image

Ransomware infecteert computers Rijkswaterstaat

vrijdag 20 maart 2015, 20:34 door Redactie, 10 reacties

Bij Rijkswaterstaat is een onbekend aantal computers besmet geraakt door crypto-ransomware die allerlei bestanden voor losgeld versleutelt. Om hoeveel machines het gaat en wat de schade precies is, is onbekend, maar uit informatie waar Tweakers over beschikt zou het om een flinke aanval gaan.

Ook is onduidelijk hoe de computers geïnfecteerd raakten. De overheidsinstelling zou medewerkers inmiddels waarschuwen om geen linkjes en bijlagen in e-mails te openen. Eenmaal actief kan crypto-ransomware bestanden op de computer en netwerkschijven versleutelen. Voor het ontsleutelen moet worden betaald. Of Rijkswaterstaat heeft betaald of over actuele back-ups beschikte is ook niet bekend.

Eerder deze week werd bekend dat computers van de gemeenten Lochem en Dronten met ransomware besmet waren geraakt. Vorige week was het raak bij de Vrije Universiteit in Amsterdam, waar 200 computers geïnfecteerd werden. Afgelopen maandag werd bekend dat tientallen bedrijven in Nederland door ransomware waren getroffen, waarvan er 25 uiteindelijk het gevraagde losgeld betaalden om hun bestanden terug te krijgen.

Reacties (10)
20-03-2015, 21:00 door Eric-Jan H te D
Godzijdank geen Westerstorm bij het springtij van vandaag. Hoeven ze de Maeslantkering tenminste niet uit te varen.
20-03-2015, 21:11 door Anoniem
Gelukkig geen cryptomalware voor linux en apple.
21-03-2015, 14:23 door Anoniem
Bij RWS werkt iedereen op een VDI systeem. (enkele systemen daargelaten natuurlijk - denk aan de gele bootjes).
De besturingen gaan natuurlijk via aparte systemen en kunnen altijd nog handmatig bediend worden. Dus zou geen enkele invloed moeten hebben voor de echte veiligheid. Besmetting is op KA systemen.
21-03-2015, 14:47 door ph-cofi
Door Anoniem: Gelukkig geen cryptomalware voor linux en apple.
Welke Nederlandse overheidsorganisatie gebruikt die op de desktop, dan? We kunnen nog veel meer pret verwachten bij onze gemeentes, die uit de aard van hun werk bijlages in e-mails van burgers moeten openen. Zolang hun MS software zo comfortabel geen bestandsextensies toont en EXE's vanuit Outlook opstart, blijft dit feest doorgaan. Waarschijnlijk is ook de MS desktop zo in te richten dat ze niet gelijk kwetsbaar zijn, maar wie begint de settings eens voor te schrijven?

Ik denk dan aan:
- alle extensies tonen
- geen software installatie voor PC gebruikers (als dat dicht te timmeren is)
- geen software opstarten vanuit Outlook
- Outlook laten controleren dat maildomeinen overeenkomen met de getoonde domeinen op het scherm (weet niet goed hoe ik dit moet uitdrukken)
- beter nog: geen outlook gebruiken of alleen via een browser (helpt dat?)
- Geen Adobe reader maar iets anders dat PDFs kan tonen, tenzij de unieke Adobe functionaliteit nodig is (digitaal onderteken en in archiefformaat schrijven)
- backups bijhouden die niet realtime worden gedupliceerd
- help, wat hoort hier nog meer bij gegeven dat wijd verbreide MS desktops in Nederland?
21-03-2015, 17:52 door Anoniem
14:23 door Anoniem
Door Anoniem: Bij RWS werkt iedereen op een VDI systeem. (enkele systemen daargelaten natuurlijk - denk aan de gele bootjes).
De besturingen gaan natuurlijk via aparte systemen en kunnen altijd nog handmatig bediend worden. Dus zou geen enkele invloed moeten hebben voor de echte veiligheid. Besmetting is op KA systemen.

En daar maak je een zeer belangrijke denkfout.
Iemand die op een VDI werkt, heeft nog steeds zijn documenten op een share staan (home dir enz.)
Als de gebruiker bijv. een word document kan aanmaken of wijzigen, dan kan die ransomware dat ook.
Als de gebruiker uit en in logt en hij krijgt een nieuwe VDI, dan is het virus wel weg, maar zijn bestanden nog steeds ge-encript.

Mensen, die crypto-ransomeware is op dit moment volgens mij de grootste dreiging op dit moment. Een virusscanner ziet het (meestal) niet. Ik heb ook voorgesteld op de zaak om, de attachment filter aan te passen om ook password-protected zip files te blokkeren.....
22-03-2015, 09:04 door Anoniem
Door Anoniem: 14:23 door Anoniem
Door Anoniem: Bij RWS werkt iedereen op een VDI systeem. (enkele systemen daargelaten natuurlijk - denk aan de gele bootjes).
De besturingen gaan natuurlijk via aparte systemen en kunnen altijd nog handmatig bediend worden. Dus zou geen enkele invloed moeten hebben voor de echte veiligheid. Besmetting is op KA systemen.

En daar maak je een zeer belangrijke denkfout.
Iemand die op een VDI werkt, heeft nog steeds zijn documenten op een share staan (home dir enz.)
Als de gebruiker bijv. een word document kan aanmaken of wijzigen, dan kan die ransomware dat ook.
Als de gebruiker uit en in logt en hij krijgt een nieuwe VDI, dan is het virus wel weg, maar zijn bestanden nog steeds ge-encript.

Mensen, die crypto-ransomeware is op dit moment volgens mij de grootste dreiging op dit moment. Een virusscanner ziet het (meestal) niet. Ik heb ook voorgesteld op de zaak om, de attachment filter aan te passen om ook password-protected zip files te blokkeren.....

Ik maak geen denkfout, ik vergat aan te geven dat het een reactie was op het eerste bericht over de kering. Al neem jij een schijf of dropbox oid vol met virussen mee, je krijgt het niet voor elkaar om die systemen die voor keringen, tunnels, bruggen, wegen etc gebruikt worden daarmee te besmetten.

Let wel, ik heb geen hoge pet op van de it bij diverse overheidsinstanties, maar Rijkswaterstaat kan je daar niet zomaar mee vergelijken.

Trouwens, het is wel degelijk mogelijk dat ik op een vdi systeem mijn bestandjes met bijv word wel mag bewerken maar niet met een willekeurig ander proces. Dus je opmerking gaat ook daar mank. Je kan niets over de situatie zeggen als je niet weet hoe hert er staat en hoe het ingericht is.

En de voorstellen van attachments scan en block gebeurde al lang. En ik kan dat weten. Wat hier de echte oorzaak van het probleem is, is dat beleidsmakers en managers mogen beslissen over it security terwijl ze er geen kaas van gegeten hebben.

Security doe je goed OF niet, er is geen middenweg. Onze overheid moest bezuinigen en dan ga je al je it weer insourcen. Vervolgens komen er beheerders die prima met de techniek overweg kunnen maar niet het totaalplaatje zien. Dat is hen niet aan te rekenen, wel de minister.
23-03-2015, 07:50 door Anoniem
Door Anoniem: Gelukkig geen cryptomalware voor linux en apple.
.

Slaap lekker verder.
24-03-2015, 01:37 door Eric-Jan H te D
Door Anoniem:De besturingen gaan natuurlijk via aparte systemen en kunnen altijd nog handmatig bediend worden.

Ik waag te betwijfelen of de besturing voor de keringen volledig losgekoppeld is van de rest van VenW. Daarnaast meen ik begrepen te hebben dat de besturing van de keringen zo complex is dat handmatig sluiten nagenoeg onmogelijk is.
24-03-2015, 12:00 door SecOff
Door Anoniem: Gelukkig geen cryptomalware voor linux en apple.
Synolocker: https://www.security.nl/posting/397543/Synolocker
25-03-2015, 13:12 door Anoniem
Door Anoniem: Gelukkig geen cryptomalware voor linux en apple.
In ieder geval geen bekende Ransomware voor Linux en Apple. Maar dat weet je natuurlijk nooit zeker.
Komt bij dat deze OS-en een vals gevoel van veiligheid creëren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.