image

Amerikaans schooldistrict annuleert lessen wegens ransomware

vrijdag 3 januari 2020, 14:04 door Redactie, 9 reacties

Een Amerikaans schooldistrict heeft wegens een infectie door ransomware besloten om lessen te annuleren. Servers van het schooldistrict in Richmond raakten tijdens de kerstvakantie besmet met ransomware. De infectie had gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt.

Vanwege het incident besloot het schooldistrict, dat zo'n 1400 leerlingen telt, gisteren en vandaag alle scholen gesloten te houden en geen lessen te geven. Het districtpersoneel en een it-bedrijf proberen nu de problemen te herstellen. Het is de verwachting dat de lessen op maandag 6 januari weer van start kunnen gaan. Volgens het schooldistrict zijn er geen gegevens van leerlingen en medewerkers buitgemaakt.

De directeur van het schooldistrict laat tegenover CBS News weten dat het gevraagde losgeld niet zal worden betaald. "Er is geen garantie dat we de bestanden terugkrijgen. En we weten niet of de 10.000 dollar die wordt gevraagd voor elk bestand of elke server is."

Reacties (9)
03-01-2020, 14:36 door Anoniem
https://www.security.nl/posting/637611/%22Universiteit+Maastricht+betaalde+losgeld+ransomware%22
https://www.security.nl/posting/637653/Systemen+GWK+Travelex+wereldwijd+offline+door+malware
https://www.security.nl/posting/637795/Amerikaans+schooldistrict+annuleert+lessen+wegens+ransomware

1 van de 3 al betaald, kijken hoe dit afloopt.
03-01-2020, 15:33 door Briolet
voor belangrijke systemen van het schooldistrict, waaronder … kopieermachines…

In mijn tijd werden kopieermachines gebruikt bij het onderwijs, maar ik kan niet zeggen dat het toen een belangrijk onderdeel was. En dat was vóór het internet. Ik zou verwachten dat kopieermachines nu nog minder belangrijk zijn.
03-01-2020, 17:18 door Anoniem
De infectie had gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt.
Allemaal dingen waarvan ik het heel raar vind dat ze zo gevoelig zijn voor ransomware. Sommige dingen zijn gewoon betrouwbaarder zonder internetconnectie, en hoezo draait dat allemaal op windows?!?

Behalve dan de "systemen die voor lesgeven worden gebruikt", begrijpelijkerwijs maar niet geheel verstandig desktop peeceetjes. Waar ik dan weer van vind dat lesgeven beter gaat met gewoon een krijtbord. En eventueel een overhead projector, tegenwoordig de beamer met je laptop. Maar daar hoeft dan ook weer niet per se een netwerkverbinding aan te zitten.

Door Briolet: In mijn tijd werden kopieermachines gebruikt bij het onderwijs, maar ik kan niet zeggen dat het toen een belangrijk onderdeel was. En dat was vóór het internet. Ik zou verwachten dat kopieermachines nu nog minder belangrijk zijn.
Die waren wel heel erg gemakkelijk, anders krijg je je SO-opgaven op het (krijt)bord, niet op een papiertje. Voor de kopieermachine was er natuurlijk al de stencilmachine, hetzelfde verhaal. Ook leuk voor de schoolkrant. Of zelfs de onderwijsmethode, ik heb nog wiskunde gehad met als "boek" een grote stapel door de school zelfontwikkeld materiaal.
03-01-2020, 19:25 door [Account Verwijderd] - Bijgewerkt: 03-01-2020, 19:26
Door Anoniem:
De infectie had gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt.
Allemaal dingen waarvan ik het heel raar vind dat ze zo gevoelig zijn voor ransomware. Sommige dingen zijn gewoon betrouwbaarder zonder internetconnectie, en hoezo draait dat allemaal op windows?!?

Op een gegeven moment zouden ze bij MS toch echt moeten zeggen: Tot hier en niet verder! Kennelijk is dat punt nog niet gekomen want anders zouden ze deze hele shit niet hebben. Maar als zelfs verwarming, telefoons en printers geïnfecteerd kunnen worden dan zouden ze bij MS toch echt eens een lijn moeten gaan zetten.
03-01-2020, 19:26 door [Account Verwijderd]
Door Anoniem: https://www.security.nl/posting/637611/%22Universiteit+Maastricht+betaalde+losgeld+ransomware%22
https://www.security.nl/posting/637653/Systemen+GWK+Travelex+wereldwijd+offline+door+malware
https://www.security.nl/posting/637795/Amerikaans+schooldistrict+annuleert+lessen+wegens+ransomware

1 van de 3 al betaald, kijken hoe dit afloopt.

Wie heeft er al betaald dan?

Je bedoeld vast niet de UM, toch?
03-01-2020, 19:34 door [Account Verwijderd]
Door Anoniem:
De infectie had gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt.
Allemaal dingen waarvan ik het heel raar vind dat ze zo gevoelig zijn voor ransomware. Sommige dingen zijn gewoon betrouwbaarder zonder internetconnectie, en hoezo draait dat allemaal op windows?!?

Het heeft gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt. Dat wil niet zeggen dat die systemen ook Windows draaien.

Als, zoals bij de UM, AD, DHCP en DNS op Windows draait en die systemen geinfecteerd zijn ga je met de andere devices ook niet veel meer doen.
03-01-2020, 22:24 door Briolet
Door Sjef van Heesch: Het heeft gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt. Dat wil niet zeggen dat die systemen ook Windows draaien.

Zelfs heel onwaarschijnlijk. Waarschijnlijker is dat ze hun LAN van het internet ontkoppeld hebben, waardoor hun systeem nu vastloopt. VoIP telefoons hebben internet nodig. En waarschijnlijk worden de kopieermachines en verwarming ook extern aangestuurd. Onze copieermachine stuurt ook mailtjes naar de verantwoordelijke als het papier of de toner op is. Dan kan de verantwoordelijke naar dat apparaat lopen en die dingen vervangen. (In elk geval de toner, want papier moeten de gebruikers zelf aanvullen)
04-01-2020, 09:40 door [Account Verwijderd]
Door Briolet:
Door Sjef van Heesch: Het heeft gevolgen voor belangrijke systemen van het schooldistrict, waaronder verwarming, telefoons, kopieermachines en systemen die voor het lesgeven worden gebruikt. Dat wil niet zeggen dat die systemen ook Windows draaien.

Zelfs heel onwaarschijnlijk. Waarschijnlijker is dat ze hun LAN van het internet ontkoppeld hebben, waardoor hun systeem nu vastloopt. VoIP telefoons hebben internet nodig. En waarschijnlijk worden de kopieermachines en verwarming ook extern aangestuurd. Onze copieermachine stuurt ook mailtjes naar de verantwoordelijke als het papier of de toner op is. Dan kan de verantwoordelijke naar dat apparaat lopen en die dingen vervangen. (In elk geval de toner, want papier moeten de gebruikers zelf aanvullen)

Volgens mij is het zeer waarschijnlijk dat de systemen op Windows draaien omdat de malware wel moet kunnen draaien natuurlijk en dat werkt alleen als alle factoren werken en dus ook dezelfde code-base hebben. Je maakt mij niet wijs dat een Linux of *BSD systeem waar iedereen zelf hun eigen code genereren dat die code-bases hetzelfde zouden zijn. Dat lijkt me onmogelijk. Of het zou nog veel erger moeten zijn en dat zou betekenen en dat is dat de spec zelf niet goed is. Maar mijn simpele kijk op zaken is dat ze daar gewoon een MS code-base gebruiken.
04-01-2020, 23:16 door Anoniem
waarom denkt iedereen hier nog steeds dat ransomware 'aangestuurd' (procesinjectie) op server niveau? Gebeurt 95% vanaf de client. Dat maakt het natuurlijk nog veel intressanter hoe verwarmingen encrypted kunnen worden.

Hoe dan ook: veel ransomware informatie kan je vinden op https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf

Het document is geschreven door Mark Loman; ook wel bekend van maker van hitmanpro wat later is overgenomen door sophos (interceptx)

veel lees plezer.

Eminus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.