Middelbare scholen in Hengelo zijn getroffen door ransomware, lessen gaan door

Scholenkoepel OSG Hengelo is getroffen door ransomware. Volgens de scholen heeft de infectie geen gevolgen voor de uitslagen van de eindexamens, die net achter de rug zijn. Het is nog niet bekend of er gegevens zijn gestolen.

De stichting Openbare scholengemeenschap Hengelo, waar vier middelbare scholen in de gemeente onder vallen, schrijft op zijn website dat het getroffen is door ransomware. Die zou op 30 mei zijn ontdekt, de dag na Tweede Pinksterdag. Ransomwarebendes slaan vaak toe tijdens vakantieperiodes en vrije dagen, als de bezetting op ict-afdelingen laag is, maar het is niet duidelijk of OSG ook in het Pinksterweekend is getroffen.

De scholenkoepel zegt dat het werkt aan het herstellen van de systemen, maar dat niet duidelijk is wanneer dat klaar is. Er is inmiddels ook een securitybedrijf ingeschakeld dat onderzoek doet naar het incident. OSG kan 'op dit moment nog niet met zekerheid zeggen' of er data is gestolen bij de aanval. Daarvoor wacht de koepel het forensisch onderzoek nog af, maar de kans lijkt groot dat dat gebeurd is. Ransomware draait tegenwoordig vaker om datadiefstal dan om versleuteling. Er is in ieder geval een melding gedaan bij de Autoriteit Persoonsgegevens. De scholenkoepel zegt niet of er losgeld wordt geëist en of de school dat heeft betaald of gaat betalen.

Volgens de scholengemeenschap gaan de lessen door. De koepel verzekert betrokkenen ook dat er geen gevolgen zijn voor de eindexamenresultaten. De centrale eindexamens vonden vorige maand plaats. "De informatie die nodig is voor het verkrijgen en verstrekken van de eindexamenresultaten aan onze leerlingen kunnen wij raadplegen", schrijft de koepel. Leerlingen krijgen volgens OSG 'op tijd resultaat'.

Reacties (77)

Auteur

TijsZonderH Nieuwscoördinator 2 juni 2023 18:40

En als je betaalt, zie je bij die clubs ook steeds vaker dat de data alsnog verkocht wordt, om dubbel inkomsten te generen

Heb je daar een bron van? Ik lees heel wat securityrapporten maar daarin wordt dat weinig beschreven, ik twijfel of dat 'steeds vaker' voorkomt. Het zou ook heel tegenstrijdig zijn met het verdienmodel van ransomware. Als bendes die info alsnog online zetten, is er steeds meer reden om losgeld te betalen. Maar securityexperts adviseren niet expliciet om niet te betalen.

Edit: deze moet voor @wildhagen zijn.

[Reactie gewijzigd door TijsZonderH op 25 juli 2024 01:21]

wildhagen

Beveiliging en antivirus
Nederland
Ransomware

@TijsZonderH • 2 juni 2023 18:44

Grotendeels eigen ervaring uit het (soms recente) verleden bij onze klanten en wat je daar ziet aan tactieken, daar lust Fikkie soms ook geen brood meer van.

Maar Lockbit doet het bijvoorbeeld. Sterker nog, die gaan nóg een stapje verder met zelfs triple-extortion, door ook DDoS-attacks uit te (willen gaan) voeren. Zie bijvoorbeeld https://www.bleepingcompu...-triple-extortion-tactic/

LockBitSupp said that the ransomware operator is now looking to add DDoS as an extortion tactic on top of encrypting data and leaking it.

“I am looking for dudosers [DDoSers] in the team, most likely now we will attack targets and provide triple extortion, encryption + date leak + dudos, because I have felt the power of dudos and how it invigorates and makes life more interesting,” LockBitSupp wrote in a post on a hacker forum.

mac1987 @wildhagen • 2 juni 2023 18:54

Triest dat er mensen zijn die zo in het leven staan. Als je de maatschappelijke kosten toch eens op hun zou kunnen verhalen... (ja ik weet dat dit helaas een utopie is).
Bijzonder ook hoe zakelijk dit soort dingen worden opgepakt, en jammer om te zien hoe we als maatschappij continu 1-0 achter lijken te staan, puur omdat je alleen preventief en reactief kunt acteren. Geeft nog maar eens aan hoe belangrijk goede databeveiliging is.

[Reactie gewijzigd door mac1987 op 25 juli 2024 01:21]

5pë©ïàál_Tèkén @mac1987 • 2 juni 2023 19:08

De situatie is wel iets anders dan je beschrijft. Jaren decennia was IT een ondergeschoven kindje bij bedrijven. 'Als de boel maar werkt' was het mantra. Updates kostte geld en zorgde er voor dat delen van het bedrijf er (even) uit lagen. En tja, wat was nou precies de toegevoegde waarde er van - dacht men. En de ITers die wel waarschuwden waren roependen in de woestijn en werden vriendelijk verzocht op te houden met zeuren. En als ze enge brandbrieven naar de directie stuurden met termen als 'het bedrijf loopt gevaar', dan werd dat niet altijd gewaardeerd.
Bij de politiek is dit probleem nog erger. Het onderwerp is niet 'sexy' - je wint er geen stemmen mee, net zoals riolering onderhoud. Het kost bakken met geld en zo lang het goed gaat ontstaat er geen gevoel voor urgentie. Top talent gaat de politiek niet in want die worden toch niet serieus genomen. Nu is de stapel technical debt bij de overheid zo groot dat niemand er aan wil. De gene die dat oppakt krijgt alle sh*t over zich heen.
Er waren decennia lang zwakheden waar enkel 'gewone' virussen rondgingen. Deze virussen werden geschreven door individuen, niet organisaties en zeker geen overheden. Het veranderde allemaal toen er een verdienmodel mogelijk was. Toen veranderde in een paar jaar het hele speelveld. De 'afrekening' van het jaren lang bagatelliseren van IT beveiliging is nu gaande.
Een flink deel van B.V.-Nederland heeft hier boter op 't hoofd

mac1987 @5pë©ïàál_Tèkén • 3 juni 2023 00:37

Ik zie eerlijk gezegd geen tegenstelling in onze reacties. Omdat je verdediging speelt loop je altijd achter. Er komt een nieuwe dreiging en daar bouw je vervolgens (verbeterde) beveiliging tegen. Dat maakt het nog belangrijker dat die beveiliging op orde is. Jouw aanvulling dat die beveiliging nooit serieus genoeg is genomen is terecht en onderschrijf ik volledig.

Auteur

TijsZonderH Nieuwscoördinator @wildhagen • 2 juni 2023 18:47

Dat gaat over ddos'en, niet over data lekken nadat er betaald is. Dat komt naar mijn weten amper voor, zeker niet bij grote bendes als Lockbit.

Jelmer @TijsZonderH • 3 juni 2023 07:04

Bij traditionele crypto niet, daar klikt de user bijv op een attachment en gaat de boel op slot. Zeker bij de recente en vooral de gerichte aanvallen is een meertrapsgijzelinf een reeel risico. Professionele onderhandelaars nemen double en triple extortion daarom mee in de onderhandeling.

Luister de podcast een les het boek van Daniël Verlaan ook eens, geeft veel inzicht in het wereldje.

Tha Render_2 @TijsZonderH • 2 juni 2023 19:06

Zie ik inderdaad ook weinig, zelfs niet, anders valt hun business model in duigen, waarom zouden bedrijven nog betalen als de groep gekend staat om het nog steeds lekken van de data achteraf.

Nu, bronnen, Veeam heeft net zijn 2023 Ransomware Trend rapport uitgebracht: https://www.veeam.com/ransomware-trends-report-2023

Lessons learned from 1.200 victims and nearly 3.000 cyber attacks

Staan toch straffe zaken in:

77% of ransoms were paid by insurance, but that is becoming harder and more expensive
80% of victims paid the ransom, but one fourth of them still could not recover their data
It is worth noting that 41% of organizations have a “do not pay” policy, while 43% of organizations do not have a policy to pay or not. That said, 80% paid.

nst6ldr @Tha Render_2 • 2 juni 2023 19:18

waarom zouden bedrijven nog betalen als de groep gekend staat om het nog steeds lekken van de data achteraf.

Omdat disaster recovery een ondergeschoven kindje is (áls het al bestaat) en dus vele factoren langer duurt dan de agent die toch al op alle PCs staat een signaal te sturen dat ze de versleuteling terug mogen draaien.

GMJansen

@TijsZonderH • 3 juni 2023 22:07

BNR heeft bijvoorbeeld een jaar of wat geleden enkele podcasts aan dit fenomeen besteed bij de Nederlandse tennisbond.

https://www.bnr.nl/podcas...verkopen-persoonsgegevens

wildhagen

Beveiliging en antivirus
Nederland
Ransomware

2 juni 2023 18:38

Ransomware draait tegenwoordig vaker om datadiefstal dan om versleuteling.

Je ziet het ook steeds vaker gecombineerd worden: én documenten worden versleuteld om geld te eisen, én de data wordt gestolen en al dan niet via darkweb te koop aangeboden. Het zogenaamde ''double extortion"-principe.

En als je betaalt, zie je bij die clubs ook steeds vaker dat de data alsnog verkocht wordt, om dubbel inkomsten te genereren. En betalen is geen garantie dat je je data terug kunt krijgen uit de versleuteling, want helaas zie je ook steeds meer het principe dat na betalen maar een xx aantal bestanden ontsleuteld worden. Wil je de rest ook ontsleutelen: pech joh, betaal nog maar een keer. En dat dus tig keer.

