'In 2024 werd al 460 miljoen dollar ransomwarelosgeld betaald, mogelijk record'

In de eerste zes maanden van 2024 hebben criminelen al bijna 460 miljoen dollar aan ransomwarelosgeld ontvangen, zegt blockchainanalist Chainalysis. Dat is iets meer dan een jaar geleden. Volgens het bedrijf stijgt het mediaanbedrag aan losgeldbetalingen.

Chainalysis schrijft in een rapport dat het 459,8 miljoen dollar, omgerekend zo'n 418,6 miljoen euro, heeft gedetecteerd op blockchainadressen die aan ransomwarebendes toebehoren. Chainalysis is een analysebureau dat blockchainbetalingen in de gaten houdt. Het kijkt zowel naar gestolen cryptovaluta als naar betalingen van ransomwarelosgeld. Als de huidige trend doorzet, wordt 2024 het lucratiefste jaar voor ransomwarebendes, zegt het bedrijf.

Dat komt voornamelijk doordat ransomwarebendes zich steeds meer richten op aanvallen met een hoog profiel, waar ze meer geld per aanval mee kunnen verdienen. Chainanalysis wijst onder andere op een betaling van 75 miljoen dollar aan de Dark Angels-groep. Dat is de grootste ransomwarebetaling die het bedrijf tot nu toe heeft gedetecteerd. Dit type aanval is ook terug te zien in het mediaanbedrag, het middelste van alle waargenomen bedragen. Dat lag begin 2023 nog op 200.000 dollar per aanval, maar is inmiddels gestegen naar 1,5 miljoen dollar per betaling, zegt het bedrijf.

Chainalysis ziet dat ransomware fragmenteert. Dat komt door enkele recente, grote politieacties tegen bekende ransomware-as-a-services, zoals LockBit en Alphv/BlackCat. Als die worden neergehaald, verschijnen er vaak diverse kleine groepen. Sommige daarvan zijn oude affiliates van de neergehaalde bendes, maar er ontstaan ook weer nieuwe bendes.

Doordat er meer bendes ontstaan, vinden er ook meer infecties plaats, zegt Chainalysis. Het aantal aanvallen zou met zo'n tien procent zijn gestegen. Daar staat tegenover dat slachtoffers minder vaak betalen. Dit is een bekende trend in ransomwareland; bedrijven hebben vaker werkende back-ups en krijgen betere hulp van externe securitybedrijven om weer verder te gaan met hun werk.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 16-08-2024 09:21
97 • submitter: wildhagen

16-08-2024 • 09:21

97

Submitter: wildhagen

Lees meer

Ransomwaregroepering LockBit is zelf slachtoffer van hack
Ransomwaregroepering LockBit is zelf slachtoffer van hack Nieuws van 8 mei 2025
Digital Trust Center meldt afname van ransomware-incidenten in Nederland
Digital Trust Center meldt afname van ransomware-incidenten in Nederland Nieuws van 17 februari 2025
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie
Vermeende LockBit-ontwikkelaar aangehouden bij internationale politieactie Nieuws van 2 oktober 2024
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline Nieuws van 13 augustus 2024
Zes bedrijven gered van ransomware door kwetsbaarheden in websites hackers
Zes bedrijven gered van ransomware door kwetsbaarheden in websites hackers Nieuws van 9 augustus 2024
Microsoft: ransomware wordt verspreid via gerepareerde bug in ESXi-hypervisor
Microsoft: ransomware wordt verspreid via gerepareerde bug in ESXi-hypervisor Nieuws van 1 augustus 2024
Onderzoekers ontdekken 3000 nepaccounts op GitHub die malware verspreiden
Onderzoekers ontdekken 3000 nepaccounts op GitHub die malware verspreiden Nieuws van 29 juli 2024
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023 Nieuws van 22 juli 2024
Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord
Londens stadsdeel werd ransomwareslachtoffer door standaardwachtwoord Nieuws van 19 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Chainalysis Ransomware

Reacties (97)

-Moderatie-faq
97
94
45
0
0
45
Wijzig sortering
Viper_Core 16 augustus 2024 09:28
Alle organisaties van groot tot klein zouden zich bewust moeten zijn van de risico's.

"Ik ben met mijn onderneming toch niet interessant(?)", is wel echt grootste dooddoener. Voor nation-state-actors waarschijnlijk niet nee, maar dat is nu precies niet de groep die hier beschreven wordt.

Ook al staat er in dit bericht dat deze bendes zich meer lijken te oriënteren op high-profile ondernemingen; de handel in toegang tot netwerken omvat juist ook het MKB.
Frame164 @Viper_Core16 augustus 2024 09:52
Hoe worden bij jou op het werk deze risico's gemanaged?
Bongoan @Frame16416 augustus 2024 10:41
Niet OP, maar bij de bedrijven waar ik mee werk: DR, update procedures, Security ingeregeld, JIT, Least Privilege, MFA of Paswordless. De standaard dingen.
Het probleem is denk ik dat voor MKB totaal niet bewust zijn hoelang ze plat liggen wanneer er iets gebeurt. Dit hoeft niet eens een hack te zijn, dit kan ook een crash zijn van belangrijke systemen/ toegang.
Viper_Core @Frame16416 augustus 2024 10:43
Mijn werkgever is enterprise en dus niet zozeer representatief voor het MKB. (Wij hebben veel expertise intern en waar nodig werken we samen met fabrikanten.)

Wij adviseren wel aan het MKB en een van de adviezen is simpelweg; investeer in goede oplossingen. (Bijvoorbeeld een MxDR als je met gevoelige (persoonsgegevens bijv.) data werkt.)
Bender @Viper_Core16 augustus 2024 09:52
Dit klopt zeker, mensen denken dat ze 'niet interessant' zijn omdat ze denken dat er persoonlijk getarget wordt maar dat is totaal niet het geval.

Het is gewoon een sleepnet waarbij ze geen idee hebben wie er in komen, als er iets in blijft hangen gaat er een automatisch een volgend process in werking om een hack of wat dan ook uit te voeren.
En dan weten ze echt niet of je een ziekenhuis bent, of de lokale kippenboer.
DigitalExorcist @Bender16 augustus 2024 10:01
Dat ligt eraan of het spearphishing is of niet. De bekende 'factuurfraude' of 'hey ik ben de CEO, kun je even wat cadeaukaarten halen voor m'n meeting zodirect' is vrij gericht. En ook die komt váák voor.
Bender @DigitalExorcist16 augustus 2024 10:08
Die CEO mails ken ik inderdaad, heb er meerdere van gezien (ook van uit mijn naam) en zelfs die lijken op basis van LinkedIn data automatisch gemaakt te worden.

Company size is > X
Grab CEO|CTO|CFO
Grab finance employee

Mail [financeemployee]@company.com from [ceo|cto|cfo]@company.net (kan IDN domein zijn).


Factuurfraude is helemaal geautomatiseerd, dat is gewoon in bulk naar 10.000en tegelijk dezelfde email en factuur sturen.

[Reactie gewijzigd door Bender op 16 augustus 2024 10:08]

DigitalExorcist @Bender16 augustus 2024 13:37
Ja grotendeels wel. Soms gaan wel wel onderzoeken (handmatig) aan vooraf; vooral als het 'grote vissen' zijn. Je moet weten wie er tekenbevoegd zijn, hoe de relaties binnen een bedrijf in elkaar steken, wie wie is en welke taal ze bijv. spreken, een emailhandtekening vervalsen wellicht, het onderlinge taalgebruik kunnen analyseren..

Vergeet niet dat die ransomware-bendes vaak 'professionele' organisaties zijn. Ze hebben een HR-afdeling, Finance, helpdesk, IT-beheer, DevOps, van alles. Het zou bijna door kunnen gaan voor een legitiem bedrijf ware het niet dat ze van criminele inkomensten leven.
Bender @DigitalExorcist16 augustus 2024 14:12
Hoe meer effort je er in steekt hoe groter het successratio, dat geloof ik zeker.

