image

Universiteit Maastricht maakt geleerde ransomwarelessen openbaar

donderdag 9 januari 2020, 16:17 door Redactie, 32 reacties

De Universiteit Maastricht zal de lessen die het naar aanleiding van de ransomware-infectie heeft geleerd over enkele weken openbaar maken. Dat laat de universiteit, waarvan systemen op 24 december door de Clop-ransomware werden versleuteld, vandaag weten.

"De UM verwacht over enkele weken de lessen die zijn geleerd naar aanleiding van de inbreuk op de computersystemen wereldkundig te kunnen maken. Ten behoeve van onszelf, maar ook van de academische collega's en andere betrokkenen. En ook richting de media", aldus de aankondiging. Naar verwachting zal dit op 6 februari zijn. Dan zal de universiteit ook ingaan op vragen waar het tijdens het onderzoek geen antwoord op kon geven. "Dit om de belangen van onze studenten en medewerkers en van de universiteit zelf niet te schaden."

Eén van de vragen die zeker gesteld zal worden is of de universiteit het door de aanvallers gevraagde losgeld heeft betaald. Bronnen lieten aan het universiteitsblad Observant weten dat het om enkele tonnen ging. De Universiteit Maastricht heeft dit echter nooit willen bevestigen. Ook de herstelkosten zijn nog niet bekendgemaakt. Op dit moment is de universiteit nog bezig om getroffen systemen stap voor stap weer online te brengen.

Reacties (32)
09-01-2020, 16:22 door [Account Verwijderd]
Top van UM.
09-01-2020, 16:27 door Anoniem
Allemaal leesbaar onder zwart gemaakte bladzijdes.
09-01-2020, 16:36 door Anoniem
Heel goed dat ze dit doen!

The Matrix
09-01-2020, 16:48 door Anoniem
Ik ben wel benieuwd in hoeverre ze de criminelen hebben kunnen traceren door onder gerechtelijk bevel informatie
op te vragen bij hun mailprovider en welke smoes die mailprovider had om geen informatie te verstrekken over
hun criminele klanten. En welke consequenties dat eventueel gaat hebben.
09-01-2020, 17:21 door Anoniem
Ik ben ook benieuwd. Goed dat ze hun ervaringen en lessons learned willen delen. Dat helpt ons allemaal.
Het traceren van de criminelen zou toch via de transactie moeten kunnen ?
09-01-2020, 17:50 door [Account Verwijderd]
Door Anoniem: Ik ben wel benieuwd in hoeverre ze de criminelen hebben kunnen traceren door onder gerechtelijk bevel informatie
op te vragen bij hun mailprovider en welke smoes die mailprovider had om geen informatie te verstrekken over
hun criminele klanten. En welke consequenties dat eventueel gaat hebben.

Waar heb je die wetenschap vandaan?
09-01-2020, 18:07 door Anoniem
Waar ik benieuwd naar ben is ondermeer hoe concreet inzicht ze in Maastricht nu hebben in hoe Blackboard en andere studenten systemen in elkaar zijn gezet?

De eerste versies die op diverse Nederlandse hogescholen draaiden bijvoorbeeld al op ouderde systemen met combinaties van software-delen met achterstallige patching en up-to-date patches.

Nu staat over Blackboard op de webpagina - Technical Requirements - van de Californian Polytechnische Staat universiteit bijvoorbeeld dat ze kennelijk nog Windows XP & Vista i.c.m. Internet 6 toe staan i.c.m. Blackboard!
http://blackboardsupport.calpoly.edu/content/policies/tech.html

Maar de universiteit van Arkansas in Little Rock gaat bijvoorbeeld uit van nieuwere specs voor Blackboard gebruik.
Minimaal Windows 7 en aanbevolen Windows 10.
Zie https://ualr.edu/blackboard/welcome/system-requirements/

In het verleden zijn er al hacks geplaatst via blackboard en nadien blonk het bedrijf van Blackboard nog steeds niet uit in scherp zijn in security.
09-01-2020, 18:43 door Anoniem
Door Sjef van Heesch:
Door Anoniem: Ik ben wel benieuwd in hoeverre ze de criminelen hebben kunnen traceren door onder gerechtelijk bevel informatie
op te vragen bij hun mailprovider en welke smoes die mailprovider had om geen informatie te verstrekken over
hun criminele klanten. En welke consequenties dat eventueel gaat hebben.

Waar heb je die wetenschap vandaan?

Het is een VRAAG Sjef! Ik hoop het antwoord in hun publicatie te vinden.

En ja, ik ben een groot tegenstander van diensten die het toelaten dat er gebruikers op werken die zich niet deugdelijk
geidentificeerd hebben zodat deze informatie aan justitie kan worden overhandigd. Ik vind dat dit soort diensten verplicht
moet worden om dat bij te houden en dat anders de steker eruit moet. Dat gaat voor mij boven het lot van Tibetaanse
vrijheidsstrijders.
09-01-2020, 20:01 door Anoniem
Heel erg goed. In elk lab kan wel eens wat ontploffen. Goed dat de ervaring wordt gedeeld. Het kan een geweldige bron zijn voor security mensen. Zowel technisch als in hoe je onder dergelijke omstandigheden het hoofd koel houdt. Als er in paniek ook wat dingen zijn gedaan die achteraf niet echt handig bleken is zeer nuttige informatie. Voor techneuten (wanneer volg je en luister je en wanneer loop je weg om ergens een bakkie te drinken, een peuk te roken om daarna met plan B terug te komen), maar ook voor bestuurders en eind verantwoordelijken die een IT infrastuctuur zien als een knoppie van het licht. Dat altijd werkt. Ik hoop dat de uni daar zo open mogelijk over kan zijn. Want dat is veel belangrijker dan te weten wie er misschien een updateje gemist had en wie er bij voorbaat beter op had moeten letten. Dat is allemaal niet zo boeiend.

Ook kan het heel nuttige informatie opleveren voor politici. Om zich vooral te concentreren op het maken van wetten die nuttig zijn. En niet om een gelijk te halen. En voor het hele circuit van opsporing en vervolging.

Ik beloof plechtig dat als ze de achtergronden publiceren, dat ik niemand ga uitlachen en ook als er losgeld betaald is moeten worden geen schande schande te roepen. Goeie informatie over wat er precies gebeurd is toen er een reageerbuisje ontplofte is veel meer waard. Voor iedereen.


Want als je weet, dan is het hebben van meningen overbodig geworden. Dat zet iedereen dan maar op zijn Facebook of zo.

Mooi begin van het nieuwe jaar! Ik ben heel benieuwd!
09-01-2020, 21:36 door Anoniem
Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers
10-01-2020, 06:51 door [Account Verwijderd]
Door Anoniem:
Door Sjef van Heesch:
Door Anoniem: Ik ben wel benieuwd in hoeverre ze de criminelen hebben kunnen traceren door onder gerechtelijk bevel informatie
op te vragen bij hun mailprovider en welke smoes die mailprovider had om geen informatie te verstrekken over
hun criminele klanten. En welke consequenties dat eventueel gaat hebben.

Waar heb je die wetenschap vandaan?

Het is een VRAAG Sjef! Ik hoop het antwoord in hun publicatie te vinden.

Dat was me niet geheel duidelijk omdat je in je vraag meteen een aantal aannames doet.
10-01-2020, 07:10 door Anoniem
Door Anoniem: Ik ben ook benieuwd. Goed dat ze hun ervaringen en lessons learned willen delen. Dat helpt ons allemaal.
Het traceren van de criminelen zou toch via de transactie moeten kunnen ?

Niet als het met Bitcoins betaald is :)
10-01-2020, 08:09 door Anoniem
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers

Exact! En vergeet hierbij niet om alles te monitoren.
10-01-2020, 09:05 door Anoniem
Door Anoniem: Les 1: segmenteer het netwerk

En dan natuurlijk ook het beheer. Je wilt niet dat een aanvaller van het netwerk, via het account van een beheerder, naar een ander netwerk over kan springen. Heb je dus 5 beheerders, dan maak je 2 segmenten. Heb je 16 beheerders, dan kun je 5 segmenten maken.

Les 2: gebruik 2FA

Goede les

Les 3: Patch
Les 4: Patch
Les 5: Patch

Gebruikers klagen nu al over het aantal keer dat een computer moet rebooten na het patchen. Wil je het nu in drie keer gaan doen?

Niet noodzakelijkerwijs in deze volgorde.

Klopt. Want ik mis les 0 nog: bewustwording van gebruikers.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).

Dat helpt.

Les 7: gebruik snapshotting file systems voor de fileservers

Zolang je er maar voor zorgt dat die snapshots offline worden bewaard. Zaken als Previous Versions helpen niet. De crimineel zet dat uit.

Peter
10-01-2020, 09:27 door Anoniem
Kan iemand deze Belg vertellen hoeveel "een ton" waard is in euro's?...
10-01-2020, 10:04 door Anoniem
Door Anoniem:
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers

Exact! En vergeet hierbij niet om alles te monitoren.
Door Anoniem:
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers

Exact! En vergeet hierbij niet om alles te monitoren.

Aller belangrijkste: Een goede backup strategie!
10-01-2020, 10:21 door Anoniem
Door Anoniem: Kan iemand deze Belg vertellen hoeveel "een ton" waard is in euro's?...

1 ton = EUR 100.000
10-01-2020, 10:32 door Anoniem
Door Anoniem: Kan iemand deze Belg vertellen hoeveel "een ton" waard is in euro's?...

google is down daar ?
(term als 'ton geld' )

een ton is de uitdrukking voor 100.000 geldeenheden. Dus 100.000 euro .
https://nl.wikipedia.org/wiki/Ton_(geld)
10-01-2020, 10:33 door Anoniem
Door Anoniem: Kan iemand deze Belg vertellen hoeveel "een ton" waard is in euro's?...

Ton (geld), een geldhoeveelheid, voorheen 100 000 gulden, thans in Nederland begrepen als 100 000 euro.

https://nl.wikipedia.org/wiki/Ton_(geld)


Dit begrip dient men niet te verwarren met: Ton (massa) (1000 kilogram), een eenheid voor massa/gewicht.
10-01-2020, 11:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers

Exact! En vergeet hierbij niet om alles te monitoren.
Door Anoniem:
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers

Exact! En vergeet hierbij niet om alles te monitoren.

Aller belangrijkste: Een goede backup strategie!

en niet te vergeten beperk de rechten.
10-01-2020, 11:54 door Anoniem
Door Anoniem: Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).

Dat helpt.

https://en.wikipedia.org/wiki/Bromium

Bromium is een microVM isolatie techniek, gebaseerd op Xen. Xen werd ontworpen aan de universiteit van Cambridge, en doorontwikkeld door de Linux Foundation met steun van Intel. Qubes OS draait op Xen, dat op dit moment gezien wordt als het meest veilige single-user desktop besturingssysteem wat voorhanden is.

Net als onder Qubes kan men met Windows draaiende op Bromium microVMs de processen van de desktop applicaties van elkaar isoleren, wat het uitbuiten van kwetsbaarheden, in bijvoorbeeld de webbrowser of Office macro toepassingen, om een escalatie van privileges te forceren, moet uitsluiten -- of op z'n minst extreem bemoeilijken.

Voor de ontwikkeling van sandboxing onder Windows 10 Enterprice heeft Microsoft leentjebuur gespeeld met een vergelijkbare technologie als Bromium, oftewel Xen, geheten "Windows Sandbox", dat ook bekend staat als "InPrivate Desktop". Een serieuze mogelijkheid, afgezien van de keuze van open source Sophos Sandboxie gaan toepassen.

Als je eieren voor je geld zou willen kiezen, en je bedrijfsvoering zit vastgekleefd aan Windows toepassingen, dan zou ik gokken op Bromium. Anders zou ik als Windows administrator, zeker voor kritieke taken zoals SMB AD DC beheer op afstand, gaan werken vanaf een geharde Linux box of Windows AppVMs draaiend op een Qubes OS werkstation.
10-01-2020, 12:31 door Anoniem
Gezichts verlies? Geleerde lessen? Lessen die we allemaal al weten en zij al hadden moeten weten?

Hahaha slecht slecht. En alle net afgestudeerde ITers zingen braaf in koor 'goedzooo'
10-01-2020, 14:38 door karma4 - Bijgewerkt: 10-01-2020, 14:40
Door Anoniem:….en niet te vergeten beperk de rechten.
Vernoedelijk de meest belangrijke. Het was de echte oorzaak bij Maersk dat het zo erg fout ging.
Helaas is de weerstand om processen is geisoleerde omgevingen op die manier in te zetten nogal erg hoog.
Het is veel makkelijker om algemene accounts zoals root overal in te zetten.

Door Anoniem: …..
Als je eieren voor je geld zou willen kiezen, en je bedrijfsvoering zit vastgekleefd aan Windows toepassingen, dan zou ik gokken op Bromium. Anders zou ik als Windows administrator, zeker voor kritieke taken zoals SMB AD DC beheer op afstand, gaan werken vanaf een geharde Linux box of Windows AppVMs draaiend op een Qubes OS werkstation.
Helpt geen zier als beheerders hebt die overal toegang tot hebben omdat het wel zo makkelijk is.
Het probleem is niet een os maar een blinde vlek om een goede informatiebeveiliging in te richten.
10-01-2020, 14:54 door Anoniem
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
Les 4: Patch
Les 5: Patch

Niet noodzakelijkerwijs in deze volgorde.

Les 6: isoleer browser en mailclient van de computer (zie bijvoorbeeld Bromium of gelijkaardige technieken).
Les 7: gebruik snapshotting file systems voor de fileservers
Je vergeet monitoring + monitoring. Veel verdachte zaken kun je zo zien binnenkomen of gebeuren. Maar er moet ook actief of geautomatiseerd gehandeld kunnen worden. Automatisch in kunnen grijpen wanneer er bijvoorbeeld een paar honderd files ineens worden versleuteld (=verdacht gedrag). Verder IAM, PAM en PAW regelen, zeker bij grote organisaties. Bij o.a. MAERSK, en ik vermoed ook bij Maastricht, zag je dat malware als Not-Petya een pass the hash deed toen één of andere wappie met zijn domain admin account op een besmette server inlogde en binnen enkele minuten de complete organisatie onderuit trok.
Een gewone gebruiker is niet in staat, of zou niet in staat mogen zijn, om AD, DNS, Exchange, Database servers te infecteren, dus dat gaat vrijwel altijd met hogere rechten, beheerders die met veel te veel rechten werken dan strikt noodzakelijk is. Ook gebruikers-, beheerdersrechten moet je tenslotte gelaagd opzetten.
Fileshares vervangen door een DMS en backups off-line of in de Cloud.
10-01-2020, 15:12 door Anoniem
Door karma4:
Door Anoniem:….en niet te vergeten beperk de rechten.
Vernoedelijk de meest belangrijke. Het was de echte oorzaak bij Maersk dat het zo erg fout ging.
Helaas is de weerstand om processen is geisoleerde omgevingen op die manier in te zetten nogal erg hoog.
Het is veel makkelijker om algemene accounts zoals root overal in te zetten.

Door Anoniem: …..
Als je eieren voor je geld zou willen kiezen, en je bedrijfsvoering zit vastgekleefd aan Windows toepassingen, dan zou ik gokken op Bromium. Anders zou ik als Windows administrator, zeker voor kritieke taken zoals SMB AD DC beheer op afstand, gaan werken vanaf een geharde Linux box of Windows AppVMs draaiend op een Qubes OS werkstation.
Helpt geen zier als beheerders hebt die overal toegang tot hebben omdat het wel zo makkelijk is.
Het probleem is niet een os maar een blinde vlek om een goede informatiebeveiliging in te richten.

Inderdaad Karma; waanzinnig belangrijk. laten we alleen niet vergeten dat onzettend veel malware zelf privilege escalation kan uitvoeren door kwetsbaarheden te misbruiken. Punt is er zijn ontzettend veel zaken heel belangrijk. Een andere die ik hier nog niet eens heb zien staan is om bijv. RDP alleen toe te staan via VPN. Omgevingen zoals shodan zijn uitstekend in staat om remote te scannen op vulnerablities, poorten en daardoor.. ingangen.

Natuurlijk hebben we ook nog de megacortex ransomware varianten die een EMOTET / QBOT / TRICKBOT exploit op de doelmachine zetten (via bijv. nuclear exploit), een cobalt strike - metasploit remote shell openen en vandaar rustig met bloodhound je AD in kaart brengen. Vandaar uit WMI of met psexec of desnoods gewoon met een GPO alles encrypten.

Als je echt iets over verschillende ransomvarianten wil weten raad ik aan om eens een kijkje te nemen op https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf
Uitstekend stukje analyse wat vele mensen hun ogen zal doen openen.

Eminus
10-01-2020, 15:49 door Anoniem
Microsoft heeft nog steeds last van het zogeheten "autorun" syndroom.
Oh, neen, ze zien dat niet als probleem.
Alle problemen moet men voortaan beschouwen als "features".
En dat deze zogenaamde "features" het leven wel gemakkelijker maken,
maar niet veiliger, dat moet ieder maar op de koop toenemen.

Dit is geen MS bashing, hoor, no way, maar als wezenlijke feitelijkheid is het toch wel waar.

J.O.
10-01-2020, 20:38 door Anoniem
Door Anoniem: Les 1: segmenteer het netwerk
Les 2: gebruik 2FA
Les 3: Patch
...
Les 8: Plaats voldoende 'verboden toegang' bordjes
Les 9: Zorg dat je geen gebruikers op je netwerk toelaat
10-01-2020, 23:29 door Anoniem
De vraag is waarom zoveel organisaties (het merendeel) kiezen voor een beveiligingsmodel dat kennelijk niet zo bestendig is om zich succesvol te blijven verweren tegen volhardende moderne aanvallers wiens hele R&D, tijd, budget en middelen, gefocust is om binnen te dringen, en supervisie te verkrijgen en te behouden.

Anders gezegd, voor hen, het gros van ons, die naast hun dagelijkse taken, ook gemotiveerde, en uiterst creative, aanvallers van hun lijf dienen te houden, 24/7, is het advies.....?

(luistert naar tjilpende krekels)

Ah...het is makkelijk praten in theorie, of uitzonderlijke gevallen, maar in de praktijk, met vrijwel altijd begrensde budgetten, andere prioriteiten, en intern opgelegde restricties door leidinggevenden, is het een feit dat dit soort zaken plaatsvinden in de praktijk van alledag.

Maar alle gekheid op een stokje, puur en alleen vanuit theorie bekeken, is hedendaagse IT bedrijfsvoering, in het gros van de gevallen, niet meer of minder dan er blind op vertrouwen dat die zelfrijdende auto, waarin jij achterin zit, met je ogen dicht, je altijd, en overal, veilig op je plaats van bestemming gaat brengen, zonder ongelukken onderweg, ongeacht de omstandigheden.

Ik heb toch veel betaalt voor die zelfrijdende auto / IT omgeving....?! Wat moet ik nog meer doen dan?

Euh... up-to-date houden misschien?
Maar ja, dat had de verkoper er niet bij verteld.... En vanuit de overheid en branche vereniging komt ook niets of nauwelijks zinnigs... dus.... komt volgend jaar wel.... misschien. Want past nu niet in het budget, we hebben belangrijkere zaken momenteel, het gaat toch goed zo?
11-01-2020, 05:51 door The FOSS - Bijgewerkt: 11-01-2020, 06:15
...
11-01-2020, 06:15 door The FOSS - Bijgewerkt: 11-01-2020, 06:50
Door Anoniem: Microsoft heeft nog steeds last van het zogeheten "autorun" syndroom.
Oh, neen, ze zien dat niet als probleem.
Alle problemen moet men voortaan beschouwen als "features".
En dat deze zogenaamde "features" het leven wel gemakkelijker maken,
maar niet veiliger, dat moet ieder maar op de koop toenemen.

Dit is geen MS bashing, hoor, no way, maar als wezenlijke feitelijkheid is het toch wel waar.

J.O.

Als je gewoon - on-topic - de feiten benoemt zoals ze zijn, laat je dan s.v.p. geen 'MS-bashing' of 'OS-bashing' aanpraten...

Door karma4:
Door Anoniem: …..
Als je eieren voor je geld zou willen kiezen, en je bedrijfsvoering zit vastgekleefd aan Windows toepassingen, dan zou ik gokken op Bromium. Anders zou ik als Windows administrator, zeker voor kritieke taken zoals SMB AD DC beheer op afstand, gaan werken vanaf een geharde Linux box of Windows AppVMs draaiend op een Qubes OS werkstation.
Helpt geen zier als beheerders hebt die overal toegang tot hebben omdat het wel zo makkelijk is.

Wie heeft het over inrichten met overal toegang toe hebben omdat het zo gemakkelijk is? Suggereer je dat dit bij de Universiteit Maastricht aan de orde was? Hoe kom je daarbij?

Door karma4: Het probleem is niet een os maar een blinde vlek om een goede informatiebeveiliging in te richten.

Het probleem is natuurlijk wel degelijk het besturingssysteem! (Goed gereedschap is het halve werk, dat beseft een kleuter nog). Plus, daarbij de inrichting van een goede informatiebeveiliging (ja duh... open deur!)
11-01-2020, 10:27 door Anoniem
Door Anoniem:Uitstekend stukje analyse wat vele mensen hun ogen zal doen openen.

Access Denied :-(
11-01-2020, 14:10 door The FOSS
Door Anoniem:
Door Anoniem:Uitstekend stukje analyse wat vele mensen hun ogen zal doen openen.

Access Denied :-(

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf

Nee hoor, gewoon PDF.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.