Ransomware besmette 620 computers Amerikaanse gemeente
Bij de aanval op Matanuska-Susitna Borough in de Amerikaanse staat Alaska zijn alle 500 werkstations en 120 van de 150 servers met ransomware besmet geraakt. Vanwege de infectie moest de gemeente, die ruim 106.000 inwoners telt, allerlei systemen uitschakelen en op typemachines terugvallen.
Hoe de infectie zich precies kon voordoen is nog altijd onduidelijk. In een update over de situatie (pdf) verklaart it-directeur Eric Wyatt van Matanuska-Susitna Borough dat de oorzaak waarschijnlijk een e-mail met een link naar een kwaadaardige website was of dat er een Word-document met kwaadaardige macro als bijlage is gebruikt. Na de initiële infectie werden verschillende malware-exemplaren geïnstalleerd, waaronder de Emotet-bankmalware en BitPaymer-ransomware.
Volgens Wyatt is Matanuska-Susitna Borough al het 210de slachtoffer van de aanval. Eenmaal actief verzamelen de aanvallers het Outlook-adresboek van getroffen machines voor verdere aanvallen en proberen Active Directory-beheerderstoegang te krijgen. Op deze manier worden ook andere machines in het netwerk besmet. Wyatt stelt dat de malware op 17 juli werd ontdekt na een update van de McAfee-virusscanner. Dit gebeurde echter alleen op Windows 7-machines. McAfee detecteerde en verwijderde de initiële Trojan, maar miste alle andere onderdelen. "Tegen de tijd dat het aantal besmette werkstations een alarmerend niveau had bereikt ontdekten we dezelfde problemen op meerdere servers", aldus de it-directeur.
Via een script werden de onderdelen die McAfee had gemist verwijderd. Ook werden de wachtwoorden van alle gebruikers en beheerders gereset. Ondertussen waren de mailservers, telefoonsysteem en zelfs het deurtoegangssysteem getroffen. Inmiddels zijn verschillende systemen hersteld en 110 werkstations opgeschoond en opnieuw geïnstalleerd. Per dag zullen 38 werkstations worden hersteld, waardoor het herstelproces nog zeker 10 dagen in beslag zal nemen.
Het herstel van sommige andere systemen kan zelfs twee tot drie weken in beslag nemen. Verder blijkt dat oudere e-mailbestanden mogelijk niet meer zijn te herstellen. De gemeente stelt dat het op periodieke basis gebruikers gaat trainen om dreigingen te voorkomen. Verder zal alle versleutelde data worden bewaard mocht de FBI de decryptiesleutels weten te vinden.
En het mooie is, dat alle overheden zowel binnen als buitenland heilig van overtuigd zijn dat alles automatiseren beter is. Zorg dan eerst ervoor dat je je mensen goed opleidt.
En ja, ik heb om die reden de laptops van mijn ouders voorzien van Linux ipv Windows. En ja, het scheelt mij elke 3 maanden een windows bak op schonen.
TheYOSH
https://www.security.nl/posting/388600/China+verbiedt+Windows+8+op+overheidscomputers.
Nu de rest van de wereld nog...
..Nu de rest van de wereld nog...
Ik heb het verhaal LHM desktop gevolgd. Het is het zelfde beeld van Linux fanboisme van: onvoldoende dienstverlening (burgers bij de balie), de hoogste baas bij binnenkomst schofferen, oplopende kosten die niet helder gebracht worden.
Dat heeft een kans stuk gemaakt. Het begon al met een politieke beslissing in 2003 gedragen en gesteund door IBM.
This is also a ‘Zero-day’ attack. Meaning, the anti-virus software does not yet have the virus
definitions in their software to catch and remove this threat.
[...]
We started to pick up Trojan component of the attack on July 17th after an update of our anti-virus software (McAfee). This was only seen on Windows 7 machines. McAfee was then doing its job of detecting and deleting the Trojan, but continued to miss all other components. By the time the number of workstations affected rose to alarming levels, we had discovered the same issues on multiple servers. We developed a script to remove the discovered components that McAfee was leaving behind from all machines
[...]
Nearly all of the 500 workstations (both Windows 7 and Windows 10) and 120 of the 150 servers have been infected.
In dit representatieve voorbeeld wordt dus één van meerdere malware exemplaren welliswaar gedetecteerd door McAfee onder Windows 7, maar de infectie wordt niet gestopt. Onder Windows 10 detecteerde McAfee precies NIETS.
Dit is geen toevallige omstandigheid, want mijn ervaringen (en die van andere onafhankelijke onderzoekers) geven een vergelijkbaar en geheel verklaarbaar beeld. In de praktijk tweaken cybercriminelen hun malware namelijk net zo lang (moeilijk is dat niet) tot die malware nog door geen enkele veelgebruikte virusscanner wordt gedetecteerd, waarna de malware wordt verspreid. Makers en (en niet-onafhankelijke testers) van virusscanners die claimen dit soort malware te kunnen detecteren voordat zij een definitie-update hebben gemaakt die geïnstalleerd is op jouw PC voor een specifieke malware-variant, LIEGEN - ofwel zijn een niche speler en/of hun product geeft veel false positives (iets dat uit een onafhankelijke test zou moeten blijken).
Uit https://www.security.nl/posting/571559/Test%3A+Nauwelijks+verschil+in+virusscanners+voor+Windows+10:
Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,6 procent gehaald.
[...]
Uiteindelijk weten Avira, Kaspersky Lab en McAfee de maximale 18 punten te scoren
[...][/b]
Zijn er serieus nog security.nl lezers die enige waarde hechten aan de herhaaldelijke leugens van clubs zoals AV-Test? In elk geval ik ga geen moeite meer doen om "wat in de definitie van AV-Test onbekende, nieuwe malware is" te doorgronden, want ik sluit bij voorbaat uit dat die ook maar iets met de dagelijkse praktijk te maken heeft.
….
Zijn er serieus nog security.nl lezers die enige waarde hechten aan de herhaaldelijke leugens van clubs zoals AV-Test? In elk geval ik ga geen moeite meer doen om "wat in de definitie van AV-Test onbekende, nieuwe malware is" te doorgronden, want ik sluit bij voorbaat uit dat die ook maar iets met de dagelijkse praktijk te maken heeft.
Ik hecht zowiezo weinig waarde aan scans op endpoints. Je kunt beter de endpoints beschermen voordat er wat naar toe gaat en je moet akelig goed weten of er wat mis en als er wat mis is moet je het zo geïsoleerd hebben dat er weinig schade ontstaat. Omdat er ergens een vinkenlijstje van een auditor is: "heeft u virisscanners geintsalleerd"wordt de rest overgeslagen. Van het zelfde niveau "wordt er een backup gemaakt". Een backup heeft pas nu als die in een DR scnenario bruikbaar blijkt. Bij een DR plan hoort ook een remimage / nieuwe hardware.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.