Zelfs gezien dat een 'medewerker' gemailed had dat zijn rekeningnummer veranderd is voor storten van het salaris.
Na 3 maanden kwamen ze er achter waar het fout ging...
DigitalExorcist @Bender16 augustus 2024 14:24
Been there, done that, bought the T-shirt.

Cybersecurity is een mooie tak van de IT trouwens. Dit soort dingen onderzoeken, te weten komen hóe het werkt, waarom het zo werkt, en wat je als bedrijf daar tegen moet en kán doen. Medewerkers trainen, simulaties, herhalen-herhalen-herhalen, maar ook technische controls en beleid en dat soort dingen bedenken. Super vak.
Cavemen @DigitalExorcist16 augustus 2024 11:11
En dat werkt, bij ons heeft iemand van sales Steam gift cards gekocht voor de "ceo". Van een privé creditcard notabene.
DigitalExorcist @Cavemen16 augustus 2024 14:27
Ik heb het ook zien gebeuren hoor. Medewerker die benaderd wordt via een instant messaging app terwijl die thuis aan het koken is, spitsuur want de kinderen zijn net terug etc.

"Kun je voor mij wat cadeaukaarten halen, zit nu in een meeting... kan niet bellen, alleen messagen". Persoon is nog zo helder om even de agenda te controleren (!!) en ziet dat die 'baas' inderdáád een meeting gepland heeft op dat tijdstip. "Oh dan zal het wel kloppen...".

Stom toeval? Misschien. Maar ook dát werkt.

Heb het zélf een keer meegemaakt toen ik net van T-Mobile naar Vodafone geswitched was met m'n privé-abonnement. 2 weken later mail van "T-Mobile": er staat nog een factuur open, graag nog even voldoen. Niet betaald natuurlijk, maar het kwam exáct op het juiste moment en zou behoorlijk plausibel kunnen zijn geweest.
cariolive23 @DigitalExorcist16 augustus 2024 19:22
Ongelofelijk dat dit soort emails überhaupt in een mailbox van een bedrijf terecht kunnen komen... Op z'n best zou dit met grote waarschuwingsborden in de spambox terecht mogen komen, waarbij elke hyperlink uit die email is verwijderd en een reply evenmin werkt.
DigitalExorcist @cariolive2316 augustus 2024 19:26
Dat zou moeten kunnen, maar onderschat A) de creativiteit van scammers niet en B ) Soms gaat het ook gewoon via Whatsapp of LinkedIn.

En C) hoeveel MKB'ers hebben nu daadwerkelijk DKIM/DMARC/SPF en dat soort zaken ingericht, of mailen vanuit directie/Finance/Helpdesk/HRM met certificaten? En dan heb ik het over MKB bijvoorbeeld.. (meer richting M dan K in dit geval).

Als je als MKB'er je daar al druk over gáát maken moet je ook gelijk de duurste Microsoft-licenties aanschaffen met alle e-mailbescherming erop en eraan...

En dan ga je er nog van uit dat de mail van die CEO zélf niet toevallig compromised is. BEC (Business Email Compromise) is ook een serieus probleem: dan mailt de CEO dus écht (althans, volgens het systeem!) en gaat ie juist om alle spamfiltering héén. Want een interne mail is betrouwbaar. Toch?

[Reactie gewijzigd door DigitalExorcist op 16 augustus 2024 19:31]

cariolive23 @DigitalExorcist16 augustus 2024 19:52
Dat zou moeten kunnen, maar onderschat A) de creativiteit van scammers niet en B ) Soms gaat het ook gewoon via Whatsapp of LinkedIn.
Hun creativiteit ben ik mee bekend, hoeveel vrijwel alles al meerdere malen is gerecycled. En ik heb het expliciet over email, waar ik vrijwel dagelijks zie hoe slecht email filters werken.
En dan ga je er nog van uit dat de mail van die CEO zélf niet toevallig compromised is. BEC (Business Email Compromise) is ook een serieus probleem: dan mailt de CEO dus écht (althans, volgens het systeem!) en gaat ie juist om alle spamfiltering héén. Want een interne mail is betrouwbaar. Toch?
Dan heb je een véél groter probleem, dan ben je al gehackt. De schade die een crimineel dan kan aanrichten, is vele malen groter dan een paar kadobonnetjes die hier elders worden genoemd. Je kunt dan ook leningen namens de organisatie afsluiten, etc. etc. Het doelwit hoeft dan zelfs geen geld te hebben om tonnen tot miljoenen aan schade aan te richten.
DigitalExorcist @cariolive2317 augustus 2024 09:08
Dat klopt, dan héb je al een probleem. Maar ook dat komt vaker voor dan je denkt of hoopt. Een eenvoudige MitM aanval kan al zorgen dat de inloggegevens van die CEO/CFO/Finance medewerker gelekt is. En dan is het vrij spel.

Een beetje cybercrimineel zit zo'n 3, 4 maanden in je netwerk voordat ze daadwerkelijk toeslaan. Rondkijken, data uploaden (maar niet in massale hoeveelheden voor het geval er een SIEM draait of iemand toevalligerwijs wél naar de firewall rapportages zit te kijken..). Die periode is láng en vaak onzichtbaar.
lenwar
@Viper_Core16 augustus 2024 09:46
Klopt helemaal.
Sterker nog. Je hoeft helemaal niet per se een doelwit te zijn. Er zijn zat voorbeelden waar er gewoon breed geschoten wordt en dat je bedrijf per ongeluk geraakt wordt.
DigitalExorcist @Viper_Core16 augustus 2024 10:00
Yep. Precies wat je zegt, @Viper_Core .. bedrijven snappen het niet, willen het niet snappen, hebben er geen geld voor (of niet voor óver)... "Wij zijn tóch niet interessant". Jawél. Alles waar geld in omgaat is interessant. Het gaat niet altijd persé om je data inhoudelijk, het gaat om het verkópen van je data, toegang, of om je als botnet te gebruiken even los van ransomware zélf nog. Of identieitsdiefstal van je medewerkers.

Ik zit zelf in de cybersecurity, het is en blijft een 'gevecht' om de urgentie over te brengen met name richting het MKB. Gelukkig hebben we straks iets als NIS2, het is niet zaligmakend maar je hebt wel iets om mee te wapperen in elk geval...
EJanus 16 augustus 2024 09:46
Ik begrijp nog steeds niet zo goed waarom het niet verboden is voor bedrijven om criminelen te betalen.

Ik begrijp dat je als bedrijf een groot probleem hebt als je slachtoffer wordt. Maar op deze manier maak je de problemen alleen maar groter omdat je criminelen financiert die dat geld gebruiken om nog meer slachtoffers te maken.
Frame164 @EJanus16 augustus 2024 09:51
Wat zou jij doen als jouw bedrijf getroffen wordt? Principieel weigeren te betalen met het risico dat het bedrijf in veel grotere problemen komt of toch maar betalen zodat je door kunt?
jvdberg @Frame16416 augustus 2024 10:01
Dat is precies zijn punt. Individueel is het begrijpelijk dat je als bedrijf de portemonnee trekt, maar het maakt het probleem als geheel groter. Het is een klassiek geval van 'tragedy of the commons'.
En daarom is er een extra prikkel nodig om het betalen van losgeld tegen te gaan, bijvoorbeeld door het te verbieden. Als het geen (legale) optie meer is om losgeld te betalen, worden bedrijven ook gestimuleerd om meer geld te steken in beveiliging om zo te voorkomen dat je slachtoffer wordt.
Bor Coördinator Frontpage Admins / FP Powermod
@jvdberg16 augustus 2024 10:07
Jij denkt dat die bedrijven bij een verbod op betaling ineens meer gaan investeren? En wat met de bedrijven die toch geraakt worden ondanks alle maatregelen en hierdoor omvallen? Dat kan een grote onwenselijke (maatschappelijke) en zelfs levensbedreigende (bv zorg of persoonsbeveiliging) situatie veroorzaken.
BCC @Bor16 augustus 2024 11:18
Ja, want dat komt dan bij de jaarlijkse audit naar voren als risico en daar moet dan actief beleid op ontwikkeld worden. Voor Enterprise werkt het zeker zo. MKB uiteraard niet,
Bor Coördinator Frontpage Admins / FP Powermod
@BCC16 augustus 2024 12:13
Dergelijke zaken komen nu bij een jaarlijkse audit naar boven als het goed is. Een audit is zo lang je je niet certificeert (al dan niet verplicht) in veel gevallen helemaal geen verplichting.
BCC @Bor16 augustus 2024 12:55
Voor een beursgenoteerd bedrijf if het zeer belangrijk om aan de wet en regelgeving te voldoen.
Bor Coördinator Frontpage Admins / FP Powermod
@BCC16 augustus 2024 13:01
Elk bedrijf moet aan de wet- en regelgeving voldoen natuurlijk. We hebben het hier niet alleen over beursgenoteerde bedrijven. Afhankelijk van de "tak van sport" waar binnen een bedrijf opereert kan bv certificering verplicht zijn.

Uiteindelijk zou een verplichting niet de drijfveer moeten zijn maar de wens om zorgvuldig met gegevens en informatie om te gaan. Daar hoort goed risico management met bijbehorende maatregelen bij.

[Reactie gewijzigd door Bor op 16 augustus 2024 13:02]

R3m3d7 @BCC16 augustus 2024 13:17
Ik ben actief in dit domein en ik kan je vertellen dat geen enkele audit waterdicht is en je absolute garantie gaat geven dat wanneer je daar doorheen komt je nooit zal hoeven te betalen. Dat is niet te auditen, absoluut onmogelijk, want de dag na de audit komt er een zero-day uit en ben je mogelijk aan de beurt. Ik ken zelfs een omgeving waar een dergelijke audit bezig was toen (en dit bleek later) de aanval al aan de gang was, ze komen door de audit heen en de auditor trok de deur achter zich dicht en de boel lag plat. Dit was niet in Nederland maar het is wel gebeurt. Ik loop ook bij enterprises en ik kan je vertellen dat de meeste niet 100% klaar zijn voor een cyber aanval, niet om hem tegen te houden en/of niet om ervan te herstellen. Ik was laatst nog bij een bank en die zitten op een maturity op dit domein waar je echt even stil van zou worden, komen ook elke door de audits heen. Yup, dat is encrypted opgeslagen, yup, immutability, yup, we hebben een ransomware playbook en dit testen we. Sommige denken in een paar uur de boel weer in de lucht te hebben als het mis gaat, ik denk dat ze in een paar uur niet eens echt doorhebben wat er aan de hand is.
keejoz @R3m3d717 augustus 2024 00:54
Goede vriend van me werkt als cybersecurity engineer bij een heel groot Japans bedrijf. Als ik soms hoor wat hij vertelt over hoe het daar in zijn werk gaat... Sjonge jonge
Zoop @Bor16 augustus 2024 10:26
Dat vind ik inderdaad ook wat naief gedacht. Als ze het serieus hadden genomen, hadden ze dat al van te voren gedaan. Legaal of niet, kost zoiets gewoon veel geld en ellende.
The Zep Man
@Bor16 augustus 2024 11:43
Jij denkt dat die bedrijven bij een verbod op betaling ineens meer gaan investeren? En wat met de bedrijven die toch geraakt worden ondanks alle maatregelen en hierdoor omvallen?
Daar kan je je tegen verzekeren. Hetzelfde als dat je je kan verzekeren tegen de kosten van werknemers die langdurig ziek zijn.
evers97 @The Zep Man16 augustus 2024 12:14
Die verzekeringen zijn zo duur en met bizarre voorwaarden waarbij ze bijna nooit uitbetalen
SunnieNL @evers9716 augustus 2024 14:39
Die bizarre voorwaarden vallen wel mee. Heb je die wel eens gelezen?

Daar worden gewoon domweg eisen gesteld aan je beveiliging, backupsystemen, etc. Allemaal zaken die je sowieso al op orde zou moeten hebben. Als je die eisen bezar vind, zegt dat genoeg over wat je op dit moment hebt gedaan om zaken te voorkomen. De vraag is of je zo'n verzekering nog nodig heb als je al die 'bizarre' eisen heb doorgevoerd en de risicokans aanzienlijk verlaagd is dat de verzekering niet meer de restrisico's afdekt in kosten (ofwel, verzekering wordt duurder dan de restrisico die overblijft).

Overigens zijn de verzekeringen ook zo duur omdat er naast ransomware betaling ook allerlei andere dingen in de verzekering meegecalculeerd worden. Zaken die vaak worden vergeten door een bedrijf zelf als ze een risico calculatie gaan doen (productie verlies is 1, maar je moet ook mensen inhuren die nog steeds gaan onderzoeken hoe het mis is gegaan, die claims controleren van de ransomware groep, die onderhandelen over een juiste prijs, die helpen om de beveiliging goed te krijgen nadat alles restored is)

[Reactie gewijzigd door SunnieNL op 16 augustus 2024 14:41]

evers97 @SunnieNL16 augustus 2024 17:15
Ik heb voor meerdere farmaceutische bedrijven gewerkt, en bij iedere verzekeraar was één van de voorwaarden dat als systemen geïnfecteerd waren door malafide software of een e-mail, uitbetaling uitbleef. Dus ook als iemand van het bedrijf de aanleiding van de oorzaak was, werd er nooit uitbetaald. En we hebben het hier over data die honderden miljarden euro’s waard is (onderzoek naar nieuwe antilichamen en productie van tientallen antilichamen voor honderden aandoeningen). Verder heb ik mijn PhD in de wetenschap (genetica) behaald en ben ik uiteindelijk de IT ingestapt. Dus ik heb het niet over miezerige bedrijven met een omzet van een paar miljoen per jaar :+ . Dus in dit geval weet ik zeer zeker dat ik weet waar ik het over heb.
masterfragger @evers9716 augustus 2024 18:47
Het gaat vast om heel veel geld, dus je punt staat.

Edoch, 100'en miljarden lijkt wat ongedifferentieerd en mogelijk overtrokken als inschatting van de waarde van data in het licht van de totale waarde van de bewuste bedrijven.

Actuele marketcap grootste pharmas:
Johnson & Johnson - Approximately €470 billion
Pfizer Inc. - Approximately €230 billion
Roche Holding AG - Approximately €210 billion
Novartis AG - Approximately €195 billion
Merck & Co., Inc. - Approximately €180 billion
AbbVie Inc. - Approximately €130 billion
Sanofi - Approximately €125 billion
GlaxoSmithKline (GSK) - Approximately €100 billion
AstraZeneca PLC - Approximately €95 billion
Bristol-Myers Squibb - Approximately €90 billion
(*) billion = miljard

Of mis ik hier iets?
evers97 @masterfragger16 augustus 2024 18:54
Zeker, dit is met huidige pipelines van producten (producten die momenteel in productie zijn). Antilichamen maken nu pas echt een opmars en onder andere in duo of een hogere configuratie. Van de alle portfolios zijn pas 0,01% van de antilichamen goedgekeurd en in productie, dit zijn de simpelere antilichamen die meestal maar 1 target hebben.

Een groot gedeelte zal de komende 10 jaar naar de klinischie studie fase gaan en daarna pas in productie. Het ontwikkelen duurt gemiddeld 15-30 jaar inclusief klinische studies. Pas als ze op de markt zijn zal dit gereflecteerd worden op de koersprijs. En vergeet niet dat >90% van de farmaceutische bedrijven niet op de beurs te vinden is.
Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man16 augustus 2024 12:16
Als je kijkt naar cyber verzekeringen zal het opvallen dat de voorwaarden min of meer stellen dat je de boel op orde moet hebben. De voorwaarden zijn streng en worden nog steeds strenger. Dergelijke verzekeringen kennen doorgaans acceptatiecriteria die niet mals zijn. Vaak dekken de verzekeringen niet dermate dat het je beschermt tegen omvallen maar wordt er bv alleen hulp bij het oplossen van incidenten gedekt.
The Zep Man
@Bor16 augustus 2024 13:29
Als je kijkt naar cyber verzekeringen zal het opvallen dat de voorwaarden min of meer stellen dat je de boel op orde moet hebben.
Dat is toch ook wat jij stelt in het geschetste scenario?
En wat met de bedrijven die toch geraakt worden ondanks alle maatregelen en hierdoor omvallen?
Dus daarom: zaken op orde hebben en verzekeren. Dat beschermt tegen omvallen.

Verder is "eigen schade" gewoon te verzekeren, zie ik in een korte speurtocht. Dat is niet alles, maar tegen andere soorten schades (zoals contractuele aansprakelijkheid) kan je ook preventieve maatregelen nemen.

[Reactie gewijzigd door The Zep Man op 16 augustus 2024 13:34]

Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man16 augustus 2024 13:45
Dus daarom: zaken op orde hebben en verzekeren. Dat beschermt tegen omvallen.
Het wrange is dat verzekeren geen garantie biedt tegen omvallen. De dekking is beperkt en bestaat soms met name uit het betalen van de incident response en eventuele forensische kosten.
The Zep Man
@Bor16 augustus 2024 14:51
De dekking is beperkt en bestaat soms met name uit het betalen van de incident response en eventuele forensische kosten.
Dat ligt eraan wat voor verzekering je afsluit. Zo dekt die van Allianz bijvoorbeeld eigen schade.

Verder heeft een bedrijf bedrijf geen goede financiële reserves als die ondanks alle zaken op orde te hebben en ondanks een verzekering toch omvalt. Dan kom je in een situatie terecht waarin het helemaal geen schande is dat een bedrijf omvalt.
It is possible to commit no mistakes and still lose. That is not a weakness; that is life.

[Reactie gewijzigd door The Zep Man op 16 augustus 2024 14:55]

kodak
@Bor16 augustus 2024 12:21
Stel er dan een verplichting aan vast dat een getroffen bedrijf wel duidelijk meer gaat investeren. Daar is genoeg reden toe om te eisen, juist omdat men zelf ook slachtoffers heeft gemaakt en zelf slachtoffer is geworden.

En voor iemand nu stelt dat meer investering het probleem niet verhelpt of had verholpen; als men bereid is een schade van duizenden tot miljoenen euros ter 'bescherming' aan criminelen te betalen dan is dat bedrag prima te zien als legitieme investering in voldoende legitiemen en betrouwbare bescherming. Zelfs als dat geld uit een verzekering komt, want men ziet het geeiste bedrag kennelijk als acceptabel bedrag ter vergoeding om zogenaamd de gegevens door criminelen te laten 'beschermen'. Het hoort immers niet spontaan acceptabel te zijn omdat de verzekering het dekt. Zelfs het feit dat men het pas dan een acceptabel bedrag lijkt te vinden is genoeg reden om te stellen dat ze het dus maar beter in serieuze beveiliging horen te investeren in plaats van aan criminelen te bewijzen dat het lucratief is om nieuwe slachtoffers te blijven maken. Slachtoffers die vaak met veel minder investering en bescherming doen alsof ze zichzelf en hun klanten en leveranciers genoeg beschermen zodat men zelf meer winst kan maken.

[Reactie gewijzigd door kodak op 16 augustus 2024 12:32]

michaelkamen @jvdberg16 augustus 2024 10:31
Echter is er geen garantie dat als een bedrijf X bedrag investeert in cybersecurity, dat de kans om gegijzeld te worden dan naar 0% gaat. Er zullen altijd zero-day exploits blijven.
En wie zijn wij om te bepalen dat zo'n bedrijf zichzelf of de reputatie niet mag redden door te betalen?
"Ja, geïnfecteerd door een zero-day exploit. Had je niks tegen kunnen doen. Maar helaas, vette pech, je mag geen losgeld betalen, dus het is wachten tot de gijzelaars je data publiceren en al je klanten weglopen."
Bor Coördinator Frontpage Admins / FP Powermod
@michaelkamen16 augustus 2024 10:42
Echter is er geen garantie dat als een bedrijf X bedrag investeert in cybersecurity, dat de kans om gegijzeld te worden dan naar 0% gaat.
Realistisch gezien gaat de kans nooit naar 0%. 100% veiligheid bestaat niet. Daarbij ga je ook zien dat hoe dichter je de 0 nadert hoe exorbitant duurder de maatregelen gaan worden.

Risico = kans x impact.

Hoeveel ga je investeren in een zeer kleine kans die nooit 0 zal zijn?
cotix @michaelkamen16 augustus 2024 11:02
nog los van het feit dat als het wel naar 0 zou gaan het economisch een moeilijk verhaal is. Ik weet niet wat zon ransomware aanvaller meestal vraagt, maar laten we zeggen 100.000 euro. Als de kans dat jouw bedrijf volgend jaar geraakt wordt 10% is, kost dat dus 10k euro per jaar. Daar kun je never nooit een security expert voor inhuren. Laat staan alle kosten die je moet maken door de moeilijkere processen, software, training, etc. De kosten wegen gewoon zelfden op tegen het risico
nst6ldr @cotix16 augustus 2024 11:49
En precies daarom zou een overheid daarover moeten beslissen op basis van ethiek en niet winsten. Jij maakt de rekensom op basis van gemaakte kosten, daarmee vergeet je voor het gemak dat niet alleen het bedrijf gedupeerd is: vrijwel altijd lekken (in het beste geval) klantbestanden uit, soms (in het slechtste geval) zelfs behoorlijk gedetailleerde klantgegevens.

Overigens zakt dat percentage niet naar 10%, in veel gevallen komt dezelfde ransomware bende gewoon terug. En waarom zouden ze niet? Je hebt jezelf chanteerbaar getoond.
qlum @jvdberg19 augustus 2024 14:27
Belangrijkste effect is dat criminelen elders gaan kijken, als randsomware niets opbrengt.
Investeren in beveiliging staat daar denk ik los van. Criminelen steken best tijd en moeite in dit soort aanvalen, dus het verdienmodel onderuit halen helpt.
wica @Frame16416 augustus 2024 10:00
Hoe je het ook went of keert. Als je slachtoffer bent van dit soort criminelen. Zit je al diep in de problemen.
- Je hele Infra is niet meer te vertrouwen.
- En je hebt een datalek.

Beide worden niet opgelost door te betalen.
Door te betalen, kan je waarschijnlijk weer snel toegang hebben tot je systemen en data. Maar je moet als nog alles opnieuw opbouwen en verbeteren. Daar je criminelen simpel weg niet kan vertrouwen.

Enigste wat je als bedrijf kan doen, is je data backupen, regelmatig je platform opnieuw uitrollen (als test). Zodat je weet, hoe snel je weer kan recoveren.
En natuurlijk je best doen, om de beveilig en patches up to date te houden.
Data als gif behandelen. Je wilt niet meer data hebben, dan strik noodzakelijk.

