Ransomware besmette 900 computers metro San Francisco
Een omvangrijke besmetting van 900 computers door ransomware heeft de metro van San Francisco alleen al aan gemiste kaartverkopen 50.000 dollar gekost. Vorige week raakten verschillende interne computersystemen besmet nadat een werknemer waarschijnlijk een besmette bijlage had geopend.
Hierdoor lieten de kaartautomaten de melding "You Hacked, ALL Data Encrypted" zien. Doordat er geen kaartjes meer konden worden gekocht werd besloten reizigers vorige week zaterdag gratis te laten reizen, waardoor de San Francisco Municipal Transportation Agency (SFTMA) 50.000 dollar aan inkomsten misliep. De aanvaller achter de ransomware liet in een reactie weten dat het niet om een gerichte aanval ging en stelde dat de systemen besmet waren geraakt door een werknemer die illegale software probeerde te downloaden.
SFGate meldt dat de infectie zich voordeed nadat een werknemer een e-mailbijlage, pop-up of link had geopend. In totaal raakten 900 computers met de ransomware besmet en toonden een bericht dat er 100 bitcoin moest worden betaald. Met de huidige wisselkoers is dat zo'n 72.000 euro. De SFTMA besloot het gevraagde losgeld echter niet te betalen. Via back-ups konden de besmette computers weer worden hersteld. De infectie deed zich op vrijdag 25 november voor. Drie dagen laten op maandag 28 november waren alle systemen weer operationeel.
Volgens het Japanse anti-virusbedrijf Trend Micro gaat het zeer waarschijnlijk om een versie van de HDDCryptor-ransomware die voor het eerst in september verscheen. Deze ransomware versleutelt de volledige harde schijf, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf waardoor het systeem niet meer start.
En verderop:
Ik denk eerder dat de redactie een engelse tekst te letterlijk vertaald heeft en er niet aan gedacht dat afgelopen zaterdag nu een heel andere dag is dan in de originele tekst.
http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/
http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/
Dat ze iedereen vrijgesteld hebben van dat kaartautomaat gebruik is netjes als beleid. Ze hadden ook kunnen zeggen uw heeft nog tegoed betaal maar gewoon. Kunt u dat niet dan kunnen we altijd nog beboeten. Zoiets is de NL aanpak.
http://www.sfexaminer.com/alleged-muni-hacker-demands-73000-ransom-computers-stations-restored/
Ik kan je uit ervaring vertellen (jaren lang in de OV-chipkaart ellende gewerkt), dat op 1 OV aanbieder na in Nederland ook alle TVM's gewoon op Windows draaien en kortweg "RUK" beveiligd zijn.
Het zou me voor geen meter verbazen als de automaten ook gewoon de Sjaak waren.....
Dat betekent niet dat ze gehacked zijn. Als je het artikel in de link gelezen had, wist je dat de ticket automaten door het personeel inactief gemaakt zijn. Dit omdat men niet kon uitsluiten dat deze gecompromitteerd waren.
Er was de eerste dag niet bekend of deze apparaten ook getroffen zijn. Het Out of Service bericht op die schermen is er in elk geval omdat ze door het personeel uitgezet zijn en niet vanwege de hack. Hetzelfde geldt voor de open poortjes.
Dat betekent niet dat ze gehacked zijn. Als je het artikel in de link gelezen had, wist je dat de ticket automaten door het personeel inactief gemaakt zijn. Dit omdat men niet kon uitsluiten dat deze gecompromitteerd waren.
....
Er moet een boodschap ergens op een scherm verschenen zijn. Waar en hoe is niet gemeld. Zou het op een betaalautomaat zijn dan zou er vast foto's van rondgaan. Dat dat niet is gebeurt geeft aan dat het elders zat.
Betaalautomaten worden slecht geüpdatet. Daar staat tegenover dat de fysieke beveiliging veel aandacht krijgt. Het maakt ze minder kwetsbaar voor cyberaanvallen.
Als er wat fout gaat dan moet je de servers die die dingen beheren.
Tvm's is wat anders, daar gaat niet direct betalingsverkeer over.
http://www.sfexaminer.com/hacked-appears-muni-stations-fare-payment-system-crashes/
For example, if the certification document indicates that your product is certified for installation on 32-Bit Oracle Linux 5, this document should be used to verify that your Oracle Linux 5 system has met the required minimum specifications, like disk space, available memory, specific platform packages and patches, and other operating system-specific items.
Oracle heeft sun overgenomen en verkoopt die dozen met de hel Stack van hardware tot applicatie.
Als je de omgeving van Oracle kent zijn dat gewoonlijk rode linux doosjes.
Dat er daar vandaan ander machines aangevallen worden is een tweede derde of andere vervolgstap.
Ik vind het eerder een zeperd: die houding als je andere machines kan vinden waar je een hekel aan hebt dan moet het daaraan liggen.
Anlyseren van secùrity en bedreigingen is alle mogelijkheden open houden ook hetgeen waar je zelf aan gehecht bent.
Voor deze aanval weblogic de fail met doorbreken isolatie zones. Dat is het.
Dat de slachtoffers Windows machines zijn is het resultaat.
Vergelijk het met bacteriën virussen in de levende wereld. Het is beter besmettingshaarden uit te roeien dan iedereen resistent zien te krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
