Amerikaanse politie betaalt losgeld na ransomware-infectie
Een Amerikaans politiebureau heeft ruim 450 euro losgeld betaald aan de makers van de Cryptowall-ransomware om bestanden terug te krijgen die door de malware waren versleuteld. Volgens een rechercheur van het Sheriff Office in Dickson County raakt een politiecomputer eind oktober via een advertentiebanner besmet met Cryptowall.
Dit is een vorm van ransomware die bestanden op de computer voor losgeld versleutelt. In dit geval werd een map met politiezaken versleuteld. "Elk soort document dat voor een onderzoek kon worden gemaakt bevond zich in die map. Het ging in totaal om 72.000 bestanden", aldus rechercheur Jeff McClisse tegenover WTVF-TV.
"Hoewel een aanzienlijk deel van de versleutelde data op de rapportagemanagementserver kon worden hersteld via back-ups, waren er nog steeds zo'n 72.000 bestanden op het werkstation getroffen", voegt de sheriff toe. De malware op het werkstation zou zich vervolgens via het netwerk hebben verspreid en de managementserver en aangesloten schijven hebben versleuteld.
Betalen
De sheriff nam contact op met experts van de FBI en het leger, maar die waren het erover eens dat betalen van het losgeld de enige manier was om de bestanden terug te krijgen. Uiteindelijk werd besloten om het gevraagde losgeld in bitcoins te betalen. Het ging om een bedrag van 457 euro. "Ik ben dankbaar dat ze niet meer vroegen", aldus de sheriff tegenover de Dickson Herald. Het is niet de eerste keer dat een Amerikaans politiebureau met ransomware geïnfecteerd raakt en het gevraagde losgeld betaalt. Vorig jaar november kwam dit ook al een keer voor.
of is het uitschrijven van bekeuringen daar nu ook prioriteit geworden?
maar onder beveiliging hoort,
omgaan met een pc, dus wat wel en niet mag(dus beveiliging),
en bijna niemand houd zich hier aan.
Als admin werken,
illegale software,
op bedrijven werken als admin,
op bedrijven gewoon alle software installeren die men wilt, zonder toestemming/kontrole van it afdeling.
Raar dat het kan gebeuren.
Een andere manier was het gebruik van data recovery. Cryptowall maakt een kopie van je bestanden, welke vervolgens worden geencrypt, en de originele worden gewist. Met een undelete aktie, of programma als Easy Recovery, had men de documenten waarschijnlijk gratis kunnen herstellen.
Ik ben overigens benieuwd hoeveel inhoudelijke technische kennis deze "FBI experts" hebben op het gebied van Cryptowall en andere ransomware. Misschien dat de Sheriff volgende keer op zoek kan gaan naar mensen die wel verstand van zaken hebben.
...
Raar dat het kan gebeuren.
Er is een agent / burger, die met een niet up-to-date systeem kan surfen / mailen. Dat systeem is vervolgens aangesloten op het interne netwerk. Dat interne netwerk kan vervolgens (onbeperkt) benaderd worden door die eerder genoemde agent met z'n pc'tje.
Kortom, iemand die niet weet waar hij/zij mee bezig is, op een systeem dat niet goed is beveiligt en onvoldoende wordt onderhouden, waarmee zowel met het WWW als het interne netwerk verbinding kan worden gemaakt. Het feit dat er blijkbaar niet voldoende back-ups zijn, is te triest voor woorden.
Dus nee, dit kan niet zomaar even iedereen overkomen, een systeembeheerder moet willens en wetens schijt hebben aan z'n werk om dit te kunnen laten gebeuren door een onnozele gebruiker.
Huidige cryptware overschrijft de gewiste bestanden met nullen om maar wat te noemen.
Tevens is het betalen van die Bitcoin een stuk sneller en voordeliger dan data recovery, mits ze de correcte sleutel krijgen.
Maar al onze data is veilig bij de overheid hoor!
Cryptowall maakt een kopie van je bestand, en gooit daar encryptie over heen. De originele bestanden -in originele staat- worden met een delete aktie verwijderd. Indien het je lukt om met een recovery tool je bestanden terug te halen, dan is de data gered. Daarnaast zal je natuurlijk de Cryptowall malware zelf van je systeem moeten verwijderen.
Je opmerking m.b.t. garanties begrijp ik niet; wil jij je data bij een ransomware incident niet recoveren, omdat dat geen garantie geeft tegen dit soort malware in de toekomst ?
Overigens geeft het betalen van de crimineel je nog veel minder garanties voor de toekomst; je zal vast op een lijst komen van betalende slachtoffers; het is immers voor hen interessant om die mensen in de toekomst gericht weer te bestoken Met ransomware.
"Tevens is het betalen van die Bitcoin een stuk sneller en voordeliger dan data recovery, mits ze de correcte sleutel krijgen."
Jij vindt het ''gemakkelijker en voordeliger'' om een crimineel te betalen dan om een data recovery tooltje te installeren en te gebruiken ? Overigens zijn er genoeg gratis open source data recovery tools beschikbaar; dat is toch wel ietsje voordeliger dan het betalen aan de crimineel.
Daarnaast wil ik dat principieel niet. Al geef ik direkt toe dat die principes weinig waard zijn indien je complete bedrijfsadministratie bijvoorbeeld is gekaapt, zolang je geen decryptie mogelijkheden hebt,
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
