Nieuws
image

Gemeente Lochem getroffen door ransomware

dinsdag 17 maart 2015, 16:34 door Redactie, 16 reacties

De Gelderse gemeente Lochem is getroffen door ransomware, waardoor medewerkers niet meer bij bestanden konden komen, zo heeft de gemeente via de eigen website bekendgemaakt. De infectie vond gisteren plaats via een e-mail die niet door het spamfilter van de gemeente werd tegengehouden.

"Het virus zette een deel van het netwerk op slot", aldus de gemeente. Het ging om crypto-ransomware die bestanden op het gemeentenetwerk versleutelde, waardoor het niet meer mogelijk was die te gebruiken. Om weer toegang tot de bestanden te krijgen werd een back-up van het systeem teruggezet. Inmiddels zouden de noodzakelijke bestanden hierdoor weer zijn hersteld.

"Een andere mogelijkheid is dat er geld betaald wordt aan degene die de Cryptolocker heeft verzonden. De gemeente betaalt uiteraard geen geld aan een hacker om weer toegang te krijgen tot de bestanden en heeft inmiddels aangifte gedaan bij de politie", zo laat de gemeente verder weten. De infectie zou er alleen voor hebben gezorgd dat gemeentemedewerkers niet meer bij de bestanden konden komen.

Gegevens van burgers zouden geen risico hebben gelopen. Ook zijn er, voor zover nu bekend, dankzij de recente back-up geen gegevens verloren gegaan. "Helaas bestaat 100% veiligheid niet maar een goede back-up is heel belangrijk, dat blijkt nu maar weer. Ik ben blij dat onze inwoners hiervan geen hinder ondervinden en ook de verkiezingen morgen gewoon door kunnen gaan", aldus burgemeester Sebastiaan van 't Erve.

Reacties (16)
17-03-2015, 16:46 door [Account Verwijderd] - Bijgewerkt: 17-03-2015, 16:47
[Verwijderd]
17-03-2015, 17:01 door Anoniem
Fijn om te lezen dat er ook overheidsorganisaties zijn die niet meteen vleugellam zijn!
17-03-2015, 20:27 door Anoniem
De grote vraag is waarom mensen blindelings toegezonden bijlages of links openen. Personen verantwoordelijk stellen, de consequenties laten voelen, voor hun gedrag is gewoonlijk een goed middel om mensen bewust te maken. Tot die tijd klikken mensen gewoon door, staan ze niet stil bij hun gedrag en blijft alles zoals het was. Bij gemeenten / overheid is het duidelijk: de belastingbetaler betaald. Bij bedrijven is het duidelijk : de klant betaald. En dat lijkt veel goedkoper dan een juridische strijd om passende consequenties.
17-03-2015, 21:05 door ph-cofi
Dit komt op mij over als een succesvol herstel dankzij actuele backups. Wellicht heeft men zelfs op tijd netwerkkabels losgetrokken om erger te voorkomen.

Ik zou meer details willen weten, bijvoorbeeld of de e-mail slim vermomd was of dat men
blindelings toegezonden bijlages of links
heeft geopend. Heel informatief voor ons. Tot die tijd kan ik geen oordeel vellen. Hoogstens over het verwachte gebruik van IE, Adobe reader en MS-Office en de kans op succesvolle aanvallen die dit geeft.
17-03-2015, 21:48 door Anoniem
Door Anoniem: De grote vraag is waarom mensen blindelings toegezonden bijlages of links openen. Personen verantwoordelijk stellen, de consequenties laten voelen, voor hun gedrag is gewoonlijk een goed middel om mensen bewust te maken. Tot die tijd klikken mensen gewoon door, staan ze niet stil bij hun gedrag en blijft alles zoals het was. Bij gemeenten / overheid is het duidelijk: de belastingbetaler betaald. Bij bedrijven is het duidelijk : de klant betaald. En dat lijkt veel goedkoper dan een juridische strijd om passende consequenties.

Heb jij een baan ergens, eigenlijk ?

Want wat heeft een voorlichter (info@), HR medewerker (pz@ ), medewerker belastingzaken (woz@ ) , bouwambtenaar (vergunning@ ) sociale zaken (uitkering@ ) nu precies voor verwijtbaars gedaan als die mail krijgen en een word of pdf file openen, of op een schijnbare LinkedIn link klikken ?

Bonuspunten als die mail afkomstig is van een adres waarmee ze al een lopende correspondentie hebben.

Reken maar dat het advies "is in slecht nederlands geschreven" als spam/phish indicator voor een hoop gemeente afdelingen erg veel vals-positieven geeft.
Een mail zonder tekst body met alleen Word/PDF eraan zal ook best 'redelijk normaal' zijn voor diverse afdelingen.

Hoe deze trojan eruit gezien heeft weet ik niet. Maar ik kan me een aantal situaties indenken waar het volkomen logisch is dat een normale medewerker die normaal z'n werk doet een besmetting activeert en feitelijk niks verkeerd gedaan heeft.
"Hoe dom kun je zijn" is soms terecht, maar lang niet overal en altijd.

En dan kun je beter een snelle detectie , isolatie en recovery hebben dan een betweter op een zolderkamer die vindt dat iedereen een IT guru moet zijn (headers lezen, obfuscated javascript decoden ) of maar gestraft moet worden voor al die gevallen waar de IT techniek (virusscanner,OS, applicatie) gefaald hebben.
17-03-2015, 22:12 door cpt_m_
Is er al meer bekend over de wijze waarop?

In het artikel lees ik dat het gaat om een e-mail, maar betreft het hierbij om een bijlage die door een gebruiker zelf geactiveerd moet worden of is er sprake van een url die de eindgebruiker stuurt naar een geinfecteerde website?
17-03-2015, 22:30 door Anoniem
Door Anoniem: De grote vraag is waarom mensen blindelings toegezonden bijlages of links openen.

Hier is een antwoord op je grote vraag. Het heet kans. Je hebt altijd een kleine response, zelfs bij de slechtste spam ooit. Die regel wordt ook gebruikt bij sales, telemarketing, etc. Als je de populatie maar hoog genoeg maakt zijn er altijd wel mensen die klikken.

Personen verantwoordelijk stellen, de consequenties laten voelen, voor hun gedrag is gewoonlijk een goed middel om mensen bewust te maken.
Helemaal mee eens! Laat het ze voelen, die stomme gebruikers! Wat denken ze wel niet, zomaar spam openen. Ik denk dat ze het expres gedaan hebben, jij ook niet?

Tot die tijd klikken mensen gewoon door, staan ze niet stil bij hun gedrag en blijft alles zoals het was. Bij gemeenten / overheid is het duidelijk: de belastingbetaler betaald.
De werkdruk is de afgelopen jaren juist bij overheid/gemeenten bizar toegenomen, maar ik weet zeker dat de personen die spammail openen dit bewust doen. Ze kijken gewoon veel liever naar de melding "your computer has been locked" dan echt te werken aan carrière of de dingen doen waarop ze nu achterlopen.

Bij bedrijven is het duidelijk : de klant betaald. En dat lijkt veel goedkoper dan een juridische strijd om passende consequenties.
Goed argument. Zelf ben ik ook klant van een aantal bedrijven, met enige regelmaat krijg ik een factuur binnen:
"In verband met ransomware infectie in ons netwerk moet u een extra bedrag betalen van 1250,-.
P.S: Uw project komt ook een week later."

Ik doe hier als klant natuurlijk nooit moeilijk over. Ik vind het gewoon heel reëel te betalen voor malware infecties waar ik niks mee te maken heb. Collega's van andere bedrijven delen deze mening.
17-03-2015, 23:27 door Anoniem
Door cpt_m_: Is er al meer bekend over de wijze waarop?

In het artikel lees ik dat het gaat om een e-mail, maar betreft het hierbij om een bijlage die door een gebruiker zelf geactiveerd moet worden of is er sprake van een url die de eindgebruiker stuurt naar een geinfecteerde website?

Gemeenteambtenaren krijgen constant de meest vreemde bijlagen van bewoners over vanalles en nog wat. Het nadeel van (bijna) perfecte virusscanners is dat op een gegeven moment niemand meer verwacht dat er een virus doorheen komt.

Peter
18-03-2015, 09:05 door Anoniem
Emet, waarom draait er geen emet...
18-03-2015, 09:15 door cpt_m_
Door Peter: Gemeenteambtenaren krijgen constant de meest vreemde bijlagen van bewoners over vanalles en nog wat. Het nadeel van (bijna) perfecte virusscanners is dat op een gegeven moment niemand meer verwacht dat er een virus doorheen komt.

Bedankt voor je reactie, maar geeft geen antwoord op mijn vraag!

Om te beoordelen of de huidige beheersmaatregelen voldoende zijn, is er meer informatie nodig!!!
De laatste methode was een bijlage met een zip extensie, waarbij het uitgepakte bestand een extensie .CHM-bestand was (gecompileerd helpbestand).

Is er al meer informatie beschikbaar?
18-03-2015, 09:21 door Anoniem
Door Anoniem: De grote vraag is waarom mensen blindelings toegezonden bijlages of links openen.

De grote vraag is waarom een operating systeem niet ALLES in een sandbox draait. Het is ooit al gebouwd door HP Labs voor Windows XP.

Zie: http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
18-03-2015, 10:57 door Anoniem
Uit betrouwbare bron vernomen dat de IT issues van Dronten begin deze week een soort gelijke oorzaak had...
Alleen jammer dat Dronten hier dan weer niet open over is..
18-03-2015, 15:26 door Anoniem
Door cpt_m_:
Door Peter: Gemeenteambtenaren krijgen constant de meest vreemde bijlagen van bewoners over vanalles en nog wat. Het nadeel van (bijna) perfecte virusscanners is dat op een gegeven moment niemand meer verwacht dat er een virus doorheen komt.

Bedankt voor je reactie, maar geeft geen antwoord op mijn vraag!

Omdat ik aannam dat het niet relevant was. Cryptolocker e.d. is malware die (voor zover ik tot nu toe heb gezien) als bijlage meekomt met een mail. Of ergens op een share is gezet, omdat de mailserver automatisch bijlagen uitpakt en klaarzet voor gebruik.

Vooral dat laatste is wel gevaarlijk omdat de relatie met de oorspronkelijke mail vaak weg is. Zo heb je systemen waarbij op basis van geaddresseerde en, soms, sleutelwoorden in de mail, bijlagen worden opgeslagen en ter beoordeling, behandeling en/of beantwoording worden klaargezet voor anderen dan de ontvanger. Als er uberhaupt nog een ontvanger is voor dergelijke mail.

Peter
18-03-2015, 16:16 door Anoniem
Wij hadden de ransomware afgelopen maandag. Die was via mail bij gebruiker binnen gekomen. We hebben de gebruiker kunnen traceren die 25000 bestanden had geencrypt. Citrix draaide ook een process dat dat deed. Gebruiker geforceerd uitgelogd. Gebruiker gevraag de fout mail door te sturen en die mail met het ZIP bestand (zat een exe bestand in). Deze mail hebben we doorgestuurd naar onze externe service leverancier. Die kwamen vrij snel naar analyse met een extra virus definition.

Mail kwam van onderstaande adressen:
facturatie@intrumjustitia.com
facturatie@intrummm.com
facturatie@intrum-incasso-justia.com

En onderstaande blokkeren in de firewall. Vanwege command and controle.
blokkeren zodat het geinfecteerde systeem niet kan communiceren naar deze servers:
193.23.244.244 - Poort 443
zsn5qtrgfpu4tmpg.onion.cab - poort 443
zsn5qtrgfpu4tmpg.tor2web.blutmagie.de - poort 443
zsn5qtrgfpu4tmpg.tor2web.org - poort 443
zsn5qtrgfpu4tmpg.tor2web.fi - poort 443
76.73.17.194 - Poort 9090
zsn5qtrgfpu4tmpg.onion.gq - poort 80
ip.telize.com - Poort 80
19-03-2015, 11:37 door ph-cofi
Wow, een EXE in een ZIP in een e-mail. Is het mogelijk de boel zo in te stellen dat administratieve medewerkers geen software kunnen installeren/afvuren vanuit hun mailclient?

Is het mogelijk om te controleren of de mail herkomst genept is, ook daar kan hun mailclient op controleren toch?

Waarom onderdrukt de mailclient de extensies van bijlages eigenlijk?
20-03-2015, 08:58 door Anoniem
Door ph-cofi: Wow, een EXE in een ZIP in een e-mail. Is het mogelijk de boel zo in te stellen dat administratieve medewerkers geen software kunnen installeren/afvuren vanuit hun mailclient?

Is het mogelijk om te controleren of de mail herkomst genept is, ook daar kan hun mailclient op controleren toch?

Waarom onderdrukt de mailclient de extensies van bijlages eigenlijk?

Outlook zelf of een andere mailclient blokkeert standaard executables maar alleen executables die outlook als executables herkend.

Outlook zal niet een hernoemde executable blokkeren dit wordt wel door een antispam/virusscanner gedaan die de mailstroom scant.

Dit is ook een stap die aangezet moet worden om infecties vanuit de mailstroom te voorkomen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search