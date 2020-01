The most important step we as a security industry [sic] is secure offsite backups that are not removable from the network or using privileges acquired within the network. After that we can spend time actually securing our networks.

The most important step we as a security industry should take is to actually secure our networks. After that we should spend time organizing that (some of) the backups cannot be made unusable, for example by using privileges acquired by attackers.

Jammer dat KPN in haar rapport er niet voor waarschuwt dat de criminele gebruikers van onder andere REvil (AKA Sodinokibi) RaaS (Ransomware as a Service) in toenemende mate vertrouwelijke gegevens kopiëren (vóórdat ze bestanden versleutelen) en dreigen met publicatie en/of verkoop daarvan als je niet betaalt.Wellicht weten ze dat niet en schrijven ze daarom in de conclusie:Ik had geschreven:Een (wellicht vergelijkbaar interessant) gisteren gepubliceerd rapport, geschreven door concolega T-Systems van KPN, betreffende een stevige malware-infectie van de computersystemen van het hooggerechtshof in Berlijn vind je onderaan deze pagina (helaas is alles in het Duits): https://www.berlin.de/sen/justva/presse/pressemitteilungen/2020/pressemitteilung.887323.php (Bron: https://www.heise.de/security/meldung/Emotet-IT-Totalschaden-beim-Kammergericht-Berlin-4646568.html ).Daarbij ging het om een besmetting via Emotet gevolgd door TrickBot. Dat er iets mis was lijkt te zijn ontdekt voordat er iets (met aanvullende malware) versleuteld kon worden, waarna het netwerk van internet is losgekoppeld. Aangezien de domain controllers waren gecompromitteerd was het advies van T-Systems om het hele netwerk van de grond af opnieuw op te bouwen.Overigens bleek McAfee Endpoint Protection de malware niet te hebben gedetecteerd, bleken medewerkers lokale adminrechten te hebben, logden veel systemen niet of hadden veel te kleine logbestanden (waardoor het exacte moment waarop de aanval begon, en hoe deze plaatsvond, niet meer te achterhalen viel), en was er geen segmentering van het netwerk. Ik vrees dat dit de situatie is bij veel te veel organisaties. Vandaar mijn oproep om, als je netwerk er zo uitziet, te beginnen metgoed aan te pakken.