image

Gemeente Dronten haalt systemen offline wegens ransomware

vrijdag 30 september 2016, 08:16 door Redactie, 25 reacties

De gemeente Dronten heeft gisteren alle systemen na een ransomware-infectie offline gehaald, zo heeft de gemeente via Facebook bekendgemaakt. De ransomware zorgde ervoor dat een aantal bestanden op netwerkschijven van de gemeente Dronten verloren zijn gegaan.

"Het lijkt er op dit moment op dat de kernapplicaties niet zijn aangetast", aldus de verklaring. Doordat de gemeente de systemen heeft platgelegd kan het echter zijn dat afspraken of producten die gisteren zijn aangevraagd via de website niet zijn doorgekomen. Inwoners die donderdagmiddag- of avond een dergelijke aanvraag hebben gedaan, wordt aangeraden hun aanvraag nog een keer te doen wanneer de digitale dienstverlening dat weer toe laat.

Volgens de gemeente zijn er op dit moment geen aanwijzingen dat informatie is gelekt of gestolen. De gemeente richt zich nu op het zo snel mogelijk herstellen van de gevolgen en het weer in de lucht brengen van de dienstverlening. Volgens het laatste bericht op Facebook is het op dit moment niet mogelijk om via dronten.nl producten aan te vragen of afspraken te maken.

Reacties (25)
30-09-2016, 08:40 door Anoniem
Toch mooi dat op de privacy statement pagina staat:
De gegevens worden anoniem opgeslagen en er worden geen "tracking cookies" van andere partijen gebruikt.
En dat er toch Google Analytics op de pagina zetten...

https://www.dronten.nl/mozard/!suite86.scherm0325?mVrg=1082

Het zal nog lang duren voordat Gemeentes het snappen...

TheYOSH
30-09-2016, 08:58 door linuxpro
We voegen Dronten toe aan de lijst met gemeentes die hun zaakjes niet op orde hebben. Proficiart.
30-09-2016, 09:16 door [Account Verwijderd] - Bijgewerkt: 30-09-2016, 09:16
Door linuxpro: We voegen Dronten toe aan de lijst met gemeentes die hun zaakjes niet op orde hebben. Proficiart.

Professionele reactie hoor!
Inmiddels is binnen de IT sector wel duidelijk dat Ransomware werkelijk the Pain in the Arse voor iedereen kan zijn; van dom tot intelligent, en hier hebben we weer een 'pro' met een 'intelligent' statement die waarschijnlijk overtuigd is van het feit dat het hem nooit zal overkomen.
Neen, inderdaad het is te hopen van niet - werkelijk - maar je verdient wèl dat anderen dan ook leedvermaak om je 'stront' hebben.
30-09-2016, 09:54 door Anoniem
@Aha: Gelukkig dat de azijnpissers hier zelf onkwetsbaar zijn ;)
30-09-2016, 10:02 door Anoniem
Kan gebeuren. [url=https://www.security.nl/posting/422471/Ransomware+verstoorde+dienstverlening+Dronten]Je zou echter denken dat een ezel zich niet twee keer stoot aan dezelfde steen.[/url]
30-09-2016, 10:24 door Anoniem
Alweer?!
https://www.security.nl/posting/422471/Ransomware+verstoorde+dienstverlening+Dronten
30-09-2016, 11:21 door Anoniem
Door Aha:
Door linuxpro: We voegen Dronten toe aan de lijst met gemeentes die hun zaakjes niet op orde hebben. Proficiart.

Professionele reactie hoor!
Inmiddels is binnen de IT sector wel duidelijk dat Ransomware werkelijk the Pain in the Arse voor iedereen kan zijn; van dom tot intelligent, en hier hebben we weer een 'pro' met een 'intelligent' statement die waarschijnlijk overtuigd is van het feit dat het hem nooit zal overkomen.
Neen, inderdaad het is te hopen van niet - werkelijk - maar je verdient wèl dat anderen dan ook leedvermaak om je 'stront' hebben.
Jij moet de politiek in met je wollig gelul.
30-09-2016, 12:11 door Anoniem
Nou, ik was de poster niet, maar het is duidelijk dat anno 2016 je gewoon simpelweg 'lusers' niet EN aan internet EN aan je lokale netwerk tegelijk kunt koppelen.

De meeste gemeente netwerken, om een analogie te gebruiken die waarschijnlijk nergens op slaat, zorgen ervoor dat je met je huidige vriendin een condoom gebruikt, maar bij de hoeren gewoon lekker onbeschermde sex doet en alleen vraagt of ze wel 'clean' zijn... (ja, net zo clean als die andere 150 mannen die eroverheen zijn gegaan die dag)...

Met andere woorden, inmiddels mogen gebruikers nergens meer bij op het lokale netwerk (onder het mom 'need to access'), maar ze kunnen rondhoeren op internet zo veel ze willen...
waarom heb je dan nog uberhaupt beveiliging?

Het is 2016... iets aan internet hangen moet je behandelen als iets wat aids heeft en jij overal wondjes.
Een werkplek die op internet kan, is een magneet voor allerlei shit... Zeker bij gemeenten... Die (uit eigen ervaring bij 30+ gemeenten) lusers hebben echt de hele dag geen bal te doen, behalve hun eigen 'stapeltje papier' bewaken... roepen dat ze omkomen in het werk maar dat werk is letterlijk 6 uur facebooken, 1 uur 'kuch kuch werken', en 1 uur roken, koffie drinken of ouwehoeren met collega's die ze niet via facebook konden bereiken.
30-09-2016, 12:14 door Anoniem
Dronten meldt vandaag dat de digitale dienstverlening weer in de lucht is.
https://www.dronten.nl/mozard/!suite05.scherm1070?mNwb=1407&mNwc=21
30-09-2016, 12:19 door Happy Linux User
Helaas zijn wij als bedrijf ook één keer getroffen.
Ik moet toegeven, de mails worden steeds beter en kan ook begrijpen, dat de "gemiddelde" gebruiker in het magazijn een link aan klikt als het van een vervoerder is.

Besmette bestanden weggooien en back-up terug zetten is helaas de enige oplossing.
Je kunt hooguit een dag kwijt zijn.

Als je ook een thuis/werk server hebt, dan kun je deze shit nog enigszins voorkomen, door geen driveletters (maak gebruik van een URL link op je dekstop) te maken naar je netwerkdrive. Zover ik tot nu toe gezien heb gaan ze alleen de driveletters langs en daar waar je rechten hebt wordt om zeep geholpen.

Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?
30-09-2016, 12:43 door Anoniem
Het worden getroffen door ransomware is niet meteen een teken van incompetentie. Phishing mails worden steeds realistischer en zijn niet meer te vergelijken met die van de prins van Nigerië...

Het niet op orde hebben van een duidelijk disaster recovery plan, is dat wel.
30-09-2016, 12:59 door Anoniem
Door Vriendje: Helaas zijn wij als bedrijf ook één keer getroffen.
Ik moet toegeven, de mails worden steeds beter en kan ook begrijpen, dat de "gemiddelde" gebruiker in het magazijn een link aan klikt als het van een vervoerder is.

Besmette bestanden weggooien en back-up terug zetten is helaas de enige oplossing.
Je kunt hooguit een dag kwijt zijn.

Als je ook een thuis/werk server hebt, dan kun je deze shit nog enigszins voorkomen, door geen driveletters (maak gebruik van een URL link op je dekstop) te maken naar je netwerkdrive. Zover ik tot nu toe gezien heb gaan ze alleen de driveletters langs en daar waar je rechten hebt wordt om zeep geholpen.

Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?
Het beste wapen tegen ransomware is inderdaad de schone kopie.
Dat betekent dus: elke dag kopieën maken en testen of de kopieën werken.
Krijg je te maken met een ransomware besmetting, dan isoleer je het systeem ogenblikkelijk van het netwerk, daarna een clean-install. Daarna alle patches c.q. updates ophalen en kopieën terugzetten.
30-09-2016, 13:10 door Anoniem
Door Vriendje: Helaas zijn wij als bedrijf ook één keer getroffen.
Ik moet toegeven, de mails worden steeds beter en kan ook begrijpen, dat de "gemiddelde" gebruiker in het magazijn een link aan klikt als het van een vervoerder is.

Besmette bestanden weggooien en back-up terug zetten is helaas de enige oplossing.
Je kunt hooguit een dag kwijt zijn.

Als je ook een thuis/werk server hebt, dan kun je deze shit nog enigszins voorkomen, door geen driveletters (maak gebruik van een URL link op je dekstop) te maken naar je netwerkdrive. Zover ik tot nu toe gezien heb gaan ze alleen de driveletters langs en daar waar je rechten hebt wordt om zeep geholpen.

Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?

Ja Vriendje, zorg dat je je systemen goed patched. Het gros van de huidige ransomware maakt gebruik van bestaande kwetsbaarheden. Waar particulieren zelf hun patching vrij snel kunnen realiseren, schort het bij bedrijven nogal eens aan een effectief patch beleid.
30-09-2016, 13:38 door Anoniem
Door Vriendje:
Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?

Je kunt het heel simpel oplossen met een AppLocker policy die verbiedt dat er software wordt uitgevoerd in op zijn
minst het gebruikersprofiel maar liefst ook in de voor de gebruiker schrijfbare locaties op het netwerk en de lokale schijf.

Onnodig te melden dat de gebruiker NIET als administrator werkt op het werkstation maar als een ordinary user.

Het "aanklikken van een link of bijlage in de mail of op een website" en daarmee een programma uitvoeren dat werkt
dan niet meer. Een exploit via Flash, Java, Silverlight gaat meestal meteen een exe programma downloaden en
uitvoeren en dat werkt dan ook niet meer.
30-09-2016, 16:02 door Anoniem
Door Anoniem: @Aha: Gelukkig dat de azijnpissers hier zelf onkwetsbaar zijn ;)

Het zijn scholieren die 4 uur per dag besteden aan het beheren van één enkele server waarop feitelijk geen werk gedaan wordt en waarmee ze alleen contact met al hun vrienden (2) hoeven te onderhouden.

Vanaf die positie is het makkelijk azijnpissen op ITers die honderden _werk_plekken moeten onderhouden waarop wel werk wordt gedaan - soms met suboptimale applicaties - , en mail/data moet binnenkomen van "overal" - als je achter info/vergunning/hr@gemeente zit bestaat het filter "drop onverwachte/ongevraagde mail van onbekenden en alle attachments" niet .

Er zijn echt wel eens grote instanties die hun IT inderdaad gewoon slecht doen, maar de typische hobbynerd moet een hoop leren hoe een echte baan met echte verantwoordelijkheid werkt. Stuurman, wal etc .
30-09-2016, 16:30 door Anoniem
Door Anoniem: Het worden getroffen door ransomware is niet meteen een teken van incompetentie. Phishing mails worden steeds realistischer en zijn niet meer te vergelijken met die van de prins van Nigerië...

Het niet op orde hebben van een duidelijk disaster recovery plan, is dat wel.

Een DRP kan juist bevatten dat alle belangrijke systemen offline gaan tot het probleem is opgelost. Daarna worden back-ups teruggezet, voor zover relevant. Vervolgens breng je alles gefaseerd weer in de lucht. Als ze aan het eind van de ochtend weer in de lucht waren, hebben ze het netjes gedaan.

Peter
30-09-2016, 18:50 door Anoniem
Door Anoniem:
Door Vriendje:
Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?

Je kunt het heel simpel oplossen met een AppLocker policy die verbiedt dat er software wordt uitgevoerd in op zijn
minst het gebruikersprofiel maar liefst ook in de voor de gebruiker schrijfbare locaties op het netwerk en de lokale schijf.

Onnodig te melden dat de gebruiker NIET als administrator werkt op het werkstation maar als een ordinary user.

Het "aanklikken van een link of bijlage in de mail of op een website" en daarmee een programma uitvoeren dat werkt
dan niet meer. Een exploit via Flash, Java, Silverlight gaat meestal meteen een exe programma downloaden en
uitvoeren en dat werkt dan ook niet meer.

En als Applocker niet mogelijk is, dan is er altijd nog Software Restriction Policy (SRP). Werkt ook prima. Als je Appdata daar inzet, wordt 90% al geblokt..
30-09-2016, 19:29 door Pandit
Door Anoniem:
Door Vriendje:
Dus zorg voor een goede back-up en goede rechten instellingen.
Probleem is dat virusscanners er niks mee doen, omdat het een link in de mail is (in ons geval office online). Op het moment dat het uitgevoerd wordt gaat deze naar een link op internet en dan ben je de sjaak.

Andere optie is als je geen zaken doet met Rusland, Oekraine deze landen te blokkeren in de firewall. Er waren nog wat landen waar deze bende vandaan komt.

Nog meer oplossingen?

Je kunt het heel simpel oplossen met een AppLocker policy die verbiedt dat er software wordt uitgevoerd in op zijn
minst het gebruikersprofiel maar liefst ook in de voor de gebruiker schrijfbare locaties op het netwerk en de lokale schijf.

Onnodig te melden dat de gebruiker NIET als administrator werkt op het werkstation maar als een ordinary user.

Het "aanklikken van een link of bijlage in de mail of op een website" en daarmee een programma uitvoeren dat werkt
dan niet meer. Een exploit via Flash, Java, Silverlight gaat meestal meteen een exe programma downloaden en
uitvoeren en dat werkt dan ook niet meer.

He he, eindelijk de juiste oplossing tegen ransomware. Voor homeusers en\of systemen die niet in een domein zitten kan je gebruik maken van cryptoprevent (https://www.foolishit.com/cryptoprevent-malware-prevention/)
30-09-2016, 21:32 door Anoniem
Door Anoniem:
En als Applocker niet mogelijk is, dan is er altijd nog Software Restriction Policy (SRP). Werkt ook prima. Als je Appdata daar inzet, wordt 90% al geblokt..

Applocker is gewoon de nieuwe naam voor Software Restriction Policy. Het hangt van de Windows versie af welke je hebt.
30-09-2016, 22:03 door Happy Linux User
Dank voor de aanvullingen.

En uiteraard hebben de gebruikers geen adminrechten ;-) Dat zou wat wezen zeg :-)
Met z'n allen komen we er wel.

En voor de mensen die het hebben over incompetent e.d. Kom op zeg. Kun je echt verwachten van een gebruiker die zijn werk uitvoert heel gedetailleerd gaat zitten kijken naar de URL achter de link. De "gewone" gebruikers zijn daar niet mee bezig zoals wij.
En ja als systeem beheerder moet je daar zoveel mogelijk tegen wapenen, maar zoals ook een virusscanner, loop je altijd achter.
Voor pc's, laptops en servers kun je ook nog gebruik maken van DeepFreeze (http://www.faronics.com/en-uk/) Dit is ook geweldig, maar helpt niet tegen ransomware. Wel tegen virussen e.d. even een reboot en weg is het.
30-09-2016, 23:09 door SecGuru_OTX
Ik ken de situatie niet dus ik ga niet oordelen over de gemeente Dronten. Wat ik wel weet is dat het volledig voorkomen van "foute" bestanden openen niet mogelijk is. Daarnaast zijn er ook andere methodes om Ransomware binnen te halen en/of the activeren. (Ads, drive-by, malicious websites, exploits, etc)

Ik heb tot nu toe het "geluk" gehad veel succesvolle aanvallen te mogen onderzoeken.

De varianten die ik tot nu toe heb gezien en/of heb onderzocht hadden voorkomen kunnen worden door het nemen van de volgende maatregelen:

1a. Applicatie whitelisten (eigenlijk het belangrijkste)
De meeste varianten zijn uiteindelijk "gewoon" programma's die door "gewone" gebruikers(geen admins) binnen de userspace geinstalleerd kunnen worden. D.m.v. App whitelisten kun je dit alsnog voorkomen.
Indien volledig app whitelisten te moeilijk is en/of een te groot project is, blokkeer dan in ieder geval alle executables en scripts binnen de temp/download folders.

1b. user rechten
Maak nooit gebruik van admin of power user rechten wanneer je gebruik maakt van Intermet of e-mail

1c. Internet met admin rechten
Blokkeer admin en power user accounts naar het internet.

2. Extensies van e-mail bijlages blokkeren
Blokkeer alle varianten van executables en scripts op de e-mail gateways

3. Show file extensions
Zet deze optie aan zodat een gebruiker kan herkennen dat het b.v. om een exe gaat. Ik heb veel xyz.pdf.exe Ransomware gezien.

4. Block TOR
Veel varianten maken gebruik van TOR t.b.v. call back(C2) om encryptie sleutels op te halen. Als ze de C2 niet kunnen benaderen dan kan er ook niet worden versleuteld.

5. Gebruik een Adblocker

6. Uiteraard altijd up-to-date software....

7. Maak gebruik van een Anti Malware/Anti Exploit product
Naast AV ook b.v. HitmanPro.Alert, Sophos InterceptX, Malwarebytes Endpoint Security

8. Firewall met url/webfiltering die vooral focused op connecties die van binnenuit worden opgezet

9. Macros
Blokkeer macros en/of accepteer alleen gesigneerde macros


Wil je het maximale en heb je een flink budget:

10. IPS
Zowel op netwerk als op hosts

11. Firewall met Threat Prevention techniek en meerdere threat intelligence feeds

12. Sandbox techniek
Voornamelijk voor Office en PDF bestanden
(maak wel gebruik van een Sandbox VM waarbij er standaard al 10 eerder geopende bestanden in de recent docs staan, er zijn nieuwe ransomware varianten die dit controleren)

13. DNS
Maak gebruik van een publieke DNS provider met Threat Intelligence. Ik heb zelf goede ervaringen met OpenDNS Umbrella, zeker na de overname door Cisco en de samenwerking met Cisco AMP.

14. Vulnerability management
Maak b.v. gebruik van Qualys of Nessus incl. host agent om je kwetsbaarheden op te sporen, te prioriteren en te verhelpen


Maar... belangrijkste maatregelen tegen ransomware blijven toch echt Applicatie Whitelisten en afnemen van admin en power user rechten.
01-10-2016, 10:37 door [Account Verwijderd]
[Verwijderd]
03-10-2016, 10:55 door Anoniem
Is er ook een site waar meer informatie te vinden is over type, bron, kenmerken, hoe binnen gekomen e.d. zodat we daar extra op alert kunnen zijn?
03-10-2016, 16:52 door SecGuru_OTX
Door Anoniem: Is er ook een site waar meer informatie te vinden is over type, bron, kenmerken, hoe binnen gekomen e.d. zodat we daar extra op alert kunnen zijn?

Dit is alles wat we tot nu toe weten:

"Een medewerker heeft per ongeluk geklikt op een link een een spam-mailtje. Zo’n mail die iedereen wel eens krijgt”, legt de woordvoerder uit aan Omroep Flevoland. Deze mail is overigens wel binnengekomen op het e-mailadres van de medewerker bij de gemeente Dronten, en niet op zijn privé-mailadres. Ook benadrukt de woordvoerder dat er geen losgeld is betaald"
05-10-2016, 13:15 door Anoniem
Door Anoniem:
Door Aha:
Door linuxpro: We voegen Dronten toe aan de lijst met gemeentes die hun zaakjes niet op orde hebben. Proficiart.

Professionele reactie hoor!
Inmiddels is binnen de IT sector wel duidelijk dat Ransomware werkelijk the Pain in the Arse voor iedereen kan zijn; van dom tot intelligent, en hier hebben we weer een 'pro' met een 'intelligent' statement die waarschijnlijk overtuigd is van het feit dat het hem nooit zal overkomen.
Neen, inderdaad het is te hopen van niet - werkelijk - maar je verdient wèl dat anderen dan ook leedvermaak om je 'stront' hebben.
Jij moet de politiek in met je wollig gelul.

Wat is er wollig aan? Ik vind em nogal duidelijk - of je er mee eens bent of niet. En met deze mate van duidelijkheid kom je niet heel ver in de politiek - tenzij je trump heet - maar das weer een hele andere discussue
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.