieën

mjl @wildhagen • 17 april 2023 17:42

Zeker aan den lijve meegemaakt en zeker bij ransomware die met name specifieke file formaten eerst doet, gelukkig was het maar 1 cliënt die besmet was en die was niet continu online (laptop). Maar de schade was behoorlijk. Gelukkig kon IT de backup binnen een paar dagen terugzetten, een paar dagen ongemak en hooguit een paar uur aan bestandjes kwijt.

Dit was echter al een flink aantal jaar geleden, en was nog een untargeted aanval met een ’postnl uw pakket ligt klaar voorkom terugzendend klik nu’ mail.

Een moderne en meer geavanceerde aanval zal inderdaad meerdere clients besmetten en daarmee zal encryptie ook vele malen sneller gaan en veel meer systemen geraakt worden.

Sluuut @wildhagen • 17 april 2023 18:10

Ik vermoed dat hij doelt op een systeem wat bijvoorbeeld kan zien dat er meer dan 1% data word gewijzigd binnen 1 minuut en dan alles op readonly zet.

Zulke oplossingen kosten natuurlijk geld. En het bied maar een kleine mitigerende oplossing voor een veel groter probleem.

Bij Gemiddelde ransomware aanvallen zijn de hackers al 300+ dagen binnen en ben je dus al veel te laat met zo’n oplossing.

risc16 @wildhagen • 17 april 2023 20:54

Niet geheel mee eens. Als beheerder meerde mogelijke manier uitgerold om het te reduceren denk aan FSRM, deze kan je zo configureren op Files servers dat als er een bestand word aangepast met een bekende Ransomeware Extensie dat dit gewoon word geblokkeerd. Lijst met de extensies zijn vrij toegankelijk te vinden.

https://fsrm.experiant.ca/

Deze lijst is natuurlijk nog aan te vullen naar eigen Wens.

beerse @blorf • 17 april 2023 17:34

Er zit een ruime marge tussen op tijd door hebben en aan het publiek melden. En dan ook nog dat wij het hier in Europa relevant vinden om te melden. Het (reddit) bericht waar naar wordt verwezen is al 3 dagen oud.

Zakelijk gezien is het eerst zien, dan acteren en pas als je iets meer weet dan dat er alarmbellen af gaan, dan pas melden. En dan ook eerst bij de benodigde instanties en daarna pas publiek.

En dan is het ook nog een ransomeware aanval. Geen idee hoe deze precies verloopt maar het kan best zijn dat de klanten van ncr ook niet direct verstoringen hebben gezien. In theorie is het mogelijk dat de inbraak, versleuteling en data diefstal al een half jaar loopt of zo.

blorf @beerse • 17 april 2023 18:02

Wat als je peridiek steekproefsgewijs een opgeslagen gebied controleert op niet-herleidbare wizigingen?Een redelijk simpele fingerprint is al voldoende om een probleem als dit te herkennen. Je moet er als administrator wel bij kunnen.
Volgens mij is de belangrijkste vereiste om een ransomware op te kunnen lopen het niet afdoende kennen van je eigen besturingssysteem...

beerse @blorf • 19 april 2023 11:00

De meest simpele test is bij de backup. In de regel is een dagelijkse backup een incrementele. Dat wil zeggen alleen de wijzigingen. En in de regel worden backups ook ge-dedupliceerd. Als daarbij opeens veel meer gegevens de backup in gaan is er in de regel iets aan de hand.

Daarmee heb je een redelijke dagelijkse test met een redelijke dekking. In de regel ergens in de nacht, buiten kantoortijd. Dan moeten er dus wel toeters en bellen af gaan en de juiste mensen worden gealarmeerd. De klanten en het publiek worden in de regel pas als laatste geïnformeerd, reken aan het einde van de dag, dus een dag later dan dat het feest begon.

In de regel is de ransomeware dan al enige tijd binnen. De besmetting kan dan al maanden oud zijn.

blorf @beerse • 19 april 2023 11:30

Het lijkt me niet dat er zichzelf respecterende security-specialisten zijn die de eigen maatregelen van een organisatie serieus nemen als die uitleggen dat ze een breach weken of maanden later pas hebben geconstateerd omdat het een "ransomware" was. Dat betekent gewoon dat ze niks hebben wat daarop controleert.
Je weet bijvoorbeeld precies welke software je draait. Iets afwijkends zie je direct als je je oorspronkelijke base er voor houdt... (Heb ik hier wel mensen gehoord die het vanzelfsprekend vonden dat de backups er ook onder zitten. Die weten echt niet waar ze over praten)

[Reactie gewijzigd door blorf op 24 juli 2024 00:04]

Djaro 17 april 2023 16:53

aha.. daarom storing bij Ikea.. en lang w8en ..

Cergorach

Beveiliging en antivirus
Networking en security

@Djaro • 17 april 2023 17:14

aha.. daarom storing bij Ikea.. en lang w8en ..

Tenzij je momenteel niet in Europa zit, lijkt mij dit onwaarschijnlijk, want...

In Europa zou de storing beperkt zijn tot systemen voor online bestellen

Tenzij je nu voor een scherm zit te wachten...

TheVivaldi @Cergorach • 17 april 2023 17:18

Eh, er staat “ZOU de storing beperkt zijn tot”, dus het is niet uitgesloten dat er meer getroffen is.

Marekie 18 april 2023 16:06

Ik begreep dat het plaatsen van een fake bestand op een share of my documents helpt in het stoppen van ransomware op je machine.
Wanneer het fake bestand encrypted wordt, gaat je systeem direct op slot. Er zullen dan al files aangetast zijn maar de schade kan behoorlijk worden beperkt. Zeker wanneer je belangrijke bestanden buiten je my documents opslaat.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (35)

Sorteer op:

Weergave: