image

Ziekenhuis VS betaalt 55.000 dollar na ransomware-infectie

dinsdag 16 januari 2018, 14:39 door Redactie, 9 reacties

Een Amerikaans ziekenhuis heeft de ontwikkelaars van de Samas-ransomware 55.000 dollar betaald om weer toegang tot de bestanden te krijgen die door de ransomware waren versleuteld. Het ziekenhuis in de staat Indiana werd vorige week door de ransomware getroffen, waardoor personeel geen toegang meer had tot e-mail, elektronische medische dossiers en andere systemen en op papier en pen moest terugvallen.

Het ziekenhuis kreeg zeven dagen de tijd om te betalen, anders zou er geen toegang meer tot de bestanden kunnen worden verkregen. Tegenover de Greenfield Daily Reporter stelt het ziekenhuis dat het wel over back-ups beschikte en het die kon herstellen. Dit zou echter dagen en mogelijk zelfs weken in beslag nemen. Economisch gezien was het dan ook verstandiger om het losgeld te betalen, aldus de ziekenhuisdirecteur.

Nadat het ziekenhuis dit weekend 55.000 dollar in bitcoin betaalde stuurden de aanvallers de decryptiesleutel. Daarmee kon het ziekenhuis alle bestanden ontsleutelen en gisteren waren alle systemen weer operationeel. De Samas-ransomware, ook bekend als SamSam, is sinds 2016 actief. De aanvallers achter de ransomware hacken systemen, bijvoorbeeld via kwetsbaarheden in JBoss-applicaties. Vervolgens wordt Samas op het netwerk geïnstalleerd.

De aanvallers zoeken ook naar back-ups en verwijderen die, zodat slachtoffers de versleutelde bestanden niet zelf kunnen herstellen. Vorig jaar april raakte een Amerikaans ziekenhuis door Samas besmet en besloot de gevraagde 24 bitcoin (op dat moment 48.000 euro) niet te betalen. Het ziekenhuis was zes weken ontregeld en kreeg met een kostenpost van 10 miljoen dollar te maken. Een Britse cloudprovider die door Samas besmet raakte ging wel tot betaling over en betaalde 16.000 euro.

Reacties (9)
16-01-2018, 16:18 door Anoniem
Even een cold reconnaissance third party scannetje uitgevoerd.

Fluitje van een cent en de resultaten stemmen wederom niet tot ongeremde vrolijkheid.

Lees mee en huiver af en toe.

Bij de eerder getroffen Britse cloudprovider is het certificaat nog steeds niet juist geinstalleerd.

Ze moeten de certificaatverstrekker Entrust contacten om het ontbrekende certificaat te kunnen dowloaden en installeren.

Dit volgens een simpel scannetje hier: https://cryptoreport.websecurity.symantec.com/checker/

F-graad status scan en aanbevelingen hier: https://observatory.mozilla.org/analyze.html?host=www.vesk.com
Exploiteerbare PHP versie gevonden. Geen moderne TLS configuratie aanwezig.

Zie ook: https://observatory.mozilla.org/analyze.html?host=www.vesk.com#ssh D-graad beveiliging status met zwakke ciphers!

Server versie info proliferatie: SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.4

Een magere F-status hier: https://www.ssllabs.com/ssltest/analyze?d=www.vesk.com
Kwetsbaar voor OpenSSL Padding Oracle:

Security headers op E niveau: https://securityheaders.io/?followRedirects=on&hide=on&q=www.vesk.com

Geen preload: https://hstspreload.org/?domain=www.vesk.com

Wat een best policy ellende voor zo'n grote Amazon Ierland gedreven cloud provider. Dat moet je je klanten toch niet aan willen doen of doen ze waar ze denken net mee te kunnen wegkomen. Mijn inziens een te hoog prijskaartje voor de klant.

Cloud means in dit geval "Out of Sight Out of Mind" - denk het dus niet!

Jodocus Oyevaer
16-01-2018, 18:05 door karma4
Wel over backups beschikken en geen werkend DR plan hebben is een tegenspraak.
Gezocht wat hancock zelf loslaat over de ICT connecties en inrichting. Niets ...... Ik houd me aanbevolen.
We de financiële jaarverslagen over hoe het allemaal beter gaat.
16-01-2018, 22:16 door Anoniem
@karma 4,

Beste karma 4,

Maar als je als grote cloudprovider organisatie toch net zo'n ransomeware incident achter de rug hebt, dan moet dat toch aanleiding zijn om je beveiligingsschema's nog eens onder de loep te nemen? Of vindt jij het normaal om verder te gaan met "business as usual" en net te doen alsof je neus bloedt en dan op naar het volgende incident dus? Of schuiven ze alles af op Amazon, die de boel maar veilig draaiend moet houden? Of wijzen de vingers van de CDN's naar elkaar?

Ik vind zo'n houding onbegrijpelijk, maar wie ben ik? Ik ben maar slechts een onbeduidend ethisch geïnspireerd iemand met wat relevante kennis, die niet snapt dat zoiets gewoon getolereerd wordt. Is dat omdat er zo weinig zijn, die eens even heel duidelijk naar de stand van zaken (kunnen) kijken op de website infrastructuur of interesseert het degene(n) met de diepste zakken en het minste verstand van zaken eigenlijk geen zier?

Graag jouw visie op een en ander en hoe kan zo'n cultuur doorbroken worden? We hebben er allemaal immers last van. Het kost ons ook nog eens veel te veel geld en levert weinig immaterieel op voor velen, die gebruik maken van dit soort van "niet optimale" diensten op de infrastructuur, om het zo maar eens heel voorzichtig uit te drukken.

Compleet scheefgegroeide toestand en waarom? Ten behoeve van wat? Na heel, heel diep nadenken, begrijp ik nog niet ten volle en ik verken dit soort van zaken al zo'n veertien jaar t.b.v. malware detectors.

Jodocus Oyevaer
16-01-2018, 22:40 door Anoniem
ze hadden beer vandaag pas kunnen betalen. een bitcoin is nu nog maar $10.000
17-01-2018, 03:24 door Anoniem
Er was wel een DR/BCP: men ging op pen en papier verder, alles moest opnieuw geinstalleerd worden. Ja dat kost tijd, dus geld en als het losgeld daar slechts een fractie van is...... Daarom is het standaard advies van LE om nooit te betalen ook een loos advies. Maar ja, tegenovergestelde belangen: criminaliteit verminderen versus winst maximalisatie. Moet je natuurlijk wel eerst even googlen of betaling in het verleden inderdaad succesvolle decryptie opleverde.

Enige licht puntje: de koers van BTC is erg volatiel dus een cybercrimineel weet nooit precies wat hij gaat verdienen.
17-01-2018, 11:09 door karma4 - Bijgewerkt: 17-01-2018, 11:32
Door Anoniem: @karma 4,
Graag jouw visie op een en ander en hoe kan zo'n cultuur doorbroken worden? We hebben er allemaal immers last van. Het kost ons ook nog eens veel te veel geld en levert weinig immaterieel op voor velen, die gebruik maken van dit soort van "niet optimale" diensten op de infrastructuur, om het zo maar eens heel voorzichtig uit te drukken.

Compleet scheefgegroeide toestand en waarom? Ten behoeve van wat? Na heel, heel diep nadenken, begrijp ik nog niet ten volle en ik verken dit soort van zaken al zo'n veertien jaar t.b.v. malware detectors.

Jodocus Oyevaer

Zeer goeie maar tevens grote vragen over hoe een en ander in de praktijk uitwerkt.
Het BI big data gebeuren kent een onderscheid in:
- descriptive "wat is er gebeurd" de waarneming. Mooie plaatjes maken maar geen advies over hoe verder.
- predictive "wat zou het meest waarschijnlijk kunnen gebeuren".
Het eerste moet je objectief af kunnen doen het laatste is vol met onzekerheden en subjectiviteit. Het is wel het gebied dat met de "Customers Relations" ofwel marketing een duidelijk verdienmodel heeft. Het gaat dan om beïnvloeding en verandering. Je ziet dat managers graag zelf conclusies en analyses willen doen met de eigen gevolgtrekkingen. De tegenstrijdigheid is dat om predictive vragen en aanbesteden maar descritpive willen. De mens is niet altijd helder in zijn uitingen je moet er doorheen willen kijken.

Welk opties om die cirkel te doorbreken? Dat is lastig er zijn een aantal plekken om het te doen.

- verdienmodel / ROI kosten-baten / boekhouding.
Dat verdienmodel ofwel de vraag: "wat brengt het op?" is een groot obstakel om van boven af (management beslissers) de boel veranderd te krijgen in een meer ethische aanpak. (=Waarneming)
(Verandering->) Met wetgeving zoals GDPR en boetes kun je sturing krijgen. Daarvoor moeten de controlerende instanties wel actief bezig zijn. Een papieren tijger is niet gevaarlijk.

- concurrentie kwaliteitsonderscheid beheersbaarheid
Klanten Service is met producten leveren en verdiensten maken is waar het om gaat. De security veiligheid etc als onderscheidend business gegeven is nu niet aan de orde integendeel. Zoals je aangeeft de managers zijn blijer met outsourcing met de positie dat ze wel alle verdiensten want goed geregeld willen maar het tegen minimale bedragen aan andere overlaten. (=Waarneming)
(Verandering->) Als klanten met bewustzijn keuzes maken en er ook daadwerkelijk en keus is ie er een mogelijkheid. Daarvoor moet je de publiek opinie zien te beïnvloeden in die richting. een consumentenbond Zembla kassa etc zijn opties. Ik ben er daar niet gerust op omdat de kijkcijfers en het eigen inkomen belangrijker lijken dan waarheidsbevinding.

- Vanuit de technische kennis en vaardigheden in de organisatie
Je zou zeggen als de mensen die weten hoe het zit en voor je werken dat er dan verbetering in zit. Die is lastig je komt in management theorieën. https://en.wikipedia.org/wiki/Frederick_Winslow_Taylor en https://en.wikipedia.org/wiki/Henri_Fayol worden gezien als de grondleggers.Met Fayol zie je dat de werkploeg binnen vaste kaders veel meer vrijheden heeft en meer als echte partner voor het resultaat gezien wordt. (kanban)
Met Taylor plaats je de manager als alwetend en dicterend, dit is de gangbare huidige insteek. (=Waarneming).
(Verandering->) Enige inspraak is er dus iets van devops en verantwoordlijkheden nemen zonder afrekencultuur zou een start zijn.

Die kaders is nog een lastige als je ziet welke strijden er op de ICT vloer uitgevochten worden.
Leveranciersvoorkeuren, toolsvoorkeuren architecten operatie engineering verkopers business, het geeft een chaotisch onbeheersbaar beeld. Er worden ook beelden geschetst ver buiten enige werkelijkheid (=Waarneming)
(Verandering->) kappen me die strijden en het bedrijfsbelang voorop stellen. Dat wil niet zeggen dat je gezonde discussies en beslissingen uit de weg moet gaan. Duidelijkheid scheppen staat voorop.
Ik heb dat met migraties voor het laatst 30+ jaar geleden meegemaakt. De directeur op de werkvloer. We zijn zo ver het is niet perfect wat we nu hebben. Dit zijn de risico's en opties. Hij dan kies ik voor .... (maakt niet uit.)
Vrij recent in een vernieuwingstraject een perfect mix van mensen werk en doel meegemaakt. Dat was het dan in al die tijd. Zeg maar er is ruimte voor verandering in ICT beheersing.
17-01-2018, 15:14 door Anoniem
@ karma 4, nog bedankt voor je heldere uiteenzetting over een en ander.

Nog een paar zaken, die op de mitigatie van dit soort problemen ook funest (kunnen) uitwerken.

Er komt steeds minder ruimte voor het echte ondernemen hand in hand met expertise beleid. Er zitten dus veel te veel lagen "improductieve en/of anders gemotiveerde opvreters" in de weg. De managment bovenlaag cultuur.

Je ziet de steeds meer verstikkend wordende invloed van media en communicatie management, de aansturing door hoofdaandeelhouders ten behoeve van winstoptimalisatie en het korte termijn denken met gevolgen.

Prachtig voorbeeld, denk aan het Web of Trust debacle van een graaiende tijdelijk Finse bewindvoerder, die allerlei private data ging veilen, zeg maar versjacheren, tegen de hoogste prijs, blind voor de gevolgen. WoT bestaat nog, is zijn eerdere reputatie voorgoed kwijt en het duurt jaren eer de goegemeente dit incident ooit vergeet. De schade is enorm & permanent toegebracht. Hier helpt geen crisis management e.d. meer, geen enkel 'lieve moederen' eigenlijk.

Toezicht en handhaving zo ver uitgekleed, dat het tot papieren tijgers zijn verworden en het korte termijn winstdenken niet in de weg zit,alsmede het wegwuiven van het opgestoken security auditor vingertje met de mededeling "Dit gaat goed fout op termijn" en dan gaat het ook snel die kant op.

Dus dan gaat het vervolgens goed fout, gaat de hele boel op zijn r**t met als sluitpost de eindgebruiker en nemen de zakkenvullers de benen, die met de diepste zakken het eerst en laten de puinhoop aan de ruimers.

In het gunstigste geval wordt de hele zaak verdoezeld en gaat men op naar het nieuwe bijna-punt en zo rommelt men maar door. Zonder veranderingen dus geen verbeteringen in zicht. Het blijft pappen en nathouden, derhalve updaten en patchen.

Men zal dus goed moeten doorlichten, waar de continue foutenmakers zitten binnen een organisatie en die eruit halen,
anders blijft het een herhaling van zetten of je verliest je beste krachten op termijn.

luntrus
18-01-2018, 08:58 door Anoniem
Door karma4: Wel over backups beschikken en geen werkend DR plan hebben is een tegenspraak.
Ben ik niet helemaal met je eens. Het is geen tegenspraak. Maar het DR plan moet wel nader bekeken worden (wat al eerder gedaan had moeten worden).
Als het DR plan ooit beschreven is voor bijvoorbeeld brand, en men moet alles in 1 week up and running kunnen hebben, dan kan het huidige plan voldoen. Als je echter een restore uit uitvoeren van uren ivp een malware uitbraak. Dan voldoet het niet.
Maar je kan nog steeds restore.

Daarnaast is het ook gewoon simple economics...... 55K vs lange tijd plat liggen waarbij je geen patienten kan helpen.... 55K is dan niet veel geld.
18-01-2018, 14:33 door karma4
Door Anoniem: ....
Daarnaast is het ook gewoon simple economics...... 55K vs lange tijd plat liggen waarbij je geen patienten kan helpen.... 55K is dan niet veel geld.
Je geeft precies aan waarom security en risico beheersing zo lastig er door te krijgen is. Dit koopje voor iets wat je had kunnen uitsluiten geeft weinig hoop dat er echt behoorlijke maatregelen genomen gaan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.