Wat dat betreft wordt het met ransomware helaas wel steeds erger. En het ergste is, door te betalen ontstaat er een lucratief business model: gegarandeerde inkomsten (bedrijven betalen vaak toch wel), tegen weinig pakkans (want groeperingen vaak aanwezig in schimmige landen). Door te betalen houdt je in feite het business model, en dus ransomware attacks, in stand.

Scriptkid @wildhagen • 2 juni 2023 18:47

En daarom is het goedkoper om full wipe te doen en neit betalen. Immers weet je niet na betalen hoeveel waar en wat voor footholds er achter blijven.

En niet betalen roeit het principe langzaam uit

satya @Scriptkid • 2 juni 2023 19:31

Moet je wel een full restore kunnen doen, maar in veel gevallen is die ook al versleuteld, dit soort bendes is vaak al drie tot zes maanden in je netwerk aanwezig om bv data ongezien naar buiten te hengelen.

nst6ldr @satya • 2 juni 2023 19:57

Als je backups zijn versleuteld, had je ze niet getest. Als je je backups niet test, zijn het geen backups maar kopieën.

satya @nst6ldr • 3 juni 2023 00:04

Dat klopt, maar hoe denk je dat deze lui te werk gaan? Ze nemen maanden de tijd om je hele infra te doogronden, bereiden op die hele infra inclusief je backup infrastructuur een de aanval voor en op uur U wordt alles versleuteld. Alleen een off-site backup die ze niet kunnen bereiken had in deze situatie kunnen helpen. Die heeft niet iedereen.

nst6ldr @satya • 3 juni 2023 09:08

Ik weet prima hoe ze te werk gaan, vandaar mijn opmerking. Ik kan ook genoeg redenen verzinnen waarom niet alle bedrijven backups en disaster recovery hebben, maar gek genoeg blijken die redenen pas na een aanval ineens minder belangrijk dan het herstellen van de bedrijfsvoering - helaas is het dan wel te laat.

themadone @satya • 3 juni 2023 15:23

Off site hoeft niet eens, wij maken gewoon nog steeds tape backups naast de online backups.

1 setje online in het DC voor quick restore van gebruikers dommigheid.
1 setje offsite online voor help het DC staat in brand recovery.
1 set op tape met stevige retentie voor het geval ransomware of andere ellende. Hierbij is het wel zaak om alleen data te recoveren en niet complete systemen gezien die compromised kunnen zijn.

Tranquility @nst6ldr • 4 juni 2023 11:57

Ook niet zo handig om backups in je netwerk te laten zitten..

Squats @satya • 3 juni 2023 07:14

Dit dus, hoe vaak ik bijvoorbeeld nog bedrijven met omzet in de tonnen per dag nog magnetic tape of een jbod gebruiken als target…. Sterker nog vaak hebben ze hun restore niet eens volledig getest en zijn ze bij een hack zeker een week of twee offline om hun config te herstellen

david-v

@Squats • 3 juni 2023 12:15

Of om erachter te komen dat de zogenoemde backup tapes eigenlijk leeg waren door een foute instelling. Een kast vol lege backups... Zelf meegemaakt helaas. Gelukkig nog een failover site waar de backup tapes wel gevuld waren....

Lesje wel geleerd, een ongeteste backup is alsof je geen backup hebt.

lenwar

Nederland
Beveiliging en antivirus

@Scriptkid • 3 juni 2023 07:55

Daar is niks algemeens over te zeggen. Dat ligt er aan hoeveel geld er is geeist. Je weet ook niet van tevoren of die door je benoemde “footholds” niet in je backups (als die al beschikbaar zijn) zitten.
Mogelijk is het goedkoper om te betalen dan de uren/kosten die nodig zijn om alles vanaf scratch opnieuw op te bouwen. Misschien ook niet.
Mogelijk staat alle ‘echte data’ in de cloud en is dat stuk op die manier al beter beschermd. Misschien ook niet.
Enz, enz, enz

Er is echt niks algemeens over te zeggen

En niet betalen roeit het principe langzaam uit

Hier heb je mogelijk wel gelijk in, maar dan moet wel iedereen (wereldwijd) het doen.

copywizard @wildhagen • 2 juni 2023 18:42

"zie je bij die clubs ook steeds vaker dat de data alsnog verkocht wordt, om dubbel inkomsten te genereren."

Heb je hier bronnen van ik ben namelijk wel benieuwd. Naar mijn weten zijn dit criminele organisaties maar wel organisaties die volledig leunen op het feit dat je data niet lekt als je betaald?
Dit omdat als bekend word dat het toch wel word gelekt niemand meer gaat betalen?

Ondanks dat wel super zuur wat hier is gebeurd.

