image

KPN Security deelt data over ransomware-infecties met politie en FBI

dinsdag 30 november 2021, 17:15 door Redactie, 12 reacties

KPN Security deelt realtime data over ransomware-besmettingen met de Nederlandse politie en buitenlandse opsporingsdiensten zoals de FBI, zo laat het bedrijf zelf weten. Het gaat onder andere om data over de REvil-ransomware, waar het bedrijf in 2019 voor het eerst onderzoek naar deed.

"We kwamen erachter dat REvil bij een bepaalde configuratie statistieken verzendt naar een lange lijst met domeinnamen”, vertelt beveiligingsonderzoeker Jordi Scharloo. “Waarschijnlijk gebruikt de REvil-bende deze functie om het overzicht te behouden en voor de afdracht van commissies. In de lijst stonden allerlei websites, waarvan een deel niet eens geregistreerd was."

KPN Security registreerde deze domeinen waarop mondjesmaat informatie vanaf besmette systemen binnendruppelde. Deze informatie was alleen versleuteld. De ip-adressen waarvandaan de informatie afkomstig was maakte het echter mogelijk om REvil-infecties vroegtijdig te signaleren. Zo konden bedrijven ingrijpen voordat de ransomware geactiveerd werd.

In eerste instantie waarschuwde KPN Security zelf een aantal Nederlandse bedrijven die met de ransomware waren besmet. “Maar dat was tijdrovend en voelde een beetje als dweilen met de kraan open. Bovendien ontvingen we ook veel informatie over buitenlandse organisaties die KPN Security niet kennen. Daarom besloten we de samenwerking te zoeken met het Team High Tech Crime van de Nederlandse politie. Via hen kwamen we in contact met Europol en buitenlandse opsporingsdiensten zoals de FBI", merkt Scharloo op.

Inmiddels is er sprake van een structurele samenwerking waarbij er realtime data over REvil-besmettingen met opsporingsdiensten wordt gedeeld. "Op deze manier krijgen de diensten een beeld van de omvang van het probleem. Daarnaast kunnen ze bedrijven in een vroegtijdig stadium waarschuwen en zo de impact van een aanval beperken", stelt Scharloo. De onderzoeker is positief over de samenwerking met politie. "We horen regelmatig dat een buitenlandse opsporingsdienst met behulp van onze data een grootschalige besmetting heeft weten te voorkomen."

Reacties (12)
30-11-2021, 19:35 door Anoniem
Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.
01-12-2021, 00:49 door Anoniem
Door Anoniem: Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.

Lekker makkelijk, Microsoft de schuld geven, terwijl de meeste ransomeware via social engineering op PC's terecht komt.
Niet via een lek maar simpelweg fout klikgedrag.
01-12-2021, 05:36 door Anoniem
Door Anoniem: Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.
Je hebt het hier over een groot ransomware netwerk, niet een willekeurig blabla excuus (i.e. terrosime/KP): de dreiging en het risico is erg concreet. Beter zou zijn als men de C&C servers over kon nemen, maar dit is in mijn ogen "as good as it gets" in deze situatie.
01-12-2021, 08:28 door Anoniem
Door Anoniem: Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.
Wat een kul commentaar. Hier wordt gezorgd dat criminelen hun werk niet kunnen doen, door informatie die zij zelf lekken, door te geven. Het heeft niets met Microsoft te maken en ook niets met sleepnetten o.i.d. en is een heel valide initiatief. En nog eens een keer voor alle "Microsoft is slecht"-roepers: Op Android wordt ook van alles uitgevreten en dat is gebaseerd op Linux/Unix, dus wanneer iets voldoende verspreid is, is het interessant. En nee, de mogelijkheid om de source te bekijken, wil niet zeggen dat die veiliger is. Niet iedereen kan dat en er bestaat het risico, dat men aanneemt dat "iemand anders" dat wel zal reviewen. Dan blijkt dat die ander een crimineel is en zijn de rapen gaar.
01-12-2021, 09:50 door walmare - Bijgewerkt: 01-12-2021, 09:51
Door Anoniem:
Door Anoniem: Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.
Wat een kul commentaar. Hier wordt gezorgd dat criminelen hun werk niet kunnen doen, door informatie die zij zelf lekken, door te geven. Het heeft niets met Microsoft te maken en ook niets met sleepnetten o.i.d. en is een heel valide initiatief. En nog eens een keer voor alle "Microsoft is slecht"-roepers: Op Android wordt ook van alles uitgevreten en dat is gebaseerd op Linux/Unix, dus wanneer iets voldoende verspreid is, is het interessant. En nee, de mogelijkheid om de source te bekijken, wil niet zeggen dat die veiliger is. Niet iedereen kan dat en er bestaat het risico, dat men aanneemt dat "iemand anders" dat wel zal reviewen. Dan blijkt dat die ander een crimineel is en zijn de rapen gaar.
Je kan van alles roepen en aannemen maar 95% van de ransomware incidenten zijn windows gebaseerd en 2% Android, terwijl android een veel groter marktaandeel heeft!
Laten we het even bij de feiten houden. Windows is een ransomware magneet volgens onderzoek: https://www.windowscentral.com/windows-ransomware-magnet-according-new-virustotal-report
01-12-2021, 13:19 door Anoniem
Door walmare:
Door Anoniem:
Door Anoniem: Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.
Wat een kul commentaar. Hier wordt gezorgd dat criminelen hun werk niet kunnen doen, door informatie die zij zelf lekken, door te geven. Het heeft niets met Microsoft te maken en ook niets met sleepnetten o.i.d. en is een heel valide initiatief. En nog eens een keer voor alle "Microsoft is slecht"-roepers: Op Android wordt ook van alles uitgevreten en dat is gebaseerd op Linux/Unix, dus wanneer iets voldoende verspreid is, is het interessant. En nee, de mogelijkheid om de source te bekijken, wil niet zeggen dat die veiliger is. Niet iedereen kan dat en er bestaat het risico, dat men aanneemt dat "iemand anders" dat wel zal reviewen. Dan blijkt dat die ander een crimineel is en zijn de rapen gaar.
Je kan van alles roepen en aannemen maar 95% van de ransomware incidenten zijn windows gebaseerd en 2% Android, terwijl android een veel groter marktaandeel heeft!
Laten we het even bij de feiten houden. Windows is een ransomware magneet volgens onderzoek: https://www.windowscentral.com/windows-ransomware-magnet-according-new-virustotal-report

En dat heeft veel meer met het Target te maken dan met het OS. Een individuele smartphone-eigenaar levert minder op dan wanneer een bedrijfsnetwerk wordt plat gelegd. Bovendien is de maatschappelijke verontwaardiging stukken minder als wanneer je veel mensen direct treft.
Samenvattend: Wat levert het meeste op met het minste gezichtsverlies.
01-12-2021, 14:20 door Anoniem
Ik ben blij dat KPN deze stap heeft (kunnen) zetten. Dit is iets wat ik altijd wenste.

Succes Jordi, goed werk.

Ik hoop dat het vruchten gaat opleveren.


M.v.g.

TC
01-12-2021, 18:32 door Anoniem
Door Anoniem: Ik ben blij dat KPN deze stap heeft (kunnen) zetten. Dit is iets wat ik altijd wenste.

Succes Jordi, goed werk.

Ik hoop dat het vruchten gaat opleveren.


M.v.g.

TC
Laaghangend fruit wellicht. Groetjes van tante Corrie.
01-12-2021, 19:45 door Anoniem
Door Anoniem:
Door walmare:
Door Anoniem:
Door Anoniem: Lekker is dat. Omdat microsoft dus nog steeds geen fatsoenlijke software kan maken, wordt er vanalles aan iedereen verstrekt. Maar het is vast goed tegen terrorisme of KP, dus is het goed zo.
Wat een kul commentaar. Hier wordt gezorgd dat criminelen hun werk niet kunnen doen, door informatie die zij zelf lekken, door te geven. Het heeft niets met Microsoft te maken en ook niets met sleepnetten o.i.d. en is een heel valide initiatief. En nog eens een keer voor alle "Microsoft is slecht"-roepers: Op Android wordt ook van alles uitgevreten en dat is gebaseerd op Linux/Unix, dus wanneer iets voldoende verspreid is, is het interessant. En nee, de mogelijkheid om de source te bekijken, wil niet zeggen dat die veiliger is. Niet iedereen kan dat en er bestaat het risico, dat men aanneemt dat "iemand anders" dat wel zal reviewen. Dan blijkt dat die ander een crimineel is en zijn de rapen gaar.
Je kan van alles roepen en aannemen maar 95% van de ransomware incidenten zijn windows gebaseerd en 2% Android, terwijl android een veel groter marktaandeel heeft!
Laten we het even bij de feiten houden. Windows is een ransomware magneet volgens onderzoek: https://www.windowscentral.com/windows-ransomware-magnet-according-new-virustotal-report

En dat heeft veel meer met het Target te maken dan met het OS. Een individuele smartphone-eigenaar levert minder op dan wanneer een bedrijfsnetwerk wordt plat gelegd. Bovendien is de maatschappelijke verontwaardiging stukken minder als wanneer je veel mensen direct treft.
Samenvattend: Wat levert het meeste op met het minste gezichtsverlies.
Nee hoor. Feit blijft staan niet je mening. Een Linux server is als target veel interessanter omdat daar de kroonjuwelen liggen (zie o.a. Maastricht ) en toch 0% ransomware incidenten.
02-12-2021, 08:54 door _R0N_
Door Anoniem:
Nee hoor. Feit blijft staan niet je mening. Een Linux server is als target veel interessanter omdat daar de kroonjuwelen liggen (zie o.a. Maastricht ) en toch 0% ransomware incidenten.

Een Linux server is geheel niet interessant, Linux servers zijn stand-alone dus verder dan die ene server kom je niet.
Een Windows netwerk is vaak groter en ontregelt vaker de bedrijfsvoering.

Feit is dat ransomware meestal door gebruikers wordt geïntroduceerd op een netwerk van waaruit het zich kan verspreiden op plekken waar die gebruiker rechten heeft. Geeft meteen te denken dat een aanval bij Mediamarkt bijvoorbeeld veroorzaakt is door een beheerder en niet door een kassiere (om maar wat te noemen).
Ook stat vast dat ransomware op Linux meestal wel via een lek geïntroduceerd wordt, lekken met remote code execution in combinatie met verhoogde rechten. Maar dan nog is de impact van een encrypted Linux server veel kleiner.
02-12-2021, 21:51 door Anoniem
Door _R0N_:
Door Anoniem:
Nee hoor. Feit blijft staan niet je mening. Een Linux server is als target veel interessanter omdat daar de kroonjuwelen liggen (zie o.a. Maastricht ) en toch 0% ransomware incidenten.

Een Linux server is geheel niet interessant, Linux servers zijn stand-alone dus verder dan die ene server kom je niet.
Een Windows netwerk is vaak groter en ontregelt vaker de bedrijfsvoering.

Feit is dat ransomware meestal door gebruikers wordt geïntroduceerd op een netwerk van waaruit het zich kan verspreiden op plekken waar die gebruiker rechten heeft. Geeft meteen te denken dat een aanval bij Mediamarkt bijvoorbeeld veroorzaakt is door een beheerder en niet door een kassiere (om maar wat te noemen).
Ook stat vast dat ransomware op Linux meestal wel via een lek geïntroduceerd wordt, lekken met remote code execution in combinatie met verhoogde rechten. Maar dan nog is de impact van een encrypted Linux server veel kleiner.
Je weet helemaal niet waar je over praat. Hier staan veel Oracle databases op een Linux server in een windows netwerk!
Of te wel kroonjuwelen. De hele (supply chain) monitoring draait onder Linux om die windows servers en desktops te montoren. zijn ook kroonjuwelen. Juist een windows desktop is niet interessant omdat daar geen data op staat maar veroorzaken wel 99% van de incidenten.
08-12-2021, 11:29 door [Account Verwijderd] - Bijgewerkt: 08-12-2021, 11:52
Door Anoniem:
Door _R0N_:
Door Anoniem:
Nee hoor. Feit blijft staan niet je mening. Een Linux server is als target veel interessanter omdat daar de kroonjuwelen liggen (zie o.a. Maastricht ) en toch 0% ransomware incidenten.

Een Linux server is geheel niet interessant, Linux servers zijn stand-alone dus verder dan die ene server kom je niet.
Een Windows netwerk is vaak groter en ontregelt vaker de bedrijfsvoering.

Feit is dat ransomware meestal door gebruikers wordt geïntroduceerd op een netwerk van waaruit het zich kan verspreiden op plekken waar die gebruiker rechten heeft. Geeft meteen te denken dat een aanval bij Mediamarkt bijvoorbeeld veroorzaakt is door een beheerder en niet door een kassiere (om maar wat te noemen).
Ook stat vast dat ransomware op Linux meestal wel via een lek geïntroduceerd wordt, lekken met remote code execution in combinatie met verhoogde rechten. Maar dan nog is de impact van een encrypted Linux server veel kleiner.
Je weet helemaal niet waar je over praat. Hier staan veel Oracle databases op een Linux server in een windows netwerk!
Of te wel kroonjuwelen. De hele (supply chain) monitoring draait onder Linux om die windows servers en desktops te montoren. zijn ook kroonjuwelen. Juist een windows desktop is niet interessant omdat daar geen data op staat maar veroorzaken wel 99% van de incidenten.

Precies! Stel je voor dat de Linux servers van Google zouden worden gehackt, waarop al die gebruikersdata van Android telefoons staan. Over kroonjuwelen gesproken. Dat is natuurlijk ook waarom Microsoft zelf Linux gebruikt voor de servers waarop de gebruikersdata van Office 365, etc. staan. Ze kunnen het risico niet lopen om zelf hun eigen besturingssysteemsoftware voor lichte consumententoepassingen voor dergelijke gevoelige data te gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.