image

Ransomware versleutelde systemen ict-leverancier notariskantoren

woensdag 21 april 2021, 11:51 door Redactie, 17 reacties

De aanval waardoor bijna honderd Nederlandse notariskantoren de afgelopen dagen geen akten konden passeren was het gevolg van een ransomware-infectie bij hun ict-leverancier Managed IT. Volgens de Koninklijke Notariële Beroepsorganisatie (KNB) is bij de aanval een belangrijk deel van de infrastructuur van Managed IT versleuteld geraakt. Hierdoor hadden de notariskantoren ook geen toegang meer tot contactgegevens van klanten, waardoor die niet over geannuleerde afspraken konden worden ingelicht.

"Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen, waardoor de volledige controle over het platform weer terug is", laat de KNB verder weten. Hoe de aanval kon plaatsvinden is niet bekendgemaakt. Bij de aanval zijn geen bedrijfs- of klantgegevens van notariskantoren gestolen.

De afgelopen dagen zijn de systemen van Managed IT opgeschoond en is er aanvullende beveiligingssoftware geïnstalleerd, wordt er multifactorauthenticatie toegepast en vindt continue monitoring plaats. De ict-leverancier is gisteren gestart met het weer online brengen van notariskantoren. Het is de verwachting dat de meeste kantoren vandaag weer kunnen werken.

Door de aanval waren zij uit voorzorg tijdelijk afgesloten geweest van verschillende servers en databases. De KNB waarschuwde eerder nog dat klanten van de getroffen notariskantoren de rest van deze week te maken kunnen krijgen met vertragingen of uitstel van passeerafspraken. Managed IT heeft aangifte bij de politie gedaan.

Reacties (17)
21-04-2021, 12:11 door Anoniem
Ransomware versleutelde systemen ict-leverancier notariskantoren
Dat is ook het eerste waar ik aan dacht.
21-04-2021, 12:11 door Anoniem
"Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen,...."

Hoe dan?
Klinkt als "we hebben de sleutel gejat".
21-04-2021, 12:29 door Anoniem
Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen.
Ja zou ik ook zeggen.
M.a.w. er is sleutelgeld betaalt.
Gespecialiseerd bedrijf zijn de hackers.
21-04-2021, 12:32 door Erik van Straten
Door Anoniem:
"Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen,...."

Hoe dan?
Klinkt als "we hebben de sleutel gejat".
Ik vermoed dat het losgeld betaald is aan dat gespecialiseerde bedrijf die een deel van het geld in eigen zak steekt (wat neigt naar medeplichtigheid).

Door Redactie: Bij de aanval zijn geen bedrijfs- of klantgegevens van notariskantoren gestolen.
Dat is wel héél stellig. Is dat marketingspeak voor "we hebben (nog) geen aanwijzingen dat er bedrijfs- of klantgegevens van notariskantoren zijn gestolen"?
21-04-2021, 12:52 door Anoniem
Door Erik van Straten:
Door Anoniem:
"Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen,...."

Hoe dan?
Klinkt als "we hebben de sleutel gejat".
Ik vermoed dat het losgeld betaald is aan dat gespecialiseerde bedrijf die een deel van het geld in eigen zak steekt (wat neigt naar medeplichtigheid).
Oh dat is wel een interessante, bestaat dat model al?
Dat er data versleuteld wordt, er verschijnt een of ander bericht dat je hier of daar je Bitcoin heen moet sturen, en als je zoekt met teksten uit dat bericht kom je bij bedrijven uit "die dat wel even kunnen oplossen" en die berekenen dan bijv 1/4 van het eerst ge-eiste bedrag en dit zijn gewoon de hackers zodat ze gewoon de key hebben. Op die manier krijg je wellicht de slachtoffers sneller zover dat ze gaan betalen (het eerste bedrag was dan gewoon 4 keer wat men wilde hebben).
21-04-2021, 13:11 door Anoniem
Door Erik van Straten:
Door Anoniem:
"Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen,...."

Hoe dan?
Klinkt als "we hebben de sleutel gejat".
Ik vermoed dat het losgeld betaald is aan dat gespecialiseerde bedrijf die een deel van het geld in eigen zak steekt (wat neigt naar medeplichtigheid).

Door Redactie: Bij de aanval zijn geen bedrijfs- of klantgegevens van notariskantoren gestolen.
Dat is wel héél stellig. Is dat marketingspeak voor "we hebben (nog) geen aanwijzingen dat er bedrijfs- of klantgegevens van notariskantoren zijn gestolen"?
Ze denken dat ze met deze praat claims kunnen voorkomen. Misschien kan dat andere bedrijf aangeklaagd worden wegens heling.
21-04-2021, 13:19 door Anoniem
Een gespecialiseerd bedrijf heeft de sleutel weten te bemachtigen, waardoor de volledige controle over het platform weer terug is. De afgelopen dagen zijn de systemen van het ICT-bedrijf opgeschoond en gecontroleerd op eventueel achtergebleven kwetsbaarheden. Daarnaast is aanvullende beveiligingssoftware geplaatst, multi-factor authenticatie ingevoerd en vindt continue monitoring plaats.
Huh geen multifactor en geen monitoring. Dan zal er ook geen IPS/IDS zijn geweest. Het is natuurlijk kwats om te beweren dat er nu weer volledige controle zou zijn. Dat kan alleen als alles opnieuw is geïnstalleerd gebruikmakend van een malwarevrije backup. Managed IT blijken ook maar amateurs te zijn.
21-04-2021, 14:24 door Anoniem
Bent u zich bewust van de risico's van cyberspionage?
Download PDF document | 23 pagina's | 2,1 Mb
Brochure 22-05-2017 met dank aan de AIVD en de MIVD

https://www.aivd.nl/documenten/brochures/2017/05/22/brochure-aivd-en-mivd-bent-u-zich-bewust-van-de-risicos-van-cyberspionage

Waarom is dit deze brochure relevant?

In de brochure wordt enerzijds uitgelegd waar ‘decision makers’ op moeten letten. Anderzijds bevat het een lijst aan maatregelen om de dreiging te minimaliseren. Op deze manier wordt het hoogste managementniveau binnen een bedrijf bewust gemaakt van de dreiging. De ICT-afdeling kan vervolgens gelijk aan de slag, om de digitale veiligheidssituatie te verbeteren.
21-04-2021, 14:49 door Anoniem
Ik vermoed dat het losgeld betaald is aan dat gespecialiseerde bedrijf die een deel van het geld in eigen zak steekt (wat neigt naar medeplichtigheid0.
@ErikvanStraten. Medeplichtigheid is alleen strafbaar als men ter kwade trouw is. Dat laatste moet overigens wel worden bewezen. Anders heb je geen zaak bij een rechtbank.
21-04-2021, 15:15 door Anoniem
Ransomware-brokers bestaan net als onderhandelaars voor fysieke kidnapping maar die laatste worden vaak door de verzekerign ingehuurd. Daar is het doel om de mensen vrij te krijgen voor een zo laag mogelijk bedrag. Bij ransomware was het voornamelijk opgezet omdat MKB/thuisgebruikers een doelwit waren die geen idee hadden hoe ze Bitcoin moesten kopen.

Het is makkelijk verdient ja en de ransomwaremakers zouden het ook op kunnen zetten om de commissie op te strijken. Nadeel is wel dat zulke "bedrijven" de aandacht trekken van opsporingsdiensten. Voor zover ik weet is het echter niet illegaal.
21-04-2021, 16:57 door Erik van Straten
Uit https://www.nrc.nl/nieuws/2021/04/16/betaal-geen-losgeld-bij-gijzelsoftware-tenzij-het-moet-a4040140:
[...]
Frank de Korte van beveiligingsbedrijf Northwave werd ingeroepen door de gehackte kaasdistributeur uit Zeewolde om te redden wat er nog te redden viel.
[...]
Of er losgeld is betaald, willen Northwave en Bakker Logistiek niet zeggen.
[...]
Al te vriendschappelijk omgaan met de afpersers is ook weer niet de bedoeling: voor je het weet krijg je een aanbod om een korting met ze te delen, terwijl het getroffen bedrijf de volle mep moet betalen.
[...]
Ik ben geen jurist, maar als zo'n broker dat doet, lijkt mij dat deze medeplichtig is (los van of dat kan worden bewezen).

Als ik te maken zou krijgen met een situatie waarin het te laat is voor voorkómen, en er "genezen" moet worden, zou ik uit de buurt blijven van "no cure no pay" cowboys en vooraf een (redelijke) prijs of uurloon (en max. aantal uren) afspreken met zo'n onderhandelaar.

Er kan nog een probleem spelen: voor een aantal landen gelden sancties waardoor je niet legaal "zaken" met ingezetenen kunt doen. Op 1 oktober vorig jaar waarschuwde de US overheid hier expliciet voor. In bijv. https://www.darkreading.com/risk/us-treasurys-ofac-ransomware-advisory-navigating-the-gray-areas/a/d-id/1339394 kun je hier meer over lezen. Een stukje tekst dat zij aanhaalden:
Companies that facilitate ransomware payments to cyber actors on behalf of victims, including financial institutions, cyber insurance firms, and companies involved in digital forensics and incident response, not only encourage future ransomware payment demands but also may risk violating OFAC regulations.
Hoe ver de Amerikaanse arm in dit geval reikt weet ik niet, maar ook Nederland zal een lijst van landen hebben waar je niet zomaar "zaken" mee mag doen. Het gaat ten slotte om geld dat in handen van vaak ongrijpbare criminelen valt, die dat kunnen gebruiken voor zaken die, voor westerse landen, nog schadelijker zijn dan ransomware.
21-04-2021, 18:10 door Anoniem
big oopsscity
21-04-2021, 19:41 door Anoniem
https://tweakers.net/nieuws/180794/data-ict-bedrijf-managed-it-was-versleuteld-met-bitlocker-en-losgeld-is-betaald.html
21-04-2021, 20:51 door Anoniem
Op tweakers staat dat de ICT omgeving versleuteld was met jawel.... Bitlocker.
Wat hierboven werd gerept is ineens heel goed mogelijk..."Ze hebben de sleutel gejat."
En... Losgeld betaald.

bron:https://tweakers.net/nieuws/180794/data-ict-bedrijf-managed-it-was-versleuteld-met-bitlocker-en-losgeld-is-betaald.html
21-04-2021, 21:30 door Erik van Straten
Dank voor de link!

In januari zijn systemen van het CHwapi ziekenhuis in Doornik (België) naar verluidt eveneens met Bitlocker versleuteld door een ransomware-gang, aldus https://www.bleepingcomputer.com/news/security/chwapi-hospital-hit-by-windows-bitlocker-encryption-cyberattack/ (Tweakers berichtte daar toen ook over zonder "Bitlocker" te noemen: https://tweakers.net/nieuws/176956/ransomware-legt-belgisch-ziekenhuis-voor-een-groot-deel-lam.html).

BleepingComputer kreeg een e-mail (in gebrekkig Engels, maar dat hoeft niks te zeggen) van de kennelijke aanvallers. Ook vermeldt het BleepingComputer artikel:
This group states that they are not part of a Ransomware-as-a-Service (RaaS) and do not steal or leak data.
Ik heb natuurlijk geen idee of het bij Managed IT om dezelfde aanvallers gaat, noch of hun statement t.a.v. het kopiejatten van bestanden (nog) klopt.
21-04-2021, 22:22 door Anoniem
met Bitlocker versleuteld door een ransomware
Nog even en minister grapperwaus gaat suggereren dat een verbod op Bitlocker een goed idee is.
22-04-2021, 03:57 door Anoniem
Als het bedrijf al Bitlocker had kun je met de juiste permissies de key veranderen. Indien alle systemen een Windows Pro versie draaien kun je Bitlocker ook zelf uitrollen maar het versleutelen van de drive duurt wel een poosje. Voor servers meestal geen probleem gezien de uptime. Totdat er een keer een urgente update voorbij komt, dan heb je een half versleutelde drive :-)

Er zijn publiek hier wel scripts voor te vinden. Ik zag alleen wel dat de GUI wat waarschuwingen geeft dus die heb ik in de prive versie verwijderd. Nu hou je alleen Eventviewer messages over en merk je voor de rest pas iets van Bitlocker na een reboot.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.