image

Cyberverzekeraar Chubb getroffen door beveiligingsincident

vrijdag 27 maart 2020, 13:27 door Redactie, 7 reacties

De Amerikaanse cyberverzekeraar Chubb is getroffen door een "beveiligingsincident" waarbij derden ongeautoriseerde toegang tot gegevens hebben gekregen. Mogelijk gaat het om een aanval met de Maze-ransomware. Chubb biedt onder andere verzekeringen die schade door ransomware vergoeden.

De criminelen achter de Maze-ransomware houden een website bij met de namen van hun slachtoffers. Gisteren verscheen daarop de naam van Chubb, zo meldt datalekmonitoringsdienst Under the Breach op Twitter. In een reactie tegenover TechCrunch verklaart de verzekeraar dat het een "beveiligingsincident" onderzoekt waarbij er ongeautoriseerde toegang tot data van een niet nader genoemde derde partij heeft plaatsgevonden. Volgens een woordvoerder is er geen bewijs dat het incident het eigen netwerk heeft geraakt en is het netwerk volledig operationeel.

Securitybedrijf Bad Packets meldt op Twitter dat Chubb meerdere kwetsbare Citrix Netscaler-servers heeft staan. Criminelen hebben in het verleden meerdere organisaties via kwetsbare Citrix-systemen met ransomware geïnfecteerd. Daarnaast meldt beveiligingsonderzoeker Dan Tentler dat een RDP-systeem van Chubb via internet toegankelijk is. Ook via gecompromitteerde RPD-systemen zijn organisaties met ransomware aangevallen. Eind vorig jaar waarschuwde Chubb zelf nog dat het een toename van aanvallen met ransomware zag waarbij onder andere open RDP-systemen werden gebruikt (pdf).

Reacties (7)
27-03-2020, 15:26 door Anoniem
Auw
27-03-2020, 17:16 door Anoniem
Wellicht is het een honeypot?
27-03-2020, 21:55 door MathFox
Door Anoniem: Wellicht is het een honeypot?
Mogelijk. Of een poging om naar productiesystemen door te stoten die door IDS en/of auditing ontdekt is voordat er schade aangericht is.
29-03-2020, 15:27 door Anoniem
Is dit het bekende bedrijf dat grossierde in elektrische deur-beveiliging systemen met elektrische kaart-sloten voor deuren en aanverwante producten?

Schoenmaker blijf bij je leest of iets dergelijks?
Als je dan al internet beveiliging systemen aanbiedt ga dan in ieder geval geen verzekeringen daaraan gekoppeld verkopen.
Een bedrijf als dit doet bijna hetzelfde als dat je creatief wilt zijn met product-markt combinaties als keuken oven-producent en dan maar band-verzekeringen erbij probeert te slijten zonder dat je grip hebt op al die andere gebeurtenissen die ook brand in een ruimte kunnen veroorzaken danwel dat je de overtreffende trap van een verzekeraar gaat uithangen en jezelf nauwelijks/niet dienstbaar maakt. Oh, dan richt je bijkomend natuurlijk ook nog even een heel prettig communicerend service center erbij in.
Wil je überhaupt afnemer zijn van zo'n dienst, ongeacht de reputatie van het bedrijf dat het aanbiedt.
Lekker uitbesteden, heerlijk ja.
29-03-2020, 15:32 door Anoniem
Een quoteje:

Cyberrisico’s
Cyberincidenten zijn aan de orde van de dag. Toch vrezen analisten dat veel organisaties zich hier nog onvoldoende tegen beschermen. Bedrijven worden zich vaak pas echt bewust van cyberrisico’s op het moment dat ze getroffen zijn door een hack of datalek.

We vergoeden eigen schade en aansprakelijkheid van schade aan derden, zoals klanten en leveranciers.
Bovendien dekken we kosten van crisismanagementdiensten.

Vraag:
hoe willen ze überhaupt de integriteit van gegevens nog op plausibele wijze als "in takt" kunnen beschouwen?
Zijn ze geen lame-duck dan mogen ze wel eens gaan uitleggen aan de redactie van security.nl hoe ze deze crisis binnen een meerzijdige-crisis van maart 2020 dachten het hoofd te hebben geboden en denken blijvend / voor de komende 6-18 maanden te boven te zijn.
30-03-2020, 16:16 door Anoniem
Door Anoniem: Wellicht is het een honeypot?
Door MathFox:
Door Anoniem: Wellicht is het een honeypot?
Mogelijk. Of een poging om naar productiesystemen door te stoten die door IDS en/of auditing ontdekt is voordat er schade aangericht is.

Kan je het 2e idee toelichten hoe je dat voor je ziet?
In hoeveel tijd is bijvoorbeeld bij zo'n mogelijke poging potentieel gemoeid?
In geval van wat naar jouw inschatting van toepassing kan zijn: goede/gemidelde/deels rammelende of juist een mogelijk fundamenteel gebrekkige configuratie?
Hoeveel tijd zou er verstreken zijn eer die goed gedetecteerd werd?

RDP systemen bieden veelal instant feedbacks ipv geleidelijke reacties.
Kijkend naar het honeypots gebeuren i.c.m de Citrix (productie?) omgevingen:
Biedt daarin het plaatsen van honeypots potentieel evenveel nut als dat je honeypots tussen met elkaar samenwerkende citrix omgevingen plaatst?
In welk gedeelte zet je dus wel eventueel honeypots in?
Je productie of juist enkel de overige omgevingen, zijnde de niet-productie omgevingen?

En zijn de externe tweets die het lek melden volgens jou ook degenen die van binnenuit bij Chubb lucht kregen van het lek?
Of zou Chubb hen getipt hebben en zo een excuus creëren?
Bijvoorbeeld met als mogelijkheid dat Chubb zelf iets zeer essentieels niet doorhad?
Maar ze wel willen kunnen melden dat er gelukkig geen aanwijzingen zijn dat er iets met de logs is gebeurd en ze daarom met zekerheid kunnen stellen dat PRECIES na de hack zelf geen ongebruikelijke activiteiten op hun servers zijn waargenomen?
30-03-2020, 20:28 door MathFox - Bijgewerkt: 30-03-2020, 20:29
Door Anoniem
Door MathFox:
Mogelijk. Of een poging om naar productiesystemen door te stoten die door IDS en/of auditing ontdekt is voordat er schade aangericht is.

Kan je het 2e idee toelichten hoe je dat voor je ziet?
In hoeveel tijd is bijvoorbeeld bij zo'n mogelijke poging potentieel gemoeid?
In geval van wat naar jouw inschatting van toepassing kan zijn: goede/gemidelde/deels rammelende of juist een mogelijk fundamenteel gebrekkige configuratie?
Hoeveel tijd zou er verstreken zijn eer die goed gedetecteerd werd?
Bij meerdere ransomware-aanvallen hebben we gezien dat de indringers al weken in de systemen zaten, netwerkverkenning deden om zoveel mogelijk computers tegelijkertijd aan te vallen met hun versleutelingssoftware. Dat betekent dat je als beheerders tijd hebt om ze te detecteren en de plot te verijdelen voordat er schade aangericht is.

Ik weet niets van Chubb af. Ik weet wel dat ik bij een grotere organisatie netwerksegmentering zou toepassen. Je kunt dan netwerkverkeer op de interne gateways monitoren. (Een RDP scan naar een UNIX-only subnet hoort dan wat alarmbellen te laten afgaan). Individuele computers kunnen ook bewaakt worden, bijvoorbeeld op brute-force login pogingen.

Wanneer je met je netwerkarchitectuur rekening moet houden met zero-day bugs, dan ontkom je niet aan "defense in depth", diversiteit in je systemen en "monitoring, monitoring, monitoring". De aanvaller kan al binnen je firewall zitten, denk aan ontevreden werknemers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.