Als je dit niet op orde hebt, ben je gewoon de sjaak. En ben ik van mening, dat je zelfs een boete boven op mag krijgen.
Zoop @wica16 augustus 2024 10:34
En dat je die criminelen maar op hun blauwe ogen moet geloven dat ze je data teruggeven als je ze betaald. Er zijn altijd genoeg mensen die dan names die criminelen in de verdedigen vliegen "ze hebben een reputatie omhoog te houden, ze geven je spul echt wel terug", joh het zijn nog steeds criminelen. Je loopt nou eenmaal (nog meer) risico als je je afhankelijk gaat maken aan hun beloftes. En waar is de garantie dat het straks niet nog een keer gebeurd, hetzij door een andere partij, hetzij dat zij het zelf nog een keer flikken bij je onder een andere naam, hou wou je dit bewijzen/iets tegen doen?

Het issue is natuurlijk hoe ze uberhaupt in eerste instantie zijn binnen gedrongen, dat gaat sowieso al een hoop geld en tijd kosten, ze afkopen lost daar niks van op.
wica @Zoop16 augustus 2024 10:38
Klopt, de mensen die dat zeggen. Hebben vaak een belang erbij dat er betaald wordt. Genoeg mensen/bedrijven die voor je onderhandelen met de criminelen. Naar dit soort bedrijven mag naar mijn mening wel eens serieus gekeken worden.

Maar als je betaald, krijg je toch een video met hoe ze, je data verwijderen *lol* Mensen die dit geloven, moet verboden worden ooit nog met een computer te mogen werken of een verplichte cursus.
gewafe8661 @wica16 augustus 2024 10:48
Maar het is naief (en puur gevaarlijk als jij in de IT zit, tot het punt dat iedere systeembeheerder die dit denkt zo snel mogelijk een ander beroep moet zoeken) om te denken dat dit niet voor ieder bedrijf kan gebeuren. Zolang een bedrijf nog bestaat uit mensen en code die door mensen is getikt blijf je vatbaar, want perfecte software en perfecte mensen bestaan niet.

Leuk dat jij vindt dat alles op orde moet zijn, en dat is ook zo tot op zekere hoogte, maar perfecte backups en beveiliging bestaan niet. En die 'boete' waar jij het over hebt is het ontwrichten van het leven van wellicht duizenden mensen, leuk voor jouw gevoel maar vrij kut voor de mensen die daar gewoon hun werk doen en de dupe worden van iemand die denkt 'we hebben alles goed geregeld dus wij zijn goed, die andere bedrijven zullen wel problemen hebben'.
wica @gewafe866116 augustus 2024 11:07
Ik ben niet naïef, weet donders goed dat er tig bedrijven zijn. Die NIET kunnen recoveren en niet eens over na gedacht hebben.

Weten hoe je moet recoveren en hoelang je er over doet, behoord gewoon tot de basis beveiliging van je bedrijf. En als je dit weet, heb je er over na gedacht en weet je welke van je diensten gemakkelijk te herstellen zijn en welke niet. Je risico's kennen.

Het niet (willen) weten, is pas naïef en een gevaar.

En ja, het streven moet zijn zo goed als mogelijk alles op orde te hebben. Dat dit niet altijd het geval is, snap ik. Maar je hebt gewoon processen nodig, om het zo goed als mogelijk te waarborgen en te weten wat je risico's zijn.

Beheer je, je infra nog met de hand of met playbooks (automatiseren). Bij de eerste weet je dat je recovering vrij lang gaat duren (als het al mogelijk is), bij de laatste weet je, als je HW hebt of Cloud contract. Dat je kan recoveren binnen een bepaalde tijd.
Bij de eerste, heb je een onnodige belasting op je personeel, die fouten gaat maken. Bij de laatste weet je personeel wat ze moeten doen. Minder fout gevoelig.

En voor alles, geld testen, testen en nog eens testen.

Als je er over na gedacht hebt en weet. Dan kan je een correcte risico analyse doen. En correct bepalen of je wel of niet moet gaan betalen. Iets wat je niet op HET moment wilt moeten beslissen.

En over de boete, als je kan aantonen dat je, als bedrijf zijnde je best hebt gedaan en gewoon weg pech hebt. Dan vind ik een boete niet te recht.

Maar als je zomaar wat doet. Ja, dan mag je best een boete krijgen.

Nogmaals het draait om, of je een juiste risico analyse hebt gedaan en daar zo goed als mogelijk mee omgaat.
Zoop @wica16 augustus 2024 11:27
Precies, zelfde geldt fikt je server af (of gaat je provider failliet, verwijderd een medewerker per ongeluk alles, of welk willekeurig ander dom probleem dat je kan verzinnen) en heb je exact dezelfde problemen alleen dan heb je niet iemand waar je je data van terug kan kopen.
Orangelights23 @Frame16416 augustus 2024 10:21
Alleen is het niet zeker of je toegang krijgt tot je data ja het betalen van losgeld. En vergeet double extortion niet: als je al betaald hebt om je data te krijgen, gaan ze je ook nog afpersen om geld te vragen zodat ze het niet publiceren op het dark web.
Bor Coördinator Frontpage Admins / FP Powermod
@Orangelights2316 augustus 2024 10:39
Zekerheid heb je nooit maar diverse groeperingen staan er wel om bekend woord te houden. Zodra uitlekt dat een bepaalde groepering alsnog overgaat tot publiceren of geen decryptie methode levert zal het volgende slachtoffer niet zo snel betalen (want toch geen zin). Het klinkt vreemd maar in sommige gevallen gaat men behoorlijk professioneel te werk incl een soort helpdesk, toegewezen onderhandelaren etc.
Orangelights23 @Bor16 augustus 2024 12:03
Het zijn inderdaad professionele organisaties. Ik ben een paar keer betrokken geweest bij acties samen met Europol en de ransomware bendes hebben ook affliate marketing, medewerker van de maand en een 24/7 klantensupport. Bizar.
wica @Orangelights2316 augustus 2024 10:44
Je gaat ook betalen, als je geen idee hebt hoe lang je recover tijd is.
Ben je binnen een paar dagen terug of gaat het weken duren.
Iets wat je enkel kan weten, als je het regelmatig test.

Als je dit als bedrijf niet op orde hebt. Moet je eens op papier een oefening doen. Met hoe je gaat recoveren. En je neemt 2 uitgangspunten.
1) Je hebt nog een bruikbare backup locatie.
2) Je hebt nergens meer toegang toe.

Voor veel bedrijven is dit best verhelderend.
Bor Coördinator Frontpage Admins / FP Powermod
@wica16 augustus 2024 14:00
Ik kan elk bedrijf een dergelijke crisis situatie aanraden. Het geeft je absoluut verhelderende inzichten en "o, jee" momenten, ook wanneer je denkt dat je alles goed voor elkaar hebt. Oefenen, oefenen, oefenen is het advies. Van de fouten die je tijdens de oefeningen / simulatie maakt kan je veel leren!
tw-backdoorbug @Frame16416 augustus 2024 10:06
Ik snap het punt wat beide van jullie aandragen, maar een verbod op het betalen van criminelen door bedrijven zou eventueel kunnen leiden tot meer focus op andere maatregelen, zoals back-ups, incident response en beter nog: de basale informatiebeveiliging op orde hebben.

Zo vaak gaat het mis met de meest simpele dingen, zoals het niet hebben of niet goed implementeren van MFA, slechte business culture omtrendt security wat leidt tot phishing of spear-phising en het simpelweg niet updaten want "moeilijk en irritant." Dit beschermt niet tegen nation state aanvallen, maar wel tegen, zoals eerder in deze comments aangegeven, aanvallen waarbij een sleepnet wordt opgesteld en je zomaar target kan worden want hoogstwaarschijnlijk "makkelijk".
Bor Coördinator Frontpage Admins / FP Powermod
@Frame16416 augustus 2024 10:44
Wat zou jij doen als jouw bedrijf getroffen wordt? Principieel weigeren te betalen met het risico dat het bedrijf in veel grotere problemen komt of toch maar betalen zodat je door kunt?
Wat heel veel mensen ook nog vergeten is dat ransomware bij een bedrijf ook een grote impact kan hebben op (keten)partners, afnemers, toeleveranciers etc. Dit omdat bv ook informatie over hen is gestolen, er niet geleverd of afgenomen kan worden etc.

Niet alleen jouw bedrijf komt in de problemen; die kans is er ook voor de bedrijven en personen waar je zaken mee doet.
Scriptkid @Frame16416 augustus 2024 11:35
Ja lekker betalen,

Krijg je een maand later dual extortion, wil je nog een keer betalen je was de laatste keer zo snel, anders lekken we al je datagewoon.
Bor Coördinator Frontpage Admins / FP Powermod
@Scriptkid16 augustus 2024 15:15
Die mogelijkheid is er inderdaad maar in de praktijk werkt het niet altijd zo gezien, hoe raar het ook klinkt, sommige afpersers een bepaalde reputatie hoog te houden hebben. 1x toch lekken ondanks dat je gezegd hebt dat niet te gaan doen en het volgende slachtoffer zal waarschijnlijk niet meer betalen. De afperser ondermijnt zo zijn eigen verdienmodel.
Scriptkid @Bor16 augustus 2024 16:02
Klopt maar je paint ook tegelijk een bulseye voor de volgende groep want je hebt een betaal reputatie aangemaakt.
beantherio @Frame16416 augustus 2024 11:40
Het is het financieren van criminaliteit. Er is een groter belang dan een bedrijf dat over de kop gaat met het niet doen van dat. Als je in een normale situatie criminele activiteiten zou financieren zou je ook al strafbaar zijn. En dit is een dusdanig grootschalig probleem dat je ergens de streep moet trekken: anders groeit het nog veel erger.
RobbieB @EJanus16 augustus 2024 11:59
Als iemand die dit gesprek vaak genoeg gevoerd heeft met bedrijven kan ik je vertellen dat er geen enkel bedrijf is dat wíl betalen. Ze hebben alleen geen keuze. Of hun bedrijf gaat failliet, of er verschijnt dusdanig gevoelige informatie op het darkweb waarbij het zeer schadelijk kan zijn voor hun klanten/clienten/medewerkers (bv. medisch gevoelige informatie, behandel informatie van kinderen, Intellectual property, etc.)

Sterker, dit gebeurt ook bij bedrijven die hun zaken best wel goed op orde hebben, maar het blijft een kat en muisspel.
EJanus @RobbieB16 augustus 2024 12:14
Helemaal met je eens, maar betaling heeft geen enkele garantie dat er alsnog geen gevoelige info van het bedrijf of hun klanten op straat komt.

Dat bedrijven betalen (omdat ze die keus hebben) kan ik zeker begrijpen. Dat daarmee het maatschappelijk probleem alleen maar groter wordt is daar wel het gevolg daarvan.

Je financiert criminelen die daardoor alleen maar meer kennis kunnen kopen om nog ingewikkeldere beveiliging te kunnen kraken. En daarmee nog meer persoonsgegevens kunnen binnenhalen.

Het kat- en muisspel zal daardoor alleen maar meer uitvallen in het voordeel van de kwaadwillenden.
kodak
@EJanus16 augustus 2024 10:38
Met de huidige wetgeving valt wel te stellen dat het betalen aan criminelen niet zomaar toegestaan is. Onlangs werd uitgesproken dat zelf betalen, ook al is het door toedoen van criminelen, nog gewoon eigen verantwoordelijkheid is. Daarbij is veel van deze criminaliteit in groepsverband met als doel om met een investering (met geld en middelen) nieuwe slachtoffers te maken om dat in gang te houden. Een slachtoffer die bewust geld aan criminelen geeft en niet duidelijk voorkomt hiermee aan criminele activiteiten of een criminele groep bij te dragen kan vervolgd worden. Maar afgezien het bewijs rond krijgen lastig is zal er ook meespelen dat het niet door iedereen in dank zal worden afgenomen dat slachtoffers verantwoordelijkheid hebben en neergezet worden als verdachte. Ook al voldoen die slachtoffers meestal al in veelvoud niet aan de wet dat ze ieders persoonlijkegegevens die gelekt zijn individueel hadden moeten beschermen en een betaling niet zorgt dat ze daaraan voldoen.
joker1977 @EJanus16 augustus 2024 13:03
Feitelijk wil je dus een groot deel van het MKB de strot omdraaien als ze slachtoffer worden van zoiets.

Je kunt een punt maken "meer investeren daarin om het te voorkomen" maar dat is al geen core-business voor grote beursgenoteerde enterprises, getuige de slachtoffers in de grote bedrijven die we hebben gezien, laat staan voor kleine MKB bedrijven. Er zijn duizenden relatief kleine bedrijven die een paar PC's hebben staan met een NAS'je waar ze factureren, offertes en alles op bewaren. Core-business is niet ICT-gerelateerd.

Wat jij doet is het kind met het badwater wegspoelen. Het "probleem" wat je dan oplost ruil je in voor een veel groter probleem. En zolang het internationaal niet verboden wordt, los je er de-facto helemaal niets mee op, overgrote deel ransomware-attacks is ongericht en komt dus ook in Nederland uit.
gewafe8661 @EJanus16 augustus 2024 10:44
Omdat zodra je het verboden maakt, het een perfecte manier is om al je concurrentie uit te schakelen.

Veel bedrijven gaan gewoon de grond in als er niet wordt betaald. Dat is dan heel lucratief om je concurrenten eens te gaan aanvallen, want als die niet mogen betalen ben je heel snel een monopolist.

En dat is toch best zuur, als jij wordt ontslagen en de enige partij die overblijft al genoeg werknemers heeft ;)

Uiteindelijk is het verboden maken niks meer dan het slachtoffer laten opdraaien voor de schade van de crimineel. Bugs blijven altijd in software zitten, plus je hebt altijd de belangijkste aanvalsvector: de mens.
Dit kan ieder bedrijf overkomen want software en mensen zijn niet perfect, maar om al die bedrijven dan maar op de fles te laten gan lijkt me meer ontregelend dan een goed iets.
kodak
@gewafe866116 augustus 2024 12:05
Je redenatie gaat niet zomaar op. Voor het uitschakelen van concurrentie bestaan veel meer mogelijkheden die bijvoorbeeld minder moeite kosten en zelfs lucratiever kunnen zijn. Als iemand concurrentie wil uitschakelen dan kan dat dus ook zonder verbod op betalen aan criminelen. Daarbij is het geld aan criminelen geven nu al niet zomaar toegestaan. Hooguit vervolgt men de betalende bedrijven nog niet wegens gebrek aan bewijs en andere prioriteiten. Dus je kan niet stellen dat het risico met een verbod dus maar toe neemt. En ook niet dat het onevenredig toe neemt vergeleken met het beperken van pogingen tot de 'gebruikelijke' criminele intenties om ransomware toe te passen.
EJanus @gewafe866116 augustus 2024 12:08
Deze discussie is niet eenvoudig en de voor- en tegenargumenten zijn over het algemeen begrijpelijk zodat er een hoop nuance mogelijk is. Gelukkig.

Maar je opmerking over het uitschakelen van de concurrentie vind ik minder sterk. Je stelt dat je kwaadwillende bedrijven een nieuwe optie zou geven om concurrentie uit te schakelen door betaling te verbieden. Echter hebben die bedrijven die mogelijkheid nu ook al door in te breken, wel betaling te eisen, maar daarna geen sleutel te geven om de bestanden/servers/etc. weer beschikbaar te krijgen. Dus in dit hypothetische voorbeeld, verandert er niet zo veel.

Het gaat mij daarbij veel meer om het principe. Mag een bedrijf/instelling (of jij en en ik) criminelen inhuren voor het leveren van een dienst?
Bor Coördinator Frontpage Admins / FP Powermod
@gewafe866116 augustus 2024 12:24
Omdat zodra je het verboden maakt, het een perfecte manier is om al je concurrentie uit te schakelen.
Die "perfecte manier" is strafbaar en zeer onethisch. Zodra dat uitkomt kan je je eigen zaak wel gedag zeggen en zal je een zware straf tegemoet zien.
maartenvdezz @EJanus16 augustus 2024 14:18
Dan wordt het via internationale "consultancy" nep-bedrijfjes via een omweg betaald als "consult"
Janpietertje89 16 augustus 2024 10:43
Gewoon stoppen met betalen, dan is het hele fenomeen binnen een paar jaar uitgestorven. Begrijpen bedrijven nu echt niet dat ze dit juist aantrekkelijk maken door te betalen.
SunnieNL @Janpietertje8916 augustus 2024 10:49
dan kan ook gelijk een groot deel van de bedrijven opdoeken als ze geraakt worden.
Als ze het geld niet hebben om protectiemaatregelen te nemen, dan hebben ze ook het geld niet voor een goed continuity plan (of er nooit over nagedacht)

[Reactie gewijzigd door SunnieNL op 16 augustus 2024 10:49]

Janpietertje89 @SunnieNL16 augustus 2024 11:28
Als je je beveiliging/backups niet op orde hebt, is dat een bewust risico dat je neemt, dat kan je uiteindelijk je bedrijf kosten. Door te betalen wordt het probleem groter, niet kleiner.
SunnieNL @Janpietertje8916 augustus 2024 11:34
Dus jij vind het geoorloofd om een ziekenhuis maar gewoon voor maanden niet open te stellen omdat alle machines weer up and running moeten worden gemaakt? Waarbij er mogelijk doden vallen omdat ze niet op tijd geholpen worden?

En je zou het ook OK vinden om gewoon een tijd zonder stroom te zitten omdat een grote energieleverancier is geraakt en het een week duurt om alles weer aan te zwengelen?

Of dat dit ziekenhuis of energiemaatschappij gewoon failliet gaat en helemaal geen diensten meer kan leveren waardoor 1000den mensen gedupeerd worden?

En je vind het ook OK dat jouw gegevens en die van duizenden anderen op straat komen te liggen?

Soms is betalen, er van leren en vervolgens nog meer uitgeven om het in de toekomst te voorkomen de enige juiste oplossing.
Janpietertje89 @SunnieNL16 augustus 2024 12:53
Ja, dat vind ik oké. Want als je gaat betalen, en zogenaamd van "leren", dan wordt het een wapenwedloop die je nooit gaat winnen.

Juist door niet te betalen doorbreek je de wapenwedloop en is het totaal niet meer interessant voor malafide partijen.

Dat er een aantal incidenten plaatsvinden om deze wapenwedloop te doorbreken neem ik dan inderdaad voor lief. Eventuele gedupeerden kunnen schadeloos gesteld worden, maar is natuurlijk voornamelijk een verantwoordelijkheid van de ondernemingen zelf, met eventueel de overheid als backup "for the greater good".

Wat is jouw voorstel? Gewoon zo doorgaan met de wapenwedloop en de komende 1000 jaar lekker jaarlijks een stijgende hoeveelheid losgeld betalen aan criminelen?

[Reactie gewijzigd door Janpietertje89 op 16 augustus 2024 12:53]

SunnieNL @Janpietertje8916 augustus 2024 14:01
Ik vind dat bij uitzonderingen er best betaald mag worden.
Beetje zoals de regels in amerika. Het is strafbaar omdat je een criminele organisatie helpt. Maar in overleg met het Ministerie JenW, NCSC en NCTV mag er betaald worden om de samenleving er niet onder te laten lijden. We zitten er ook niet op te wachten dat er bij 10000den mensen ineens ID fraude wordt gepleegd of dat zij ineens doelwit zijn van criminelen die bankrekeningen leegplukken omdat die ineens veel meer informatie hebben om dit door te zetten doordat er niet betaald is.

Daarnaast ben ik ook heel benieuwd hoe je zou reageren als een familielid of jijzelf in dat ziekenhuis ligt te wachten op een levensreddende operatie en die ineens niet door kan gaan omdat het ziekenhuis niet mag betalen om hun systemen weer in de lucht te krijgen. Of als jij en alle andere mede-werknemers ineens zonder werk komt te zitten omdat het bedrijf waar je werkt failliet gaat omdat ze hun systemen niet snel genoeg in de lucht krijgen en te maken krijgen met miljoenenclaims of schade omdat ze niet meer kunnen produceren.

Vanaf de kant is het heel makkelijk roepen dat er absoluut niet meer betaald mag worden. Maar ik vind dat iets te makkelijk gedacht. Daar mogen best wat nuances op gemaakt worden.

Daarnaast zou het goed zijn om gewoon alle informatie over een aanval publiek bekend te maken. Hoe zijn ze binnen gekomen, hoe had het voorkomen kunnen worden. Zodat alle bedrijven er van kunnen leren en eventueel hun maatregelen kunnen nagaan en verbeteren. Nu wordt alles geheim gehouden. Maak dat verplicht bij betalingen.

[Reactie gewijzigd door SunnieNL op 16 augustus 2024 14:03]

Janpietertje89 @SunnieNL16 augustus 2024 14:19
Het probleem is dat betalen geen oplossing is maar problemen juist verergerd. Dat laat de kop van dit bericht ook duidelijk zien.

Kortom, voor elk ziekenhuis of ander bedrijf wat je dit jaar redt, worden er volgend jaar 10 extra gegijzeld.

Ik blijf erbij dat ik graag een klein offer breng, om groter leed in de toekomst te voorkomen.
SunnieNL @Janpietertje8916 augustus 2024 14:30
De kop van dit bericht laat totaal niet zien of betaling het probleem verergerd. Je kunt ook geen conclusie trekken op alleen de hoogte van het uitbetaalde bedrag waar we op staan.

Als je namelijk dieper gaat in de informatie dan zul je zien dat sinds 2 jaar de Dark Angels-groep actief is. Deze target heel precies een selecte groep van ontzettend grote bedrijven die echt een enorm probleem krijgen (en de maatschappij ook) als de boel niet snel genoeg weer op de rit is of als de data uitlekt. Dat weet die groep ook, ze doen heel veel vooronderzoek in de bedrijven die ze aanvallen en zitten lang in de systemen voordat ze de knop indrukken om echt alles plat te gooien.

Het kan zelfs zo zijn dat het aantal aanvallen verminderd als anderen dit gedrag gaan kopieeren. Als er nu ook maar één bedrijf betaald aan Dark Angels groep dan gaat het gewoon met een ontzettend grote sprong.

Lees ook https://cybernews.com/cyb...aking-ransom-dark-angels/

[Reactie gewijzigd door SunnieNL op 16 augustus 2024 14:31]

Janpietertje89 @SunnieNL16 augustus 2024 15:29
Geen idee hoe ik die eerste 2 zinnen moet interpreteren. Moeten we echt discussiëren over het feit dat betalen aan dit soort partijen een stimulans is voor deze partijen om door te gaan? En dat elke financiële bijdrage aan deze partijen ze juist in staat stelt meer/met meer complexe methoden bedrijven te targeten?

Wat betreft de laatste zin van je bericht, daarmee bevestig je toch juist mijn punt?
STV @Janpietertje8916 augustus 2024 12:10
Het loont voor een groot bedrijf vaak om te beveiliging deels te negeren. Ze rekenen koelbloedig het productieverlies tegen de kans dat het misgaat en nemen dan risico's voor lief. Ben er ook niet blij om, maar aan de andere kant, we beveiligen fysieke gebouwen op dezelfde wijze. We nemen voor het gemiddelde kantoor nooit maximale maatregelen, alleen afdoende maatregelen.
nst6ldr @SunnieNL16 augustus 2024 11:55
Maar dan ben je ook wel een onverantwoordelijke ondernemer, stel je voor dat je cloudleverancier (zoals laatst bij Google) per ongeluk al je data verwijderd, of een on-premise server spuugt vonken uit. Dat zou dan ook in één klap het einde van je bedrijf betekenen.
wica @nst6ldr16 augustus 2024 12:11
134 Miljard Australische dollar, ontoegankelijk. Omdat een Google engineer niet wist van een parameter, waardoor het account automatisch, na 1 jaar werd opgeruimd inclusief de backup. Gelukkig maakte dit bedrijf ook backups, naar een andere provider.

Dat moet schikken zijn geweest voor de beheerders :)
nst6ldr @wica16 augustus 2024 12:20
Exact, die bedoel ik. En dat heeft alles te maken met gebrek aan verantwoordelijkheidsgevoel, of eerder het waanidee dat je verantwoordelijkheid kan uitbesteden.

Als ondernemer ben je altijd verantwoordelijk voor je eigen toko, je kan arbeid of technologie uitbesteden, maar er bestaat niet zoiets als 'ontzorgen'.
Henrikop 16 augustus 2024 10:56
Verbied gewoon het aanschaffen van crypto valuta. Dan wordt het betalen lastig en verplaatst het zich naar andere regionen. Een valuta zonder centrale bank en dus regulering daarop is gewoon onwenselijk.
STV 16 augustus 2024 11:55
Als voormalig ICT'er schrok ik mij ook rot van wat ik tegenkwam. Een van de dieptepunten was een computer waarvan iedereen wist dat er virussen en Trojans en dergelijk op zat. Er werd gewaarschuwd dat je je USB moest 'ontwormen' nadat je die er in deed. Dat klopt. Elke USB werd besmet en die gingen er dagelijks in want het was een computer waar meetapparatuur aan gekoppeld was. Op mijn vraag waarom de viruscanner niet gewoon eens werd aangezet op die PC ontving ik het antwoord 'dat is niet onze taak dat is die van de IT afdeling en die reageert maar niet'. Blijkt dat verhaal dus al minstens een jaar te spelen.

Na een klein onderzoekje van mij bleken die cyberpathogenen de meetwaarden aan te passen. Artefact ongetwijfeld van het besmetten van een simpele notepad. Zelfs toen ik dit bekend maakte haalde men de schouders op en ging door.

Als je echt veilig wilt zijn dan moet je ten eerste elke medewerker in een digitale kooi stoppen met zo min mogelijk privileges en ten tweede de IT diensten aan onverwachte reviews en assessments onderhavig maken. Reviews en assessments met consequenties. Maar in de praktijk gaan de managers dan steigeren want die worden beoordeeld op productie KPI's en niet op veiligheid en de IT afdelingen bluffen zich er altijd wel doorheen want niemand begrijpt wat ze aan het doen zijn.

[Reactie gewijzigd door STV op 16 augustus 2024 11:56]

herpiederpienow 16 augustus 2024 15:07
Big business al deze ransomware praktijken. Ik heb duidelijk het verkeerde beroep gekozen. Dat gezegd hebbende, denk ik dat het betalen van losgeld lastiger moet worden by design. Dit zou kunnen door een verbod of bijvoorbeeld enkel met toestemming van een minister of zoiets. Dit zijn dingen die je niet aan een commercieel bedrijf kan over laten. Die wegen enkel hun eigen belang mee en niet het maatschappelijke belang dergelijke praktijken niet te sponsoren.
beerse 16 augustus 2024 15:38
De nieuwsberichten zoals deze, waarbij de nadruk wordt gelegd op het toegenomen bedrag zou eigenlijk verboden moeten worden. Het is veel beter als de berichten de nadruk legt op het lagere aantal bedrijven dat nog betaalt.

Dat het bedrag per betaling hoger is, geeft ook aan dat de organisatie die nat gaat ook echt haar zaakjes niet goed genoeg geregeld had.

Hopelijk zijn er minder organisaties vatbaar voor ransomeware, dat de toegangsbeveiliging op orde is. En hebben al die organisaties ook een plan klaar voor het geval dat ransomeware toch toeslaat: Dat ze offline en offsite backups klaar hebben staan om betrekkelijk snel en voordelig de boel elders weer op te starten.
TigerXtrm 16 augustus 2024 15:41
Crime pays :)
gooos 17 augustus 2024 01:20
(Hoogte) Record of (voorlopig) dieptepunt?

Het moet ons zorgen baren dat het kennelijk zo lucratief is om dit te doen omdat de grensoverschrijdende aanpak er niet is (op een paar blokken na) en er ook niet wereldwijd zal komen.
Bor Coördinator Frontpage Admins / FP Powermod
@Kip16 augustus 2024 10:04
Een sterk staaltje victim blaming als je het mij vraagt. Het suggereert dat techniek altijd elke aanval kan voorkomen. Dat is simpelweg een illusie. Er zijn altijd zwakke plekken, zero day exploits, mensen die omgekocht kunnen worden of die onbedoeld toegang geven tot iets. Sommige ransomware groeperingen zijn erg geavanceerd. Goede beveiliging begint ook met het accepteren dat niet alles is te voorkomen om vervolgens je maatregelen risico gedreven in te richten.

[Reactie gewijzigd door Bor op 16 augustus 2024 10:05]

Kip @Bor16 augustus 2024 10:56
Een gevoel voor humor zou helpen om mijn opmerking te waarderen. Toch zit er wel een kern van waarheid in. Maar zoals bij de meeste grapjes, moet je het niet als een volledige mening van iemand interpreteren.

Bij de meeste ransomware-gevallen met een hoge impact zijn er technische zaken niet op orde. Aanvallers moeten meerdere stappen uitvoeren om toegang tot een volledige omgeving te krijgen. Voorbeelden van verbeteringen zijn netwerksegmentatie, monitoring/detectie/respons, het beperken van privileges en het tijdig implementeren van patches. Veel van de getroffen organisaties hebben de basis niet op orde.
kodak
@Bor16 augustus 2024 10:56
Als de technical dept niet perse bij het slachtoffer ligt kan het dus ook niet zomaar als victim blaming beschouwd worden. Als het geen verantwoordelijkheid van het slachtoffer is dan gaat het dus om indirecte ' technical dept collecting'. Je zou dan net zo goed kunnen concluderen dat bij 'technical dept collection' men dubbel slachtoffer is.

Alleen zijn de technische tekortkomingen helaas niet slechts verantwoordelijkheid van de fabrikant. Dat is precies waarom veel slachtoffers wettelijk verantwoordelijkheid hebben maatregelen te nemen om deze gebreken te voorkomen. Wat men alleen vaak nauwelijks doet door eisen aan de fabrikant te stellen aan de technische kwaliteit of inzicht in de technische kwaliteit te eisen. Dus aan de basis van de technische problemen. Eerder schuift men dat af op de fabrikant of leverancier alsof men daarmee zelf minder verantwoordelijkheid heeft. En daar maken deze criminelen duidelijk gebruik van om hun honderdenmiljoenen op te halen.

Ik ben het met je eens dat technische gebreken niet volledig zijn te voorkomen, maar de verantwoordelijkheid om ze te minimaliseren nemen slachtoffers niet zomaar genoeg ook al is men wettelijk verplicht. Dat is harde realiteit, geen victim blaming.

[Reactie gewijzigd door kodak op 16 augustus 2024 11:07]

voxl_ @Kip16 augustus 2024 11:30
Of 1 foute config en je .env staat online voor 1 minuut, maar wel op een AWS IP adres die constant ge-scanned wordt. Dan boem, auto-aanval op je S3 bucket die ge-synced wordt met de bot, verwijderd, en er blijft 1 bestandje over: hacked-readme.txt.

Gebeurt je maar 1 keer.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq