image

Limburgs Voortgezet Onderwijs getroffen door ransomware

donderdag 20 februari 2020, 11:38 door Redactie, 21 reacties

De stichting Limburgs Voortgezet Onderwijs (LVO) is gisteren getroffen door ransomware, waardoor 26.000 leerlingen en 2800 medewerkers geen gebruik van computers kunnen maken. Dat laat de stichting, die 23 scholen beheert, via de eigen website weten.

De infectie deed zich voor in het datacenter waar de ict-omgeving van LVO draait. "Uit onderzoek blijkt dat het gaat om een nieuw ransomwarevirus dat nog niet gedetecteerd werd door de virusscanners. Omdat we er tijdig bij waren, was de impact van het virus klein en gegevensverlies beperkt", aldus de verklaring. Vanwege de infectie werden alle systemen uitgeschakeld. De ransomware wordt nu van alle systemen verwijderd, die in de loop van de dag stapsgewijs zullen worden vrijgegeven.

De e-mailomgeving, alsmede het leerling informatiesysteem Somtoday en de bedrijfssoftware AFAS, bleken niet te zijn getroffen. Toch besloot LVO uit veiligheidsoverwegingen om tijdelijk ook de toegang tot deze systemen af te sluiten. Om wat voor ransomware het precies ging en hoe de infectie zich kon voordoen is niet bekendgemaakt. De website van LVO is op het moment van schrijven offline. De site van LVO Maastricht is echter nog wel bereikbaar. Onlangs raakten ook 1700 computers van een Belgische school met ransomware besmet.

Reacties (21)
20-02-2020, 12:26 door Anoniem
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
20-02-2020, 12:35 door souplost
23 scholen. Dat is nogal wat en er zijn gegevens verloren gegaan. Ze zijn niet echt behulpzaam door het virus niet te noemen. Zo kunnen andere scholen er geen lering uit trekken.
20-02-2020, 13:00 door Anoniem
26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
20-02-2020, 13:19 door Anoniem
Door Anoniem: 26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Het is voorjaarsvakantie, dus leerlingen en een groot deel van het personeel zullen niet aan het werk zijn
20-02-2020, 13:34 door Anoniem
Door Anoniem:
Door Anoniem: 26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Het is voorjaarsvakantie, dus leerlingen en een groot deel van het personeel zullen niet aan het werk zijn

Voorjaarsvakantie in de regio noord. Daar heeft Limburgs Voortgezet Onderwijs niet zo veel vestigingen....
20-02-2020, 13:42 door Anoniem
Draait bij ENGIE Services Zuid BV,

21/tcp open ftp ProFTPD 1.3.5rc3
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: ivengi.com - web3.ivengi.net -> https://www.shodan.io/host/185.92.61.12
443/tcp open ssl

Gzip Content Encoding Gzip HTTP Compression protocol DTD

Kwetsbaar: jquery 1.12.2.min Gevonden in -https://www.lvomaastricht.nl/repos/jquery/jquery-1.12.2.min.js?v=1 - Vulnerability info:
low CVE-2019-11358 jQuery before 3.4.0, wanner gebruikt in Drupal, Backdrop CMS, en andere producten, mishandles jQuery.extend(true, {}, ...) vanwege Object.prototype pollutie

LetsEncrypt & CloudFlare nimbus en Google Xenon 2020 & external CSS (o.a. facebook).

Waar ging het mis?

#sockpuppet
20-02-2020, 13:46 door Anoniem
Door Anoniem:
Door Anoniem: 26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Het is voorjaarsvakantie, dus leerlingen en een groot deel van het personeel zullen niet aan het werk zijn

Correctie: De voorjaarsvakantie in het zuiden begint pas morgen ;)
Hoewel ze dus tegen de vakantie aanzitten verwacht ik niet dat de impact minimaal is..

Maar goed, ik ben ook wel benieuwd naar wat voor virus het is en wat de schade nu echt is.
20-02-2020, 13:51 door [Account Verwijderd]
Omdat we er tijdig bij waren, was de impact van het virus klein en gegevensverlies beperkt.
Je zou haast gaan denken dat er gegevensverlies is opgetreden als je het bovenstaande op hun website leest.
Maar afgezien daarvan: ik had graag een MD5 hash gehad om te zien of er virusscanners zijn die het wel detecteren via Virustotal. In plaats daarvan zie je op de website van het LVO alleen maar vaagheden waar niemand iets aan heeft.
20-02-2020, 13:57 door Anoniem
Door Advanced Encryption Standard:
Omdat we er tijdig bij waren, was de impact van het virus klein en gegevensverlies beperkt.
Je zou haast gaan denken dat er gegevensverlies is opgetreden als je het bovenstaande op hun website leest.
Maar afgezien daarvan: ik had graag een MD5 hash gehad om te zien of er virusscanners zijn die het wel detecteren via Virustotal. In plaats daarvan zie je op de website van het LVO alleen maar vaagheden waar niemand iets aan heeft.
Ben jij ZO belangrijk, dat JIJ het moet weten?
20-02-2020, 13:59 door Anoniem
Door Anoniem: Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Wat is daar zo vreemd aan? Het is nieuw en NU kan pas actie genomen worden om het te detecteren!
20-02-2020, 16:00 door Anoniem
Door Anoniem:
Door Anoniem: Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Wat is daar zo vreemd aan? Het is nieuw en NU kan pas actie genomen worden om het te detecteren!

Onzin; zowel HMP als InterceptX zijn behavior software en daar daar maakt het niet zoveel uit of iets nieuw of oud is.

Heel simplistisch: software ('processen") mag versleutelen ja of nee. Als nee.. simpel: dan draait Cryptoguard (van Interceptx) het terug en stop het proces.

Extra kenmerk: Intercepx kent tamper control wat het heel lastig maakt om als admin Interceptx uit te schakelen. De laatste patch laat interceptx ook in safe modus draaien om snatch te counteren.

Kortweg: ja het kan wel degelijk, je moet alleen geen vendor lockin hebben met Microsoft wat je 40% scheelt.

Eminus
20-02-2020, 16:17 door Anoniem
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.

Sommige ransomware, niet alle ransomware.
20-02-2020, 16:19 door Anoniem
Het is nieuw en NU kan pas actie genomen worden om het te detecteren!

Er zit wel een bepaalde voorspelbaarheid in de technieken welke gebruikt worden door ransomware families, ook nieuwe. Het kan dus zeker zo zijn, dat nieuwe ransomware wordt tegengehouden *zonder* dat de familie / samples bekend zijn.
20-02-2020, 17:05 door Anoniem
Door Anoniem:
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.

Sommige ransomware, niet alle ransomware.

Juist. Niet de EFS ransomware:
https://safebreach.com/Post/EFS-Ransomware

Peter
20-02-2020, 19:18 door sjonniev
Door Anoniem:
Door Anoniem:
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.

Sommige ransomware, niet alle ransomware.

Juist. Niet de EFS ransomware:
https://safebreach.com/Post/EFS-Ransomware

Peter

Ja, die ook https://community.sophos.com/kb/en-us/135056
20-02-2020, 20:59 door Anoniem
sorry heren,

laten we elkaar niet op woorden zitten af te vangen; InterceptX / HMP doet zijn werk (bijzonder) goed. Net zoals crowdstrike's falcon. Wat niet betekent dat het geinstalleerd staat / gaat worden op onderwijsinstellingen.
Zoals ik al eerder aangaf zijn er bij educatieve stichtingen tot 40% korting voor Microsoft producten. Dat betekent dat effectief andere producten gewoon veel minder kans hebben. Ook producten die, zeker voor bovenstaande zaken, beter werken.

uiteraard zijn producten als InterceptX en HMP niet zaligmakend; het gaat er (meer) om dat mensen hun gezonde hersens gebruiken. Zaken als het scheiden van netwerksegmenten, het scheiden van accounts privileges (gebruiker, local adm en domain admin), het up to date houden van machines en ook het secure aware maken van je gebruikers community zijn allemaal zaken die meespelen. Mocht het dan tot een versleuteling komen is een offilne backup essentieel. Niet te benaderen voor een hacker zelfs niet als hij (of zij) in de AD zit.

Ik kan alleen maar hopen dat er in ieder geval een offsite / offline backup is, waar niet aan gesleuteld kon worden.

Eminus
20-02-2020, 23:09 door souplost - Bijgewerkt: 20-02-2020, 23:12
Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
21-02-2020, 09:37 door Anoniem
H
Door souplost: Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Even voor de beeldvorming: het betreft in bovenstaande casus geen ICT van Stichting Onderwijs Midden-Limburg, maar van Stichting Limburgs Voortgezet Onderwijs.
21-02-2020, 13:05 door karma4
Door souplost: Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Nooit want als je data op endpoints toestaat is het einde zoek.
Overigens had het Radboud grote problemen met Chromebooks, tentamens konden geen doorgang hebben wegens ICt problemen. Hoe ze dat voor elkaar kunnen krijgen is mij een raadsel.
https://www.voxweb.nl/nieuws/universiteit-doet-aangifte-tegen-cyberaanvallen
21-02-2020, 20:58 door souplost
Door karma4:
Door souplost: Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Nooit want als je data op endpoints toestaat is het einde zoek.
Overigens had het Radboud grote problemen met Chromebooks, tentamens konden geen doorgang hebben wegens ICt problemen. Hoe ze dat voor elkaar kunnen krijgen is mij een raadsel.
https://www.voxweb.nl/nieuws/universiteit-doet-aangifte-tegen-cyberaanvallen
Karmaatje toch het gaat hier over een DDos aanval. Als ze dat bij jullie doen ligt O365 er ook uit. Een Chromebook werkt ook met interne webservers hoor!
03-03-2020, 11:38 door Anoniem
Geef ons een sample van het ransomware virus, dan kunnen meerdere mensen het onderzoeken. zo gaat het veel sneller als door alleen de mensen van stichtinglvo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.