image

Petya-aanval kost Maersk naar schatting 200-300 miljoen dollar

woensdag 16 augustus 2017, 10:58 door Redactie, 21 reacties

De aanval met de Petya-ransomware eind juni heeft de Deense multinational Maersk naar schatting tussen de 200 en 300 miljoen dollar gekost, zo heeft het bedrijf vandaag in een financieel rapport over het tweede kwartaal bekendgemaakt (pdf).

De Petya-ransomware werd verspreid via een backdoor die aan de boekhoudsoftware M.E.Doc was toegevoegd. Na ontdekking van de malware werden getroffen netwerken en systemen bij Maersk Line, APM Terminals en Damco uitgeschakeld, waardoor de bedrijfsvoering ernstig verstoord raakte, aldus Maersk. Het grootste deel van de schade wordt toegeschreven aan misgelopen inkomsten voor Maersk Line. Verder stelt het bedrijf dat er bij de aanval geen gegevens zijn gestolen en ook het personeel geen risico heeft gelopen.

Reacties (21)
16-08-2017, 11:22 door Anoniem
"Information security has a high business priority at A.P. Moller - Maersk. This cyber-attack was a previously unseen
type of malware, and updates and patches applied to both the Windows systems and antivirus were not an effective protection in this case."

Door zulke reacties lig ik er niet wakker van dat bedrijven gehackt/afgeperst worden...
Een greep uit (Not)Petya:
- Mimikatz
Mitigation: application whitelisting, AV/HIPS, google: defending against mimikatz...
- PSExec
Mitigation: application whitelisting, AV/HIPS
- WMIC
Mitigation: application whitelisting
- EternalBlue SMB exploit
Mitigation: MS Patch, disable SMBv1, interne firewalls/acl/IDS
- EternalRomance SMB exploit
Mitigation: MS Patch, disable SMBv1, interne firewalls/acl/IDS
- Malware required administrative privileges
Mitigation: niet bij de hand maar er zwerft diverse documentatie rond om het moeilijker te maken.
- Distributed as patch for Ukranian software
Mitigation: netwerk segmentatie, test-netwerk voor patches/updates, software niet onder admin/system uitvoeren

Allemaal niks nieuws dus. Met een goede defense-in-depth strategie had men het de aanvallers een stuk moeilijker kunnen maken.
16-08-2017, 18:27 door karma4
Gewoon boekhouding risico afdekken gaat direct aan de open.
Een riscowaarde kan je manipuleren in de Capex. Voor de direct zichtbare winst met alle korte termijn prestatie regelingen zeer voordelig voor enkelingen.
Dan moet je ook die bitter pil maar slikkende als de kand risico impact als gevolg een flinke klap geeft.
16-08-2017, 18:36 door [Account Verwijderd] - Bijgewerkt: 16-08-2017, 18:37
[Verwijderd]
16-08-2017, 21:10 door Anoniem
Door Neb Poorten: De verborgen kosten van Windows. Besef goed waar je je mee inlaat bij het kiezen van je besturingssysteem voor professionele toepassingen.

Altijd een lastige keuze... Ga ik voor een OS waarop ik mijn applicaties kan draaien welke mijn eind gebruikers nodig hebben, of kies ik een idealistisch OS. Gelukkig kiezen de meeste voor de realiteit en niet iemands droom.

Ik vind 200-300 miljoen nog wel mee vallen. Het is heel erg veel geld, laten we dat voorop stellen. Maar ik denk dat de imago schade veel groter is.
17-08-2017, 07:40 door karma4 - Bijgewerkt: 17-08-2017, 12:52
Door Neb Poorten: De verborgen kosten van Windows. Besef goed waar je je mee inlaat bij het kiezen van je besturingssysteem voor professionele toepassingen.
Sinds wanneer Is netwerksegmentatie het gescheiden houden van boekhouding operationele systemen (scada) en externe locaties externe koppelingen een os keuze.
Als je dat als os keuze ziet dan heb je weinig van security. begrepen..

Door die blinde kijk toon je dat juist os fanatici een bedreiging voor goede kwaliteit van informatiesecurity zijn.
Waarom zou er de noodzaak tot verouderde protocollen zijn en waarom zijn beschikbare updates niet aangebracht zijn. Als we die vraag stellen en naar een os gaan wijzen kan het alleen aan linux en iot meuk zijn. Pas sinds 2008 hebben die wat anders nieuwer in de aanbieding. Met apparatuur die jaren (tientallen als ivesteringsbeslissing) moet draaien na implementatie moet daar nog veel ouds van zijn op de terminals.

Maersk is groot, ze zullen elk os en elke techniek wel in huis hebben. Dat de strategische keuze is om weinig in kwaliteit van ict security te steken is een c-level zaak
17-08-2017, 11:07 door [Account Verwijderd]
[Verwijderd]
17-08-2017, 11:27 door Anoniem
Altijd een lastige keuze... Ga ik voor een OS waarop ik mijn applicaties kan draaien welke mijn eind gebruikers nodig hebben, of kies ik een idealistisch OS. Gelukkig kiezen de meeste voor de realiteit en niet iemands droom.
Onzin, het is een keuze. Google is na de aanval op Gmail destijds (waarbij Gmail broncode werd gestolen) volledig overgegaan op Linux en macOS; je vindt daar geen Windows machines meer. Waarom accepteer je een risico als je de hele aanvalsvector weg kunt halen? Dat heeft niks met idealisme of dromen te maken maar meer met technische kunde en de risk appetite van een organisatie.
Door die blinde kijk toon je dat juist os fanatici een bedreiging voor goede kwaliteit van informatiesecurity zijn.
Het OS wordt juist vaak overgeslagen als men gaat kijken naar security verbeteringen. Het is Windows wat we hebben, wat we willen en wat we willen blijven gebruiken. Men kijkt niet eens naar alternatieven. Het is duur, mensen snappen het niet, mijn applicaties draaien er niet op...dat zijn meestal de argumenten, die veelal na onderzoek niet blijken te kloppen, zie IBM: https://www.youtube.com/watch?v=fSHTzJl9BW0
17-08-2017, 11:35 door Anoniem
Ik vind 200-300 miljoen nog wel mee vallen. Het is heel erg veel geld, laten we dat voorop stellen. Maar ik denk dat de imago schade veel groter is.
Voor 300 miljoen kun je heeeel veel licenties en service SLA's afsluiten voor veiligere software dan (consumenten) Windows. Men moet eens stoppen met in zakelijke omgevingen software te gebruiken die men thuis ook heeft 'omdat men dat kent'. Dat is geen reden IMHO.
17-08-2017, 13:02 door karma4 - Bijgewerkt: 17-08-2017, 13:02
Door Anoniem: ......
Het OS wordt juist vaak overgeslagen als men gaat kijken naar security verbeteringen. Het is Windows wat we hebben, wat we willen en wat we willen blijven gebruiken. Men kijkt niet eens naar alternatieven. Het is duur, mensen snappen het niet, mijn applicaties draaien er niet op...dat zijn meestal de argumenten, die veelal na onderzoek niet blijken te kloppen ....
IBM heeft dat akkefietje waar ze het monopolie verloren nooit psychisch kunnen verwerken. Slecht voorbeeld voor objectief onderzoek naar desktops. Mainframes gaan er uit met alle hardware die ze ooit voerden. Typisch dat ze nog wel vaak in bestuurskamers de toon zetten. Zie uwv.

Voor de rest moet ik je wel gelijk geven. Os wordt nooit in een security planning meegenomen. Het is oss en linux waarom zouden daar zelf nog wat aan security moeten doen. Kost alleen maar geld. Mogelijk heeft Maersk ook die fout gemaakt.
Als je dan verder aanneemt dat de boekhouding er wel een paar weken uit mag liggen dan heb je geen argument om gedegen security beleid te voeren.
Dat het door gebrek aan segmentatie een domino effect heeft daar hadden ze geen risicomodellen en externe adviseurs voor.
17-08-2017, 13:11 door Anoniem
Als je dan verder aanneemt dat de boekhouding er wel een paar weken uit mag liggen dan heb je geen argument om gedegen security beleid te voeren.
'Een paar weken eruit liggen' kan men wel goed vinden, maar hierbij vernoemd men het belangrijkste punt niet: wat als de onderliggende data is vernietigd? Dan zijn je machines na een paar weken wel weer up, maar al je business data en crown jewels zijn weg. Wat doe je dan? Bestaat je bedrijf dan nog wel? Kun je dan nog wel omzet maken? Enz enz. Dit stukje mist vaak bij Disaster Recovery Planning.
17-08-2017, 13:55 door [Account Verwijderd] - Bijgewerkt: 17-08-2017, 13:57
[Verwijderd]
17-08-2017, 14:47 door Anoniem
Allemaal niks nieuws dus. Met een goede defense-in-depth strategie had men het de aanvallers een stuk moeilijker kunnen maken.

Je gaat wel voorbij aan de vraag of alle zaken die jij wilt blokkeren functioneel al dan niet nodig zijn binnen een omgeving.
17-08-2017, 16:27 door Anoniem
Je gaat wel voorbij aan de vraag of alle zaken die jij wilt blokkeren functioneel al dan niet nodig zijn binnen een omgeving.
Kwestie van inventarisatie. Wie heeft wat waar nodig, voor welk proces en in welke omgeving. Dat stel je beschikbaar, meer niet. Dat maakt life-cycle-management ook een stuk makkelijker: als het beschreven proces ooit komt te vervallen, dan kan alle daaraan vast hangende software ook meteen worden afgevoerd. In zulke omgevingen zie je geen 'vergeten browserplugins' of tooltjes van 15 jaar oud die niemand meer kent. Nieuwe spullen kopen kan iedereen, opruimen van oude rommel wordt vaak vergeten. En terwijl daar juist vaak de gaten in zitten.
17-08-2017, 17:50 door karma4 - Bijgewerkt: 17-08-2017, 17:53
Door Neb Poorten:
Nee! Je begrijpt duidelijk niet wat Anoniem schrijft! Dat er in jouw kleine wereldje slecht wordt omgegaan met security van OSS en Linux is niet representatief voor de werkelijke wereld.
...
Mijn wereld is die van grote commerciële omgevingen big data data science met gevoelige data.
Ik zou wensen dat het beperkt en op kleine schaal zo zijn dat er zo slecht met informatieveiligheid om gegaan wordt. Helaas is de realiteit anders. Helaas is het ook zo dat een belangrijk deel door Linux fanaten veroorzaakt wordt die niet verder dan het os komen. Ik zit te wachten op een verbeterbplan en change.
Zolang er niets veranderd is linux gewoon ongeschikt.

Een desktop interesseert mij niet zo. Dat Linus daarover gefrustreerd is, het zij zo. Niet relevant

Inderdaad! Waarom zou je dat niet doen? De hele aanvalsvector weghalen.
Lijkt me prima om al die linux meuk de deur uit te doen.

Met het vergelijk met Google. Maersk heeft daarbij nog een stap te doen. Namelijk al die terminals met de sensor data en aansturing de deur uit te gooien. Daar wees ik naar met verouderde systemen. embedded software.

Met de Google auto is n'en al jaren bezig maar echt lukken doet het nog niet.
17-08-2017, 17:54 door karma4 - Bijgewerkt: 17-08-2017, 18:02
Door Anoniem:
'Een paar weken eruit liggen' kan men wel goed vinden, maar hierbij vernoemd men het belangrijkste punt niet: wat als de onderliggende data is vernietigd? Dan zijn je machines na een paar weken wel weer up, maar al je business data en crown jewels zijn weg. Wat doe je dan? Bestaat je bedrijf dan nog wel? Kun je dan nog wel omzet maken? Enz enz. Dit stukje mist vaak bij Disaster Recovery Planning.
Dat klopt dat zoiets vaak mist.
Het is iets met korte termijn doelen en lange termijn strategie.
18-08-2017, 00:07 door [Account Verwijderd] - Bijgewerkt: 18-08-2017, 00:08
[Verwijderd]
18-08-2017, 11:44 door Anoniem
Door Neb Poorten:
Inderdaad! Waarom zou je dat niet doen? De hele aanvalsvector weghalen.

Waarom denk je dat Windows elimineren de vector elimineert? Ieder OS is kwetsbaar en denken dat het jouwe dat niet is, is vragen om problemen. Alles dat populair wordt is een doelwit en alles dat niet populair is heeft ook kwetsbaarheden. Die worden alleen minder gezocht en misbruikt. Android laat ons zien dat het verhaal ook voor Linux geldt. Het is enorm populair en daarom wordt er enorm veel malware voor geschreven.

Het lange verhaal kort is dat je niet op je OS moet vertrouwen voor je veiligheid. Het is een element dat je mee kunt nemen in je overwegingen, maar dat verre van het hele verhaal is.
20-08-2017, 18:29 door Anoniem
"Door die blinde kijk toon je dat juist os fanatici een bedreiging voor goede kwaliteit van informatiesecurity zijn."

Door een (mogelijke zwakke) schakel uit je keten uit te sluiten van je informatiesecuriy analyse en vast te pinnen, kun je nooit de gehele keten optimaliseren. maw, het OS dat op elke plek (server / desktop) gebruikt wordt is een van de onderdelen van je analyse en een schakel. je moet die dus in beschouwing mee nemen. jij stelt steeds dat dat niet nodig is. daarom zit je mis!
20-08-2017, 18:43 door Anoniem
Door Neb Poorten:
Door karma4: Met de Google auto is n'en al jaren bezig maar echt lukken doet het nog niet.

Jij vindt het maar sukkels hè, die lui bij Google met al die Linux servers en desktops. Ze hebben Windows eruit gegooid en dat kan natuurlijk niet goed zijn want karma4 heeft andere ervaringen in zijn kleine wereldje.

Ik denk niet dat zij veel behoefte hebben om hier op in te gaan. Ik eigenlijk ook niet.

niets is lastiger dan met geloofsovertuigers in discussie te gaan. ik zeg maar zo, de tijd zal het leren en ik maak me eigen keuze dan maar in dit soort zaken. ik ben echter niet zo naief om te denken dat het niet anders zou kunnen en maak mijn keuze weloverwogen. op het moment is het onmiskenbaar zo, om welke redenen dan ook, dat unix systemen minder last van malware en virii hebben dan een mogelijk alternatief. dat moge economische redenen zijn (hoewel ik dat betwijfel als ik zie hoeveel unix op servers en in de cloud gebruikt word), dat moge andere redenen zijn (patch en update approach en van dag een af aan een multi user networking OS zijn). success allen, je maakt je eigen keuze maar, maar ik net zo :).
20-08-2017, 18:50 door Anoniem
Door Anoniem:
Door Neb Poorten:
Inderdaad! Waarom zou je dat niet doen? De hele aanvalsvector weghalen.

Waarom denk je dat Windows elimineren de vector elimineert? Ieder OS is kwetsbaar en denken dat het jouwe dat niet is, is vragen om problemen. Alles dat populair wordt is een doelwit en alles dat niet populair is heeft ook kwetsbaarheden. Die worden alleen minder gezocht en misbruikt. Android laat ons zien dat het verhaal ook voor Linux geldt. Het is enorm populair en daarom wordt er enorm veel malware voor geschreven.

Het lange verhaal kort is dat je niet op je OS moet vertrouwen voor je veiligheid. Het is een element dat je mee kunt nemen in je overwegingen, maar dat verre van het hele verhaal is.

het al dan niet bestaan van alle mogelijke vectoren veranderd niet bij de keuze. wel is een vector weg, ook is de totale attack surface kleiner geworden met die keuze.

vwb android, de kernel is linux, de rest is een java shell eromheen. hetzelfde met linux, de kernel, de rest van een ubuntu ofzo is veelal GNU met wat spul van elders en cannonical en bij Mac is de kernel Mach gebaseerd op een BSD meen ik en de rest iets van Apple. Alleen bij windows en BSDs is kernel en OS geheel bij een club te plaatsen. je opmerking zoals hij nu geformuleerd is is dus nietszeggend, je kunt appels niet met peren vergelijken.
21-08-2017, 17:23 door Anoniem
Goed zo, als je zoveel schade kunt hebben, had je maar betere mensen moeten neer zetten en betere leveranciers moeten kiezen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.