FairPCsPlease @wildhagen • 2 juni 2023 20:11

Ik wordt helemaal koud als ik dat lees, zulke enorme moraalloze compassie-loze criminaliteit. Brrr.

Tijd om weg te vluchten van de Tweakers frontpage.

In een wereld van mensen die rijk worden van afpersing en bedrog wil ik helemaal niet leven. Deze week nog een feestje waarin mensen praten over alle scamming apps/telefoontjes/e.d. die ze kregen, bijvoorbeeld van iemand die zich met app-berichten voordoet als een dochter die dringend geld nodig heeft. Ik heb gevraagd of we alsjeblieft op een ander onderwerp over konden stappen. *FairPCsPlease logging out om te proberen de zin in het leven weer terug te vinden

[Reactie gewijzigd door FairPCsPlease op 25 juli 2024 01:21]

CivLord

@FairPCsPlease • 4 juni 2023 10:10

Dat soort criminaliteit is van alle tijden. Het is tegenwoordig alleen makkelijker om grote aantallen slachtoffers te maken.

2TheMaxx 2 juni 2023 21:50

Ik zit zelf op deze school en dit verbaasde mij niks toen ik het hoorde. Sommige wachtwoorden waren standaard Welkom01 etc, pas 2 maand geleden is 2fa verplicht geworden

Je zou vermoeden dat de admin accounts beter beveiligd zijn.

Maar het kwalijkste vind ik het feit dat de school in het begin heeft gelogen (of verkeerde informatie op dat moment had, wellicht nog wel kwalijker na 1 dag). De directeur sprak door de intercom over een stroomstoring en ook in de communicatie naar ouders en leerlingen.

Hieronder een stukje uit de brief.

Uiteraard is de afdeling ICT met man en macht aan het werk gegaan om te achterhalen wat het probleem is. Het blijkt dat een grote stroomstoring in het weekend waarschijnlijk de oorzaak is geweest van alles. Om het probleem op te lossen moeten al onze servers opnieuw geïnstalleerd worden. Daar is zeker vandaag nog voor nodig, maar misschien ook een deel van woensdag 31 mei.

[Reactie gewijzigd door 2TheMaxx op 25 juli 2024 01:21]

Ryangr0 @2TheMaxx • 3 juni 2023 07:42

Eigenlijk zou je daar achteraan moeten gaan. Dat soort gedrag moet absoluut bestraft worden. Het zal niet de eerste keer zijn dat jullie worden voorgelogen door de directie als dit hun eerste reactie was. Ik zou proberen er precies achter te komen dat zich daar heeft afgespeeld en mogelijk een melding bij het AP maken.

My Tec Master @2TheMaxx • 3 juni 2023 21:40

Ik zou zeggen ontslag. Iemand die zulke onzin uitkraamt. Je leert leerlingen alvast dat liegen ok is.

TWeaKLeGeND @My Tec Master • 4 juni 2023 16:17

Liegen is ok en leerlingen moeten dat weten. Alleen de wanneer en hoe moeten ze ook weten en het zou een mooie casus zijn om nu te laten zien dat dit dus een slecht moment was om te liegen.

CivLord

@2TheMaxx • 4 juni 2023 11:33

Is het liegen? Of is het een slag in de lucht slaan op basis van onvolledige gegevens?
Wanneer niet meteen duidelijk is dat er sprake is van ransomware, heb je in eerste instantie niets anders dan een hoop PC's en servers die niet op willen starten of niet bij bestanden kunnen komen. Wanneer eerder problemen zijn ontstaan doordat verschillende bestanden corrupt zijn geraakt door een stroomstoring, dan is een foutieve conclusie aannemelijk.

Wanneer iets gezegd wordt dat achteraf onjuist blijkt te zijn is dat niet automatisch liegen. Liegen is wanneer je bewust iets zegt waarvan je weet dat het niet klopt, niet wanneer je door foute aannames of foute informatie iets zegt waarvan je aanneemt dat het op dat moment waarschijnlijk klopt.

2TheMaxx @CivLord • 4 juni 2023 13:53

Ik hoop en verwacht dat ze nog niet wisten dat het om ransomware ging. Wellicht is dat nog wel kwalijker dat ze na 1 dag nog niet door hadden dat het om ransomware ging.

