image

Containerterminals Rotterdam getroffen door ransomware

dinsdag 27 juni 2017, 15:08 door Redactie, 15 reacties
Laatst bijgewerkt: 27-06-2017, 16:54

Zeventien containerterminals van APM in Rotterdam en andere delen van de wereld zijn getroffen door dezelfde ransomware die ook een Oekraïens mediabedrijf infecteerde. De website van APM Terminals geeft op het moment van schrijven een foutmelding.

Moederbedrijf Maersk bevestigt tegenover RTV Rijnmond dat er wereldwijd "computerproblemen" zijn. Op Twitter meldt het bedrijf dat sommige it-systemen uit de lucht zijn. Door de infectie zou het werk op de Maasvlakte sinds 13.20 uur stilliggen. Hieronder een screenshot van de melding die het Oekraïense mediabedrijf 24 vandaag op computers kreeg te zien en overeenkomt met de melding bij de terminals van APM. APM telt wereldwijd 64 containerterminals in 60 landen en heeft 20.000 werknemers.

Update

Op Hacker News meldt iemand die zegt een medewerker van Maersk te zijn dat het personeel de laptop niet mag starten en sommige afdelingen het personeel hebben gevraagd om morgen thuis te blijven.

Image

Reacties (15)
27-06-2017, 15:22 door Anoniem
Zijn er meer details bekend over welke (mogelijke) variant het gaat?
27-06-2017, 15:26 door linuxpro
Dat kost miljoenen, 20.000 man die niets zitten te doen. De eerste grote in Nederland was volgens mij Qpark maar dat is maar een kleintje vergeleken bij APM Maersk. Met een omzet van 30 miljard per jaar kost ze dat omgerekend ong. 3,5 miljoen per uur. Daar had je mooi je IT van op orde kunnen hebben... dure les.
27-06-2017, 15:35 door Anoniem
Door linuxpro: Daar had je mooi je IT van op orde kunnen hebben... dure les.

Dat is een voorbarige conclusie. Er bestaat zoiets als zero-days ook. Als dit een gerichte actie is, dan is de kans groot dat dit niet zomaar een zaakje is van "had je maar moet patchen 3 maanden geleden".

Ik mag voor de IT daar hopen dat dat niet is.
27-06-2017, 15:35 door SecGuru_OTX
Sample: https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
Petya Ransomware
27-06-2017, 15:38 door Anoniem
Geen leuke dag voor Maarten
27-06-2017, 15:39 door Anoniem
Als dit kan gebeuren (spam-attachment geopend op de centrale administratie, internet en buitenmail op de terminal?) heb je je IT zaakjes gewoon niet op orde.
Ransomware is niet van gisteren en ook niet van eergisteren.
27-06-2017, 15:43 door abj61 - Bijgewerkt: 27-06-2017, 15:43
"Dat kost miljoenen, 20.000 man die niets zitten te doen." 20.000 man is het hele personeelsbestand van APM. 17 van de 64 terminals liggen plat, er zit dus minder dan 20.000 man niks te doen
27-06-2017, 15:46 door SecGuru_OTX
Distributie lijkt vooralsnog via de EthernalBlue Exploit te gaan, maar dit is nog niet 100% zeker.
27-06-2017, 15:47 door [Account Verwijderd]
[Verwijderd]
27-06-2017, 15:52 door SecGuru_OTX
Bijgaand de analyse:

https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100
27-06-2017, 16:40 door Anoniem
Door Anoniem:
Door linuxpro: Daar had je mooi je IT van op orde kunnen hebben... dure les.

Dat is een voorbarige conclusie. Er bestaat zoiets als zero-days ook. Als dit een gerichte actie is, dan is de kans groot dat dit niet zomaar een zaakje is van "had je maar moet patchen 3 maanden geleden".

Ik mag voor de IT daar hopen dat dat niet is.

Uiteraard niet. Patchen is iets dat je sowieso zo snel mogelijk moet doen. Het gaan immers om bekende beveiligingsproblemen. Niet patchen, zonder mitigerende maatregelen, is een nalatigheid.

Daarnaast kan je je natuurlijk ook beschermen tegen nog niet gekende issues. Je hangt bijvoorbeeld je PC niet rechtstreeks aan het internet, of doet aan anomaly detection on de systemen/netwerk, of je bouwt je netwerk in verschillende segmenten zodat een infectie zich niet overal kan verspreiden.

Dit zijn basis security maatregelen, die helaas vaak niet toegepast worden, want men denkt dat software pakket X, of cloud service Y, alle problemen zal oplossen.
27-06-2017, 16:47 door Anoniem
Vragen ze echt maar 300$ in BTC? Das een schijntje voor de haven...
27-06-2017, 17:26 door Anoniem
En wat staat hiernaast in de personeelswerving van het NCSC? Schaal 11. Pay peanuts, get infected.
27-06-2017, 19:52 door Anoniem
Hallo ga je lekker met je aspx site: https://asafaweb.com/Scan?Url=www.apmterminals.com%2F500.html%3Faspxerrorpath%3D

http://toolbar.netcraft.com/site_report?url=http%3A%2F%2Fwww.apmterminals.com%2F500.html%3Faspxerrorpath%3D%2F

Microsoft yep bingo -> dit is of liever gezegd was...Microsoft-IIS/7.5 op NNIT Backbone Denemarken

Hadden ze net de upgrade niet binnen gehaald nadat er cybercriminelen hadden gedreigd?
Bericht uit Denemarken. Klopt dit is er kwestie van nalatigheid...
Lees hier: http://www.nnit.com/OfferingsAndArticles/Pages/COWI-Upgrades-its-IT-Security.aspx

Result
It looks like custom errors are not correctly configured as the requested URL contains the heading "Server Error in".

Custom errors are easy to enable, just configure the web.config to ensure the mode is either "On" or "RemoteOnly" and ensure there is a valid "defaultRedirect" defined for a custom error page as follows:

<customErrors mode="RemoteOnly" defaultRedirect="~/Error" />
jammer, volgende keer beter.

Wedden dat het asynchroon javascript was dit keer, net als zo vaak.bij ransomeware...
28-06-2017, 00:04 door SecGuru_OTX
Bron: Fox-IT, Bleepingcomputer, Kaspersky, Cisco, ESET, MalwareHunterteam.

Cisco Talos reports that the infections started in Ukraine following the auto-update feature of software by the Ukrainian company Me-Doc. Attackers likely got access to the Me-Doc update servers, using the update feature of the software to infect all their, mostly Ukrainian customers. This explains the disruptions observed within various Ukrainian companies, including airports, hospitals and other vital infrastructure. This supports what Fox-IT is observing, affected companies have business in Ukraine and observed initial Petya activity from those networks.

Because of the various spreading mechanisms of Petya the ransomware managed to reach companies in other countries, most likely as a result of existing network connections between (branch) offices or suppliers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.