Aluminiumproducent Hydro bijna hersteld van ransomware
De Noorse aluminiumproducent Norsk Hydro is na twee en een halve week bijna helemaal hersteld van de ransomware-infectie waar het op 19 maart mee te maken kreeg. Meerdere bedrijfsonderdelen werden door de LockerGoga-ransomware getroffen, waarop besloten werd om verschillende fabrieken stil te leggen en op handbediening terug te vallen.
De afgelopen weken is Hydro, één van de grootste aluminiumproducenten ter wereld, bezig met het herstellen van systemen en bedrijfsoperaties. In de eerste week richtte het bedrijf zich op het technisch herstel. Daarna werd er gekeken naar het herstel van de bedrijfsvoering en operaties. De bedrijfsdivisie die zich met aluminiumprofielen bezighoudt werd het zwaarst getroffen, maar inmiddels bedraagt de uitvoer weer 90 procent. Bij het onderdeel Building Systems, dat deel van deze divisie is, lag nagenoeg alles plat, maar is inmiddels 75 procent hersteld.
Wel merkt Hydro op dat de infectie voor vertragingen in bepaalde administratieve processen heeft gezorgd, waaronder de systemen voor rapportages, facturatie en rekeningen. De financiële schade van de infectie is nog altijd onbekend. Voor de eerste week van de besmetting kwam de aluminiumproducent met een voorlopige schatting van 31 tot 36 miljoen euro. Ook is nog altijd onbekend hoe de ransomware de systemen kon infecteren.
In het algemeen denk ik dat een root cause analysis doodsimpel is: De systemen waren vatbaar voor ransomware en evident niet voldoende afgeschermd. Dan kun je vol inzetten op "beter afschermen". Je kan ook inzetten op "systemen kiezen die niet (of tenminste dan veel minder) vatbaar zijn". Ik zie dat laatste nog veel te weinig gebeuren.
Dat heeft overigens minder met mijn persoonlijke voorkeuren voor softwareleveranciers van doen dan met het concept "monocultuur", bekend uit de gewasbescherming. Het zou al veel schelen als verschillende afdelingen verschillende systemen en bijvoorbeeld verschillende instructiesets zouden gebruiken, zodat een infectie bij de ene afdeling niet zomaar kan doorslaan op alle andere. Dit zijn dingen die vrijwel niet op te lossen zijn door maar meer applicatiesoftware bovenop je OS te stapelen. Je moet lager zitten en je moet het goed doen, niet achteraf een beetje halfslachtig.
Die hebben het trouwens ook een stukje sneller gedaan. Binnen tien dagen alles weer up&running.
Die hebben het trouwens ook een stukje sneller gedaan. Binnen tien dagen alles weer up&running.
Die hebben het trouwens ook een stukje sneller gedaan. Binnen tien dagen alles weer up&running.
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Denk je nu echt dat ze de gratis versies van Linux gebruiken? Daar betalen ze ook onderhoudscontracten voor. En die kosten tikken ook flink aan in de totale licentie kosten.
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Denk je nu echt dat ze de gratis versies van Linux gebruiken? Daar betalen ze ook onderhoudscontracten voor. En die kosten tikken ook flink aan in de totale licentie kosten.
Ze hebben daar hun eigen Linux distributie (Scientific Linux CERN 6 - https://linux.web.cern.ch/linux/scientific6/). Ze doen het dus gewoon zelf en het is wel degelijk gebaseerd op een gratis onderliggende Linux distributie - Red Hat Enterprise Linux 6 (Server). Dat had je toch ook zelf wel eventjes kunnen opzoeken voordat je bovenstaande onzin intikte.
En laten we wel wezen: uitbesteden omdat je het niet begrijpt is toch echt iets voor dommerikjes.
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Denk je nu echt dat ze de gratis versies van Linux gebruiken? Daar betalen ze ook onderhoudscontracten voor. En die kosten tikken ook flink aan in de totale licentie kosten.
Ze hebben daar hun eigen Linux distributie (Scientific Linux CERN 6 - https://linux.web.cern.ch/linux/scientific6/). Ze doen het dus gewoon zelf en het is wel degelijk gebaseerd op een gratis onderliggende Linux distributie - Red Hat Enterprise Linux 6 (Server). Dat had je toch ook zelf wel eventjes kunnen opzoeken voordat je bovenstaande onzin intikte.
En laten we wel wezen: uitbesteden omdat je het niet begrijpt is toch echt iets voor dommerikjes.
Even niet vergeten dat CERN een hele grote IT afdeling heeft waarbij IT een core business heeft. Dat men daar een eigen distributie heeft, is niets meer dan logisch. Kennis is daar ruimschoots aanwezig. Niet je standaard omgeving, dus ook niet te vergelijken. Als je dat niet ziet, dan mis je wat.
Bij de normale bedrijven, is er gewoon een onderhoudscontract bij de grote Linux distributies. Dus betalen ze of link of rechtsom gewoon voor de licenties.
In het algemeen denk ik dat een root cause analysis doodsimpel is: De systemen waren vatbaar voor ransomware en evident niet voldoende afgeschermd. Dan kun je vol inzetten op "beter afschermen". Je kan ook inzetten op "systemen kiezen die niet (of tenminste dan veel minder) vatbaar zijn". Ik zie dat laatste nog veel te weinig gebeuren.
In het algemeen is een root cause analysis tamelijk lastig. Vooral als je weet dat dit waarschijnlijk een gerichte aanval was. Je hebt geen idee hoe lang ze al in het netwerk aanwezig waren, en zich rustig hielden. Het kan het resultaat van een phishing van maanden geleden zijn. Daar heb je geen logging meer van.
Peter
FYI elk bedrijf wat een beetje groot is heeft wel iets van linux draaien, al dan niet in productie of geauthoriseerd.
Waarmee dus nog steeds de genoemde euvels van vatbare software en niet voldoende inzicht in je winkeltje aanwijsbaar zijn als duidelijk contribuerende problemen.
FYI elk bedrijf wat een beetje groot is heeft wel iets van linux draaien, al dan niet in productie of geauthoriseerd.
Wil niet zeggen dat het goed onderhouden wordt of goed ingericht is.
Voor degene die inhoudelijk geïnteresseerd zijn: https://doublepulsar.com/how-lockergoga-took-down-hydro-ransomware-used-in-targeted-attacks-aimed-at-big-business-c666551f5880
Hij heeft wel gelijk dat de "cyber security" industrie vooral gebakken lucht is. Saillant detail: In z'n lijstje aanbevelingen staat wel "backups" maar niet "test je backups". Verder was deze "achtergrond" niet werkelijk mijn tijd waard.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.