image

"Veel slachtoffers van ransomware beschikken over betrouwbare back-ups"

dinsdag 20 juli 2021, 11:25 door Redactie, 14 reacties

Veel bedrijven en organisaties die slachtoffer van ransomware worden beschikken over betrouwbare back-ups, maar besluiten uiteindelijk toch het gevraagde losgeld te betalen omdat niemand binnen de organisatie heeft getest hoelang het terugzetten van de data duurt. Dat stelt Fabian Wosar, chief technology officer van antivirusbedrijf Emsisoft.

"In veel gevallen beschikken bedrijven over back-ups, maar hebben ze nooit eerder geprobeerd om hun netwerk vanaf back-ups te herstellen, en hebben dus geen idee hoelang het duurt", aldus Wosar tegenover it-journalist Brian Krebs. "Opeens ziet het slachtoffer dat ze petabytes aan data via het internet moeten herstellen, en beseffen ze dat zelfs met hun snelle verbinding het drie maanden gaat duren om alle back-upbestanden te downloaden."

Volgens Wosar maken veel automatiseringsafdelingen geen berekening hoelang het duurt op basis van de beschikbare bandbreedte om data te herstellen. Een ander veelvoorkomend probleem is dat bedrijven wel over off-site, versleutelde back-ups beschikken, maar de decryptiesleutel op het door ransomware getroffen netwerk stond, en daardoor niet meer is te gebruiken. Daarnaast komt het ook voor dat aanvallers de back-ups weten te corrumperen, maar dat is volgens Wosar een uitzondering.

"Helaas komt het vrij vaak voor dat er in de één of andere vorm back-ups aanwezig zijn en deze drie redenen voorkomen dat ze kunnen worden gebruikt", zo stelt de Emsisoft-CTO. Daar komt bij dat veel organisaties de afhankelijkheden binnen hun netwerken niet kennen en zo niet weten in welke volgorde systemen moeten worden hersteld. Wosar adviseert organisaties dan ook om een "playbook" op te stellen waarin staat wat er moet worden gedaan om van een ransomware-aanval te herstellen.

Reacties (14)
20-07-2021, 11:46 door Anoniem
Yep, dit is één van de meest voorkomende missers die zich - zeker bij grote organisaties - voordoet.

Ander veel voorkomend probleem is dat recovery nooit getest wordt. Vaak omdat er geen omgevingen beschikbaar zijn om recovery buiten de productie te testen. Dit testen kost 'klauwen met geld' en levert op het eerste gezicht weinig op. Veel organisaties 'hopen' dat recovery werkt als ze het nodig hebben.
20-07-2021, 11:51 door Erik van Straten
Steeds vaker kopiejatten de daders eerst vertrouwelijke gegevens en dreigen die te publiceren (en/of te gebruiken voor aanvallen op de klanten van het slachtoffer) als zij niet betaald worden. Ook komen (D)DoS aanvallen op -nog live- systemen voor.

Als je weinig tijd hebt (wie niet) zou ik voorrang geven aan maatregelen om te proberen indringers, en vooral "lateral movement" door je netwerk, te voorkomen - maar dat laatste in elk geval te detecteren (om daar natuurlijk onmiddellijk actie op te nemen).

Nb. de Mespinoza ransomware-groep lijkt recentelijk nog een stapje verder te gaan: zij zouden in bestanden zoeken naar aanwijzingen voor- of bewijs van wetsovertredingen en dreigen die openbaar te maken als je niet betaalt.

Bronnen voor laatstgenoemde:
https://unit42.paloaltonetworks.com/gasket-and-magicsocks-tools-install-mespinoza-ransomware/
https://www.theregister.com/2021/07/15/mespinoza_ransomware_profile/
https://www.zdnet.com/article/this-ransomware-gang-hunts-for-evidence-of-crime-to-pressure-victims-into-paying-a-ransom/
20-07-2021, 11:54 door Anoniem
#1 Hoe kun je weten dat je backups niet besmet zijn?
#2 Hoe kun je petabytes aan backup hebben over een lijntje van 4Mbps ?
#3 Hoe kun je petabyte aan backup hebben en er nooit aan gedacht hebben hoe je dat ooit terug krijgt naar een (nieuwe) server? waar staat je backup dan?

In het verleden heb ik wel ooit mensen die backup admins waren geholpen door de initiele backup via laptop te doen. Ik was dan in bijvoorbeeld Hong Kong, Stockholm of Milton Keynes and maakte dan een pre-backup via de laptop die dan ingelezen werd in de echte backup zodat alleen de delta's nog gedaan hoefde te worden.

Dat is an sich natuurlijk al een teken dat de je de capaciteit niet hebt om goed te backuppen. Maar in principe kan het ook andersom. initiele restore en dan de delta's van de afgelopen dagen terug.
20-07-2021, 12:03 door Anoniem
"In veel gevallen beschikken bedrijven over back-ups, maar hebben ze nooit eerder geprobeerd om hun netwerk vanaf back-ups te herstellen, en hebben dus geen idee hoelang het duurt", aldus Wosar tegenover it-journalist Brian Krebs. "Opeens ziet het slachtoffer dat ze petabytes aan data via het internet moeten herstellen, en beseffen ze dat zelfs met hun snelle verbinding het drie maanden gaat duren om alle back-upbestanden te downloaden."
Dat is iets waar ik als particulier aan gedacht heb toen ik ooit overwoog of cloud-backups iets voor me waren. Op basis van een simpele speedtest-uitkomst en de omvang van de data (veel foto's in raw-formaat) constateerde ik dat ik in het gunstigste geval twee weken aan het downloaden zou zijn. Cloud-backups waren meteen geen optie meer voor me. Kennelijk zijn er bedrijven met petabytes aan data wiens ICT-mensen allemaal niet op het idee komen dat rekensommetje te maken. Ik vind dat ernstig.

Een ander veelvoorkomend probleem is dat bedrijven wel over off-site, versleutelde back-ups beschikken, maar de decryptiesleutel op het door ransomware getroffen netwerk stond, en daardoor niet meer is te gebruiken.
En ook dat is ernstig. Het is basale logica dat een backup terugzetten typisch gebeurt omdat je het origineel niet meer tot je beschikking hebt, en dat het vermogen om backups terug te zetten dus nooit van zijn leven afhankelijk mag zijn van dat origineel. Dit is zoiets als jezelf in een hoek schilderen, of de tak waarop je zit afzagen tussen jezelf en de stam.

Afgemeten naar wat nodig is om ICT in goede banen te leiden is dit allebei ronduit dom te noemen.

Wat is hier aan de hand? Is ons denken zo versnipperd geraakt door smartphones, sociale media, direct bereikbaar moeten zijn etc. dat we massaal niet meer in staat zijn om scenario's door te nemen om te zien wat ermee mis kan gaan? Of passen we ICT inmiddels zo grootschalig toe dat er domweg niet meer genoeg mensen beschikbaar zijn die het benodigde denkniveau aankunnen?
20-07-2021, 12:30 door Anoniem
Door Anoniem: Wat is hier aan de hand? Is ons denken zo versnipperd geraakt door smartphones, sociale media, direct bereikbaar moeten zijn etc. dat we massaal niet meer in staat zijn om scenario's door te nemen om te zien wat ermee mis kan gaan? Of passen we ICT inmiddels zo grootschalig toe dat er domweg niet meer genoeg mensen beschikbaar zijn die het benodigde denkniveau aankunnen?

Ik denk dat mensen te verwend geraakt zijn.
Alles kan tegenwoordig online, dus backups dan ook maar.
Consequenties van zo'n keuze zijn bij de beslissers niet altijd helder, of ze vertrouwen teveel op de adviseur/verkoper.

En vaak is ICT niet hun core-business. Dus een ander (externe, commercieel bedrijf) moet het maar uitvogelen.
Echter, als de rapen gaar zijn, dan moet je als bedrijf maar zien wat dat advies waard is in de praktijk.

Nu komen bedrijven daar dus achter. :-)
20-07-2021, 12:38 door Anoniem
Door Anoniem:
"..., en hebben dus geen idee hoelang het duurt"...."
Dat is iets waar ik als particulier aan gedacht heb toen ik ooit overwoog of cloud-backups iets voor me waren. Op basis van een simpele speedtest-uitkomst en de omvang van de data (veel foto's in raw-formaat) constateerde ik dat ik in het gunstigste geval twee weken aan het downloaden zou zijn. Cloud-backups waren meteen geen optie meer voor me. Kennelijk zijn er bedrijven met petabytes aan data wiens ICT-mensen allemaal niet op het idee komen dat rekensommetje te maken. Ik vind dat ernstig.

En dan is het voor jouw foto's waarschijnlijk niet eens een ramp dat je twee weken moet downloaden. Als het om een omgeving gaat waar bedrijfsproductie van afhankelijk is, dan wordt je niet blij van twee (of meer) weken downtijd.

Het grote verschil tussen jouw thuisorganisatie en een (grote) bedrijfsmatige omgeving, is overzicht over het geheel. Jij weet thuis precies wat je hebt en kan integraal naar een probleem kijken. In de meeste grote bedrijven is dat helaas niet zo georganiseerd. Die hebben weinig integraal beeld is op de situatie.

Budgetten en verantwoordelijkheden zijn niet centraal belegd, maar liggen bij vele verschillende afdelingen. Systemen wordt projectmatig (of Agile) gebouwd en doorontwikkeld en niemand kijkt integraal naar het IT landschap.
Als je voor een specifiek bedrijfssysteem verantwoordelijk bent, je hebt je backup keurig off-site staan en >1Gbps verbinding liggen, dan is er ogenschijnlijk geen vuiltje aan de lucht. Maar als vervolgens alle bedrijfssystemen moet gaan herstellen, dan is die >1Gbps verbinding veel te krap.
20-07-2021, 12:41 door MathFox
Even voor mezelf een rekensommetje maken: Ik heb Gbit ethernet naar mijn lokale backupserver, die doet ~ 100MB/sec, oftewel een GB kost ~10s. Dat is 10.000 seconden voor een TB, ongeveer 3 uur. Ik maak een selectieve backup en accepteer dat ik (gedownloade) data kwijtraak, dus met een 100MB aan data per PC ben ik er wel.
20-07-2021, 13:06 door Anoniem
Door Anoniem:
"In veel gevallen beschikken bedrijven over back-ups, maar hebben ze nooit eerder geprobeerd om hun netwerk vanaf back-ups te herstellen, en hebben dus geen idee hoelang het duurt", aldus Wosar tegenover it-journalist Brian Krebs. "Opeens ziet het slachtoffer dat ze petabytes aan data via het internet moeten herstellen, en beseffen ze dat zelfs met hun snelle verbinding het drie maanden gaat duren om alle back-upbestanden te downloaden."
Dat is iets waar ik als particulier aan gedacht heb toen ik ooit overwoog of cloud-backups iets voor me waren. Op basis van een simpele speedtest-uitkomst en de omvang van de data (veel foto's in raw-formaat) constateerde ik dat ik in het gunstigste geval twee weken aan het downloaden zou zijn. Cloud-backups waren meteen geen optie meer voor me. Kennelijk zijn er bedrijven met petabytes aan data wiens ICT-mensen allemaal niet op het idee komen dat rekensommetje te maken. Ik vind dat ernstig.

Ik snap je keuze toch niet echt . Waarom is twee weken restore voor jou als particulier onoverkomelijk ?

Wat is er met je particuliere foto's dat je daar bij een totaal verlies weer binnen een dag bij moet zijn ?

Het enorme voordeel van cloud store is dat het meteen off-site is . Als je aan het backuppen bent (ook) tegen een disaster (brand/bliksem/inbraak) - moet je zorgen dat je backups niet dicht in de buurt staan van de primaire data .
Of je neemt de gok dat brand (of een rivier in de kelder waar je backup nas stond) niet gebeurt - het _is_ inderdaad zeldzaam, meestal.

Het is _enorm_ gekloothannes om regelmatig doosjes bij vriendjes neer te zetten en te wisselen .
Die regelmaat gaat er snel uit , en de frequentie/recentheid van de off-site backups is dan ook niet heel hoog.

Verder is het "normale" gebruik van backups natuurlijk een heel partiele restore - verkeerde folder weggegooid e.d.
Daarvoor is on line snel genoeg.
20-07-2021, 13:15 door Anoniem
Door Anoniem:
Het grote verschil tussen jouw thuisorganisatie en een (grote) bedrijfsmatige omgeving, is overzicht over het geheel. Jij weet thuis precies wat je hebt en kan integraal naar een probleem kijken. In de meeste grote bedrijven is dat helaas niet zo georganiseerd. Die hebben weinig integraal beeld is op de situatie.

Budgetten en verantwoordelijkheden zijn niet centraal belegd, maar liggen bij vele verschillende afdelingen. Systemen wordt projectmatig (of Agile) gebouwd en doorontwikkeld en niemand kijkt integraal naar het IT landschap.

Dit heb ik inderdaad zelf in ons bedrijf voor eigen ogen zien gebeuren. Ooit hadden we alles in eigen beheer, alles onsite,
en was de backup prima geregeld en wisten we wat en hoe we zouden moeten restoren. Maar toen kwam het moderne
management wat alles "in de cloud" wilde, de snelle jongens die ons daarbij wel even zouden gaan helpen, en brok voor
brok overhevelden naar allerlei externe diensten (zoals Office365, Sharepoint online, Exchange online, en allerlei
in de cloud gehoste applicaties). De verantwoordelijkheden in eigen bedrijf verplaatsten zich van IT mensen naar algemeen
management, de verkopers met hun mooie praatjes kregen hun zin, en nu weet er niemand meer hoe het hele systeem
in elkaar zit en wat eventueel de impact zou kunnen zijn van malware, dataverlies, wat er precies gebackupped wordt
en hoe lang, enz enz.
En dat terwijl het bedrijf kwa grootte niet eens veranderd is. Nu snap ik wel veel beter die problemen die je wel eens
leest, en die we vroeger nooit hadden. Het grote voordeel is dat ik er nu niet over hoef te piekeren wat er eventueel
verschrikkelijk fout zou kunnen gaan :-)
20-07-2021, 13:19 door Anoniem
Door Anoniem:
Een ander veelvoorkomend probleem is dat bedrijven wel over off-site, versleutelde back-ups beschikken, maar de decryptiesleutel op het door ransomware getroffen netwerk stond, en daardoor niet meer is te gebruiken.
En ook dat is ernstig. Het is basale logica dat een backup terugzetten typisch gebeurt omdat je het origineel niet meer tot je beschikking hebt, en dat het vermogen om backups terug te zetten dus nooit van zijn leven afhankelijk mag zijn van dat origineel. Dit is zoiets als jezelf in een hoek schilderen, of de tak waarop je zit afzagen tussen jezelf en de stam.

Afgemeten naar wat nodig is om ICT in goede banen te leiden is dit allebei ronduit dom te noemen.

Tja het grappige is natuurlijk dat dit een direct gevolg is van de drang om alles maar te encrypten. Toen we jaren geleden
nog backups op tape maakten waren die op zich niet encrypted, hooguit bepaalde gevoelige bestanden waren op disk
encrypted en dus ook op de backup. Maar ja dan zat je natuurlijk met het risico dat een tape gestolen werd.

Als je dan 100% focussed op dat risico en besluit om je backups te gaan encrypten, en natuurlijk niet met een wachtwoord
wat je ergens kunt bewaren op papier maar met moeilijke certificaten die je verplicht electronisch moet bewaren, dan
introduceer je het reeele risco dat je je data kwijt bent doordat je de sleutels kwijt bent. Afhankelijk van wat voor soort
data het om gaat kan dit veel ernstiger zijn.
20-07-2021, 15:23 door Anoniem
Ander veel voorkomend probleem is dat recovery nooit getest wordt.

Daar gaat dit artikel over....
21-07-2021, 04:42 door Anoniem
Die bedrijven zullen dan waarschijnlijk ook nooit onderzoeken waarom ze zoveel data backuppen. Deduplicatie en gebruikers opvoeden/beperken mwt quota kunnen wonderen doen mbt je benodigde backup capaciteit.

Het niet testen van recovery is wel ernstig. Dan weet je dus ook nooit of je backup uberhaupt de gegevens bevat die je nodig hebt.
21-07-2021, 08:08 door Anoniem
Door Anoniem: Dit heb ik inderdaad zelf in ons bedrijf voor eigen ogen zien gebeuren. Ooit hadden we alles in eigen beheer, [...] toen kwam het moderne management wat alles "in de cloud" wilde [...] en nu weet er niemand meer hoe het hele systeem in elkaar zit en wat eventueel de impact zou kunnen zijn van malware, dataverlies, wat er precies gebackupped wordt en hoe lang, enz enz.
Het trieste is dat degene op wie je antwoordde dat kennelijk vanzelf vindt spreken. Die beseft kennelijk niet hoeveel beter het wel degelijk kan.

Door Anoniem: Tja het grappige is natuurlijk dat dit een direct gevolg is van de drang om alles maar te encrypten.
Nee, het is het gevolg van niet nadenken bij wat men doet en niet begrijpen van waar men mee bezig is.

Je kan namelijk heel goed bedenken dat een encryptiesleutel net zo belangrijk is als alle gegevens die je alleen met die sleutel kan benaderen bij elkaar, zonder die sleutel ben je die gegevens immers kwijt. Je kan bedenken dat de situatie kan ontstaan dat je versleutelde backup alles is wat je nog hebt aan gegevens, dat is immers een van de redenen voor je backups. Je kan dan ook bedenken dat de encryptiesleutel van je backup, als de backup alles is wat je nog hebt, net zo belangrijk is als al je gegevens en dus beschikbaar moet zijn. En je kan bedenken dat die niet beschikbaar is als je alleen kopieën van de sleutel hebt die met zichzelf versleuteld zijn, en dus dat je bij het ontsleutelen een kopie nodig hebt die niet met zichzelf versleuteld is, want dan kan je niet bij de sleutel die je zo hard nodig hebt. Je moet dus over een kopie van je backupsleutel beschikken buiten de versleutelde backup om.

De logica die ik net heb opgeschreven is makkelijk genoeg om in een paar zinnen te noteren. Die bedenk je als je nadenkt over wat er mis kan gaan. En als je dat bedenkt dan kan je vervolgens nadenken over hoe je regelt dat die sleutel beschikbaar blijft. En je kan je erover laten adviseren.

Dit nadenken impliceert dat men binnen een organisatie voldoende moet begrijpen van de toegepaste technologie om die goed te kunnen gebruiken. Als je zoiets als encryptie van backups beschouwt als een vinkje dat je kan aanzetten waarmee dan op magische wijze alle risico's zijn ondervangen dan sla je iets heel belangrijks over. Je hoeft als automobilist niet te weten hoe het precies werkt onder de motorkap, maar je moet wel weten dat daar een motor zit en wat die doet voor je auto, net zoals je die kennis over het stuur en de remmen nodig hebt. Autorijden zonder dat basisbegrip is een recept voor ongelukken. Voor ICT-systemen en -infrastructuur geldt dat ook. Zelfs als je dat uitbesteedt kan je dat niet kennisloos doen, net zo goed als je nog steeds moet begrijpen hoe een auto werkt als je voor een leaseauto kiest. Zelfs als je openbaar vervoer neemt moet je er voldoende van weten om op je bestemming te kunnen aankomen. Het gaat niet zonder basiskennis en -begrip.

Wie het soort dingen waarvan ik opschreef dat je ze kan bedenken niet weet te bedenken, als dat nadenken niet lukt, dan ontbreekt het diegene kennelijk aan dat basisbegrip. Dan is de vraag niet meer of er ongelukken gebeuren maar wanneer ze gebeuren, want dan snapt men domweg niet voldoende waar me mee bezig is.

Het artikel, en de reacties erop, geven me de indruk dat de stand van zaken inderdaad zo abominabel slecht is in veel organisaties.
22-07-2021, 09:04 door Anoniem
Door Anoniem:
Door Anoniem: Dit heb ik inderdaad zelf in ons bedrijf voor eigen ogen zien gebeuren. Ooit hadden we alles in eigen beheer, [...] toen kwam het moderne management wat alles "in de cloud" wilde [...] en nu weet er niemand meer hoe het hele systeem in elkaar zit en wat eventueel de impact zou kunnen zijn van malware, dataverlies, wat er precies gebackupped wordt en hoe lang, enz enz.
Het trieste is dat degene op wie je antwoordde dat kennelijk vanzelf vindt spreken. Die beseft kennelijk niet hoeveel beter het wel degelijk kan.

Door Anoniem: Tja het grappige is natuurlijk dat dit een direct gevolg is van de drang om alles maar te encrypten.
Nee, het is het gevolg van niet nadenken bij wat men doet en niet begrijpen van waar men mee bezig is.

Je kan namelijk heel goed bedenken dat een encryptiesleutel net zo belangrijk is als alle gegevens die je alleen met die sleutel kan benaderen bij elkaar, zonder die sleutel ben je die gegevens immers kwijt. Je kan bedenken dat de situatie kan ontstaan dat je versleutelde backup alles is wat je nog hebt aan gegevens, dat is immers een van de redenen voor je backups. Je kan dan ook bedenken dat de encryptiesleutel van je backup, als de backup alles is wat je nog hebt, net zo belangrijk is als al je gegevens en dus beschikbaar moet zijn. En je kan bedenken dat die niet beschikbaar is als je alleen kopieën van de sleutel hebt die met zichzelf versleuteld zijn, en dus dat je bij het ontsleutelen een kopie nodig hebt die niet met zichzelf versleuteld is, want dan kan je niet bij de sleutel die je zo hard nodig hebt. Je moet dus over een kopie van je backupsleutel beschikken buiten de versleutelde backup om.

De logica die ik net heb opgeschreven is makkelijk genoeg om in een paar zinnen te noteren. Die bedenk je als je nadenkt over wat er mis kan gaan. En als je dat bedenkt dan kan je vervolgens nadenken over hoe je regelt dat die sleutel beschikbaar blijft. En je kan je erover laten adviseren.

Dit nadenken impliceert dat men binnen een organisatie voldoende moet begrijpen van de toegepaste technologie om die goed te kunnen gebruiken. Als je zoiets als encryptie van backups beschouwt als een vinkje dat je kan aanzetten waarmee dan op magische wijze alle risico's zijn ondervangen dan sla je iets heel belangrijks over. Je hoeft als automobilist niet te weten hoe het precies werkt onder de motorkap, maar je moet wel weten dat daar een motor zit en wat die doet voor je auto, net zoals je die kennis over het stuur en de remmen nodig hebt. Autorijden zonder dat basisbegrip is een recept voor ongelukken. Voor ICT-systemen en -infrastructuur geldt dat ook. Zelfs als je dat uitbesteedt kan je dat niet kennisloos doen, net zo goed als je nog steeds moet begrijpen hoe een auto werkt als je voor een leaseauto kiest. Zelfs als je openbaar vervoer neemt moet je er voldoende van weten om op je bestemming te kunnen aankomen. Het gaat niet zonder basiskennis en -begrip.

Wie het soort dingen waarvan ik opschreef dat je ze kan bedenken niet weet te bedenken, als dat nadenken niet lukt, dan ontbreekt het diegene kennelijk aan dat basisbegrip. Dan is de vraag niet meer of er ongelukken gebeuren maar wanneer ze gebeuren, want dan snapt men domweg niet voldoende waar me mee bezig is.

Het artikel, en de reacties erop, geven me de indruk dat de stand van zaken inderdaad zo abominabel slecht is in veel organisaties.

joh je hebt het over mangelment. vlug projectje hier scoren daar, snel weer weg voordat de scheiss begint te stinken. fatsoenlijk beheer en onderhoud, die mensen zijn alleen maar lastig en kosten geld, die vluge lift&shift naar de cloud die heeft eventjes in de boeken als winst gestaan en alles wat niet meer goed gaat daarna 'rest puntjes' en nog maar eens een opdracht aan externen. funny thing is dat als je nu de kosten van al die externen eens optelt en over de tijd bijhoud, dan was je natuurlijk veel beter uitgeweest als je je eigen personeel netjes in dienst hebt en die hun kennis up to date te houden. maarja, mangelment, ze snappen het alleen als het in een excel sheet vakje past. zolang daar die sturing zo er is, heeft het geen nut te eikelen over backups MFA en zo meer... vaak genoeg meegemaakt; men besluit eindelijk eens iets, maar oh resources? nee het moet er maar bij bij de organisatie. heel NL wordt zo gemangelt; kijk naar taken die politie, leger, leeraren, zorg etc. etc. etc. er steeds maar bij krijgen, maar geen personeel/centen extra oid. tja, dan gaan er bochjes gesneded worden en krijgen we een papieren wereld waar alles ok lijkt, maar in werkelijkheid is het een kaartenhuis. zolang consequenties van acties en besluiten niet op het plekje/bordje ligt daar waar ze genomen zijn, gaat er NIETS veranderen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.