Anoniem: 767041 2 juni 2023 18:46

Maar een anti virus zoals kasperksy of iets werkt hier toch gewoon tegen? Moet de ransomware wel bekend zijn denk ik

SuperDre @Anoniem: 767041 • 2 juni 2023 19:13

Dan ben je wel heel naief als je dat denkt. Ze werken tegen standaard virussen die al langer bekend zijn of hoe ze werken. Naast dat windows zelf tegenwoordig een net zo goeie scanner in zich heeft, mits je fatsoenlijk update.

ultimasnake @SuperDre • 2 juni 2023 19:29

En laat nu juist windows defender in ieder geval bij recente youtube scams de boel gewoon doorlaten. Zelfs een executable met .pdf extensie gewoon laten dubbelklikken en uitvoeren door een gebruiker (oa Paul Hibbert en iemand van Linus media trapte hier uiteindelijk in) had echt niet moeten kunnen in de basis (en extensies zie je standaard niet in windows nog ‘filetype’)

nullbyte @ultimasnake • 2 juni 2023 20:52

en extensies zie je standaard niet in windows nog ‘filetype’)

Een dubblele extensie, saai en bekend truukje en vrijwel irrelevant met een RTLO attack:

MITRE ATT&CK:

Adversaries may abuse the right-to-left override (RTLO or RLO) character (U+202E) to disguise a string and/or file name to make it appear benign. RTLO is a non-printing Unicode character that causes the text that follows it to be displayed in reverse. For example, a Windows screensaver executable named March 25 \u202Excod.scr will display as March 25 rcs.docx. A JavaScript file named photo_high_re\u202Egnp.js will be displayed as photo_high_resj.png

https://attack.mitre.org/techniques/T1036/002/

Voor het Elon Musk verhaal van LTT moet MS Defender niet als schuldige aangewezen worden. Het betrof hier session hijacking waarbij coockies gestolen worden. Iets dat niets met MS defender te maken heeft. Defender is een virus scanner. Als er hier een techgigant nalatig is geweest dan is het Google.

[Reactie gewijzigd door nullbyte op 25 juli 2024 01:21]

icter-tje @ultimasnake • 2 juni 2023 19:54

Toch zit er een groot verschil tussen MS Defender (ingebouwd in Windows) en MS Defender for Endpoint wat wel een volledige XDR/MDR oplossing is. Alleen het gebruik van Defender is inderdaad niet voldoende. Een implementatie van DFE is wel voldoende om te beschermen tegen geavanceerde aanvallen omdat deze ook kijkt naar gedrag.

Blokker_1999

Ransomware
Beveiliging en antivirus
Nederland

@icter-tje • 3 juni 2023 06:57

Het gebruik van Defender is een belangrijke stap en zal voor vele mensen al een heel grote imnperking van het aanvalsoppervlak betekenen en kan ook ransomware tegen gaan. Elke moderne virusscanner kijkt naar gedrag en doet dat al heel wat jaren. De tijd dat een virusscanner puur naar hashes kijkt zit ver achter ons. De eerste AV die niet alleen hash based werkte, maar ook naar het gedrag van software keek dateerd ook al weer van 1987.

ultimasnake @icter-tje • 3 juni 2023 10:31

Maar iedere virusscanner zou toch inmiddels moeten voorkomen dat jan en allemaal op een pdf dubbelklikt, die een pdf icoon laat zien omdat het een .pdf extensie heeft terwijl het onderwater een executable is?

comecme @ultimasnake • 3 juni 2023 19:21

Maar moet de virusscanner dan alles tegenhouden dat eindigt op .iets.exe? Of moet er iets verfijnders gebeuren?

CivLord

@ultimasnake • 4 juni 2023 10:23

Voor de standaardgebruiker zijn extensies volledig abracadabra.
'LeukPlaatje.PDF'; 'LeukPlaatje.EXE'; 'LeukPlaatje.PDF.EXE' Het is voor hen allemaal hetzelfde, ze zien alleen 'LeukPlaatje' en de rest negeren ze of veroorzaakt verwarring. Daarom maakt het niet zo gek veel uit dat Microsoft de extensies standaard verbergt om de bestandsnamen overzichtelijker te houden. De meeste gebruikers die de extensies wél begrijpen en deze belangrijk vinden zullen ook weten hoe het tonen ervan eenvoudig in te stellen is.

ultimasnake @CivLord • 4 juni 2023 16:22

Dat is mijn punt.. als je iets .pdf noemt maakt Windows er een ‘pdfje’ van voor de leek dmv het icoontje, die weet ook niet beter. Maar Windows (en/of Defender) zou vervolgens toch echt moeten zien/weten dat het een executable is en voorkomen dat de gebruiker die niet eens weet wat een extensie is deze kan uitvoeren?

Anoniem: 767041 @SuperDre • 2 juni 2023 19:25

Karig antwoord ipv degene die boven jou wat zegt

vrow @Anoniem: 767041 • 3 juni 2023 00:45

Ik word oud geloof ik.
‘Karig’ is bij mij ‘beperkt’ of ‘kort’ en ‘in plaats van degene die boven jou wat zegt’?

Ik begrijp oprecht niet wat je bedoelt, kun je je reactie misschien wat verduidelijken?

satya @Anoniem: 767041 • 2 juni 2023 19:27

Nee, dat werkt daar niet tegen, av oplossingen helpen alleen tegen bekende zaken.
Wil je volledige protectie dan moet je naar zoiets als Sentinel of de volledige suite van Microsoft.

Bij dat soort omgevingen wordt gedrag centraal bij gehouden en bij een verdachte actie wordt het betreffende toestel geïsoleerd.

sprankel @satya • 3 juni 2023 04:02

Ik moet zeggen dat de kennis van menige Tweakers over AV oplossingen dringend een update nodig heeft.

Zowat elke hedendaagse AV kan wel degelijk optreden tegen onbekende zaken. Een eerste check is certificaat controleren van een uitvoerbaar bestand of process, komt die van een betrouwbare ontwikkelaar? Zo nee kan de AV al meteen in actie schieten. Of is er geen certificaat? Waarschuw gebruiker, vraag bevestiging om uit te voeren en upload het eerst naar de cloud waar het automatisch in een container word uitgevoerd om te bepalen of het rare zaken wilt doen.

Probeert een process bepaalde systeem folder of registers te benaderen waar het niet moet zijn? Schiet maar meteen in actie. Indien een process folders probeert te benaderen die typerend zijn voor een cryptolocker zoals documents folder, tenzij dat aangemerkt staat als trusted en de hash gekend is bij veel gebuikers, schiet ook maar in actie.

Moet je nu veel geld uitgeven aan een AV die dat allemaal kan? Nee hoor, zit recht ingebakken in de standaard Defender en nee, je hebt niet de enterprise variant nodig (die voegt voornamelijk zichtbaarheid voor beheerders en meer controls toe voor de beheerder naast inderdaad enterprise opties zoals computer isoleren van het netwerk). Je kan overigens ook folders toevoegen aan de "protected folders", voor het geval je documenten of foto's niet op de default locatie staan.

Echter hoe goed die AV producten ook zijn, het is en blijft een kat en muis spel. En je blijft met de user zitten die een file wilt uitvoeren, smartscreen waarschuwing krijgt omdat er geen certificaat is maar vervolgens gewoon op toch uitvoeren klikt. MS zou het kunnen afdwingen om niets meer uit te voeren dat niet signed is maar dan gaat een berg oude software alsook kleine niche software stoppen met werken.

satya @sprankel • 3 juni 2023 19:46

Het probleem is dat hackers ttp's inzetten waarmee ze het gedrag van een gebruiker of systeemservice nabootsen, dus volledig legale activiteiten worden ingezet onder de radar van een antivirus product.

Centrale SIEM/XDR oplossingen die gevoed worden met alle security gerelateerde activiteiten van een computer zijn getraind dit gedrag te herkennen, al dan niet in relatie tot andere data uit het landschap zoals netwerk activiteiten en al dan niet daar actief op te reageren.

Anoniem: 767041 @satya • 2 juni 2023 19:34

Jou antwoord werkt het antwoord van degene boven je tegen, van wildhagen, zijn uitleg geloof ik meer dan deze simpele

Arfman @Anoniem: 767041 • 2 juni 2023 22:59

Kan uit ervaring melden dat een fatsoenlijk XDR product zoals SentinelOne veel en veel meer is dan een traditionele AV waar wildhagen het over lijkt te hebben. Ik ga dus mee met satya.

wildhagen

Beveiliging en antivirus
Nederland
Ransomware

@Anoniem: 767041 • 2 juni 2023 18:48

Een antivirus helpt zeker flink, maar het is absoluut geen garantie. Als je iets hebt wat de virusscanner nog niet kent, ben je alsnog het spreekwoordelijke haasje.

Een moderne antivirusscanner (in ieder geval die van Kaspersky) heeft inderdaad ook bescherming tegen ransomware attacks. Maar ook die is, net zoals alles, niet 100 procent werkzaam.

En er hoeft maar één executable gemist te worden, en de poppen gaan dansen, dan is je netwerk al gecompromiteerd.

Dus ja, het hebben van een antivirus pakket reduceert zeer zeker het risico, maar het is géén garantie dat je niet getroffen kunt worden.

lenwar

Nederland
Beveiliging en antivirus

@Anoniem: 767041 • 3 juni 2023 08:02

In de basis kan dat inderdaad heel veel helpen, maar dan moet je dan wel over je hele landschap actief hebben.
Vaak leeft de illusie dat antivirus(en/of endpoint protection) niet nodig is voor Linux of UNIXen, en als je die dan niet meeneemt kan je alsnog het spreekwoordelijke haasje zijn.

svennd @lenwar • 3 juni 2023 08:53

Wat is je aanwijzing dat Linux hier iets mee te maken heeft ? Ik zeg niet dat Linux geen protectie nodig heeft maar de meeste ransomware focust -bij mijn weten- enkel op Windows...

lenwar

Nederland
Beveiliging en antivirus

@svennd • 3 juni 2023 09:00

Daar heb ik geen concrete aanwijzing voor.

Stel dat het inderdaad voornamelijk Windows-systemen zijn die alsaanvalsvector gebruikt worden: Als de Linux/UNIX server op welke manier dan ook alleen al de Windows-software huisvest (op een share, in een database, waar dan ook) dan zit het nog steeds slapend in je netwerk.

Dan is het natuurlijk alsnog het Windows systeem dat het moet uitvoeren, maar je bent alweer een stap te ver.

Vlizzjeffrey @Anoniem: 767041 • 3 juni 2023 01:55

Is net als bij videogames en cheaters, games proberen alle cheats eruit te patchen/herkennen en de cheat makers proberen weer nieuwe cheats te maken die niet herkent worden door de anticheat software, precies hetzelfde met virussen en antivirus programma's.

david-v

@Anoniem: 767041 • 3 juni 2023 09:17

Een virusscanner doet niks als je een database hebt die openbaar te benaderen is hoor. Antivirus is maar één deel van een hele set aan beveiligingen en processen die nodig zijn om je te beschermen tegen dit soort aanvallen. Helaas is die kennis schaars en niet goedkoop.

Anoniem: 767041 @david-v • 3 juni 2023 09:31

Niet helemaal mee eens, zoals wildhagen ook zegt, sommige hebben tegenwoordig ransomware bescherming, maar daar moet je ook niet 100% op vertrouwen, een misser en alsnog schaden maar het kan zeker vertragend maken

david-v

@Anoniem: 767041 • 3 juni 2023 12:09

Volgens mij zeggen wij hetzelfde

. Alleen een antivirus gebruiken, hoe goed die ook is, is niet voldoende. Zowel ik als wildhagen reageren op de stelling

Maar een anti virus zoals kasperksy of iets werkt hier toch gewoon tegen?

Het helpt uiteraard wel, maar dat is niet voldoende. Je hebt meer middelen nodig, om niet een van de belangrijkste te vergeten, je werknemers. Zonder de nodige instructies/processen ben je een makkelijk doelwit. Je beveiliging is net zo sterk als je zwakste schakel, en werknemers zijn in ict wereld vaak onbedoeld en onbewust de ingang voor ramsomware aanvallen.

blorf @Anoniem: 767041 • 3 juni 2023 10:22

Ransomware is altijd een vervangende uitleg over een hack waar ze het niet over willen hebben. De boel versleutelen en losgeld eisen kan altijd na volledige privilege escalation.

mjansen2016 @blorf • 3 juni 2023 17:10

Idd, situatie die nog steeds veel voorkomt is het versturen van nepfactuur een attachment naar iemand die wel er wel uitgefilterd word, maar omdat de gebruiker dat niet snapt/geen zin heeft om IT te bellen is het dan "stuur maar naar mijn google/outlook.com" en dus de prive computer thuis(Macbook air) en dan met RDP naar zaak om zo het bestand toch te kunnen plaatsen en uit te voeren(Ethical hacking speelt hier ook een zekere rol in, dus helemaal onterecht is de term niet).

blorf @mjansen2016 • 3 juni 2023 18:57

Of nog simpeler: intern. Iemand vindt een in een "publiek" systeem een manier om iets te injecteren via een invoerveld. Altijd dom dat ze een draad hebben liggen naar de systemen met kritieke informatie en de backups.

TheDeeGee @Anoniem: 767041 • 3 juni 2023 16:19

uBlock Origin is naast een anti-virus ook een vereiste met al die scripts die verstopt zitten in advertenties.

Anoniem: 767041 @TheDeeGee • 3 juni 2023 17:53

Ik heb overal adguard op runnen, werkt perfect

[...] maar het is niet duidelijk of OSG ook in het Pinksterweekend is getroffen.

Ik durf te wedden dat ze een flinke tijd van te voren al waren getroffen. Hackers breken stilletjes in, verkennen het netwerk (wat er op staat, beveiliging, user (levels) etc) en zorgen dat er zo veel mogelijk versleuteld kan worden - het liefste ook back-ups. Afhankelijk van hoe vaak er back-ups worden gemaakt (er vanuit gaande dat dat gebeurd...) blijven de hackers maar al te graag onopgemerkt om ook de back-ups te comprimeren.
Tijdens de 'feest'dagen wordt al het voorwerk tot uitvoering gebracht waardoor het lijkt alsof het hele systeem 'ineens' versleuteld is.

deadlock2k 2 juni 2023 20:03

OSG Hengelo is niet verantwoordelijk voor de ICT op CT Stork maar dat is de Stichting Carmelcollege, ook uit Hengelo. Daar is dus ook geen impact. Er zijn dus effectief maar drie scholen geraakt.

Fugitive2008 2 juni 2023 20:49

Het is vrijdagavond 1830, zal weinig les op een middelbare school worden gegeven

freaq 2 juni 2023 21:37

Ja nogal wiedes dat de lessen doorgaan…
Dat de pc’s plat liggen betekent niet dat we geen les meer kunnen geven…

Roel1966

2 juni 2023 23:13

Tja, vroeger stond alles op papier en werden examens door examinatoren nagekeken, maar dat zal tegenwoordig dan allemaal wel digitaal verlopen neem ik aan. En zeker, het scheelt heel wat uren extra werk voor leraren dat nu tegenwoordig veel ook digitaal kan gebeuren. Maar ja, je ziet ook wel hoe vaak het mis gaat en het erop lijkt dat dit steeds meer aan het gebeuren is.

Als je het mij vraagt komt het ook wel omdat steeds meer aan mekaar geknoopt word qua apps en programma's. Ook dat alles zo nodig aan een cloud verbonden moet zijn en je er best moeite voor moet doen alles lokaal te houden. Vooral op mobiele devices word je er knetter van hoe vaak je de vraag krijgt of iets in een cloud opgeslagen moet worden.

En tja, waarom moet alles nu werkelijk 24/7 op werkelijk alle plekken beschikbaar zijn, daar kan ik dus behoorlijk gestressed van raken. Tegenwoordig ben je al bijna verplicht dat je je smartphone bij je hebt en bereikbaar bent.

crazyboy01 @Roel1966 • 4 juni 2023 16:41

Het voordeel van het op alle plekken beschikbaar zijn is vooral dat je niet meer gebonden bent aan één plek. En cloudopslag is gewoon een relatief veilige manier van backups hebben en delen zonder dat je daar zelf apparatuur voor moet laten draaien, want die aanschaf en een draaiend apparaat is niet iets dat iedereen graag heeft. Daarbij heeft het volgens het artikel geen gevolgen voor de examens, dus mis is het daarmee niet gegaan.

Ja, er is veel overgenomen door computers in de scholenwereld o.a. qua nakijken, maar dat is al zeker 15 jaar aan de gang in deze mate. En dat gaat ook niet meer veranderen, dat wil je doorgaans ook niet. Er zitten nadelen aan, maar die heb je ook bij mensenwerk, en ze wegen niet op tegen de voordelen en efficiëntie.

Roel1966

@crazyboy01 • 4 juni 2023 18:06

En cloudopslag is gewoon een relatief veilige manier van backups hebben en delen

Tja, dat zie je wel hoe veilig het is en hoe vaak dat het toch mis gaat zoals nu weer hier het geval. Ik ben dus in elk geval niet kapot van Cloudopslag en blijf bij lokale opslag van backups.

Daarbij heeft het volgens het artikel geen gevolgen voor de examens, dus mis is het daarmee niet gegaan.

Daarin spreekt het artikel zich tegen want het is nog niet bekend of er iets gestolen is.

En dat gaat ook niet meer veranderen, dat wil je doorgaans ook niet.

Dat weet ik zo net nog niet want kinderen zullen toch ook moeten leren schrijven en nog met de handen kunnen werken.

crazyboy01 @Roel1966 • 4 juni 2023 20:22

hoe vaak dat het toch mis gaat zoals nu weer hier het geval

Dit is helemaal geen cloud verhaal, dit kan net zo goed een ouderwetse lokale omgeving zijn. En die fouten die wel gebeuren in de cloud liggen vaak bij een onzorgvuldigheid van de gebruiker. Zwakke wachtwoorden, niet kiezen om 2FA te gebruiken etc. Achter de schermen gaat het veel minder vaak mis. Een opslag binnenshuis is ook niet 100% veilig, en kost daarbij veel meer werk als je zekerheid wil. Voor beide is iets te zeggen, natuurlijk.

Daarin spreekt het artikel zich tegen want het is nog niet bekend of er iets gestolen is.

Ik denk niet dat de diefstal iets uit zal maken voor de uitslagen van de examens, en dat ze daarom nu al kunnen zeggen dat er geen gevolgen zijn.

Dat weet ik zo net nog niet want kinderen zullen toch ook moeten leren schrijven en nog met de handen kunnen werken.

Dat gebeurt ook, op de lagere school vooral en in bepaalde gevallen ook daarna nog genoeg. Het ging meer over de digitale overname van het werk waar leraren eerder de halve week mee bezig waren.

TheDeeGee 3 juni 2023 16:22

Stress begint al vroeg tegenwoordig, daar hoef nog niet eens voor te werken. Je bent niet eens je examen zeker.

Op dit item kan niet meer gereageerd worden.

Middelbare scholen in Hengelo zijn getroffen door ransomware, lessen gaan door

Lees meer

Reacties (77)

Sorteer op:

Weergave: