Wereldwijde vleesverwerker betaalde 11 miljoen dollar losgeld voor ransomware

Vleesverwerkingsbedrijf JBS heeft 11 miljoen dollar betaald als losgeld, nadat het bedrijf door ransomware was getroffen. Dat zegt het bedrijf in een verklaring. De vleesverwerker moest slachthuizen tijdelijk sluiten door de ransomware.

JBS nam de beslissing om te betalen nadat het bedrijf advies inwon bij it-experts en externe beveiligingsadviseurs, meldt de vleesverwerker in een verklaring. Het betalen was volgens het bedrijf nodig om 'onvoorziene problemen door de aanval te verminderen en ervoor te zorgen dat er geen gegevens werden buitgemaakt'.

De vleesverwerker zegt dat het de productie weer snel op kon starten door het gebruik van redundante systemen en versleutelde servers als back-up. De ransomware is vermoedelijk van REvil. Dat zei de FBI vorige week in een statement. REvil, ook bekend als Sodinokibi, is al jaren een bekende naam op gebied van ransomware.

Lees meer

Reacties (108)

Hansie9999
10 juni 2021 11:08

Dat is toch wel allemaal heel raar ?

Het betalen was volgens het bedrijf nodig om 'onvoorziene problemen door de aanval te verminderen en ervoor te zorgen dat er geen gegevens werden buitgemaakt'.

Uhm, ik denk toch dat de gegevens al buitgemaakt zijn ?? betalen geeft toch 0 garantie dat die gegevens die de criminelen al hebben niet verspreid gaan worden ??
Of als het enkel versleuteld is en niets buit gemaakt dan speelt het toch geen rol meer want ik hoop dat je tegen dan toch er al wel echt voor gezorgd hebt dat de criminelen geen toegang meer tot je systemen hebben ?

De vleesverwerker zegt dat het de productie weer snel op kon starten door het gebruik van redundante systemen en versleutelde servers als back-up.

Als je redunte systemen hebt en backups , waarom zou je dan ook maar iets betalen ???

Ik denk dat dat vleesverwerkend bedrijf met nogal veel "bull" shit zit

(ofwel zet tweakers hier nogal veel fout

)

Anoniem: 1322
@Hansie9999 • 11 juni 2021 11:40

Je moet ook nooit zomaar Tweakers op de blauwe vertaalogen geloven... Gelukkig vermelden ze wel een bron. De uitspraken van de organisatie:

In consultation with internal IT professionals and third-party cybersecurity experts, the company made the decision to mitigate any unforeseen issues related to the attack and ensure no data was exfiltrated.

Tweakers:
'onvoorziene problemen door de aanval te verminderen en ervoor te zorgen dat er geen gegevens werden buitgemaakt'.

Google:
In overleg met interne IT-professionals en externe cyberbeveiligingsexperts heeft het bedrijf de beslissing genomen om onvoorziene problemen met betrekking tot de aanval te verminderen en ervoor te zorgen dat er geen gegevens werden geëxfiltreerd.

Mijn vertaling:
In overleg .... heeft het bedrijf de beslissing om te betalen genomen, om onvoorziene problemen bij handmatig backup herstel te voorkomen.

Bij het terugzetten van backups is het namelijk nooit zeker dat systemen direct weer werken zoals voorheen. Dit weet je alleen zeker als je dit regelmatig test, wat niet gebeurd bij veel productiesystemen.

Daarnaast is betaald om te voorkomen dat gestolen interne gegevens, openbaar op het internet worden gepubliceerd door de afpersers

Bij dit soort ransomware aanvallen wordt regelmatig gedreigt om alle gestolen data openbaar online te zetten tenzij men de afkoopsom betaald.

[Reactie gewijzigd door Anoniem: 1322 op 11 juni 2021 11:42]

L0g0ff

10 juni 2021 07:20

Betalen van ransomware, het naar buiten brengen van de (hoge) bedragen en het posten van dit soort nieuwsberichten zijn uiteindelijk allemaal oorzaken dat het business model van ransomware in stand blijft.

Ik denk dat het maatschappelijk beter is niet te betalen en je data (en misschien daardoor zelfs je bedrijf) af te schrijven.

Blokker_1999

Ransomware
Beveiliging en antivirus

@L0g0ff • 10 juni 2021 07:58

Dus als bijvoorbeeld Maersk getroffen werd zou jij dat bedrijf afschrijven? Dat zou niet alleen erg zijn voor dat bedrijf en de tienduizenden medewerkers ervan, maar het zou ook nog een tienduizenden bedrijven treffen die vertrouwen op Maersk voor het verschepen van hun goederen. Dat zou een klap voor de wereldeconomie zijn die mogelijks grotere gevolgen heeft dan de bankencrisis van 2008. Zeker nu de vraag naar dat soort scheepsverkeer al groter is dan het aanbod.

Dus nee, ik denk niet dat de maatschapij beter af is op die manier.

De perfecte beveiliging bestaat niet. Je zal altijd vatbaar blijven. We kunnen enkel maar ons best doen om zoveel mogelijk buiten te houden en ons voor te bereiden op de dag dat er iets ernstig misgaat binnen de onderneming. Maar als die dag er is, zal management moeten beslissen wat en hoe we verder gaan. En als blijkt dat er niet zomaar verder kan gegaan worden met de backups of dat betalen vele malen sneller is dan alles uit backups te halen dan zal voor menig manager de keuze snel gemaakt zijn.

En het niet naar buiten brengen van dit nieuws, denk je nu echt dat je zoiets stil kunt houden? Dat dit soort criminelen niet praat met elkaar?

Eonfge
@Blokker_1999 • 10 juni 2021 08:20

Vergeet ook niet de Tragedy-of-the-Commons.

Het is voor een bedrijf logisch om te betalen, zelfs wenselijk. De kosten zijn immers voor de gemeenschap want op deze manier wordt ransomware lucratief. De enige manier om dit op te lossen voor de maatschappij, is door een maatschappelijke verzekering in het leven te roepen waar iedereen aan betaald, en die slachtoffers compenseert voor de geleden schade.

Dit heeft natuurlijk weer een andere perverse prikkel, want waarom zou een organisatie investeren in veiligheid als er toch wel een vangnet is van de overheid? We hebben al vaker gezien dat zodra bedrijven 'to big to fail'-worden, dat ze opeens heel roekeloos worden met geld.

Dus nee, er is eigenlijk geen oplossing. Betaal maar en laten we verder gaan met het leven.

RvdS
@Eonfge • 10 juni 2021 08:30

Volgens mij kun je je hier zelfs tegen verzekeren. Als verzekeraar zou ik verwachten dat er dan bepaalde voorwaarden aan zitten. Goede backup, netwerk in stukken hakken en zo voorkomen dat aanvallers overal gemakkelijk bijkomen etc. Deze voorwaarden zullen het moeilijker maken (fietsslot princiepe, een moeilijker slot betekent slecht dat men naar een andere fiets gaat zoeken). Het wordt dus een soor wapenwetloop tussen (veiligheids) voorwaarden die de verzekeraar kan/mag stellen en de gijzelsoftware ontwikkeling. Voor een verzekeraar zal het in elk gevalletje dan een afweging worden: opnieuw installeren en gederfde kosten betalen of ransdom betalen.

Gubbel
@RvdS • 10 juni 2021 10:43

Dat zijn overigens juist de bedrijven die worden aangevallen, omdat ze er van uit gaan dat er toch wel betaald wordt middels de verzekering.

https://grahamcluley.com/...rms-with-cyber-insurance/

FreezeXJ
@Gubbel • 10 juni 2021 11:17

Wordt die verzekering vanzelf heel onprettig duur van, en daarmee heft het zichzelf op. Alleen is er tot die tijd een goeie cent mee te verdienen voor mensen met minder moraal. Slimmere bedrijven gaan vanzelf rekenen en gaan dan beveiligen, want da's goedkoper, en de domme bedrijven... ach, die mogen lekker die 'one billion dollar' losgeld betalen. Leren ze snel van hoor!

Skywalker27
@Eonfge • 10 juni 2021 08:33

Dit is op dit moment behoorlijk aan het veranderen de verzekeringsmaatschappijen vereisen steeds meer voordat ze overgaan op betaling / vergoeding van de ransom.

n3z
@Eonfge • 10 juni 2021 09:33

Bedrijven zouden ook kunnen investeren in een betere access management oplossing. Ik zit zelf in in het veld en als ik zie hoe dramatisch het gesteld bij grote bedrijven ben ik nog verbaasd dat er zo weinig succesvolle ransomware aanvallen zijn.

Kijk, 100% beveiliging zal er nooit zijn zolang je met mensen werkt, maar veel is af te schermen. Bijvoorbeeld geen wachtwoorden voor privileged users. Alleen recht op wat je echt nodig hebt en vervolgens ook die rechten automatisch weer verwijderen bij uit dienst treden of veranderingen binnen het bedrijf.

Risk management m.b.v. machine learning is nu ook in opkomst en werkt al vrij goed.

Er is veel mogelijk, maar bedrijven zijn nog steeds te gierig om een goede oplossing te implementeren. Elk bedrijf moet serieus nadenken hierover en het liefst met het zero trust security model.

[Reactie gewijzigd door n3z op 10 juni 2021 09:35]

Anoniem: 470811
@n3z • 10 juni 2021 10:12

Eens. En 99% van de ransomware kun je voorkomen door patches te installeren, alleen ondersteunde besturingssystemen te gebruiken, en een degelijke anti-malware (met anti-ransomware erin) te hebben. En dat zijn zelfs niet eens de grootste kosten.

FreezeXJ
@Anoniem: 470811 • 10 juni 2021 11:18

Nee, maar je moet het betalen voordat er iets aan de hand is, en dat is het probleem. Valt er iets (kritieks) om, dan stromen de miljoenen in het rond.

Anoniem: 470811
@FreezeXJ • 10 juni 2021 19:02

Haha check, klopt.

CISO: "geef hier 100.000 euro aan uit"
CEO: "waarom?"
CISO: "dan gebeurt er iets engs niet"

Geen sexy sell idd

Omnicron1
@Eonfge • 10 juni 2021 10:44

Absoluut niet betalen.
er is binnen ene bedrijf altijd wel een recente copie te vinden.
Internet stekker eruit en even op een stand alone gaan zitten.vwb email verkeer.

Er voor zorgen dat je zaken op orde zijn. goed backups en niet alles uitbesteden of in een cloud gooien, maar binnen huis houden. Van mogen ze dat soort gasten snoeihard aanpakken.

FreezeXJ
@Omnicron1 • 10 juni 2021 11:19

Waarom verhuur jij jezelf niet als ransomware-consultant a 1 ton per advies? Hadden ze hier toch mooi 10.9 miljoen aan bespaard...

Mezkeijou
@Omnicron1 • 10 juni 2021 12:36

Volgens het bericht hebben ze ook betaald zodat de informatie niet per direct online beschikbaar is voor de concurrentie of andere vuile was.

InsanelyHack
@Blokker_1999 • 10 juni 2021 09:48

Inderdaad. Ik denk dat je het probleem van ransomware niet oplost door ransomware aan te pakken. Diplomatieke / maatschappelijke druk op de overheid waar dit vandaan komt om dit aan te pakken lijkt me effectiever. Hoevaak lezen we niet dat dit soort bendes actief worden gesponsord door overheden? Ik snap bv niet dat mijn werkgever een kantoor heeft in Rusland waar mensen onderhoud doen op ICT infra in Europa van Europese klanten omdat de gemiddelde Europeaan wordt geweerd omdat deze te duur is. Als de Russische overheid zich infiltreert om informatie te hacken wordt het tijd dat onze overheid onze bedrijven sommeert alle Russische banden te verbreken. Een export economie is in de meeste gevallen groter dan de ransomeconomie en dan komt er dus automatisch druk.

mphilipp
@L0g0ff • 10 juni 2021 09:17

Misschien is dit op een bepaalde manier heel logisch, maar dat werkt net zo goed als het 'we onderhandelen niet met kapers/gijzelnemers'. Uiteindelijk gebeurt dat toch, want wie wil nu bekend staan als degene die glashard 'nee' bleef zeggen tegen kapers, die dan vervolgens het vliegtuig met 250 mensen opblaast? Ik ken niemand die zo'n beslissing wil nemen hoor. Soms, als men er brood in ziet, willen ze een bestorming proberen, maar als dat echt niet kan zonder massaal bloedvergieten, wordt er echt wel onderhandeld. Uiteraard in het geheim, want dat mag nooit bekend worden. Dát soort losgeld wordt vaak wel geheim gehouden, ook al lukt dat niet altijd.

En Maersk afschrijven? Weet je nog wat er gebeurde toen er een bootje vastzat in het Panama kanaal? Nou, dát keer 10 zeg maar... Nee, geen optie voor zo'n bedrijf (ik denk ook dat je juridische problemen krijgt). Uiteindelijk (toevallig pas een presentatie van Maersk gehad over dit vooval) was het voor hen een (wrange vorm van) een blessing in disguise. Zij hebben na dit incident een complete verandering van de manier van werken doorgevoerd en hebben kort gezegd hun hele IT infra gesaneerd. Uiteraard hadden veel aanpassingen niet persé met de ransomware te maken, maar het was een mooie gelegenheid om de bezem er doorheen te halen.

Padje
@L0g0ff • 10 juni 2021 07:24

Ik denk dat het maatschappelijk beter is niet te betalen en je data (en misschien daardoor zelfs je bedrijf) af te schrijven.

Ja leg dat je aandeelhouders en bestuurders maar eens uit als IT'er...

Yucon
@Padje • 10 juni 2021 07:37

Zonder een oordeel over de juiste beslissing te hebben is dat wel vrij makkelijk als de juridische gevolgen van wel betalen nog groter zouden zijn dan de schade bij niet betalen.

sprankel
@L0g0ff • 10 juni 2021 08:37

Gezien er een volledig bussinesmodel bestaat rond ransomware waarbij je een maker hebt (in dit geval vermoed men REvil) die de ransomware vervolgens verhuurt aan andere partijen, de info dat er betaald is en hoeveel juist zal echt daar echt wel in detail gedeeld worden, al was het maar als reclame wat voor grote vis men net gevangen heeft.

Dan lijkt het mij maatschappelijk beter dit net heel breed & met detail in de media te zetten, dit soort berichten stimuleert immers alle betrokken stakeholders dat er een probleem is.

Ik ben er héél zeker van er veel managers in de vleesindustrie vandaag wakker gaan schieten net zoals de containerwereld wakker is geschoten na Maersk.

Wat containerschepen betreft, die zitten continu op zee met dure en slechte sattelietverbindingen waarbij de zeelui veel eenzame nachten hebben. Dat maakt het een heel duur en lastig verhaal om daar remote systeembeheer te doen. Ik heb een USB secire erase tool moeten opzetten bij een containerafhandelaar want die gingen elke keer aan boord met een usb stick om containerdata aan boord het schip te brengen (welke containers juist, hoe ze staan, vrachtinfo, etc)

Gemiddeld kwam die USB stick elke 2! dagen terug met een virus/malware waarbij die stick echt niet in een privé laptop aan boord ging. Ik was niet bepaald verbaasd toen Maersk gebeurde maar het probleem is/was echt niet enkel Maersk, het is/was zowat de meerderheid van die schepen.

De vleesindustrie heb ik geen ervaring mee maar ik kan het al raden, wij zijn een vleesverwerkingsbedrijf, wie gaat ons nu hacken? Wij zij geen bank. Oh ze vinden altijd wel een lek, als ze ergens binnen willen zijn geraken ze wel binnen. Iets zegt mij dat ze dit vandaag niet gaan durven zeggen.

Volk
@sprankel • 10 juni 2021 09:54

Volgens mij was het bij Maersk zo dat ze zijn getroffen via een VPN tunnel met hun accountancy-firm of iets dergelijks.
Hun redding was een DC ergens in een uithoek van de wereld die GC was, maar offline was door issues met internet of de stroomvoorziening.

Daarop hebben ze hun hele bedrijfsvoering kunnen herstellen, wat op zichzelf een hele leuke casus is, omdat Maersk transparant is geweest over de oorzaak en hoe ze vervolgens weer in bedrijf zijn gekomen.

Schway
@Volk • 10 juni 2021 10:34

op zich ook een oplossing, alleen de backups online halen als je ze draait. en elke keer een andere locatie... Locatie 1 online halen, backups weg schrijven, locatie 1 offline, Volgende keer andere locaties en zo het rondje afgaan.
disclaimer: ik weet geen fluit van backups bij grote bedrijven, alleen dat ik het zelf te weinig doe

pepsiblik
@L0g0ff • 10 juni 2021 07:27

Misschien is het maatschappelijk niet wenselijk, maar als je daar werkt, of je pensioen is geïnvesteerd in dat bedrijf, en ineens gaat het bedrijf op de fles, dan denk je daar misschien anders over.

nst6ldr

Ransomware

@pepsiblik • 10 juni 2021 07:44

Dan moet je jezelf eigenlijk eerder afvragen waarom je je geld steekt in een bedrijf dat zulke risico's neemt. Alsof je belegd in een onverzekerde fabriek waar geen brandmeldinstallatie is.

timberleek
@nst6ldr • 10 juni 2021 08:14

Want de gemiddelde werknemer behoort kennis van en inzicht in het voltallige reilen en zeilen van de organisatie te hebben?

Blokker_1999

Ransomware
Beveiliging en antivirus

@nst6ldr • 10 juni 2021 08:00

Want tegen ransomware bestaat een magische oplossing maar men is natuurlijk gewoon te lui geweest om ze te implementeren.

twkr18526
@Blokker_1999 • 10 juni 2021 08:13

Dit soort gijzelingen van een bedrijf lijkt veel succesvoller voor criminelen dan andere fysieke vormen: gijzelen van personeel, overvallen van transporten, etc.

Heb nog niet gelezen dat de criminelen op heterdaad gepakt worden. Dus de pakkans lijkt klein. Bedrijven betalen, of niet. Als ze echt niet betalen, gaan ze naar het volgende overval. Helaas.

nst6ldr

Ransomware

@Blokker_1999 • 10 juni 2021 09:00

Superflauwe beredenering die ik net zo makkelijk kan maken: aangezien ransomware toch een toverstaf is waarmee je kan zwaaien om een paar miljoen op te strijken zonder dat hier iets tegen gedaan kan worden, kunnen we net zo goed een publieke fooienpot opzetten waar criminelen op voorhand geld uit kunnen graaien. Zo scheelt het beide partijen tijd en moeite, hoeven we de downtime gedurende de aanval zelf ook niet meer te ondergaan. $_/-\o_$

Het feit dat je hiervoor een +2 krijgt en karmakeizer label spreekt ook boekdelen trouwens, en dat is zonde want ransomware hoeft niet het faillisiment van een bedrijf te betekenen. Je moet er alleen in durven investeren. En niet op de klassieke commerciële IT boomer manier (i.e. koop 'de' oplossing), maar door eens een keer expertise in huis te nemen (al is het maar tijdelijk) en naast de infrastructuur ook eens het bedrijfsproces onder de loep te nemen. Voor die enkele keer dat je geen ransomware tegenhoud kan je wel veel sneller terug naar de orde van de dag met hooguit een paar uur overwerk voor de beheerders in plaats van criminelen te ondersteunen door hun volgende grote aanval te subsidieren.

Grrrrrene

@nst6ldr • 10 juni 2021 09:39

Superflauwe beredenering die ik net zo makkelijk kan maken: aangezien ransomware toch een toverstaf is waarmee je kan zwaaien om een paar miljoen op te strijken zonder dat hier iets tegen gedaan kan worden, kunnen we net zo goed een publieke fooienpot opzetten waar criminelen op voorhand geld uit kunnen graaien. Zo scheelt het beide partijen tijd en moeite, hoeven we de downtime gedurende de aanval zelf ook niet meer te ondergaan. $_/-\o_$

Je kunt het een superflauwe opmerking noemen, maar zo denk ik eigenlijk over de reactie waarop @Blokker_1999 reageert. Wat is het nou voor flauw argument dat je je als pensioenopbouwer moet afvragen waarom je je pensioen (deels) opbouwt door te beleggen in een bedrijf dat "zulke risico's" neemt. Denk je nu echt dat je daar als pensioenbelegger achter kunt komen? Dit soort gevallen komen volgens mij meestal voort uit een zwakke schakel ergens en meestal is dat gewoon een mens. Hoe wapen je je daartegen?

Bovendien gaat je opmerking specifiek over beleggen in dat bedrijf, terwijl @pepsiblik het ook over medewerkers van die bedrijven heeft. Feit blijft gewoon dat de gevraagde ransom vaak peanuts is vergeleken met de kosten om het probleem op een andere manier op te lossen. En als je zo'n bedrijf leidt, ben je ook verantwoordelijk voor de baanzekerheid van je personeel en van je toeleveranciers. De keuze is dan vrij logisch om maar te betalen. Maar vanaf de zijlijn is het makkelijk om op de gemaakte fouten te wijzen, dat snap ik wel.

CAPSLOCK2000

Beveiliging en antivirus
Ransomware

@Grrrrrene • 10 juni 2021 11:13

Wat is het nou voor flauw argument dat je je als pensioenopbouwer moet afvragen waarom je je pensioen (deels) opbouwt door te beleggen in een bedrijf dat "zulke risico's" neemt. Denk je nu echt dat je daar als pensioenbelegger achter kunt komen?

Als belegger ben je uiteindelijk de eigenaar. Natuurlijk kun je er dus achter komen. Het kost vast een hoop geld en moeite maar als eigenaar heb je die keuze. Kwestie van prioriteiten.

Natuurlijk zul je andere beleggers ook mee moeten krijgen maar dat geldt voor alles rond beleggen. Je kiest er voor om mede-eigenaar te zijn en dus ook mee te dragen in de risico's en verantwoordelijkheden. Ik snap dat het allemaal enorm kort door de bocht is maar daar komt het uiteindelijk wel op neer. De eigenaar beslist en dat is de belegger. En als daar een mega-pensioenfonds tussen zit maakt dat het nog lastiger maar het principe blijft hetzelfde. De belegger is uiteindelijk de baas.

Of stel een directie aan waar je op kan vertrouwen om het goed te regelen.
Of word lid van een actiegroep die druk zet via de media of zo.
Of stem op een politieke partij die via de wet sturing geeft.
(Dat laatste is realistisch gezien waarschijnlijk de beste optie).

Het is allemaal niet makkelijk, maar als activistische beleggers de olie-industrie kunnen vertellen dat ze moeten stoppen met olie oppompen dan moet wat meer aandacht voor security ook kunnen. Kwestie van prioriteiten.

Ik wil het niet bagatelliseren maar uiteindelijk is de eigenaar de baas.

Dit soort gevallen komen volgens mij meestal voort uit een zwakke schakel ergens en meestal is dat gewoon een mens. Hoe wapen je je daartegen?

Volgens die redenatie kun je 90% van de veiligheidsmaatregelen opheffen. Het gaat allemaal om kansen verkleinen en gevolgen beperken. Brandblussers en rookmelders bieden ook geen garanties maar helpen wel.
Begin dus eens met anti-virus te installeren op je systemen en mailservers.

Feit blijft gewoon dat de gevraagde ransom vaak peanuts is vergeleken met de kosten om het probleem op een andere manier op te lossen. En als je zo'n bedrijf leidt, ben je ook verantwoordelijk voor de baanzekerheid van je personeel en van je toeleveranciers. De keuze is dan vrij logisch om maar te betalen.

Dit is waarom ik een rol zie voor verzekeringen tegen dit soort incidenten. Maar dan vooral om de enorme kosten te dragen die verbonden zijn aan het niet betalen van de afpersers. Ik heb in het verleden al verzekeringen gezien die juist aanstuurde op betaling als goedkoopste oplossing. Financieel klopt dat natuurlijk, in ieder geval op korte termijn*, maar voor de maatschappij als geheel is dat nadelig.

Overigens zou ik het betalen van losgeld niet wettelijk willen verbieden. Dat heeft z'n eigen nadelen en er zijn nu eenmaal situaties waarin niet betalen mensenlevens kost of andere rampzalige gevolgen heeft die niet met geld op te lossen zijn.

* Wat velen onderschatten is dat je na betalen niet over kan gaan tot de orde van de dag.
Je hebt misschien weer toegang tot je systemen en bestanden (geen garantie, dat unlocken gaat ook wel eens fout) maar kun je ze nog vertrouwen? In veel gevallen zul je alsnog je hele IT-omgeving moeten herinstalleren. En dan hebben we het nog niet gehad over maatregelen om te voorkomen dat het de volgende dag weer gebeurt.
En het aantal organisaties die een goed herstelplan heeft om na zo'n ramp de hele omgeving opnieuw op te bouwen vanaf een veilige basis is behoorlijk klein. De meerderheid werkt helaas nog op ad-hoc basis waarbij alle configuratie en documentatie in de applicaties zelf zit en niet netjes apart is vastgelegd. Die moeten dan hals over kop alles opnieuw doen wat ze in vele jaren hebben opgebouwd.

nst6ldr

Ransomware

@Grrrrrene • 10 juni 2021 10:17

[...]

Maar vanaf de zijlijn is het makkelijk om op de gemaakte fouten te wijzen, dat snap ik wel.

Op het forum had ik nu al op report gedrukt, wát een suggestieve kul.

[...]

Wat is het nou voor flauw argument dat je je als pensioenopbouwer moet afvragen waarom je je pensioen (deels) opbouwt door te beleggen in een bedrijf dat "zulke risico's" neemt.

Je mag toch hopen dat beleggers zelf weten waar ze hun geld in stoppen, en al helemaal als je dat als inverstingsmaatschappij doet. Iets met verantwoordelijkheid enzo, dat schijnt er bij te horen als je met andersmans geld omspringt. Mocht je het idee hebben dat dit niet gebeurdt bij de partij die met jouw geld investeringen doet dan zou een informerend belletje met het KIFID niet misstaan.

Dit soort gevallen komen volgens mij meestal voort uit een zwakke schakel ergens en meestal is dat gewoon een mens. Hoe wapen je je daartegen?

"Voorkomen is beter dan genezen" impliceert niet dat je de patient maar moet doodmaken als deze onverhoopt toch ziek wordt. Iedere eenheid van informatiebeveiliging is een combinatie van techniek, bedrijfsvoering en personeel. Dus het stukje "voorkomen" zou voor ransomware o.a. elementen zijn als:
(techniek) wachtwoord policies, 2FA tokens, beheeraccounts met gescheiden rechten, policies, updates.
(bedrijfsvoering) servicedesk uitbreiden met procedures om meldingen en verdenkmakingen aan te nemen, beheerders elkaar laten controleren, wijzigingen zoals nieuwe apparatuur/software/diensten toetsen.
(personeel) trainen om effectief om te gaan met de techniek door bijvoorbeeld 2FA ook toe te passen op persoonlijke diensten zoals email, om gebruik te maken van de bedrijfsvoering en ook te stimuleren (dus niet impliciet straffen), af en toe oefeningen houden.

Maar als een aanvaller echt héél graag specifiek jouw bedrijf wilt aanvallen omdat het persoonlijk wordt, dan zou onder het kopje "genezen" vallen:
(techniek) regelmatige backups naar een schijf buiten het domein met een procedure die alleen write rechten heeft, iedere X periode die folder loskoppelen en een nieuwe folder voor de aangebroken periode beschikbaar stellen, die backups fysiek overbrengen naar off-site opslag, met een SIEM een threshold instellen op de hoeveelheid gewijzigde bestanden.
(bedrijfsvoering) met een standalone machine - het liefst een bevroren of steeds opnieuw toegepaste image - steekproefgewijs de aangepaste bestanden uitproberen, in geval van ransomware dus een recovery op poten zetten.
(personeel) operationele managers/chefs/werkvloer leidinggevende voorzien van procedures die ondersteunend zijn aan het herstellen van een netwerk na een aanval.

En dat is even uit de losse mouw, een architect kan je verder helpen om maatwerk te leveren binnen een redelijk budget/aantal FTE.

Bovendien gaat je opmerking specifiek over beleggen in dat bedrijf, terwijl @pepsiblik het ook over medewerkers van die bedrijven heeft.

Eigenlijk niet omdat Blokker het wat breder trok. Mijn reactie op het beleggen zie je bovenin deze post. Voor wat medewerkers betreft zie hier.

Feit blijft gewoon dat de gevraagde ransom vaak peanuts is vergeleken met de kosten om het probleem op een andere manier op te lossen. En als je zo'n bedrijf leidt, ben je ook verantwoordelijk voor de baanzekerheid van je personeel en van je toeleveranciers. De keuze is dan vrij logisch om maar te betalen.

En dat is dus een scheve insteek, want je loopt dan compleet voorbij aan imagoschade, geleden intellectuele/copyright schade, de keren dat de ransomware een verhulde DOS aanval is, en eigenlijk alle andere aanvallen die niet ransomware gerelateerd zijn.

Ransomware is niet het enige risico wat je loopt als multinational, maar als dat wel het geval was dan snap ik je argument ook niet omdat één enkel risico mitigeren echt veel goedkoper is dan een sluitende set maatregelen of 11 miljoen losgeld.

Grrrrrene

@nst6ldr • 11 juni 2021 17:28

[...]

Op het forum had ik nu al op report gedrukt, wát een suggestieve kul.

Laten we zeggen dat je het nogal uitlokt

Er is ook niks suggestief aan, jij bent het die achteraf roept dat je misschien niet in dat bedrijf had moeten investeren, zonder aan te geven hoe je dat dan had moeten zien dat de ICT daar niet op orde was. Dat mis ik sowieso in je betoog: de link naar de praktijk. Ja, achteraf is het makkelijk praten dat dit specifieke bedrijf de boel niet op orde had, maar de kunst is om dat vooraf te zeggen. Welke bedrijven moeten we nog meer mijden?

En een pensioenbelegger heeft helemaal geen keuze. Ik zit bij een pensioenverzekeraar die door mijn werkgever is uitgezocht. Ik kan hooguit een risicoprofiel uitzoeken of kiezen voor maatschappelijk verantwoorde beleggingen, maar "beleg mijn pensioen alsjeblieft in bedrijven die een goede bescherming hebben tegen ransomware" is echt geen optie hoog. Voor niemand. En dat soort me aan je reactie: je stelt een paar dingen heel simpel, maar legt niet uit hoe iemand dat onderscheid kan maken. Bovendien ga je volledig voorbij aan pensioenbeleggingen, medewerkers, toeleveranciers, etc van het getroffen bedrijf die allemaal schade leiden (en zeer waarschijnlijk meer dan de in dit geval 11M dollar) door een werkgever/toeleverancier die op de fles gaat.

[...]

Je mag toch hopen dat beleggers zelf weten waar ze hun geld in stoppen, en al helemaal als je dat als inverstingsmaatschappij doet. Iets met verantwoordelijkheid enzo, dat schijnt er bij te horen als je met andersmans geld omspringt. Mocht je het idee hebben dat dit niet gebeurdt bij de partij die met jouw geld investeringen doet dan zou een informerend belletje met het KIFID niet misstaan.

Ja, want beleggers weten exact hoe een bedrijf zijn beveiliging heeft georganiseerd. Dat zijn nou typisch de zaken waar bedrijven niet mee te koop lopen. Hoe stel je je dat sowieso praktisch voor? Voor je de aandelen koopt even bellen met hun ICT-afdeling bellen hoe ze hun ICT hebben beveiligd? Of denk je dat je wat kunt aflezen aan budgetten in jaarrapporten? Dan hoef je alleen maar naar onze overheid te kijken om te zien hoe je kapitalen kunt uitgeven aan niet-werkende ICT.

Je mag het van mij hopen, maar ik zie geen enkele praktische manier waarop een belegger weet of het bedrijf achter de aandelen goed of slecht beschermd is tegen ransomware.

[...]

"Voorkomen is beter dan genezen" impliceert niet dat je de patient maar moet doodmaken als deze onverhoopt toch ziek wordt.

Dat zegt toch ook niemand? Ik ben het alleen eens met @Blokker_1999 dat de schade enorm is als een bedrijf (een deel van) zijn data kwijtraakt aan ransomware en dat het risico op faillissement of grote reorganisaties met veel banenverlies daarmee reëel is.

Iedere eenheid van informatiebeveiliging is een combinatie van techniek, bedrijfsvoering en personeel. Dus het stukje "voorkomen" zou voor ransomware o.a. elementen zijn als:
(techniek) wachtwoord policies, 2FA tokens, beheeraccounts met gescheiden rechten, policies, updates.
(bedrijfsvoering) servicedesk uitbreiden met procedures om meldingen en verdenkmakingen aan te nemen, beheerders elkaar laten controleren, wijzigingen zoals nieuwe apparatuur/software/diensten toetsen.
(personeel) trainen om effectief om te gaan met de techniek door bijvoorbeeld 2FA ook toe te passen op persoonlijke diensten zoals email, om gebruik te maken van de bedrijfsvoering en ook te stimuleren (dus niet impliciet straffen), af en toe oefeningen houden.

Ik begrijp hoe je je ICT beter op orde krijgt, maar mijn punt blijft: hoe weet je als buitenstaander dat een bedrijf dit doet? Je wil als bedrijf de buitenwereld niet vertellen hoe je je ICT hebt georganiseerd, omdat dat ook de aanvallers wijzer maakt.

Maar als een aanvaller echt héél graag specifiek jouw bedrijf wilt aanvallen omdat het persoonlijk wordt, dan zou onder het kopje "genezen" vallen:
(techniek) regelmatige backups naar een schijf buiten het domein met een procedure die alleen write rechten heeft, iedere X periode die folder loskoppelen en een nieuwe folder voor de aangebroken periode beschikbaar stellen, die backups fysiek overbrengen naar off-site opslag, met een SIEM een threshold instellen op de hoeveelheid gewijzigde bestanden.
(bedrijfsvoering) met een standalone machine - het liefst een bevroren of steeds opnieuw toegepaste image - steekproefgewijs de aangepaste bestanden uitproberen, in geval van ransomware dus een recovery op poten zetten.
(personeel) operationele managers/chefs/werkvloer leidinggevende voorzien van procedures die ondersteunend zijn aan het herstellen van een netwerk na een aanval.

En dat is even uit de losse mouw, een architect kan je verder helpen om maatwerk te leveren binnen een redelijk budget/aantal FTE.

Ik hoef gelukkig niet verder geholpen te worden

Ik herhaal: ik geloof dat er van alles tegen te doen is, maar de uitgangssituatie was hier: de ransomware heeft z'n schade al aangebracht. Je kunt betalen of niet, maar als je voor het voldongen feit staat dat je slachtoffer bent geworden, is dit mosterd na de maaltijd en zul je dit oppakken zodra je je data terug hebt.

Kijk, ik ben het helemaal met je eens dat veel bedrijven veel te weinig doen tegen dit soort vormen van cybercriminaliteit. Het is nog te nieuw en de maatschappij reageert veel te traag. Iedereen weet dat je een goed SKG ** of *** slot moet hebben, dat je tegenwoordig op openslaande ramen een handgreep met slot krijgt en dat je je ladder niet los in de tuin moet laten slingeren of bij het boodschappen ook de ramen op de bovenverdieping dicht moet doen om inbrekers buiten te houden. In de digitale wereld zijn de meesten nog niet zo wakker en moet je hopen dat de ICT'er de directeur weet te overtuigen.

Maar ik val enorm in de herhaling: het ging om het moment dat je voor het voldongen feit staat dat je slachtoffer bent geworden. Dan is de hele preek over dat je je beter had moeten wapenen zinloos, het is al gebeurd. Na je autoongeluk kun je ook roepen dat je meer afstand had moeten houden, dat een auto met forward collision warning je misschien schade had bespaard etc, maar het is al gebeurd en je wilde schade hersteld hebben. Daarna denk je over voorkomen na.

En daarnaast ging het over buitenstaanders die gewoon echt niet kunnen zien of een bedrijf goed beschermd is of niet. Ik mis iedere vorm van uitleg hoe dat aan de buitenkant te zien is.

[...]

Eigenlijk niet omdat Blokker het wat breder trok. Mijn reactie op het beleggen zie je bovenin deze post. Voor wat medewerkers betreft zie hier.

Heb je de reactie op jouw bericht al gelezen? Die is van dezelfde strekking als die van mij: je gaat weer de inhoud in wat het bedrijf allemaal had moeten doen, maar gaat voorbij aan het feit dat dat voor buitenstaanders (en dat kunnen ook medewerkers zijn) niet te zien is. Dat zijn allemaal onschuldige slachtoffers die niet kunnen zien wat de mate van bescherming is en ook geen enkele invloed hebben op die bescherming. Nouja, als personeelslid heb je een heel kleine ingang, maar de kans is groot dat je niet gehoord wordt, tenzij je de manager ICT bent.

En dat is dus een scheve insteek, want je loopt dan compleet voorbij aan imagoschade, geleden intellectuele/copyright schade, de keren dat de ransomware een verhulde DOS aanval is, en eigenlijk alle andere aanvallen die niet ransomware gerelateerd zijn.

Ransomware een verhulde DOS aanval? Hoe bedoel je dat? Anyway, die imagoschade en intellectuele/copyright schade is al geleden op dat moment, dus of je nu betaalt of failliet gaat, daar verander je niks meer aan. Sterker nog, als Maersk (uit het voorbeeld hierboven) failliet gaat, is dat langer en uitgebreider in het nieuws en onthoudt iedereen dat veeeeeel beter dan wanneer ze een schijntje betalen om hun bedrijf te redden. Verder snappen de ransomware-makers ook wel dat als ze de versleutelde data ook nog eens openbaar gaan maken of verkopen aan de hoogste bieder, het hele idee van betalen meteen over is natuurlijk.

Ransomware is niet het enige risico wat je loopt als multinational, maar als dat wel het geval was dan snap ik je argument ook niet omdat één enkel risico mitigeren echt veel goedkoper is dan een sluitende set maatregelen of 11 miljoen losgeld.

Je verdraait mijn woorden. Ik zeg dat als je eenmaal ransomware op je netwerk hebt en er cruciale data versleuteld is, ook op je backups etc, je 2 keuzes hebt: betalen en weer verder met je bedrijf of niet betalen en al je data kwijt zijn. Dat laatste overleven de meeste bedrijven niet. Het is nogal "hindsight is 20/20" om achteraf te zeggen dat je meer had moeten doen om ransomware te weren. Dat is net als na de inbraak gaan roepen dat het zwakke punt waardoor de dieven binnen konden komen vrij goedkoop (vergeleken met de schade) sterker gemaakt had kunnen worden, waardoor er niks gestolen zou zijn. Dat is op dat moment niet aan de orde en gaat pas spelen als je de schade hebt hersteld (nieuwe TV gekocht, dat soort zaken).

Blokker_1999

Ransomware
Beveiliging en antivirus

@nst6ldr • 11 juni 2021 18:43

Heb ik het breder getrokken? Ik denk het niet.

Dan moet je jezelf eigenlijk eerder afvragen waarom je je geld steekt in een bedrijf dat zulke risico's neemt. Alsof je belegd in een onverzekerde fabriek waar geen brandmeldinstallatie is.

Dat wekt de suggestie dat je aan een bedrijf zomaar kunt zien hoe goed of slecht zij het doen. Dat een bedrijf kan zeggen: wij zijn beveiligd tegen ransomware en dat beleggers expliciet kiezen om te investeren in bedrijven die zoiets niet zeggen.

En ransomware is trouwens niet simpelweg 1 risico dat je mitigeert. Je moet elke mogelijk aanvalsvector tegengaan om het buiten te houden. Komt de malware binnen via email? Via een download op een website? Misschien heeft iemand een USB stick gevonden en steekt men deze in de werkcomputer om te zien wat er op staat. Mogelijks verbind de gebruiker zich met het netwerk van een ander bedrijf dat geïnfecteerd is of laat iemand per ongeluk even een ontgrendelde computer 2 minuten alleen op een publieke locatie.

En dat zijn dan maar enkele manieren om malware binnen te krijgen. Er kunnen er zovele meer zijn. Die moet je allemaal zoveel mogelijk zien tegen te gaan om het risico te beperken.

En je mag je gebruikers nog zoveel onderwijzen als je wenst. Layer 8 blijft de belangrijkste bron van problemen.

pepsiblik
@nst6ldr • 10 juni 2021 09:11

Klopt op zich wat je zegt. Maar de gemiddelde werknemer of investeerder heeft geen inzicht in hoe (on)kwetsbaar een organisatie is. Dus kun je ook niet verwachten van ze dat ze hun beslissingen op kennis baseren die ze niet hebben. En dat was mijn punt. Je bent op een bepaald punt aangeland en nu moet je kiezen: betalen of niet betalen. Als je betaalt kun je verder en ben je wat armer. Als je niet betaalt ben je waarschijnlijk meer kwijt.

[Reactie gewijzigd door pepsiblik op 10 juni 2021 09:14]

nst6ldr

Ransomware

@pepsiblik • 10 juni 2021 09:23

Absoluut, daarom zeg ik: huur die expertise in, dat kan ook in tijdelijk dienstverband. Neem op z'n minst een keer een security architect in de arm. Bedrijven met industrieterreinen moeten (en doen) dit ook voor personele en fysieke beveiliging, het is niet gek om dat voor informatiebeveiliging ook te willen.

Daarom vind ik de reacties van systeembeheerders in dit soort artikelen altijd dubbel. Ik snap goed dat ze het frustrerend vinden wanneer Ome nst6ldr weer eens om de hoek komt om dit te veroordelen, maar feit is dat ze wel een stukje verantwoording hebben: het afgeven van signaal aan het management dat het bedreigingslandschap al een tijdje anders is dan in de periode dat de infrastructuur was opgezet, en er bijzondere expertise nodig is om dit te ondervangen. Meer dan dat kan je niet doen, dus systeembeheerders moeten dat ook vooral niet persoonlijk opvatten.

pepsiblik
@nst6ldr • 10 juni 2021 09:40

Jij praat over management niveau/insiders, maar dat was helemaal mijn punt niet. Ik heb het erover dat buitenstaanders die slachtoffer worden van een niet-betaling liever hebben dat er wel betaald wordt. Soms is iets goed voor de maatschappij als geheel (niet betalen) maar worden deelgroepen op een zodanige wijze geraakt dat er toch betaald wordt. Het is te gemakkelijk om zo maar te stellen dat er niet betaald moet worden. John Nash heeft daar best leuk werk over geschreven :-)

Blokker_1999

Ransomware
Beveiliging en antivirus

@nst6ldr • 11 juni 2021 18:35

Ik ken niet veel beleggers die zich met de dagelijkse operationele kant van de zaak gaan bemoeien. Hoe en wat een bedrijf investeerd in zijn ICT beveiliging is iets dat je niet terug vindt in de jaarverslagen die aandeelhouders te zien krijgen. Bij hele grote ondernemingen vind je daar vaak nog wel interne rapporten over, maar dan spreken we over multinationals met honderdduizenden werknemers.

Jij doet het in jouw zeer korte post overkomen alsof een investeerder zomaar kan weten wat een bedrijf wel of niet doet en dat het bijna een bewuste keuze is om te investeren in bedrijven die hun beveiliging niet op orde hebben.

En snap ook niet waarom je over moderatiescores begint of de labels. Als er nu 1 ding is waar ik zelf helemaal geen invloed op heb, dan zijn het die dingen wel. Je reageert bijna alsof ik zelf het label naast mijn naam heb gezet.

Ik werk zelf in een onderneming waarin we externe bronnen gebruiken om ons te helpen bij beveiliging. Waarbij we o.a. regelmatig pentesters ons netwerk laten uitdagen. En ondanks al het goede werk en alle investeringen sta je ervan versteld dat ze soms alsnog binnen geraken. Soms op de vreemdste manieren. Meestal zien we ze wel en zouden we ze kunnen stoppen (en dat loggen we dan ook), maar soms blijven ze onopgemerkt.

En natuurlijk, als er weer eens 0-days bekend zijn waarvoor nog geen patch beschikbaar is of een patch nog door testing moet met spoed, dan ben je natuurlijk ook weer kwetsbaar.

En zo kom ik weer bij mijn punt uit dat ik wilde maken met mijn korte reactie op jouw korte reactie: je kan veel tijd, energie en moeite steken in je beveiliging. Maar je krijgt het nooit waterdicht. Je moet dus elke redelijke investering doen, maar je kan nog altijd getroffen worden. En dan, is het dan ineens nog altijd zo slecht dat er mensen zijn die in je bedrijf hebben geïnvesteerd? Als jij wel alles goed doet, wel alle stappen neemt die je moet nemen en alsnog getroffen wordt, is dat dan zo kwalijk?

Als ik een brandinstallatie heb en ik ben verzekerd maar mijn fabriek vliegt toch in brand en brand tot de grond af, dan zal die verzekering wel de schade dekken om de fabriek terug op te bouwen, maar de schade is veel groter dan dat en het verlies voor die aandeel houders ook.

stormbyte
@Blokker_1999 • 10 juni 2021 08:16

Zeker als men niet het netwerk kabeltje gebruikt zal hier ook geen ransomware vanuit geinstalleerd worden.
Gevolg is natuurlijk wel dat de systemen nooit vervangen worden en nog steeds op DOS of Windows 3.11 draaien.

De goeie ouwe tijd van de bootsector virussen

Zyppora
@Blokker_1999 • 10 juni 2021 09:32

De oplossing is stiekum ook helemaal niet zo moeilijk, en wordt meestal niet overgeslagen uit luiheid maar gierigheid: men wil namelijk geen geld steken in fatsoenlijke IT security en disaster recovery. Alles moet maar aan het internet hangen want 'da's makkelijk, bespaart kosten, etc'. Het inregelen van zulke maatregelen kost nu eenmaal manuren en soms ook materiaal (investeren in een degelijke firewall bijvoorbeeld in plaats van vertrouwen op de Windows Defender op elk van je workstations).

Ik werk op dit moment voor een instelling waar ze security zéér serieus nemen en dat betekent dat ik op het netwerk (en zelfs op mijn virtual workstation) nog geen scheet mag laten zonder dat het aangevraagd en goedgekeurd wordt. Is dat vervelend? Ja. Is dat tijdrovend? Ja. Wil ik dat het anders is? Nee, want ik weet wat de achterliggende gedachte is. Deze instelling heeft dan ook nog nooit met ransomware te maken gehad en ik verwacht dat de dag dat ze dat wel krijgen het voor hen een eitje is om daarvan te recoveren.

In het verleden heb ik bij een bedrijf een ransomware aanval meegemaakt. De gevolgen waren beperkt (lang weekend overuren draaien voor de sysadmins) omdat zaken als mitigation en recovery gewoon goed ingeregeld waren. De maandag erop was 80% van het bedrijf weer operationeel en in de dagen daarna is de rest ook weer up-and-running gebracht.

Het kán wel. Je moet er als bedrijf alleen wel in willen investeren. "Not if, but when" is het credo bij ransomware, en ik ben van mening dat het in stand houden van het business model van ransomware door daadwerkelijk te betalen niks minder is dan het financieel steunen van een criminele organisatie, en dat mag van mij juridisch aangepakt worden.

pepsiblik
@Zyppora • 10 juni 2021 09:44

Stel dat dit bedrijf één keer in de twee jaar geraakt wordt. Dan kost dat 4.5 miljoen per jaar. De vraag is of ze voor dat bedrag iets neer kunnen zetten waardoor ze niet meer geraakt worden.

CAPSLOCK2000

Beveiliging en antivirus
Ransomware

@Zyppora • 10 juni 2021 12:02

De oplossing is stiekum ook helemaal niet zo moeilijk, en wordt meestal niet overgeslagen uit luiheid maar gierigheid: men wil namelijk geen geld steken in fatsoenlijke IT security en disaster recovery. Alles moet maar aan het internet hangen want 'da's makkelijk, bespaart kosten, etc'. Het inregelen van zulke maatregelen kost nu eenmaal manuren en soms ook materiaal (investeren in een degelijke firewall bijvoorbeeld in plaats van vertrouwen op de Windows Defender op elk van je workstations).

Ik ben het met je eens maar ik zie om mij heen dat er op een hoop plekken een haast onoverbrugbare achterstand is. Organisaties hebben 30 jaar lang fundamenteel te weinig geinvesteerd. Daardoor zitten ze nu met hele ketens van systemen en processen die eigenlijk niet meer te redden zijn. Alles in één klap vervangen lukt niet en stukje bij beetje zet geen zoden aan de dijk, zelfs als je je hele IT-budget daar voor in zet. En ik heb nog nooit iemand gezien die dat ook maar probeert. De bulk van de aandacht gaat naar nieuwe software, meer features en dagelijks beheer. En even je hele IT-budget van de afgelopen decennia met terugwerkende kracht verdubbelen lukt natuurlijk ook niet.

Een gevaarlijke trend vind ik de neiging om alle IT uit te besteden. Het is op zich prima om dingen in te kopen bij de experts maar de meeste IT-problemen ontstaan op het koppelvlak tussen verschillende systemen. Daar voelt geen van de externe partners zich ooit verantwoordelijk voor en dat kan eigenlijk ook niet want die hebben geen zicht op hoe de systemen van de klanten werken. Als klant mag jij dan gaan uitzoeken hoe je systeem A aan systeem B koppelt op een veilige manier zonder dat je inzicht hebt in hoe die systemen werken. En de echte techneuten hebben typisch geen zin in een baan waar je de speelbal bent van externe partners, aanbestedingen, licenties en contracten. Dan wordt er nog wel eens een blik consultants open getrokken die wel veel weten van een bepaald product maar die hebben typisch de neiging om hun eigen opdracht strak af te kaderen in plaats van zich op het grote plaatje te richten.

Yoshi
@nst6ldr • 10 juni 2021 08:17

kortzichtig....

cpt Iglo
@nst6ldr • 10 juni 2021 08:50

Dit argument is natuurlijk niet helemaal eerlijk.

Alsof je van een bedrijf precies weet wat de risico's / beveiliging is op dit gebied. Staat zeker overal netjes gedocumenteerd en vindbaar. Daarnaast moet je gelijk dit principe dan toepassen op overige risicos die een bedrijf loopt. Tegen de tijd dat je dit alles goed in kaart hebt gebracht ben je een grote studie verder.

Ik denk niet dat je kunt pretenderen om als leek keuzes te maken op basis van al die informatie.

nst6ldr

Ransomware

@cpt Iglo • 10 juni 2021 09:07

Die kennis is in te huren voor minder dan 11 miljoen dollar. Maar, stel, we nemen eens aan dat dat net zo duur of zelfs duurder had geweest: je bedrijf en infrastructuur reorganiseren om moderne aanvallen te kunnen weerstaan - of hiervan binnen redelijk termijn te herstellen - is veel duurzamer dan aan een keer de rekening betalen en daarmee het signaal afgeven dat er geld te halen valt.

cpt Iglo
@nst6ldr • 14 juni 2021 12:14

Volgens mij gaan er hier 2 zaken door elkaar

In je post schreef je het volgende:

Dan moet je jezelf eigenlijk eerder afvragen waarom je je geld steekt in een bedrijf dat zulke risico's neemt. Alsof je belegd in een onverzekerde fabriek waar geen brandmeldinstallatie is

Je had het over afvragen waarom je "je" geldt steekt in een bedrijf met zulke risico's. Ik had dit opgevat als beleggen in een bedrijf. In mijn reactie doelde ik erop dat je niet kan verwachten van elke belegger dat ze precies op de hoogte zijn van de ICT beveiliging van een bedrijf. Dat is A niet het vakgebied van een belegger en B volgens mij gewoon niet te doen omdat niet al de benodigde info publiekelijk is.

pepsiblik
@nst6ldr • 10 juni 2021 09:06

Het is zeer de vraag of een pensioenfonds of een beenhouwer in staat is om de IT risicos in te kunnen schatten.

CAPSLOCK2000

Beveiliging en antivirus
Ransomware

@pepsiblik • 10 juni 2021 12:08

Het is zeer de vraag of een pensioenfonds of een beenhouwer in staat is om de IT risicos in te kunnen schatten.

De Nederlandse pensioenfondsen horen tot de rijkste organisaties van de wereld. Ze beleggen meer dan een biljoen euro. Dat is het formaat van bedrijven als Microsoft, Google en Apple. Als je zo veel geld investeert dan kun je ook wel wat experts inhuren om te zorgen dat je geld goed terecht komt.

pepsiblik
@CAPSLOCK2000 • 10 juni 2021 17:48

Ok, ze hebben veel geld. Ze hebben ook veel kosten. Het punt is dat je als pensioenfonds nog steeds niet zomaar ongevraagd bij de CEO kunt binnen lopen. Je hebt het te doen met kwartaalupdate en de informatie die het bedrijf publiekelijk deelt. Alles wat het bedrijf meer zou delen met specifiek het pensioenfonds valt onder voorkennis. En dat kan niet zomaar. Dus je kunt wel veel geld hebben, maar dat geeft je geen extra toegang tot informatie.

CAPSLOCK2000

Beveiliging en antivirus
Ransomware

@pepsiblik • 10 juni 2021 17:59

Ok, ze hebben veel geld. Ze hebben ook veel kosten. Het punt is dat je als pensioenfonds nog steeds niet zomaar ongevraagd bij de CEO kunt binnen lopen. Je hebt het te doen met kwartaalupdate en de informatie die het bedrijf publiekelijk deelt. Alles wat het bedrijf meer zou delen met specifiek het pensioenfonds valt onder voorkennis. En dat kan niet zomaar. Dus je kunt wel veel geld hebben, maar dat geeft je geen extra toegang tot informatie.

Ze hoeven het van mij niet geheim te houden hoor. Als eigenaar van een bedrijf mag je toch gewoon eisen stellen aan de directie? Laat bij de volgende kwartaalupdate maar zien wat je doet om de investering te beschermen. En uiteraard moet je die informatie dan wel laten beoordelen door experts en niet door bankiers of zo. De grote beleggers doen niet anders dan informatie verzamelen en op grond daarvan inschatten wat "goede" en "slechte" bedrijven zijn. Volgens mij kunnen die best wel een risico-afweging maken als ze op de juiste experts vertrouwen.

Ik wil nog een keer verwijzen naar de grote oliebedrijven die de afgelopen tijd door hun aandeelhouders worden gedwongen om te vergroenen omdat die aandeelhouders bang zijn dat er geen toekomst zit in olie en ze hun investering dreigen kwijt te raken als er niet een radicaal andere koers wordt ingeslagen.

In beide gevallen dwingen aandeelhouders een bepaalde kant op om hun investering te beschermen.

Epidemias
@L0g0ff • 10 juni 2021 07:41

Het verschil tussen de kosten van losgeld betalen en geen losgeld betalen is zo gigantisch groot dat er eigenlijk geen keuze is.
Neem bijvoorbeeld Asco, die hebben geen losgeld betaald, en die hebben 10 000 werknemers 2 weken naar huis kunnen sturen. Het heeft 18 maanden geduurd voordat ze terug 100% operationeel waren. Dit heeft heel wat meer gekost dan losgeld te betalen.

HADES2001
@Epidemias • 10 juni 2021 08:56

denk dat menig bedrijf dat niet eens overleeft. Je moet wel heel veel buffers hebben om 18 maanden niet op 100% te draaien.

anandus
@L0g0ff • 10 juni 2021 09:05

Het is een bekend economisch/milieukundig fenomeen:
https://nl.wikipedia.org/wiki/Tragedie_van_de_meent

[Reactie gewijzigd door anandus op 10 juni 2021 09:05]

L0g0ff

@anandus • 10 juni 2021 12:40

Grappig zeg dat beschreven gedachte experiment van die koeien en dat gras uit jouw link.

Maar idd precies dat verhaal.

Frituurman
@L0g0ff • 10 juni 2021 09:18

Ik vind je reactie meer dan een +1, want we weten allemaal dat wanneer je de eisen van een terrorist inwilligt, dit wel een precedent schept voor andere kwaadwillenden. Dat gezegd hebbende is het niet wenselijk om lang in die situatie te blijven zitten. In het geval van dit bedrijf komen naast het bedrijf zelf, ook toeleveranciers, vervoerders en winkels / restaurants in de problemen wanneer er niet gewerkt kan worden. De kortste klap is dan soms gewoon maar betalen. Het enige wat je kunt doen, is security maatregelen nemen om het te voorkomen of met de top security-bedrijven zoeken naar oplossingen om het 'ongedaan' te maken. Voorkomen blijft altijd het beste wat je kunt doen. Maar soms is dat niet of nauwelijks mogelijk. Afhankelijk van de maatschappelijke gevolgen (hoe lang mag / kan het duren zonder dat de maatschappij er last van heeft?), moet je een keuze maken wat te doen.

parsa2020
@L0g0ff • 10 juni 2021 09:48

Dat ligt er wel heel erg aan hoe je maatschappelijk definieert natuurlijk.

Als je kijkt naar het in stand houden van criminaliteit, uiteraard is niet betalen dan de beste manier om er van af te komen. Hoe minder je er uit haalt hoe minder het gebeurt.

Maatschappelijk gaat echter natuurlijk verder dan criminaliteit, want een groot bedrijf heeft veel meer maatschappelijk impact natuurlijk. Kijk naar JBS, die hebben 230.000 werknemers en als je dus zegt 'niet betalen, dan maar je bedrijf weg' zet je die allemaal op straat. Is een kwart miljoen mensen werkloos maken echt te verdedigen als 'maatschappelijk beter'? Want in mijn ogen kun je, behalve als het 1 persoon is en het ook nog eens direct zijn schuld is, ontslagen nooit afdoen als 'maar het is beter voor de maatschappij'.

Wat ik nu ga zeggen moet wel even goed over komen, dus even voor de duidelijkheid ik vind absoluut niet dat je moet denken 'criminaliteit bestaat dus balen' en je moet er absoluut aandacht aan besteden. Maar je moet wel rekening houden met dat het 'de maatschappij' een stuk meer dan 11 miljoen zou hebben gekost als dit bedrijf failliet ging. Je zit dan namelijk met een hele grote groep werklozen, een gigantische verstoring van de supply chain en nog veel meer problemen die daar bij komen kijken.

Natuurlijk vanuit het oogpunt 'criminaliteit bestrijden' klinkt het als een goed idee, maar bedrijven hebben nu eenmaal een hele grote maatschappelijke inpact. Daarom denk ik ook dat voorstellen zoals het strafbaar maken van het betalen van losgeld gewoon niet werken, want zoals @Blokker_1999 ook al aangeeft er zijn bedrijven die een gigantisch belang hebben voor de wereld. Als je het strafbaar stelt om te betalen faciliteer je criminelen alleen maar om gewoon de hele wereld plat te leggen, want je weet dat ze toch niet mogen betalen. Dan is een hack niet alleen geld, maar kun je hele landen vernietigen met een teampje goede hackers.
Het is een droom om te denken dat we afkomen van criminaliteit door alles illegaal te maken, in die zin zal criminaliteit altijd blijven bestaan. Dat betekent niet dat we er niks aan moeten doen, maar we moeten wel even proportioneel blijven denken. 11 miljoen is voor dit bedrijf niks, maar een bedrijf wat failliet gaat zou een gigantische klap zijn. Je moet zeker iets doen tegen criminaliteit, maar ik denk niet dat je kosten noch moeite moet besparen om die 11 miljoen uit hun handen te houden als daar nog veel meer van af hangt.

lenwar

Beveiliging en antivirus

@L0g0ff • 10 juni 2021 10:03

Ik denk dat het maatschappelijk beter is niet te betalen en je data (en misschien daardoor zelfs je bedrijf) af te schrijven.

De data zelf is tot daar aan toe. We hebben het hier over voedselverwerking, waar allerlei regelgeving aan vast zit. Effectief zal het er op neerkomen dat al het voedsel wat zij 'op dat moment' in handen hadden vernietigd zal moeten worden, omdat de benodigde certificaten en dat soort zaken niet meer gewaarborgd kunnen worden. Hele fabriekslijnen zullen langere tijd platliggen.

Dan zijn er ook nog aardig wat bedrijven die hun product niet meer kwijt kunnen, omdat hun afnemer spontaan niks meer afneemt, enz. enz. enz. (Er zijn uiteraard meer vleesverwerkers, maar je kan niet zomaar zeggen tegen bedrijf XYZ "Heb je vandaag tijd om 300 koeienkadavers extra te verwerken?" (en dat ook nog door 20 andere bedrijven)

Dit bedrijf heeft wereldwijd 150.000 werknemers. Ze zijn de grootste rundvleesverwerker, grootste gevogelteverwerker, een grote lamsvleesverwerker en de op één-na-grootste varkensvleesverwerker van de wereld.

Het gaat hier over serieus veel voedsel wat dan zo de bioverbrandingscentrale in kan als ze dit niet hadden betaald.

Anoniem: 14842
@L0g0ff • 10 juni 2021 07:43

Ik vind het gek dat de media hierover (mogen) schrijven. Bepaalde andere onderwerpen geldt een cordon sanitaire voor die (al dan niet vrijwillig) door de media wordt gehanteerd. Andere belangen blijkbaar...

bussie66
@Anoniem: 14842 • 10 juni 2021 07:56

Censuur hoort in andere landen thuis.....

Blokker_1999

Ransomware
Beveiliging en antivirus

@Anoniem: 14842 • 10 juni 2021 07:59

Ik zou zeggen: noem eens iets waarover de media niet mag schrijven

Anoniem: 14842
@Blokker_1999 • 10 juni 2021 08:12

Ik zei al dan niet vrijwillig. Voorbeelden noemen heeft geen zin, ik zet mezelf wel gewoon op -1.

Maar om aan te geven hoe het gesteld is met de (NL) media: de hoofdredacteur van de Volkskrant zei een poos terug zelf dat ze niets zouden publiceren wat in ging tegen het overheidsbeleid m.b.t. corona. "We moeten één lijn houden." Daardoor zijn waarschijnlijk een hoop (wetenschappelijke) artikelen over bijvoorbeeld aerosolen en behandelwijzen niet in de publiciteit gekomen: die stonden een jaar terug haaks op het overheidsbeleid. Blijkbaar is de media totaal vergeten wat hun taak is als waakhond.

Even voor alle duidelijkheid: ik vind dat de media dus ook inderdaad gewoon verslag moet doen van zaken m.b.t. ransomware.

[Reactie gewijzigd door Anoniem: 14842 op 10 juni 2021 08:13]

plusreg666
@Blokker_1999 • 10 juni 2021 09:25

Zelfmoord.

bussie66
@L0g0ff • 10 juni 2021 07:55

Denk dat de werknemers en eigenaren / aandeelhouders daar toch iets anders over denken.......

jazzozo
@L0g0ff • 10 juni 2021 09:10

Ik denk dat JBS in deze misschien wel één van de weinige is die de waarheid zegt. De afgelopen jaren heb ik tientallen berichten voorbij zien komen over bedrijven die getroffen zijn door ransomware en stuk voor stuk zouden die bedrijven allemaal niet hebben betaald. Als de makers van ransomware keer op keer geen cent er voor terug zien zou je toch denken dat het vanzelf minder wordt. Ik zie alleen maar meer berichten over ransomware tevoorschijn komen.

Daoka
@L0g0ff • 10 juni 2021 09:27

https://tweakers.net/nieu...orden-online-gedeeld.html
Hier is niet betaald en toch wordt er aan verdient. Dus nee niet betalen helpt ieder geval niet altijd.

chime
@L0g0ff • 10 juni 2021 11:00

Dus 100 000 werknemers werkloos maken is maatschappelijk beter?

Dat het betalen van losgeld niet wenselijk is, is begrijpelijk, het houdt zo een zaken effectief in stand.

Anderzijds is het voor een bedrijf ook een kosten baten analyse.

Als het goedkoper is om losgeld te betalen dan om zelf aan te modderen dan is betalen zakelijk gezien het interessantste.

Het is alsnog wel een verliespost.
Ook kan de overheid gaan zeggen dat voor de mensen die je een paar dagen niet hebt laten werken dat je die alsnog loon moet betalen, ze waren beschikbaar - dat je je zaakjes niet op orde had is geen excuus.

Uiteindelijk zit je daar met een kost die makkelijk de 100 miljoen zal benaderen, losgeld is vaak peanuts in vergelijking met gemist inkomsten en loon dat je alsnog moet betalen.

Dus normaal zou er wel een trigger moeten zijn om het beter te gaan doen.

Nadeel is natuurlijk wel dat dat beter doen nogal moeilijk te vervatten is in de korte termijn doelstellingen waar de meeste manager hun bonus op berekend wordt

SuperDre
@L0g0ff • 10 juni 2021 12:58

tja, criminaliteit en afpersing bestaat al sinds de mensenheugenis, en dat zal altijd wel zo blijven.

FuaZe
10 juni 2021 07:05

Dan hebben ze geluk dat het de hackers om geld gaat.

Als het nu eens vegetarische non-profit/activistische hackers waren, zouden ze alleen hun data terug krijgen als ze voortaan alleen nog maar bloemkolen verwerken

Ontopic:
Het betalen van ransomware wordt nooit aanbevolen, maar eigenlijk zie je in dit soort grote zaken dat ze het toch wel doen. (Voor dit ene bedrijf natuurlijk handig, maar het houdt het businessmodel in stand).

Echter, wat als we daadwerkelijk een vorm van 'terrroristische' hacks krijgen, zoals wat ludiek geïllustreerd in m'n comment. Dan kunnen bedrijven zich niet zomaar meer vrijkopen.

Dus, beveiligen is belangrijker dan verzekeren (of een zak geld hebben om jezelf vrij te kunnen kopen).

[Reactie gewijzigd door FuaZe op 10 juni 2021 07:08]

dafallrapper
@FuaZe • 10 juni 2021 07:22

Ik snap niet zo goed dat mensen denken dat het ophoudt als niemand losgeld betaald. Als er geen losgeld meer wordt betaald dan is de volgende stap dat ze gegevens gaan verkopen of op een andere manier misbruik gaan maken van het netwerk.

Daarom ben ik het er zeker mee eens dat beveiligingen super belangrijk is. Daarnaast moet er ook periodiek aandacht worden besteed aan het opvoeden van personeel.

[Reactie gewijzigd door dafallrapper op 10 juni 2021 07:31]

timberleek
@dafallrapper • 10 juni 2021 08:18

Dat zie je nu al inderdaad.

In het begin was het (iig als je de berichtgeving mocht geloven) vooral betalen of je krijgt je gegevens niet meer terug.

Nu zie je veelal, betalen of we lekken jouw bedrijfskritische info naar de concurrantie en/of de persoonlijke informatie van al je medewerkers naar de hoogste bieder.

Dan is het ineens geen "simpele" principekwestie meer. Dan praat je ineens over mogelijk verstrekkende gevolgen voor misschien wel duizenden mensen.

Denk dat je redelijk kan stellen dat een hoop van dit soort aanvallers over lijken gaan als het moet. Dus doen alsof ze zich aan de regels gaan houden is te simplistisch. Ze gaan gewoon dreigen met iets dat wel pijn doet

lenwar

Beveiliging en antivirus

@dafallrapper • 10 juni 2021 09:48

Ik snap niet zo goed dat mensen denken dat het ophoudt als niemand losgeld betaald.

Dat zijn natuurlijk twee compleet andere soorten misdrijven. Gijzeling van informatie of chantage zijn twee totaal verschillende zaken. Ook de uitvoering ervan is compleet anders. (er is uiteraard een ook een goede overlap)

Als het betreffende bedrijf (in dit geval een slachterij) niks te verbergen heeft qua data, dan gaan ze zeker geen geld steken in het hopen op voorkomen dat de data verkocht wordt. Ze zullen eerder denken: "Vervelend, maar je doet maar. We bieden onze excuses wel aan aan ons personeel, onze klanten en leveranciers".

Die gijzeling van data ligt vaak veel moeilijker omdat het bedrijf effectief stil ligt hierdoor. Het stilliggen kan een bedrijf dus veel meer kosten dan het betalen van het losgeld.

Als het gaat om het mitigeren kom je vaak al een heel end door er voor te zorgen dat computers die op enige manier met het internet verbonden zijn, niet bij echte data kunnen (DMZ-achtige constructies en zorgen dat je KA-machines ook als 'onvertrouwd' worden beschouwd). Ook er dus voor zorgen dat accounts die ook maar iets met het internet te maken hebben, mogen dus geen toegang hebben tot ruwe data.

Bovenstaande klinkt natuurlijk heel logisch en simpel, maar is vaak toch supercomplex om te bewerkstelligen. Er is niet één generieke manier te noemen die bovenstaande volledig kan verzorgen.

Blokker_1999

Ransomware
Beveiliging en antivirus

@FuaZe • 10 juni 2021 07:53

Het betalen van ransomware wordt nooit aanbevolen, maar eigenlijk zie je in dit soort grote zaken dat ze het toch wel doen. (Voor dit ene bedrijf natuurlijk handig, maar het houdt het businessmodel in stand).

Echter, wat als we daadwerkelijk een vorm van 'terrroristische' hacks krijgen, zoals wat ludiek geïllustreerd in m'n comment. Dan kunnen bedrijven zich niet zomaar meer vrijkopen.

Dus, beveiligen is belangrijker dan verzekeren (of een zak geld hebben om jezelf vrij te kunnen kopen).

En wie raadt dat af? Ik zie zulke comments altijd verschijnen, maar in dit artikel staat nota bene dat ze betaald hebben na het inwinnen van advies van experts.

Laat ons aub ophouden met Hollywood en kidnapfilms als voorbeeld te nemen.

Beveiliging is belangrijk, maar wanneer het misgaat wil je als bedrijf, als werkgever voor vele mensen, de schade zo beperkt mogelijk houden en je mensen zo snel mogelijk weer aan het werk krijgen.

FuaZe
@Blokker_1999 • 10 juni 2021 08:10

https://www.politie.nl/ni...ransomware.%E2%80%99.html

Maar, bedenk me zojuist dat dat wellicht gericht is op consumenten.

Dennisdn
@FuaZe • 10 juni 2021 07:08

non-profit/activistische hackers snappen dat er miljoenen dieren onderweg zijn naar de slachterijen en in dieronwaardige situaties terecht komen tijdens een hack....

FuaZe
@Dennisdn • 10 juni 2021 07:12

Tja, op D-Day zijn d'r heel wat mensen afgeslacht. Toch was het ergens wel 'nodig'. (oke, ze hadden ook wat foutjes e.d. gemaakt)

Ik heb niet echt het idee dat de gemiddelde activist/hacker nu bijster goed nadenkt over daden/gevolgen.

Voor hun zal vast gelden dat slachten ook dieronwaardig is (:

Eonfge
@FuaZe • 10 juni 2021 08:15

Als het nu eens vegetarische non-profit/activistische hackers waren, zouden ze alleen hun data terug krijgen als ze voortaan alleen nog maar bloemkolen verwerken

Waarom zouden dierenactivisten (dieren-terroristen?) dat doen, ze hebben anders al meer dan genoeg woonhuizen van boeren en fokkers in de fik gezet.

SuperDre
@FuaZe • 10 juni 2021 12:57

Maar je kunt maar beveiligen tot een zekere hoogte, je kunt je in principe niet beveiligen tegen iets dat je niet weet, zoals zero-day exploits (die gewoon in je beveiligingssoftware kunnen zitten). Wel is het natuurlijk de zaak om het zo goed als kan te beveiligen, maar dat kan dus soms duurder zijn dan 'gewoon' geld uit te geven wanneer het fout gaat.

Falcon10
10 juni 2021 07:55

Wel rare redenatie : ransomware betaald, maar wel redundante backup systemen en encryptie waardoor ze snel terug konden heropstarten, maar ze hebben betaald om "onvoorziene problemen te verminderen"

Angst dat de persoonlijke data van de de geslachte koeien/varkens/whatever in een dump op internet verschijnt ?
Kan me niet inbeelden dat iets van systeem in een slachthuis niet kan draaien als je zegt dat je redundate en geencrypteerde backups omgevingen hebt.

Ruikt eerder naar : we zeggen wel dat we een backup hebben, maar die was alweer 2 jaar oud, en onze backup systemen stonden mee inline te draaien en hadden ook mee prijs met de ransomware en waren waardeloos, dus we hebben toch maar betaald, maar we gaan zeggen dat door een onvoorzien iets we wel betaald hebben om zeker te zijn dat alles hopelijk terug draait daarna en om niet met de billen bloot in de media afgetekend te worden.

PcDealer
@Falcon10 • 10 juni 2021 08:58

Ik krijg het idee dat de backups ook al geëncrypt waren nadat de ransomware al langer in het netwerk actief was.

Nadat de sleutel was verkregen na betaling hebben ze vermoedelijk alle servers van een verse installatie voorzien en toen het ERP en klantendata gekoppeld.

Bor

Beveiliging en antivirus
Ransomware

@Falcon10 • 10 juni 2021 09:38

Angst dat de persoonlijke data van de de geslachte koeien/varkens/whatever in een dump op internet verschijnt ?

Je begrijpt hopelijk dat een slachtbedrijf vanuit toezicht een zeer gedegen administratie moet bijhouden en zonder deze administratie waarschijnlijk hun primaire proces niet verder kan / mag uitvoeren.

JorisIH
10 juni 2021 07:58

Betaald om 'ervoor te zorgen dat er geen gegevens werden buitgemaakt' ?
Dat lijkt me een onzin argument. Daar is toch niets van gegarandeerd.

Bor

Beveiliging en antivirus
Ransomware

@JorisIH • 10 juni 2021 09:03

Daar heb je inderdaad geen garantie. Toch zie je in de praktijk dat ransomware aanvallers toch een bepaalde code of honor hebben. Ze willen namelijk graag dat het volgende slachtoffer ook overgaat tot betalen. Zodra duidelijk wordt dat een bepaalde club zich niet aan de afspraken houdt schaad dat het "vertrouwen" (even tussen quotes omdat het raar klinkt, vertrouwen in criminelen).

jimmy_dg
@Bor • 10 juni 2021 09:35

Zodra duidelijk wordt dat een bepaalde club zich niet aan de afspraken houdt

Hoe weet je dit als bedrijf? Via een soort Trustpilot voor ransomware-boeren?

Die ransomware-boeren hebben wellicht nu niks aan je data, maar de data netjes verwijderen? Lijkt me echt zeer sterk. Gewoon bewaren en over 6mnd opnieuw afpersen!

SvenHe
10 juni 2021 12:54

Misschien denk ik te simpel. Maar kan van systemen niet de inhoud backuppen in plaats van de database en bij ransom het systeem opnieuw installeren en dan de inhoud terugzetten?

Zo zou je voorkomen dat de inhoud van de backup besmet is?

[Reactie gewijzigd door SvenHe op 10 juni 2021 17:17]

Tricolores
10 juni 2021 07:53

Kan iemand mij als leek uitleggen hoe ransomware zich zo makkelijk verspreid binnen een bedrijf? Los van backups en redundancy, binnen elk bedrijf (zeker van deze grootte) loopt er op alles wat hardware is toch beveiligingssoftware die zou moeten kunnen ingrijpen?

Trommelrem
@Tricolores • 10 juni 2021 08:52

Je kunt beter de vraag andersom stellen. Hoe is het mogelijk dat nog steeds niet 90% van de bedrijven slachtoffer is geworden van een snelle verspreiding.

Helaas is de meestgebruikte MFA exclusion een IP adres. Met een pot verf en een bevlekte broek loop je zo langs security. Dan ben je binnen en dan kijk je simpelweg onder de toetsenborden en ga je op zoek naar wachtwoorden. Vooral bij industriele systemen doet een post-it het erg goed. Je plant vervolgens een NUC ofzoiets en je bent binnen de "veilige zone" (zero trust, een veilige zone bestaat niet) en je hebt ook nog eens wachtwoorden die exempt zijn van MFA. Industriele systemen doen het vaak goed omdat die uit gemakzucht vaak veel te veel toegang hebben.

Nietcreatief
@Trommelrem • 10 juni 2021 20:24

Hmm.. kijkend naar 12 schermen waarvan er 3 beplakt zijn met WW en account stickers en er 2 een direct toegankelijke PC kast hebben zou ik je nog wel eens gelijk moeten geven ben ik bang.

Blokker_1999

Ransomware
Beveiliging en antivirus

@Tricolores • 10 juni 2021 08:04

1 woord: 0-day.

Er wordt vaak gebruik gemaakt van bugs die nog niet bekend zijn. Of, als je als aanvaller geluk hebt, bugs die wel bekend zijn, maar nog niet zijn opgelost binnen een bedrijf. Binnenkomen is meestal nog eenvoudig. Beetje social engineering werkt verdomd goed. En als je eenmaal binnen bent is het een kwestie van tijd.

oak3
@Blokker_1999 • 10 juni 2021 09:00

Zeker geen 0-days. Binnenkomen is vaak via bijvoorbeeld een VPN die geen MFA heeft (colonial pipeline) of Phishing met Macro's.

Daarna bijvoorbeeld Mimikatz gebruiken om domain administrator te worden. Teveel bedrijven beheren nog alle servers en alle werkplekken met domain admin rechten. Een aanvaller heeft die credentials zo achterhaald. Als je dan ook nog service accounts met domain administrator rechten hebt, is het nog eenvoudiger.

We moeten weg van het idee dat het allemaal onbekende en/of zero-day bugs zijn. Het zijn technieken die de gemiddelde pentester al 10-15 jaar toepast.
Zie bijvoorbeelde deze write-ups:
https://thedfirreport.com/2021/05/12/conti-ransomware/
https://thedfirreport.com...ibi-aka-revil-ransomware/

Of lees het rapport van Maastricht.

jongetje
@Blokker_1999 • 10 juni 2021 08:13

0-day betekend dat die bug er altijd al in heeft gezeten (vanaf dag 0).
Dat maakt hier toch niet uit wanneer die bug is geïntroduceerd?

Alcmaria
@jongetje • 10 juni 2021 08:57

Nee hoor zero-day betekent dat de exploit zo gloedjenieuw is dat de ontwikkelaar van de software of consumenten ze nog niet kennen. Er is dus nog geen patch voor en Virusscanners herkennen ze niet (tenzij ze een heuristic scan doen waar er iets geks bij aan het licht komt).

Een zero-day kan inderdaad al jaren in de software gezeten hebben maar ook geintroduceerd zijn bij een laatste patch.

airell
@jongetje • 10 juni 2021 09:04

Ik denk dat Blokker_1999 een 0-day-exploit bedoelt. Er wordt misbruik van gemaakt vanaf 'dag-0' dat bekend is dat er een exploit in zit, niet hoelang deze er al in zit.

Deleon78
@jongetje • 10 juni 2021 09:00

Dat is niet wat 0-day betekent.

Tricolores
@Blokker_1999 • 10 juni 2021 09:57

Ik zou sowieso verwachten van een beveiligingspakket dat deze extra aandachtig zijn voor nog-niet gepatchte vulnerabilities door zero-days, van zodra deze aan het oppervlak komen. Misschien zie ik het allemaal wat te simpel.

oak3
@Tricolores • 10 juni 2021 10:29

Zo werken beveiligingspakketen helaas niet. Die moeten weten waar ze op kunnen detecteren. Een AV kijkt met name naar file signatures van malware. Een kleine wijziging in de code en de signature is anders. Een AV moet het dus altijd al een keer gezien hebben.

Daarnaast herkennen ze ook andere technieken, maar als aanvaller kun jij prima een paar AV pakketten downloaden en kijken of jouw tool werkt. Of je gebruik Virus Total om het te checken.

En ook voor de geavanceerdere endpoint tooling (bv Defender ATP) zijn genoeg mogelijkheden om deze te ontwijken. Overigens heb ik nog geen enkel Ransomware incident gezien waar Defender ATP of iets vergelijkbaars in gebruik was.

lenwar

Beveiliging en antivirus

@Tricolores • 10 juni 2021 10:10

Zoals @Blokker_1999 al aangeeft. Misbruikte beveiligingslekken, maar het kan ook zijn dat de infrastructuur niet goed genoeg beveiligd is.
Kan jouw desktop-account technisch gezien bij data?
Kan jouw desktop technisch gezien direct bij data?
Kan een computer (desktop, server of appliance) die ook maar iets met internet te maken heeft direct bij data?
Kan een account van een computer die ook maar iets te maken heeft met internet direct bij data?
Is (een deel van) al je datacommunicatie in je eigen netwerk niet versleuteld?

Als je op één van bovenstaande vragen "Ja of zelfs "gedeeltelijk" antwoord, ben je al een heel stuk vatbaarder voor dit soort aanvallen.
En uiteraard. Ik zet die vijf vragen nu wel even heel simpel neer, maar het is soms heel complex om bovenstaande zaken af te vangen in een bestaande omgeving. Er is niet één generieke manier om bovenstaande zaken volledig af te dichten.

ikt

10 juni 2021 08:51

Aan de andere kant - die ransomwarecriminelen zijn wel effectiever in het opdringen van veiligsheidsmaatregelen bij bedrijven, dan de interne IT afdeling en toezichthouders er ooit van zouden kunnen dromen

Bor

Beveiliging en antivirus
Ransomware

@ikt • 10 juni 2021 09:05

Het is niet dat dit soort dingen alleen gebeuren bij bedrijven die hun beveiliging niet goed op orde hebben. Beveiliging is zo sterk als de zwakste schakel en in sommige gevallen zitten er behoorlijk geavanceerde hacks achter een aanval. De harde waarheid is dat dit iedereen kan overkomen maar dat de kans wel per bedrijf verschilt.

mphilipp
@Bor • 10 juni 2021 09:55

Onze security meneer vertelde mij dat ie zelfs naast iemand stond toen er malware (oid) via een email binnen kwam. Je hoefde niets te doen; het openen van de mail was voldoende. Als je de mail zo zag staan in het lijstje van de inbox, leek het een legitieme mail (dus geen schreeuwerige overduidelijke spam), maar het openen alleen was al voldoende. Er begonnen zaken te veranderen op de desktop, dus heeft ie direct ingegrepen en heeft de computer (virtuele desktop) uitgezet en meteen het team bij elkaar geroepen. Gelukkig was er niets verspreid, maar ze hebben heel even overwogen om het netwerk plat te gooien, maar dat bleek niet nodig. Het leek erop dat het een aanval was op alleen de ontvanger, zonder verspreiding naar de rest van het netwerk. Needless to say dat de virtuele desktop van die persoon gewist is en zij voorzien is van een verse image. En wij hebben allerlei malware scanners, mailscanners tegen spam en malware, maar het lukt hen toch steeds weer om iets te vinden dat buiten de detectie om gaat.

john84
10 juni 2021 07:52

Die hacks vinden geclusterd plaats zodat getroffen bedrijven massaal de bitcoin markt op moeten voor de afkoop. Wat stijging van de bitcoin oplevert. De schade kan beperkt worden door aankoop van dubbele aantal en de extra bitcoin weer te verkopen op de piek.

De hackers maken cash door de bitcoin aan te bieden aan de gehackte bedrijven.

JDx
10 juni 2021 08:32

Ai, te weinig gevraagd.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Wereldwijde vleesverwerker betaalde 11 miljoen dollar losgeld voor ransomware

Lees meer

Reacties (108)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden