Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Onderzoek: meeste ransomware buiten kantooruren uitgerold

dinsdag 17 maart 2020, 10:28 door Redactie, 15 reacties

De meeste ransomware die meer gerichte aanvallers inzetten wordt buiten kantooruren geïnstalleerd. Ook blijkt dat aanvallers vaak al meerdere dagen in het netwerk aanwezig zijn voordat de uitrol plaatsvindt. Dat claimt securitybedrijf FireEye op basis van eigen onderzoek naar tientallen incidenten die de afgelopen jaren bij organisaties plaatsvonden. Het gaat hierbij dus niet om incidenten waar eindgebruikers mee te maken kregen.

Om toegang tot de netwerken van hun slachtoffers te krijgen maken de aanvallers voornamelijk gebruik van e-mails met kwaadaardige links of bijlagen. Wanneer personeel de bijlage of het gelinkte bestand opent raakt hun systeem besmet met malware die de aanvallers toegang geeft. Via deze toegang proberen de aanvallers de rest van de organisatie te infecteren. Volgens FireEye zijn aanvallers minstens drie dagen in het netwerk aanwezig voordat ze met de uitrol van ransomware beginnen. In sommige gevallen besloten de aanvallers zelfs 299 dagen te wachten.

Wat verder aan de onderzochte incidenten opvalt is dat de uitrol van ransomware voornamelijk buiten kantooruren plaatsvindt, waarschijnlijk om een maximaal effect te sorteren. Bijna de helft van de infecties vond door de week plaats, vaak voor of na het begin van de werkdag. 27 procent van de infecties werd in het weekend waargenomen en bij de resterende 24 procent sloegen de aanvallers tijdens de kantooruren toe. Wanneer er specifiek naar de tijd wordt gekeken blijkt 23:00 uur het favoriete moment voor de uitrol van ransomware te zijn. "Deze observatie toont aan dat aanvallers continu aan het werk zijn, zelfs wanneer de meeste werknemers dat niet zijn", aldus Kelli Vanderlee van FireEye.

Image

Malafide coronatracker vergrendelt Androidtoestellen
Rotterdam wijst jonge vrouwen via advertenties op phishing
Reacties (15)
Reageer met quote
17-03-2020, 10:30 door Bitje-scheef
Yep.... vakantietijd, weekenden en feestdagen zijn ideaal.
Reageer met quote
17-03-2020, 10:55 door Anoniem
Ben benieuwd hoe in tijden van massaal thuiswerken de ransomware huishouden zal?

luntrus
Reageer met quote
17-03-2020, 11:12 door [Account Verwijderd] - Bijgewerkt: 17-03-2020, 11:16
En water is nat... maar de meeste getroffen systemen zijn wel Windows.
Reageer met quote
17-03-2020, 11:28 door buttonius
"Deze observatie toont aan dat aanvallers continu aan het werk zijn, zelfs wanneer de meeste werknemers dat niet zijn"
Zou het niet zo zijn dat de aanvallers zich vaak in een andere tijdzone bevinden? Internet is immers wereldwijd...

Natuurlijk is de kans op een suksesvolle infectie groter wanneer de ontvanger van de email vermoeid is, of haast heeft, of geen zin of tijd om het email bericht zorgvuldig te screenen. Die aanvallers zijn niet dom (wel crimineel). Het is dus te verwachten dat de emails worden verzonden op een moment dat het voor de ontvanger "nogal laat" is.
Reageer met quote
17-03-2020, 11:31 door Anoniem
Het grootste deel van het etmaal zijn geen kantooruren. En de wereld is rond.
Reageer met quote
17-03-2020, 11:53 door Anoniem
Door buttonius:
"Deze observatie toont aan dat aanvallers continu aan het werk zijn, zelfs wanneer de meeste werknemers dat niet zijn"
Zou het niet zo zijn dat de aanvallers zich vaak in een andere tijdzone bevinden? Internet is immers wereldwijd...

Natuurlijk is de kans op een suksesvolle infectie groter wanneer de ontvanger van de email vermoeid is, of haast heeft, of geen zin of tijd om het email bericht zorgvuldig te screenen. Die aanvallers zijn niet dom (wel crimineel). Het is dus te verwachten dat de emails worden verzonden op een moment dat het voor de ontvanger "nogal laat" is.

Uit het artikel is op te maken dat de aanvallers zelf actief in het netwerk gaan nadat de deur opgemaakt is via de mail.
(zie bv dat ze al drie dagen in het netwerk zaten voordat ze de ransomware echt gingen uitrollen) .
Bij aanvallers die al in het netwerk zitten is de 'hulp' van een misklikkende gebruiker niet meer nodig.

De initiële binnenkomst (of het installeren van een 7x24 backdoor) staat dan los van het daadwerkelijk encrypten van data.

Ik denk dat dit dus echt een bewuste keuze van de aanvallers is om een buiten-kantoortijd moment te kiezen om de grootste hoeveelheid data te kunnen gijzelen.
Zouden ze het overdag doen is de kans groter dat ze betrapt worden als de schade nog beperkt is.
Reageer met quote
17-03-2020, 11:56 door Briolet - Bijgewerkt: 17-03-2020, 11:58
vaak voor of na het begin van de werkdag

Op zich logisch en overbodige informatie. Waarom zou het meestal precies bij de start van de werkdag gebeuren? Alleen dat zou noemenswaardig zijn.
Reageer met quote
17-03-2020, 12:07 door karma4
Door donderslag: En water is nat... maar de meeste getroffen systemen zijn wel Windows.
Uitdagend, want veroorzaakt door OSS en Linux als dragers. Je moet de hele keten beetpakken voor iets gezonds.
Reageer met quote
17-03-2020, 12:16 door souplost
"Wanneer personeel de bijlage of het gelinkte bestand opent raakt hun systeem besmet met malware die de aanvallers toegang geeft"
Nuttig om er bij te vermelden dat dat alleen zo werkt op een Windows desktop. De meeste malware is dus walmare. Op een Linux desktop is dit niet mogelijk. Daar komt alles niet executeerbaar readonly binnen (ook via de mail).
Reageer met quote
17-03-2020, 12:30 door [Account Verwijderd]
Door karma4:Uitdagend, want veroorzaakt door OSS en Linux als dragers. Je moet de hele keten beetpakken voor iets gezonds.
Je hebt kritiek op Linux en OSS, dus heel simpel: laat de wereld zien hoe het moet. Jij schijnt het te weten. Een beetje janken van achter je toetsenbord is té makkelijk, dus je komt er niet meer mee weg. Draag bij, of anders: houd je mond!
Reageer met quote
17-03-2020, 12:53 door Anoniem
@Unix4,

De nu thuiswerkende Jip en Jannekes, zitten toch meestentijds op een Windhoos-computer te werken
of op een Goggles-Android propriety-linux OS device.
Zij zijn dus allen kwetsbaar voor uitvoerbare ransomware en op propriety android voor malfide apps.

Zij zijn verder kwetsbaar dan strikt noodzakelijk zou moeten zijn. {<;).

Ik zie nog niets gebeuren om die algemene dreigingstoestand terug te dringen.
MS en Google zullen niet vanzelf verdwijnen.
Alles dat daar mee in bed ligt en nog komt te liggen, zal zich hiertegen fel verzetten.

Ook de corona crisis en ook de daaropvolgende mogelijke recessie, z
al dit niet kunnen veranderen, zo 1, 2, 3 niet. Jammer!
We hopen al langer op een eerlijker systeem. Het is ons nog niet gegund.
Ze zouden ons eerder nog cyberwar aan willen doen.

Maar ieder kan qua voorlichting datgene doen wat hij of zij of het moeten doen.

#sockpuppet
Reageer met quote
17-03-2020, 15:49 door souplost - Bijgewerkt: 17-03-2020, 15:50
Door Anoniem: @Unix4,

De nu thuiswerkende Jip en Jannekes, zitten toch meestentijds op een Windhoos-computer te werken
of op een Goggles-Android propriety-linux OS device.
Zij zijn dus allen kwetsbaar voor uitvoerbare ransomware en op propriety android voor malfide apps.

#sockpuppet
Wat is een propriety-linux OS device ?
Reageer met quote
17-03-2020, 16:05 door [Account Verwijderd]
Door Anoniem: @Unix4,

Zij zijn verder kwetsbaar dan strikt noodzakelijk zou moeten zijn. {<;).

Ik zie nog niets gebeuren om die algemene dreigingstoestand terug te dringen.
MS en Google zullen niet vanzelf verdwijnen.
Alles dat daar mee in bed ligt en nog komt te liggen, zal zich hiertegen fel verzetten.

Daar ligt wel het probleem als je het mij vraagt. En je maakt mij niet wijs dat het bij MS snotbelletjes zijn die daar aan het programmeren zijn. Dat zijn profs. En toch is het zo lek als een mandje. Waarom? Mijn antwoord is "Backwards Compatiblitly". Volgens mij weigeren ze simpelweg om zowel Windows als Office zo veilig te maken als nodig is "omdat alles moet blijven draaien"

Maar ieder kan qua voorlichting datgene doen wat hij of zij of het moeten doen.

Dat is volgens mij de verkeerde manier van werken. Je legt het probleem bij iedereen terwijl het probleem bij de leverancier ligt. Die moet zorgen voor een systeem dat potdicht is. Als je het tenminste closed source wil laten blijven. Bij FOSS is dat natuurlijk helemaal anders want dan kan de gebruiker de systemen zelf helemaal potdicht maken of zou daarvoor mogelijkheden voor moeten hebben.

#sockpuppet
Reageer met quote
17-03-2020, 16:11 door souplost - Bijgewerkt: 17-03-2020, 16:11
Door donderslag:

Daar ligt wel het probleem als je het mij vraagt. En je maakt mij niet wijs dat het bij MS snotbelletjes zijn die daar aan het programmeren zijn. Dat zijn profs. En toch is het zo lek als een mandje. Waarom? Mijn antwoord is "Backwards Compatiblitly". Volgens mij weigeren ze simpelweg om zowel Windows als Office zo veilig te maken als nodig is "omdat alles moet blijven draaien"

#sockpuppet
Backwards Compatiblitly is inderdaad wel een ding. Het product is al zo oud als methusalem.
Met al die winst hadden ze het al diverse keren opnieuw kunnen opzetten met wel security in mind (en meteen maar platform onafhankelijkheid als je beweerd in love te zijn met Linux)
Is niet gebeurd. Blijkbaar is winstmaximalisatie toch de drijfveer.
Reageer met quote
18-03-2020, 12:47 door Anoniem
@ souplost,

Toch bleven vroegere producten wel steeds draaien.
De vooroorlogse electrolux stofzuiger behoefde slechts af en toe nieuwe koolborstels
en ging dan een leven lang mee.
De Russische koelkast uit de jaren zeventig draait nog steeds op vele plekken.

Hier ging men echter kabels in zuurbaden leggen om te zien wanneer men al weer nieuwe kon produceren.
Tot aan de in de USA en China geproduceerde "wegwerp" hard- en software artikelen toe.
De bergen kunststof, daar is niet meer overheen te springen.

Hardware moet steeds vervangen worden, vanwege groter, meer geheugen en "end of lifetime",
die steeds meer naar voren wordt gehaald.

Uiterlijk zes jaar en je moet echt aan een nieuwe smartphone, want hij trekt je apps niet meer...
en soms niet eens zo lang.
Kijk Whatsapp, hoe veel nieuwe updates en waarop het al al niet meer naar behoren werkt.

De houdbaarheidsdatum van software is vaak onbekend, asl de developer niets meer ermee doet, zit je al.
Dan is de meesten niet bekend wanneer script moet worden afgevoerd en vervangen.
We houden de kluit dus het liefst in totale verwarring, zoals nu met de coronavirus aanwijzingen,
die veranderen al over het weekend. Je wordt er toch haast wel gek en gestoord van, als je het al niet was?

Dat is maar deel van het verhaal, want je browser bijvoorbeeld,
moet wel alle uri's met een verzoek naar s.php blokkeren en zo meer
(via een browser guard extensie o.i.d.).

Maar bij redir.php wordt het al moeilijk, want je kunt het nodig hebben voor Google
of een aanvaller kan je erdoor open leggen. Moet je toch even nadenken....
Alle weak cgi en php verzoeken zouden zo ook al direct moeten worden tegengegaan.

Maar het algemene bewustzijn om de bovenstaande boodschap zelfs te kunnen begrijpe,
bestaat vaak nog niet eens.
Hoe wil je dan de massa ongevoelig maken voor dit soort opgedrongen ongein?
Ze zijn vaak toch al in een andere richting gehersenspoeld.

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 947
Image
BYOD
04-03-2021 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

18 reacties
Lees meer
Is een laptop die via de werkkostenregeling wordt vergoed een privélaptop?
03-03-2021 door Arnoud Engelfriet

Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...

19 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter