image

Zwitserland: ransomware-slachtoffers negeerden waarschuwingen

donderdag 20 februari 2020, 10:40 door Redactie, 18 reacties

De afgelopen weken zijn meer dan tien Zwitserse bedrijven het slachtoffer van ransomware geworden omdat ze waarschuwingen negeerden en hun it-beveiliging niet op orde hebben. Dat stelt de Zwitserse overheidsinstantie MELANI (Melde- und Analysestelle Informationssicherung). Zowel mkb-bedrijven als grote ondernemingen in Zwitserland werden door ransomware getroffen. Voor het ontsleutelen vroegen aanvallers soms miljoenen euro's.

Onderzoek van MELANI naar de getroffen bedrijven laat zien dat de it-beveiliging niet op orde was en best practices niet werden nageleefd. Daarnaast werden waarschuwingen van de autoriteiten genegeerd. In totaal kwam de Zwitserse overheidsinstantie tot zeven punten waar bedrijven de fout in gingen. Zo werden waarschuwingen van antivirussoftware niet opgemerkt of serieus genomen. Bij een aantal bedrijven was er geeneens antivirussoftware op de servers geïnstalleerd, waardoor de malware zich eenvoudig binnen het bedrijfsnetwerk kon verspreiden.

Verder bleek dat bedrijven gebruikmaakten van het Remote Desktop Protocol (RDP) om op afstand op machines in te loggen. Vaak bleken er zwakke RDP-wachtwoorden te worden gebruikt en waren de RDP-machines voor iedereen op internet toegankelijk. Niet alleen negeerden getroffen bedrijven waarschuwingen van hun antivirussoftware, ook waarschuwingen van de overheid en internetproviders over mogelijke infecties binnen het bedrijfsnetwerk werden genegeerd of niet serieus genomen. Besmettingen werden zodoende slechts gedeeltelijk of helemaal niet verholpen.

Back-ups

Veel van de getroffen bedrijven bleken hun back-ups online te bewaren. Aanvallers die toegang tot de systemen kregen konden zo ook deze back-ups versleutelen of permanent verwijderen. "In veel gevallen waren de bedrijfsactiviteiten alleen met een aanzienlijke inspanning te herstellen, als dat al mogelijk was", aldus MELANI. De onderzochte bedrijven schoten ook tekort als het om de installatie van beveiligingsupdates ging. Aanvallers konden door aanwezige kwetsbaarheden toegang tot systemen krijgen.

Tevens bleek dat de ondernemingen geen netwerksegmentatie toepasten. Via een besmette computer van de HR-afdeling was het zo mogelijk om de volledige productieomgeving aan te vallen en versleutelen. Als laatste stelt de Zwitserse overheidsinstantie dat veel gebruikers bij de getroffen bedrijven teveel rechten hadden. Zo had bijvoorbeeld een back-upgebruiker ook domeinbeheerderrechten of een systeembeheerder die dezelfde rechten had voor het browsen op internet als het beheren van systemen.

Afsluitend adviseert de Zwitserse overheid om het losgeld dat de aanvallers vragen niet te betalen. "Zolang er nog steeds bedrijven zijn die betalen zullen aanvallers nooit stoppen", merkt MELANI op. Wanneer bedrijven toch tot betaling overgaan moeten organisaties beseffen dat de onderliggende infectie niet is verholpen en de aanvallers nog steeds toegang tot het netwerk hebben. MELANI zegt bekend te zijn met verschillende gevallen in zowel Zwitserland als daarbuiten waarbij bedrijven in korte tijd meerdere keren met ransomware besmet raakten.

Reacties (18)
20-02-2020, 11:36 door Anoniem
Die nieuwsbrief van het MELANI leest als een korte samenvatting van zo'n beetje alles wat er beleidsmatig en op de werkvloer misging bij de beveiliging van het Microsoft Windows netwerk van de Universiteit Maastricht. We weten hier allemaal wat voor negatieve gevolgen dat had. Het belooft verder ook niet veel goeds voor de ICT sector in Nederland, als de bedrijvigheid van zo'n rijk en goed ontwikkeld land als Zwitserland met dezelfde problemen kampt. Men kan niet beweren dat men de problematiek niet lang van te voren had kunnen zien aankomen.

"Die Bürosoftware als Sicherheitsrisiko”
von Von Harald Schumann, am 10.04.2017
https://www.handelszeitung.ch/unternehmen/die-buerosoftware-als-sicherheitsrisiko-1380397
20-02-2020, 12:25 door souplost
Het Windows eco-systeem is de malware strijd aan het verliezen. Incidenten nemen alleen maar toe. Daarnaast zien we natuurlijk alleen maar het topje van de ijsberg omdat bedrijven hun vuile was niet vrijwillig buiten hangen. Wat dat betreft was Maastricht een verademing.
20-02-2020, 12:51 door Anoniem
Door souplost: Het Windows eco-systeem is de malware strijd aan het verliezen. Incidenten nemen alleen maar toe. Daarnaast zien we natuurlijk alleen maar het topje van de ijsberg omdat bedrijven hun vuile was niet vrijwillig buiten hangen. Wat dat betreft was Maastricht een verademing.

En jij denkt dat als Linux op de desktop draait dat dan vervolgens patching plotseling op orde is vanuit de beheerders, dat gebruikers niet meer op links klikken waar ze niet op moeten klikken en dat de backups ineens wel goed worden beschermd?

Veel van die ransomware ellende heeft geen fluit te maken met het OS, maar met slecht beheer, slechte awareness, zwakke least privilege implementatie, zwakke systeembeveiliging, slecht patch management, zwakke netwerksegmentatie en zo verder.

Linux of Windows, zelfde laken in een pak.
20-02-2020, 13:29 door karma4
Door souplost: Het Windows eco-systeem is de malware strijd aan het verliezen. Incidenten nemen alleen maar toe. Daarnaast zien we natuurlijk alleen maar het topje van de ijsberg omdat bedrijven hun vuile was niet vrijwillig buiten hangen. Wat dat betreft was Maastricht een verademing.
Alle adviezen in het bovenstaande redactie artikel zijn al jaren bekend. Helaas worden die stelselmatig door OSS Linux evangelisten stelselmatig gesaboteerd. Het zou eens tijd zijn dat het OS extremisme een halt toegeroepen wordt.
20-02-2020, 14:01 door Anoniem
@karma4,

Maar dan moet daarnaast ook gelijk het bewustzijn groeien over hoe en waar, waarom en waardoor,
het steeds weer misgaat.
Er wordt niet gepatched, af te voeren code wordt niet afgevoerd (ook als het niet meer bijgehouden wordt).

Men draait rustig diverse kwetsbare en niet kwetsbare versies naast elkaar.
(JQuery, Bootstrap.JS als Engelse drop -licorice all sorts)

XAMPP met verouderde PHP versie (die op termijn niet meer bijgehouden wordt).
Externe info versie proliferatie met alle gevolgen van dien.

Technische versluiering door Big Tech (Google, CloudFlare etc),
vanwege het Internet brede voortgezette tracken, maar met ook de kwetsbaarheden van dien.

Geen ruimte voor de terzake deskundigen, maar besluiten laten nemen door lieden, CEO, managers)
zonder relevante kennis van zaken (o.i. van dozenschuivers, durfkapitalisten a.k.a stakeholders,
de marketing poot laten regeren enz. enz.). Security through obscurity & as a last-resort item.

Vraag er aandacht voor, doe er iets aan, maar die thans 'regeren' willen dit beslist niet.
Hou ieder arm en dom is het motto ten behoeve van de gigawinsten,
want in het land der blinde evangelisten is immers eenoog beslist koning.

Zorg onder tijddruk dat er geen tijd is om na te denken
en de gouden potten zullen staan aan de andere zijde van de regenboog.

Beste karma4, wij kunnen er helaas ook weinig aan veranderen.
Alleen onze eigen verantwoordelijkheid nemen en onze visie uitdragen.

luntrus
20-02-2020, 14:08 door Anoniem
Het Windows eco-systeem is de malware strijd aan het verliezen. Incidenten nemen alleen maar toe. Daarnaast zien we natuurlijk alleen maar het topje van de ijsberg omdat bedrijven hun vuile was niet vrijwillig buiten hangen. Wat dat betreft was Maastricht een verademing.

Slaapverwekkend dit soort reacties. Alsof de kwetsbaarheid enkel ligt aan het systeem, en niet aan configuratie, hardening, patching, en wat er op applicatie niveau draait.
20-02-2020, 15:47 door Anoniem
Door karma4: Alle adviezen in het bovenstaande redactie artikel zijn al jaren bekend. Helaas worden die stelselmatig door OSS Linux evangelisten stelselmatig gesaboteerd. Het zou eens tijd zijn dat het OS extremisme een halt toegeroepen wordt.

Het stereotype beeld dat jij hier schetst van mensen die in Linux zijn onderlegd, dat zie ik niet terug op de werkvloer van grote ondernemingen. Evenmin onder medewerkers van geslaagde ondernemers in het midden- en kleinbedrijf. Wat ik daarentegen wel veelvuldig zie, zodra een Windows netwerk ook maar even plat ligt, is dat ze juist goed samenwerken met de ingevlogen MCSE'rs om het probleem weer op te lossen. Zonder Linux was menige zaak allang failliet.
20-02-2020, 16:47 door ZiZi
Door souplost: Het Windows eco-systeem is de malware strijd aan het verliezen. Incidenten nemen alleen maar toe. Daarnaast zien we natuurlijk alleen maar het topje van de ijsberg omdat bedrijven hun vuile was niet vrijwillig buiten hangen. Wat dat betreft was Maastricht een verademing.
De gebruikelijke onzin die weer voorbijkomt. Je herkend ze direct.

Als Maastricht ook iets liet zijn, wat dat de basic al niet goed in elkaar zat. Dan is het vragen om problemen. Gelukkig begrijpen de meeste beheerders dat ook gewoon. Alleen sommige zien het alleen als het voorbeeld van hun gelijk, maar ja, met oog kleppen op kijken, dan zie je ook echt veel meer.

Maar het zelfde kun je zeggen over alle ellende op webservers, of grote datalekken. Toevallig vandaag weer een groot hotel die hun databases niet goed beveiligd hadden. Een ISP die wachtwoorden moest resetten.
Ik zie daar nergens Windows systemen voorbij komen.....

Maar als je er gewoon goed naar kijkt, dan zie je dat de basis gewoon al niet goed neer gezet is/wordt. Daar dit de werkelijke fout. En dat gaat niet even met een ander OS opgelost worden. Als je iets niet goed geconfigureerd, dan is het vragen om problemen.
20-02-2020, 17:28 door DLans - Bijgewerkt: 20-02-2020, 17:30
Door souplost: Het Windows eco-systeem is de malware strijd aan het verliezen. Incidenten nemen alleen maar toe. Daarnaast zien we natuurlijk alleen maar het topje van de ijsberg omdat bedrijven hun vuile was niet vrijwillig buiten hangen. Wat dat betreft was Maastricht een verademing.

Hallo Windows-hater.

Het is zonder twijfel zo dat Windows meer last heeft van malware. Maar het achterliggende probleem, het probleem waarom dit zo groot is, komt doordat er gewoon slecht beheer wordt uitgevoerd. Als de systemen op de juiste manier worden geconfigureerd, worden voorzien van updates dan is er geen reden waarom dit allemaal zo groot zou moeten zijn.

Ik weet dat er bij een bepaald bedrijf in Breda ook van alles mis is. Heel het systeem is slecht ingericht wat enorme risico's met zich mee brengt. De beheerder weet van iedereen het wachtwoord, mensen mogen het wachtwoord niet zelf wijzigen, het wachtwoord is 4 (!) karakters lang. Updates? Nee. IIS op je domain controller? JA. Domain controller met IIS direct aan het internet? Ja. Er hing een ADDC met IIS aan het internet die al ruim 2 jaar niet één update heeft gehad. En zo is er nog wel héél veel meer mis daar.

En als je dan zegt dat er bepaalde zaken niet voldoen aan de best practices wordt de beheerder daar boos (en dan omschreef ik mijn bevinding nog heel netjes). Ik moet me er niet mee bemoeien krijg ik dan te horen, dat terwijl mijn oud-werkgever werd ingehuurd ter ondersteuning. Die man wordt door het bedrijf op handen gedragen (why ...) en de directie forceert ook geen wijzigingen daarin. Dat die nog niet gehackt zijn kan ik me niet voorstellen, iemand zit daar ongetwijfeld binnen.

Ligt dat aan het OS? Nee, gewoon aan een gigantische prutsende organisatie en een slechte beheerder. En dat is denk ik de kern van het probleem. Men doet dingen omdat het makkelijk is, het ze goed uitkomt, en security is zelfs nu in 2020 vaak nog een ondergeschoven kutkind waar je niets mee te maken wilt hebben. Niet zozeer het OS is het probleem, maar de beheerders en/of organisaties.
20-02-2020, 17:33 door DLans
Het was zo dat ik daar een keer op locatie was om ondersteuning te bieden na een mailmigratie, gewoon domweg mensen helpen met hun Outlook als er nog problemen optraden. Iemand die had problemen met het inloggen in zijn Outlook, die gaf een wachtwoord prompt. Dus ik zie die persoon een wachtwoord van 4 karakters intikken, dus mijn eerste opmerking was dat dat niet kon kloppen. Wel dus :) Oh ik zou daar zo graag bij wijze van test eens zaken willen proberen, maar omdat ik via mijn oud-werkgever daar ""beheer"" gedaan heb kan ik dat al helemaal niet maken.
20-02-2020, 18:54 door Anoniem
Het aantal incidenten de laatste tijd is niet alleen laksheid, onwetendheid, veroudering of de vermeende spaghettistructuur van bepaalde software.
Uit dit topic, onderstaande reacties incluis, kun je wel stellen dat hardnekkige zelfoverschatting de hoofdoorzaak van de meeste problemen is. Niet patchen/negeren = 'nothing beats my parameters' . Doorgaan met verouderde hard-/software = 'zolang ík de server draai...' En niet te vergeten in verschillende kampen verdeelde ICT mbt 'de beste' software. Kortom: Niet innovatief zijn. De grootste kwetsbaarheid.
20-02-2020, 19:54 door Anoniem
Door Anoniem: Linux of Windows, zelfde laken in een pak.

Hoe verklaart men dan de stortvloed aan inbraken en gijzelingen van met name de op Microsoft Windows gebaseerde netwerken, terwijl de server wereld altijd het domein is geweest van UNIX-achtige systemen, en de supercomputers sinds zo'n anderhalf decennium voor 99,6% worden gedomineerd door Linux installaties?
20-02-2020, 22:44 door souplost
Hallo Linux haters. Gerust je kop in het zand blijven steken hoor. Dan zie je de alternatieven niet. Dat is vast ook de bedoeling om een andere reden.
Maastricht is geïnfecteerd door een drive-by download infectie op een windows laptop. Dat is tot op heden onmogelijk gebleken op een Enterprise Linux desktop. Google, NASA en CERN zijn hele grote Linux desktop gebruikers. Allemaal ongevoelig voor die enorme hoeveelheid windowsransomware. Zijn momenteel allemaal spekkoper.

Natuurlijk is patchen van belang. Dat geldt voor elk systeem, vooral je browser en geen flash en java plugins gebruiken scheelt een hoop. Probleem is alleen dat dat voor windows een pain in the ass is.
De windows fanclub geeft ook altijd de beheerders de schuld (blijkbaar is er naast software ook iets mis met het windows certificerings programma) en kijkt nooit naar hun eigen infantiele systeem.
Check ook even wie microsoft zelf beschermt : https://sitereport.netcraft.com/?url=www.microsoft.com Dat doet wel een wenkbrauw fronsen :)
21-02-2020, 08:44 door Anoniem
Door Anoniem: Die nieuwsbrief van het MELANI leest als een korte samenvatting van zo'n beetje alles wat er beleidsmatig en op de werkvloer misging bij de beveiliging van het Microsoft Windows netwerk van de Universiteit Maastricht. We weten hier allemaal wat voor negatieve gevolgen dat had. Het belooft verder ook niet veel goeds voor de ICT sector in Nederland, als de bedrijvigheid van zo'n rijk en goed ontwikkeld land als Zwitserland met dezelfde problemen kampt. Men kan niet beweren dat men de problematiek niet lang van te voren had kunnen zien aankomen.

"Die Bürosoftware als Sicherheitsrisiko”
von Von Harald Schumann, am 10.04.2017
https://www.handelszeitung.ch/unternehmen/die-buerosoftware-als-sicherheitsrisiko-1380397
Zit in de menselijke natuur. Als er lange tijd niets gebeurt, dan is ICT-beveiliging plotseling duur. Dan zijn goede Disaster Recovery en Business Continuity plannen niet meer zo urgent. Vooral omdat budgetbeheerders vaak kijken naar wat hun investering oplevert en moeilijker en moeilijker overtuigd worden van de noodzaak, als er lange tijd niets is gebeurd.

Maar dat bedrijven hun backups niet offline bewaren en niet regelmatig testen of het ook werkt, is niet goed te praten. Die bedrijven verdienen alles wat ze aan schade lijden.
21-02-2020, 08:48 door Anoniem
Door souplost: Hallo Linux haters. Gerust je kop in het zand blijven steken hoor.
Linux-haters nog wel.

Ik proef projectie.
infantiele
Ach, dure woorden. Gaat het lekker op je verheven wolkje? Probleem is dat je zó hoog boven ons uit zweeft, dat je niet ziet dat Linux net zo kwetsbaar is als Windows. Als je vergelijkbare maatregelen neemt (of dat juist nalaat) maakt het niet uit op welk platform je runt. Als een bedrijf als dit wordt getroffen door een ransomware-aanval en dat niet weet te pareren, dan ligt dat aan hun gebrekkige beveiligingsmaatregelen. Niet aan hun platformkeuze.
21-02-2020, 10:26 door Anoniem
Platform onafhankelijk zie nog steeds veiligheid als sluitstuk op de begroting.
Lint eens willekeurig in hoeverre alle updates, upgrades & patches zijn gedraaid.
Hoe zit het met de front-end en back-end beveiliging?
Wat er aan validatie en monitoring gebeurt. Logt u aanvallen (cybercriminele bots).
Kunnen uw medewerkers communiceren met security en zijn ze anti-PHISH, -scam & -spam getrained?
Uw bedrijfen data zijn even veilig als de zwakste schakel en de kleinste airgap.
Staat de click-trigger van uw medewerkers voldoende op afgeremd en wel
in de "eerst nadenken over de consequenties, dan bij-twijfel-niet doen positie"?

Wat voor best policies zijn juist ingesteld?
Qua header beveiliging en overige best policies, CSP waar nodig, laatste versie TLS.

In hoeverre is men nog vatbaar voor MiM aanvallen, SQL & XSS narigheid?
Kunnen de laatste versies wel draaien (java wachtwoord gebruikt?).
Af te voeren bibliotheken afgevoerd? Mixed content problematiek.
Exessieve info proliferatie aangetroffen?

Werd de aanvallers wel een beetje moeilijk gemaakt, zodat ze uw deurtje liever willen voorbijgaan?

Dit lijstje is natuurlijk nog aan te vullen. Het is maar om de te volgen denkpatronen op te roepen.

luntrus
21-02-2020, 17:30 door Tintin and Milou
Door Anoniem:
Door Anoniem: Linux of Windows, zelfde laken in een pak.

Hoe verklaart men dan de stortvloed aan inbraken en gijzelingen van met name de op Microsoft Windows gebaseerde netwerken, terwijl de server wereld altijd het domein is geweest van UNIX-achtige systemen, en de supercomputers sinds zo'n anderhalf decennium voor 99,6% worden gedomineerd door Linux installaties?

Psst...
Even een spiegeltje voorhouden:
Hoe verklaart men dan de stortvloed aan dataleaks en malware van met name de op Linux gebaseerde omgevingen?
http://www.zone-h.org/archive
https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Kun jij mij hier de Windows omgevingen uitfilteren? Ik moet namelijk heel goed zoeken om ook maar iets te vinden.....


Door souplost: Hallo Linux haters.
Hallo Predikant, komt u weer geloof verkondigen?

Gerust je kop in het zand blijven steken hoor. Dan zie je de alternatieven niet. Dat is vast ook de bedoeling om een andere reden.
Eigenlijk het zelfde als oogkleppen ophouden?

Maastricht is geïnfecteerd door een drive-by download infectie op een windows laptop. Dat is tot op heden onmogelijk gebleken op een Enterprise Linux desktop.
Ze zijn er ook bijna niet. Dus waarom zou een iemand daar tijd aan besteden? Je kunt beter een Linux webserver aanvallen, en veel gemakkelijker, sneller en kost eigenlijk geen moeite.
Eigen zie je maar heel weinig Windows webservers aangevallen worden? Misschien met een redenen?
Maar alles oogkleppen op hebt, dan zie je nu eenmaal niet alles meer.

Google, NASA en CERN zijn hele grote Linux desktop gebruikers. Allemaal ongevoelig voor die enorme hoeveelheid windowsransomware. Zijn momenteel allemaal spekkoper.
Als je dit soort bedrijven wilt vergelijken met normale bedrijven, en helemaal dat soort gebruikers wilt gelijken met normale gebruikers.
Tja... Dan hebben je inderdaad oogkleppen niet meer nodig. Tegen dit soort afwijken (kan ik het zo noemen) valt niets te beginnen. Het realiteitsbesef is zo ver heen, dat discussies nutteloos zijn.

Probleem is alleen dat dat voor windows een pain in the ass is.
Valt reuze mee. Gewoon goed voorbereiden.

De windows fanclub geeft ook altijd de beheerders de schuld (blijkbaar is er naast software ook iets mis met het windows certificerings programma) en kijkt nooit naar hun eigen infantiele systeem.
Tja... Ook hier weer, jij hebt werkelijk geen idee hoe de wereld in elkaar zit. En dit laat iedere keer weer zien.

Check ook even wie microsoft zelf beschermt : https://sitereport.netcraft.com/?url=www.microsoft.com Dat doet wel een wenkbrauw fronsen :)
Beste product gebruiken voor de job? Wat is daar mis mee?
Voor een predikant is dat natuurlijk prachtig, want het past exact in zijn geloofsovertuigingen en kan hij mooi gebruiken.
De rest van de wereld heeft zo iets van, oke... LB. Waarom niet? Wat is daar mis mee?
21-02-2020, 21:38 door souplost - Bijgewerkt: 21-02-2020, 22:03
Door Tintin and Milou:
Door Anoniem:
Door Anoniem: Linux of Windows, zelfde laken in een pak.

Hoe verklaart men dan de stortvloed aan inbraken en gijzelingen van met name de op Microsoft Windows gebaseerde netwerken, terwijl de server wereld altijd het domein is geweest van UNIX-achtige systemen, en de supercomputers sinds zo'n anderhalf decennium voor 99,6% worden gedomineerd door Linux installaties?

Psst...
Even een spiegeltje voorhouden:
Hoe verklaart men dan de stortvloed aan dataleaks en malware van met name de op Linux gebaseerde omgevingen?
http://www.zone-h.org/archive
https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Kun jij mij hier de Windows omgevingen uitfilteren? Ik moet namelijk heel goed zoeken om ook maar iets te vinden.....
Je laatse link laat 1 Ubuntu incident zien als je op linux filtert. De rest is allemaal datalekken onder Windows.
De eerste link zegt helemaal niets over linux malware. Alleen maar hackers borstklopperij die een wachtwoord hebben geraden of een wordpress plugin hebben kunnen misbruiken.
M.a.w. je gaat niet in op mijn punt. Dat blijkt ook uit de rest.
Laat 1 drive-by infectie van een Linux desktop zien. Doe je best.
Iemand die ook zegt dat patchen van Windows een kwestie van goed voorbereiden is moet behoorlijke oogkleppen op hebben om de incidenten niet te willen zien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.