Virus trof ook ministerie van Economische Zaken

Naast het ministerie van Onderwijs heeft ook het Ministerie van Economische Zaken, Landbouw en Innovatie te kampen gehad met de uitbraak van het Dorifel-virus, vorige week. Eerder bleek al dat provincies en gemeenten waren besmet.

In totaal zijn bij de Rijksoverheid 22 desktops en twee servers met het Dorifel-virus besmet geweest, schrijft minister Ivo Opstelten van Veiligheid en Justitie. Bekend was al dat het KNMI en het Ministerie van Onderwijs, Cultuur en Wetenschap waren getroffen. Naar nu blijkt waren bij die instellingen respectievelijk twee en zes pc's besmet.

Uit de brief van Opstelten blijkt echter dat het ministerie van OCW niet het enige ministerie was dat met het virus kampte. Ook het Ministerie van Economische Zaken, Landbouw en Innovatie was besmet; in totaal waren tien desktops en twee servers geïnfecteerd. Daarnaast waren bij het KNMI drie computers geïnfecteerd, evenals één pc van de Nederlandse Defensie Academie. Daarnaast is er vanuit een systeem van de Kustwacht wel contact geweest met een server die de malware verspreidde, maar dit systeem bleek niet besmet.

In totaal zijn dertig organisaties besmet, schrijft Opstelten. Daaronder vielen ook twee provincies en de nodige gemeenten. Eerder bleek al dat ook de universiteiten van Amsterdam en Utrecht waren besmet. In antwoord op vragen van Tweakers.net geeft de Erasmus Universiteit toe dat ook die universiteit met een besmetting kampte. De universiteit wil echter weinig kwijt over de impact, behalve dat het de nodige tijd kostte om op te ruimen. Volgens de minister zijn ook bedrijven geïnfecteerd met het virus, maar deze worden niet bij naam genoemd.

Het Dorifel-virus versleutelt Word- en Excel-documenten op netwerkshares en verandert de extensie van de documenten naar '.scr', de Windows-extensie voor screensavers. De schade door Dorifel is relatief eenvoudig te herstellen, doordat de gebruikte sleutel in alle gevallen dezelfde is. Het botnet waarmee Dorifel werd verspreid, verspreidde later malware waarmee bankgegevens werden ontfutseld. Het Nationaal Cyber Security Centrum raadt getroffen gebruikers aan om alle wachtwoorden te wijzigen, omdat die door de malware onderschept kunnen zijn.

IT-banen

Reacties (42)

Khrome 14 augustus 2012 18:00

Leuk om te weten trouwens dat de overheid grotendeels op sterk verouderde Windows XP software loopt - Ik heb zelfs installaties gezien zonder servicepacks and veel PC's hebben geen antivirus geinstalleerd.

De IT afdelingen bij overheidsinstanties zijn gewoon bar slecht.

beascob

@Khrome • 14 augustus 2012 21:18

[ver gezocht} Het lijkt er op dat juist de oude systemen die nog op Fat32 harde schijven opslaan, dus geen ntfs hebben, dit Dorifel hebben laten zien.
Op fat32 worden metadata en alternated data streams niet meegenomen bij het kopiëren van files, waardoor de word bestanden in de soep konden lopen.
Er is op nieuwere systemen dus nog veel meer virus aanwezig waar we nog geen weet van hebben.[ver gezocht]

v-c @Khrome • 14 augustus 2012 18:25

Even voor de de duidelijkheid....

Als je een Mac hebt en geen Windows draait heb je geen last van deze trojan?

Als je met een Mac geen last hebt waarom draaien de meeste instellingen dan nog steeds Windows met virusscanners?

BoringDay @v-c • 14 augustus 2012 19:09

maatwerk software zoals GBA .... maak daar maar eens van een nieuwe versie voor een ander OS, have fun

zonoskar @v-c • 14 augustus 2012 18:31

Omdat een Mac 3x zoveel kost als een Dell desktop met WinXP en een crappy LCD scherm. En daar wordt naar gekeken. Bovendien is een Mac ook niet immuun voor alle malware en viri.

BoringDay @zonoskar • 14 augustus 2012 19:11

Als je wat verder kijkt kom je vrij vlot erachter dat een Dell duurder is als je beetje gelijkwaardige machine wil. Dell wordt snel duurder als je gaat upgraden.

Trojan is geen enkel os imuun voor, maar dan moet je gewoon niet allemaal meuk openen zonder bij na te denken wat je opent.
Maar virussen zijn er niet in het wild voor OSX ... zelfs na al die jaren niet

Luno @BoringDay • 14 augustus 2012 21:23

A program called "Elk Cloner" was the first personal computer virus to appear "in the wild"—that is, outside the single computer or lab where it was created.[12] Written in 1981 by Richard Skrenta, it attached itself to the Apple DOS 3.3 operating system and spread via floppy disk.[12][13] This virus, created as a practical joke when Skrenta was still in high school, was injected in a game on a floppy disk. On its 50th use the Elk Cloner virus would be activated, infecting the personal computer and displaying a short poem beginning "Elk Cloner: The program with a personality."

zonoskar @BoringDay • 14 augustus 2012 22:39

Je argument over een vergelijkbare Dell gaat particulier misschien op, maar in het bedrijfsleven heb je helemaal geen i7 met GT650 ofzo nodig. Onze Dell's kosten 675,- volgens het ordertool incl beeldscherm. Is zeker niet vergelijkbaar met een iMac, maar voor het werk geeft daar toch niemand om, zeker niet bij de overheid waar iedereen toch maar wat Office gebruikt en email/kalender.

Ik moet trouwens zeggen dat ik op mijn Mac ook nog geen virus ben tegen gekomen.

Verwijderd @BoringDay • 15 augustus 2012 00:24

Door BoringDay, dinsdag 14 augustus 2012 19:11

Als je wat verder kijkt kom je vrij vlot erachter dat een Dell duurder is als je beetje gelijkwaardige machine wil. Dell wordt snel duurder als je gaat upgraden.

Trojan is geen enkel os imuun voor, maar dan moet je gewoon niet allemaal meuk openen zonder bij na te denken wat je opent.
Maar virussen zijn er niet in het wild voor OSX ... zelfs na al die jaren niet

Ehh...Bliss?

Verwijderd @v-c • 14 augustus 2012 20:10

Als er op grote schaal zou worden overgestapt op Mac dan komen er vanzelf ook meer viri/malw voor dat platform. Het is niet alleen slechte beveiliging waarom Win pcs veel vaker worden getroffen; het is gewoon interessanter om viri te maken voor Win omdat de installed base enorm veel groter is - dus veel meer mogelijkheden dat jouw ontwikkelde virus doel treft

Rolfie

@Khrome • 14 augustus 2012 19:39

ICT bepaalt vaak niet wat er gebeurt, dat is de business.

Patches installeren, das leuk, maar alleen als alles volledig getest is.

Teisu 14 augustus 2012 17:04

Nou, flinke impact heeft dit virus gehad.

Okay, ze gijzelen je data. Maar om daar geld uit te halen moet je jezelf toch bekend maken?

[Reactie gewijzigd door Teisu op 24 juli 2024 19:29]

freaky @Teisu • 14 augustus 2012 17:50

Ehhh nee.

Stromannen, bitcoin of andere anonieme betaal systemen, sluizen via banken in landen die geen info vrijgeven, etc.

Ik denk dat de maffia en consorten daar toch iets beter over nagedacht hebben dan jij. Ze zitten er niet bepaald op te wachten om gepakt te worden.

Verwijderd @Teisu • 14 augustus 2012 19:54

Nou, flinke impact heeft dit virus gehad.

Okay, ze gijzelen je data. Maar om daar geld uit te halen moet je jezelf toch bekend maken?

Stromannen worden gebruikt.

Verwijderd @Teisu • 14 augustus 2012 22:21

Belangrijker is denkelijk dat dit duidelijk aangeeft hoe slecht het gesteld is met ICT beveiliging is bij overheidsinstanties.

Carrein 14 augustus 2012 17:08

Daarnaast is er vanuit een systeem van de Kustwacht wel contact geweest met een server die de malware verspreidde, maar dit systeem bleek niet besmet.

Wat wordt hiermee bedoeld? Het lijkt mij nogal bizar dat een systeem contact maakte met zo'n server, zonder dat er iets van malware of iets dergelijks op stond. Je gaat toch niet toevallig naar die server?

Casper de Boer @Carrein • 14 augustus 2012 17:10

Ik neem aan dat ze bedoelen wel deel van het botnet maar niet besmet met het Dorifel virus.

GlowMouse @Carrein • 14 augustus 2012 17:10

Het kan een hobbyist zijn die het leuk vindt om te kijken hoe zo'n virus werkt. Heb ik ook een keer gedaan op mijn werk, was daarna alleen wel mijn pc een dag kwijt

Zer0 @GlowMouse • 14 augustus 2012 17:23

Dan kom je er erg licht vanaf, persoonlijk zou ik zijn gaan lobbyen voor je ontslag. Moedwillig een virus opzoeken staat in mijn ogen gelijk aan sabotage.

Foamy @Zer0 • 14 augustus 2012 17:27

Dan kom je er erg licht vanaf, persoonlijk zou ik zijn gaan lobbyen voor je ontslag. Moedwillig een virus opzoeken staat in mijn ogen gelijk aan sabotage.

Zelf een sessie openzetten naar een C&C server is niet hetzelfde als een virus opzoeken

Het lastige is alleen dat het door een beheerder die enkel naar source en destination ip's in zjin log graaft niet te zien is dat dit handmatig is gebeurd.

[Reactie gewijzigd door Foamy op 24 juli 2024 19:29]

14 augustus 2012 18:25

Ik zou wel eens willen weten welke virusscanners er gebruikt werden bij de getroffen instanties. Dat zou mijns inziens een indicatie kunnen zijn hoe effectief dat product is.
Ik begrijp dat het virus zelf een zeer nieuw virus was waar nog geen updates voor waren, maar het werd verspreid door een botnet (trojan dus) die al op de systeen aanwezig was. Dat zou toch gedetecteerd moeten worden door het aanwezige anti virus product lijkt me . . .

InfinityG35 @DJ • 14 augustus 2012 20:10

Alle pc's op onze afdeling draaien op McAffee. Weet echter niet zo of dit ministerie breed is.

MkGrnd @DJ • 14 augustus 2012 19:24

Sophos heeft me een leuk bericht verzonden op het hele gebeuren met de titel: "You're safe in our world", waarbij geclaimed wordt het al sinds 2008 te kennen:
http://web.sophos.com/nl/jsp/m.jsp?c=fbe9648e6f111cdccd

Echter denk ik niet dat het hier om de Dorifel-virus gaat maar met name om de botnet framework.

Triblade_8472 @DJ • 14 augustus 2012 22:32

Ik heb van onze klanten een hoop verschillende merken voorbij horen komen.

In der beginne kon geen enkele anti-virus app dit detecteren. Ik heb een besmette .xls file geupload naar virustotal.com en deze begon met alleen DrWeb. (hmm, vage naam en een Russisch bedrijf...) Elke paar uur kwamen er een paar vendors bij. Het heeft goed 3 dagen geduurd voordat er een stuk of 40+ anti-virus vendors waren die de malware herkende.

Zie voor meer info: http://www.damnthoseproblems.com/?p=599

< sarcastic >
Sophos heeft gewoon te weinig klanten in Nederland, vandaar dat de kans klein is dat het virus er was...

< /sarcastic >

Raoul.TLS 14 augustus 2012 17:05

Is de belastingdienst ook besmet geraakt en is alles weg ??

pe1dnn @Raoul.TLS • 14 augustus 2012 17:37

Ik denk dat het virus niet geschikt was voor IBM mainframes en klant en wachtwoord informatie in EBCDIC formaat...

Punkbuster @Raoul.TLS • 14 augustus 2012 17:06

Haha, die zijn niet geraakt.. Hebben wel extra actie ondernomen, om niet als nog besmet te raken..

BoringDay @Raoul.TLS • 14 augustus 2012 19:07

ja de hele database zit in een word document of spreadsheet

poepkop 14 augustus 2012 17:11

Is dit virus nou alleen in Nederland of zijn er ook nog meldingen in het Buitenland? En wat gaat de overheid doen tegen de criminelen die hierachter zit? Ik begreep dat Teeven het zag als kattekwaad, maar dat lijkt me onterecht.

