image

Belgisch bedrijf betaalt tienduizenden euro's losgeld ransomware

dinsdag 15 januari 2019, 12:00 door Redactie, 21 reacties

De Belgische leverancier van bakkerijgrondstoffen Ranson is afgelopen vrijdag getroffen door ransomware en zag zich genoodzaakt om tienduizenden euro's losgeld te betalen om weer toegang tot systemen te krijgen. Het bedrijf laat op de eigen website weten dat vrijdagochtend 52 servers door de niet naar genoemde ransomware werden getroffen. Daarbij werden de servers gewist en de back-ups versleuteld.

De aanvallers eisten een niet nader genoemd bedrag in bitcoins voor het ontsleutelen van de data op de getroffen servers. Het bedrijf ging in onderhandeling met de aanvallers en besloot uiteindelijk enkele tienduizenden euro's te betalen, zo meldt Het Nieuwsblad. De aanvallers gaven Ranson na de betaling de decryptiesleutels, waardoor het bedrijf weer de volledige controle over de eigen it-systemen kreeg. Ook kon Ranson hierdoor de laatst gemaakte back-up ontsleutelen. "Beetje bij beetje zijn we bezig onze verschillende servers terug te monteren en de back-up van 9/1 aan het terugzetten: een tijdrovend werkje maar dat al bij al zonder grote problemen verloopt", aldus het bedrijf.

Ranson verklaart verder dat er bij de aanval geen persoonsgegevens van medewerkers, leveranciers of klanten zijn buitgemaakt. "Belangrijk op te merken is dat het hier om een systeemkraak ging en dat we niets van (persoonlijke) gegevens van klanten, leveranciers of medewerkers verloren zijn. We hebben dit laten dubbel checken en kunnen hier formeel over zijn."

De enige gegevens die wel verloren gingen zijn bestellingen of berichten die zijn binnengekomen tussen donderdag 23:30 uur en vrijdag 5:15 uur, het moment van de aanval. Klanten die in dit tijdsvenster hun bestelling hebben doorgestuurd krijgen het advies om de bestelling nogmaals te plaatsen. Hoe de aanvallers toegang tot de servers konden krijgen heeft Ranson niet bekendgemaakt.

Reacties (21)
15-01-2019, 12:03 door Anoniem
Begin maar met alles greenfield op te bouwen. Je omgeving is niet meer te vertrouwen.
15-01-2019, 12:28 door Anoniem
What's in a name.... 'ransoNware'

Maar... servers gewist (?) en daarna weer volledige controle terugkrijgen door (ontsleutelde) backups weer te restoren?

Iets zegt me dat er meer aandacht naar backup/restore gegaan is dan naar beveiliging. Kwestie van prioriteiten wellicht.
15-01-2019, 12:52 door Anoniem
Zou het aan de naam van het bedrijf liggen, zou je denken?
15-01-2019, 12:59 door [Account Verwijderd]
/me roept iets met backups...

Dan... Is het zo lastig om extensies te whitelisten? Geen EXE om te beginnen! Verder lijkt me een malware-scanner op inkomend verkeer ook niet overbodig.

Ik snap het maar niet hoe mensen hun data kwijt raken met al die cloud opties! Ik raak hier hooguit een dag data en een maand systeem kwijt als men evil wil. Als ik dat als thuis-gebruiker kan, kan een admin met opleiding dat toch zeker veel beter?

Of ben ik nou erg naïef?
15-01-2019, 13:00 door Anoniem
niets van (persoonlijke) gegevens van klanten, leveranciers of medewerkers verloren zijn

Gegevens die verloren zijn hebben niet veel te maken met gegevens die buitgemaakt zijn.

Vanaf dat hackers je systemen zijn binnengeweest is de kans dat ze de data hebben extreem groot.

Ook het feit dat dit op een gerichte aanval lijkt maakt het niet prettiger.
15-01-2019, 13:00 door Anoniem
Prutsers, prutsers, prutsers.
15-01-2019, 13:07 door Anoniem
Ten eerste beveiliging en back-ups.
Betalen van losgeld zou per wet verboden moeten worden, dat is faciliteren van criminele activiteiten.
Wie zegt dat hun systemen nu wel veilig zijn en morgen weer geld op moeten hoesten.
Ik zou principieel echt helemaal nooit betalen, nog niet 1 euro.
15-01-2019, 13:15 door Anoniem
Door Rexodus: /me roept iets met backups...
Ik snap het maar niet hoe mensen hun data kwijt raken met al die cloud opties! Ik raak hier hooguit een dag data en een
maand systeem kwijt als men evil wil. Als ik dat als thuis-gebruiker kan, kan een admin met opleiding dat toch zeker veel beter?

Of ben ik nou erg naïef?

Omdat het backuppen lekker makkelijk gaat als deze server in dezelfde netwerk staat als de rest.... Dus ook gewoon vatbaar voor virussen. Ik vermoed alleen controle op de voordeur, daarachter stond alles en iedereen open....

TheYOSH
15-01-2019, 13:21 door Anoniem
Waarschijnlijk volledige microsoft infrastructuur. Dan kan je dit krijgen. Ze scannen steeds naar zwakke systemen.
15-01-2019, 13:58 door Anoniem
Door Rexodus: /me roept iets met backups...

Dan... Is het zo lastig om extensies te whitelisten? Geen EXE om te beginnen! Verder lijkt me een malware-scanner op inkomend verkeer ook niet overbodig.

Ik snap het maar niet hoe mensen hun data kwijt raken met al die cloud opties! Ik raak hier hooguit een dag data en een maand systeem kwijt als men evil wil. Als ik dat als thuis-gebruiker kan, kan een admin met opleiding dat toch zeker veel beter?

Of ben ik nou erg naïef?

Kan je bij jouw remote backups komen?
15-01-2019, 14:56 door Anoniem
Doet me hieraan denken:
https://www.fireeye.com/blog/threat-research/2019/01/a-nasty-trick-from-credential-theft-malware-to-business-disruption.html
15-01-2019, 15:41 door Anoniem
Het blijft natuurlijk crimineel. Als je je huisdeur vergeet dicht te trekken, en iemand pikt je TV, dan blijft het pikken. En als je daarna kunt betalen om hem terug te krijgen dan blijft het afpersing. Zelfs als je hem terugkrijgt. Het blijft een misdrijf. Gebeuren zulke dingen veel uit bepaalde landen, die daar verder niks tegen doen, afsluiten is wat hard. Maar je kunt toch ook die verbindingen trager maken? Dat is gewoon wat sleepjes in het script, of wat NOPjes in een loop in de code. Effectiever dan uitsluiten.
15-01-2019, 16:28 door Anoniem
Door Rexodus: /me roept iets met backups...

Dan... Is het zo lastig om extensies te whitelisten? Geen EXE om te beginnen! Verder lijkt me een malware-scanner op inkomend verkeer ook niet overbodig.

Ik snap het maar niet hoe mensen hun data kwijt raken met al die cloud opties! Ik raak hier hooguit een dag data en een maand systeem kwijt als men evil wil. Als ik dat als thuis-gebruiker kan, kan een admin met opleiding dat toch zeker veel beter?

Of ben ik nou erg naïef?

Een beetje misschien (niet gemeen bedoelt). Whitelisten of blacklisten is lastig. Ransomware komt in alle kleuren en geuren, en malware scanners houden dat lang niet altijd tegen. Ook kan je niet een whitelist zo restrictief maken dat het alles tegenhoud. Bovendien maakt ransomware regelmatig gebruik van kwetsbaarheden waar nog geen (of nog maar net) een patch voor uit is. Ook hoeft vaak maar 1 computer besmet te worden, er zijn vele technieken om intern te verspreiden(er zijn wel maatregelen om dit minder effectief te maken). Zelfs als je dat allemaal perfect hebt georganiseerd, heb je altijd nog de mens achter het toetsenbord. Een wachtwoord is zo gelekt, een admin moet dingen kunnen uitvoeren, je loopt altijd risico. Zeker voor een gemotiveerde aanvaller (wat hier gezien de opbrengst waarschijnlijk het geval is).

Wat mij opvalt bij dit verhaal is dat ze blijkbaar goed en vaak backups maakten, anders hadden ze niet zoveel kunnen herstellen (alleen een halve nacht aan data kwijt). Ook zijn ze er (lijkt het) snel achtergekomen, wat best een verdienste is, voor een bedrijf dat zich specialiseerd in bakkerijgrondstoffen. Natuurlijk kan het altijd beter, en betalen aan de aanvallers is niet ideaal, maar toch.
15-01-2019, 22:23 door Ron625
Betalen aan dit soort afpersers lijkt mij ook een vorm van meewerken, faciliteren en medeplichtig zijn aan deze misdaad.
16-01-2019, 08:20 door Anoniem
Door Anoniem: Ten eerste beveiliging en back-ups.
Betalen van losgeld zou per wet verboden moeten worden, dat is faciliteren van criminele activiteiten.
Wie zegt dat hun systemen nu wel veilig zijn en morgen weer geld op moeten hoesten.
Ik zou principieel echt helemaal nooit betalen, nog niet 1 euro.

Voor jou is het makkelijk praten,
het bedrijf kan zijn klanten niet leveren, als dit te lang duurt, zijn je klanten weg.

Wat heb je aan je data als je klanten pleite zijn.

Het is gewoon diep triest dat dit gebeurt, een heel dure les voor dit bedrijf.
16-01-2019, 10:58 door Anoniem
Door Ron625: Betalen aan dit soort afpersers lijkt mij ook een vorm van meewerken, faciliteren en medeplichtig zijn aan deze misdaad.

Ik zou nog eens goed nadenken over deze zin.
Stel je auto wordt gestolen en je kunt hem terugkopen van de dief.
Daarna moet je de gevangenis in omdat je diefstal gefaciliteerd hebt en in jouw bewoording medeplichtig hieraan geworden bent?
16-01-2019, 13:19 door Anoniem
Betalen aan dit soort afpersers lijkt mij ook een vorm van meewerken, faciliteren en medeplichtig zijn aan deze misdaad.

Weer zo iemand die van slachtoffer dader wil maken.... Een winkelier die bij een overval geld geeft die is zeker ook 'medeplichtig'.
16-01-2019, 13:21 door Anoniem
Betalen van losgeld zou per wet verboden moeten worden, dat is faciliteren van criminele activiteiten.
Wie zegt dat hun systemen nu wel veilig zijn en morgen weer geld op moeten hoesten.
Ik zou principieel echt helemaal nooit betalen, nog niet 1 euro.

Sure. Nu heb jij een bedrijf, waarbij al jouw gegevens worden gecodeerd. Voor 1000 euro kan je je gegevens terug krijgen; niets doen heeft faillissement tot gevolg, en een schade post van 1 miljoen euro. Wat doe jij ?

Gemakkelijk hoor, roepen dat je ''nooit'' zou betalen. Indien je niet in de situatie zit, en niet te maken hebt met de schade die je oploopt indien je *niet* betaalt.

Ga mij maar vertellen dat je uit principe je bedrijf om laat vallen, lmfao.
17-01-2019, 00:02 door Ron625
Door Anoniem:Nu heb jij een bedrijf, waarbij al jouw gegevens worden gecodeerd. Voor 1000 euro kan je je gegevens terug krijgen; niets doen heeft faillissement tot gevolg, en een schade post van 1 miljoen euro.
Wat ik doe is goed nadenken waarom ik niet dagelijks (of nog vaker) een backup maak, zodat ik dit soort gevallen had kunnen voorkomen.
Voor 1 miljoen kan je een hoop externe HD's aanschaffen.
17-01-2019, 07:20 door Anoniem
Door Ron625:
Door Anoniem:Nu heb jij een bedrijf, waarbij al jouw gegevens worden gecodeerd. Voor 1000 euro kan je je gegevens terug krijgen; niets doen heeft faillissement tot gevolg, en een schade post van 1 miljoen euro.
Wat ik doe is goed nadenken waarom ik niet dagelijks (of nog vaker) een backup maak, zodat ik dit soort gevallen had kunnen voorkomen.
Voor 1 miljoen kan je een hoop externe HD's aanschaffen.

Je bent waarschijnlijk nog niet in het bedrijfsleven actief geweest dus ik zal de denkfout toelichten.
Je kan niet (zelfs niet op USB 3.1) op een externe hdd aangesloten via je (bedrijfs) laptopje 50 TB van 100 verschillende servers met live databases en andere in gebruik zijnde meuk over eventueel ook nog meerdere network locatie's in een nachtje backuppen ;-)
Zie je dat al voor je? time-outs, USB schijven de ganse nacht blijven wisselen, errors while copying omdat bestanden in gebruik zijn etc ;-)


Dat doe je in het bedrijfsleven dus met een backup server.
Waarschijnlijk een flinke server op 10Gb network aangesloten die met een agent op zijn clients of via een virtualisatie laag alle data naar zicht toe trekt en geordend opslaat op een manier dat dit door dit backup packet OOK nog terug te zetten is met behoud van rechtenstructuur en shares op servers en OS instellingen van de client servers die in de backup zitten.

En laat nou net deze Ransomware 2.0 het onderscheid hebben kunnen maken tussen een backup server en een live server.
Waarschijnlijk is het ook al langere tijd op het network van dit bedrijf binnen zijn geweest zonder dat de virusscanners dit nieuwe ransomware packet / virus KON ontdekken.
Waarom denk ik dat het al langer dan die bewuste vrijdag binnen was?
Simpel, omdat het packet wist welke servers data bevatten en gewiped moesten worden en welke server de backup server was die encrypted moest worden.
Dit zodat er geen andere optie over bleef dan betalen.
18-01-2019, 12:25 door Ron625 - Bijgewerkt: 18-01-2019, 12:26
Door Anoniem:
Je bent waarschijnlijk nog niet in het bedrijfsleven actief geweest dus ik zal de denkfout toelichten.
Nee, ik heb 42 jaar gewerkt in de (digitale) techniek en ben 48 jaar (vooral hobbymatig) bezig met ICT, nu lekker met pensioen.
Door Anoniem:
Je kan niet (zelfs niet op USB 3.1) op een externe hdd aangesloten via je (bedrijfs) laptopje 50 TB van 100 verschillende servers met live databases en andere in gebruik zijnde meuk over eventueel ook nog meerdere network locatie's in een nachtje backuppen ;-)
Zie je dat al voor je? time-outs, USB schijven de ganse nacht blijven wisselen, errors while copying omdat bestanden in gebruik zijn etc ;-)
Een backup met veel data maak je ook niet via een USB poort, daar zijn betere en snellere manieren voor.
Daarnaast maak je b.v. dagelijks een incremental backup en in de weekeinden een totale (als voorbeeld).
Ook zorg je, dat er een recente backup ergens anders ligt, zodat je zelfs bij een brand, nooit alles kwijt bent.
Mogelijkheden zijn er zat, het is maar net hoeveel data je wilt opslaan, wat de mogeljikheden zijn, enz.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.