image

Amerikaanse stad betaalt 26.000 dollar na ransomware-infectie

donderdag 22 november 2018, 09:09 door Redactie, 16 reacties

Een kleine Amerikaanse stad heeft cybercriminelen ruim 26.000 dollar betaald nadat systemen door ransomware besmet waren geraakt. De stad Valdez in de staat Alaska werd eind juli dit jaar door ransomware getroffen. Vanwege de infectie werden alle stadscomputers en -servers tijdelijk uitgeschakeld.

In totaal wist de Hermes-ransomware bestanden op 27 servers en 170 workstations te versleutelen. De burgemeester besloot daarop een lokale noodsituatie uit te roepen. De aanvallers eisten 26.600 dollar voor het ontsleutelen van de bestanden. Het stadsbestuur besloot te betalen, maar liet de criminelen eerst verschillende bestanden ontsleutelen om te kijken of ze echt over de decryptiesleutel beschikten. Nadat dit inderdaad het geval bleek werd het gevraagde bedrag betaald.

Het werk was na het ontsleutelen van de data nog niet voorbij. "We kunnen die data niet vertrouwen. We moeten het laten scannen en schoonmaken. We moeten het op een andere server plaatsen, we moet het testen, omdat er een virus in verborgen kan zitten waardoor we weer in dezelfde situatie terecht kunnen komen", zegt stadsmanager Elke Doom tegenover KTUU-TV. Het controleproces werd de afgelopen weken uitgevoerd.

De stad, die zo'n 4000 inwoners telt, heeft ook maatregelen genomen om herhaling te voorkomen. De infectie van de stadssystemen is waarschijnlijk begonnen via een Microsoft Office-document dat van een kwaadaardige macro was voorzien en naar een stadsmedewerker was gemaild.

Reacties (16)
22-11-2018, 09:27 door [Account Verwijderd]
Ik snap dat maar niet he... Users die blijkbaar adminrechten hebben. Die admin is gewoon een prutser van jewelste! Ik vind dat users overal VEEEEEEL teveel rechten hebben. Ze moeten zich bezig houden met hun werk. Daar worden ze voor betaald. Niet om bijlages te openen die eindigen op exe! Niet om de hele dag op facebook te hangen etc. Dat zou bij mij gewoon technisch niet mogelijk zijn als ik daar admin was.

Maarja, wie ben ik weer...
22-11-2018, 09:27 door -karma4 - Bijgewerkt: 22-11-2018, 09:28
De infectie van de stadssystemen is waarschijnlijk begonnen via een Microsoft Office-document dat van een kwaadaardige macro was voorzien en naar een stadsmedewerker was gemaild.

Maar hun ISO certificering was ongetwijfeld goed in orde...

https://www.security.nl/posting/587922/ISO+standaarden+voor+management
22-11-2018, 09:28 door Anoniem
Voorkomen is beter dan genezen, maar je moet altijd ook beveiliging hebben voor het geval dat je gehacked bent om op alternatieve manieren toch goed te functioneren.

De overheid had bijvoorbeeld de Ransomware functionaliteiten van Windows kunnen gebruiken en de Cloud tegen Ransomware met herstel opties.

De gebruiker had natuurlijk niet op het mailtje moeten klikken maar dat kan je niet voorkomen.
22-11-2018, 09:32 door Anoniem
Door Rexodus: Ik snap dat maar niet he... Users die blijkbaar adminrechten hebben. Die admin is gewoon een prutser van jewelste! Ik vind dat users overal VEEEEEEL teveel rechten hebben. Ze moeten zich bezig houden met hun werk. Daar worden ze voor betaald. Niet om bijlages te openen die eindigen op exe! Niet om de hele dag op facebook te hangen etc. Dat zou bij mij gewoon technisch niet mogelijk zijn als ik daar admin was.

Maarja, wie ben ik weer...

Ik ben het met jou eens, ik heb zelf bij de belastingdienst gewerkt en daar was het gewoon mogelijk voor gebruikers om via een omweg gewoon software te instaleren als je de instalatie process patched.
Ik wou met office 2010 werken ipv 2003 en dat lukte gewoon.
Dit werd ook gewoon niet gedetecteerd door de ICT beheerders...
22-11-2018, 09:49 door Briolet
Daar is weer een staat die de criminelen financiert zodat ze geld en motivatie hebben om door te gaan met hun activiteiten.

Het wordt tijd dat de VS hun wetten eens aanpassen. Daar is het nu bij wet verboden om losgeld te betalen bij een ontvoering. Dit verbod is er ook om nieuwe kidnappers te ontmoedigen. Breidt dit uit naar elke vorm van afpersing.
22-11-2018, 09:52 door Anoniem
Door Briolet: Daar is weer een staat die de criminelen financiert zodat ze geld en motivatie hebben om door te gaan met hun activiteiten.

Het wordt tijd dat de VS hun wetten eens aanpassen. Daar is het nu bij wet verboden om losgeld te betalen bij een ontvoering. Dit verbod is er ook om nieuwe kidnappers te ontmoedigen. Breidt dit uit naar elke vorm van afpersing.
Helemaal mee eens. Dit is steunen van criminele activiteiten.
22-11-2018, 10:04 door PietdeVries - Bijgewerkt: 22-11-2018, 10:06
Door Briolet: Daar is weer een staat die de criminelen financiert zodat ze geld en motivatie hebben om door te gaan met hun activiteiten.

Het wordt tijd dat de VS hun wetten eens aanpassen. Daar is het nu bij wet verboden om losgeld te betalen bij een ontvoering. Dit verbod is er ook om nieuwe kidnappers te ontmoedigen. Breidt dit uit naar elke vorm van afpersing.

Ja man! Wat een schande! En wij als domme burger doen net zo hard mee - toch? Wij nemen de telefoon op als Jennifer van Windows support belt met een issue (en Jennifer is aardig genoeg je door te verbinden naar de Apple afdeling als dat toevallig je OS is...), we reageren op clickbait, Nigeriaanse prinsen met miljoenen waar jij toevallig de erfgenaam van bent, we stappen in BitCoins, woekerpolissen... En altijd wijzen we naar die domme overheid, die suffige sheriff die er weer in gestonken is en *ons* geld gebruikt om zijn fouten te fixen.

Word wakker - fouten worden overal gemaakt. Lees het verhaal, dit is geen triviale, uitgemaakte zaak. Dit had overal kunnen gebeuren - ook bij Maersk zeg maar. Een dorp met 4.000 inwoners - wat verwacht je eigenlijk? Een heel SOC?
22-11-2018, 11:02 door -karma4
Door Anoniem: De gebruiker had natuurlijk niet op het mailtje moeten klikken maar dat kan je niet voorkomen.

Daarom moet je je systeem zo inrichten dat, zelfs indien een gebruiker op zo'n mailtje klikt, er géén of alleen plaatselijke schade ontstaat. Niet dat het hele netwerk besmet raakt.
22-11-2018, 13:32 door Anoniem
Door Team FOSS:
Door Anoniem: De gebruiker had natuurlijk niet op het mailtje moeten klikken maar dat kan je niet voorkomen.

Daarom moet je je systeem zo inrichten dat, zelfs indien een gebruiker op zo'n mailtje klikt, er géén of alleen plaatselijke schade ontstaat. Niet dat het hele netwerk besmet raakt.

Helemaal mee eens, maar weinig systeembeheerders gaan zo ver, want de PC wordt traag dan
22-11-2018, 15:29 door Tha Cleaner
Door Rexodus: Ik snap dat maar niet he... Users die blijkbaar adminrechten hebben. Die admin is gewoon een prutser van jewelste! Ik vind dat users overal VEEEEEEL teveel rechten hebben. Ze moeten zich bezig houden met hun werk. Daar worden ze voor betaald. Niet om bijlages te openen die eindigen op exe! Niet om de hele dag op facebook te hangen etc. Dat zou bij mij gewoon technisch niet mogelijk zijn als ik daar admin was.

Maarja, wie ben ik weer...
Waar staat dat dit met admin rechten is gebeurt of hiermee had voorkomen kunnen worden?
Er zijn zat mogelijkheden waarin een uitbraak kan gebeuren zonder admin rechten. Ongeacht het OS. Alle data kan besmet worden waar je schrijf rechten toe hebt. Als men schrijf rechten heeft tot bijvoorbeeld M:\Data\Klanten, dan kan een virus/malware hier gewoon met mijn rechten aan de slag kan. Het is gelimiteerd dit mijn rechten, maar als iemand anders met weer andere rechten daar iets opent, en weer schrijf rechten heeft op M:\Data\Projecten, kan het best snel gaan in een Enterprise.

Meerdere keren al gezien gebeuren waarbij hele grote impact was, zonder dat iemand ook maar local admin was. Het is dus zeker niet altijd een local admin rechten issue.
Voorbeeld MS Word documenten aangepast naar een scr extensie volgens ergens in 2012. Dat gaat dan heel snel door een Enterprise infrastructuur heen.En niemand was local admin of had "over" schrijf rechten.

Door Team FOSS:
De infectie van de stadssystemen is waarschijnlijk begonnen via een Microsoft Office-document dat van een kwaadaardige macro was voorzien en naar een stadsmedewerker was gemaild.

Maar hun ISO certificering was ongetwijfeld goed in orde...

https://www.security.nl/posting/587922/ISO+standaarden+voor+management
Het was ook wachten totdat je deze opmerking ging maken. Het is net als op een basisschoolleerling. Je weet gewoon wat gaat komen, zo voorspelbaar en puberaal gedrag.

Maar nee wat het recovery proces was niet (goed) getest.

Door Anoniem:
Door Team FOSS:
Door Anoniem: De gebruiker had natuurlijk niet op het mailtje moeten klikken maar dat kan je niet voorkomen.

Daarom moet je je systeem zo inrichten dat, zelfs indien een gebruiker op zo'n mailtje klikt, er géén of alleen plaatselijke schade ontstaat. Niet dat het hele netwerk besmet raakt.

Helemaal mee eens, maar weinig systeembeheerders gaan zo ver, want de PC wordt traag dan
Maar ligt dat aan de systeembeheerders of aan het management? Een systeem beheerder kan de beste technische oplossingen bedenken, waarbij een gebruiker helemaal niets meer kan en mag. Mogelijkheden genoeg. Maar hij gaat ook een hoop shit over zich heen krijgen. Indien het Management dit niet verdedigt, heeft bepaald en een budget hiervoor heeft vrijgemaakt is het onmogelijk om dit als systeembeheerder te implementeren. En de kosten kunnen hiervan kunnen best groot zijn om dit in te richten in onderhouden.
22-11-2018, 16:32 door Anoniem
Netherlands calling
Door Briolet:
Het wordt tijd dat de VS hun wetten eens aanpassen.

'Daar is mede visionair trump ook hard mee bezig.
Hij heeft alleen de pech dat hij steeds wordt tegengewerkt door mensen die zijn en jouw geniale inzichten blokkeren.'
Wist je trouwens dat verreweg de meeste misbruikmacro's niet werken op het gratis alternatief LibreOffice?
Wijzen naar anderen wordt kolderiek als je het zelf eenvoudig beter had kunnen organiseren.

Non-security is een businessmodel zoals het ook een businessmodel is om geen producten meer te maken die levenslang meegaan.
Al biedt het lease model alle reden dat systeem wel weer te omarmen.
Maar kennelijk willen sommige software leveranciers van niets weten en blijven stug van twee walletjes eten.

Tot hoelang wordt het uitgefaseerde flash in een zeker OS ook alweer willens en wetens onverwijderbaar ondersteund?
Hoeveel decennia zorgt macro misbruik en msibruik van embedded media in office voor grote problemen.
Inderdaad, een eeuwigheid voor it bedrippen.
'Wij' bedoelen maar.

Begin bij jezelf en niet bij de wereld.
Weersta de dure verleidingen van ms red flash office district
Beter voor de digitale hygiëne
https://www.libreoffice.org/download/download/
22-11-2018, 16:34 door Anoniem
Door Rexodus:Daar worden ze voor betaald.
Misschien niet genoeg.
22-11-2018, 16:50 door Anoniem
Door Briolet:
Ja man! Wat een schande! En wij als domme burger doen net zo hard mee - toch? [...]
Schrijf namens jezelf en niet namens mij:

Ja man! Wat een schande! En ik als domme burger doe net zo hard mee - toch? Ik neem de telefoon op als Jennifer van Windows support belt met een issue (en Jennifer is aardig genoeg me door te verbinden naar de Apple afdeling als dat toevallig m'n OS is...), ik reageer op clickbait, Nigeriaanse prinsen met miljoenen waar ik toevallig de erfgenaam van ben, ik stap in BitCoins, woekerpolissen... En altijd wijs ik naar die domme overheid, die suffige sheriff die er weer in gestonken is en *mijn* geld gebruikt om zijn fouten te fixen.
22-11-2018, 20:56 door karma4
Door Team FOSS:
De infectie van de stadssystemen is waarschijnlijk begonnen via een Microsoft Office-document dat van een kwaadaardige macro was voorzien en naar een stadsmedewerker was gemaild.

Maar hun ISO certificering was ongetwijfeld goed in orde...

https://www.security.nl/posting/587922/ISO+standaarden+voor+management
Het is Amerika die kennen dat soort richtlijnen niet.
Als het maar goedkoop en snel gebeurd de rest voor later. Helemaal jouw ideaal.

Met 4000 inwoners hebben ze niet meer dan 4 fte ICT. Je kunt denken aan de zoon van lokale goktent houder en zijn vriendin. 170 desktopjes kun je wel met het Adidas netwerk af en die 27 servers staan in de bezemkast.
23-11-2018, 11:35 door -karma4
Door karma4:
Door Team FOSS:
De infectie van de stadssystemen is waarschijnlijk begonnen via een Microsoft Office-document dat van een kwaadaardige macro was voorzien en naar een stadsmedewerker was gemaild.

Maar hun ISO certificering was ongetwijfeld goed in orde...

https://www.security.nl/posting/587922/ISO+standaarden+voor+management
Het is Amerika die kennen dat soort richtlijnen niet.

Ja daag...

https://www.iso.org/the-iso-survey.html

Je kan een overzicht per standaard per land vinden.
23-11-2018, 13:09 door karma4
Door Team FOSS:
Ja daag... https://www.iso.org/the-iso-survey.html Je kan een overzicht per standaard per land vinden.
In je link: "ISO does not perform certification. Organizations looking to get certified to an ISO standard must contact an independent certification body. "
En dat is exact wat een normen instituut doet. Enkel vastleggen wat via werkgroepen als de beste standaard manier is aangedragen. Niets meer.
Wil je een controlerende instantie hebben dan kom je bij:
- https://www.fda.gov/ als het zorg medicijnen gaat.

- https://www.nist.gov/cyberframework/online-learning/five-functions waarbij het nist op het ncsc lijkt niet toezichthoudend

financials gaa door de staten apart, er is geen algemeen iets. New York die komt met een … iso 27001 en nist.
- De https://en.wikipedia.org/wiki/Public_Company_Accounting_Oversight_Board is niet overheid.
- dan krijg je https://digitalguardian.com/blog/what-nydfs-cybersecurity-regulation-new-cybersecurity-compliance-requirement-financial

Waar is de regulerende instantie voor overheids ict in de usa? Zelfs in nederland is die invulling marginaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.