Freee!!

@poepkop • 14 augustus 2012 19:58

Ik heb begrepen dat er ook in Denemarken een aantal besmettingen zijn geconstateerd.

niki_lauda 14 augustus 2012 17:31

Mij interesseert (staat zover ik kon lezen niet in de brief van de minister) wanneer de instellingen zijn besmet.
Woensdag kan nog maar donderdag mag eigenlijk niet meer.

Ben iig blij dat ik niet door de bank ben benaderd.

w3news 14 augustus 2012 17:39

Is het virus zo goed geschreven of de systemen zo slecht beveiligd. Laten ze in iedergeval geen Microsoft software meer gebruiken bij overheids instellingen.

Rolfie

@w3news • 14 augustus 2012 17:41

En werkt er meteen niets meer? Want 90% van de gebruikte applicaties werken alleen met Windows.

Daarbij de meeste malware wordt geinstalleerd bij drive by download. En dat zit hem meestal in Java, Flash en Adobe. En laat je all die software producten nu ook hebben niet niet microsoft systemen.

ArchLinux @Rolfie • 14 augustus 2012 18:53

Eh... bij Ubuntu en veel andere Linux-distributies worden programma's centraal én automatisch van updates voorzien, waardoor veiligheidsupdates sneller dan bij Windows bij de gebruikers komen. Op die manier kunnen zero-day attacks snel worden afgewend.

Verwijderd @ArchLinux • 15 augustus 2012 00:19

Bij Linux kunnen opdate's cantraal en automatisch gebeuren...jaja, het ultime voordeel van Linux.

Misschien zegt SUS en WSUS je iets?

Zo niet, Googlen maar en je snapt dat ook deze anti MS reactie nergens op slaat.

Nipwit...

Rolfie

@Verwijderd • 15 augustus 2012 09:59

SUS WSUS en SCCM allemaal heel mooi, maar dat lost nog steeds je probleem niet op. Je moet eerst alles testen. Hoe je daarna alles uitrolt is verder niet van belang. Daar zijn tools genoeg voor. Zowel via Linux als Windows.

Misschien zegt SUS en WSUS je iets?

En daarnbij Java, Adobe, en Flash zitten niet in WSUS en SUS. Maar dat je wel weer uitrollen via SCCM.

Zo niet, Googlen maar en je snapt dat ook deze anti MS reactie nergens op slaat.

Hoezo? Zowel bij Linux en MS zal je eerst moeten testen of alles nog steeds werkt.
In een Enterprise oplossing is testen 1 van de meest belangrijkste dingen. Dat je niet de laatste patches draait, omdat je core applicties er niet mee kunnen werken.

Daarbij ik er ik een grote omgeving, dus ik precies hoe het allemaal zit.
Zowel op Linux als Windows. Prive heb ik ook veel Linux/BSD draaien. Ik weet dus redelijk waar ik over praat.

ICT runt niet de business, De Business runt de ICT. ICT is ondersteunend.

Verwijderd @Rolfie • 15 augustus 2012 11:53

Helemaal mee eens! teste, testen en nog eens testen. En ben je uitgetest? Test je het voor de zekerheid nog een keer voordat je iets uitrolt.

Mijn replay was dan ook gericht op ArchLinux. Hij stelde dat Linux zóó veel beter was omdat deze updates automatisch kan uitrollen in tegenstelling tot MS. Beide systemen kunnen dit. Iets dat pure Linux-fans niet begrijpen, dat MS ook goede producten heeft indien correct gebruikt. Net als Linux overigens. Linux is, mits incorrect, gebruikt vele malen slechter dan MS.

Rolfie

@ArchLinux • 14 augustus 2012 19:41

Jep. En Updates voer je ook meteen volledig door. Die moet je eerst volledig testen. Automatisch updaten staat bij geen enkel groot bedrijf geconfigureerd. Dus je OS maakt daar helemaal niet uit. Zelfs zero-day attacks, zal je ook moeten testen.

Waterbeesje @Verwijderd • 15 augustus 2012 11:33

Toevallig ook tegen een groot Europa, de euro-munt en de benelux?

(ik weet het: downmod)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: