Hotel betaalt cybercriminelen na vergrendelen sleutelsysteem
Een Oostenrijks hotel heeft cybercriminelen omgerekend 1500 euro in bitcoin betaald nadat het sleutelsysteem door ransomware was vergrendeld en gasten niet meer hun kamers in konden. Volgens het hotel was het al drie keer eerder door cybercriminelen aangevallen, maar wisten ze nu het sleutelsysteem uit de lucht te halen.
Naast het sleutelsysteem werden ook andere hotelkamers en het reserverings- en uitchecksysteem door de ransomware getroffen, aldus de Osterreichischer Wirtschaftsverlag. "We moesten door de zure appel heen bijten. Het hotel was volgeboekt met 180 gasten en de gasten konden niet in hun kamer", zo laat hoteldirecteur Christoph Brandstaetter tegenover de Kronen Zeitung weten. De ransomware wist de server van het hotel waarschijnlijk te infecteren nadat een werknemer een kwaadaardige e-mailbijlage had geopend die zich voordeed als telefoonrekening.
Brandstaetter vertelt echter aan The Local dat de aanvallers bij de eerdere aanvallen een backdoor hadden achtergelaten en op die manier het systeem opnieuw probeerden aan te vallen. Het hotel is van plan om bij een volgende renovatie de digitale sloten door echte deursloten te vervangen.
https://www.bleepingcomputer.com/news/security/ransomware-infects-electronic-door-locking-system-at-austrian-hotel/
"Wir mussten in den sauren Apfel beißen und bezahlen. Wir waren mit 180 Gästen völlig ausgebucht, und die Urlauber kamen nicht mehr in ihre abgesperrten Zimmer", berichtet der Hotelier Christoph Brandstätter.
Of hij is een beetje Trumpiaans (vandaag iets beweren en morgen ontkennen) of de betreffende journalist kletst uit zijn nek door een quote aan te halen.
eentje om in te kaderen, dit. Er zullen er nog veel volgen.
Als dit principe bij wijze van ludieke edoch burgerbeschermende variant zou worden toegepast met een tijdsspannen van de maanden tot en met de beëdiging van een nieuwe besluitclub.
Alle deuren van kabinet en tweede kamer tot die tijd even op slot.
Omdat helder denken en besluiten vormen er niet meer in zit ten tijde van hijgende verkiezingsparingsrituelen.
Stop de verdere onnodige bevlekking van besluitvormingszetels, alle deuren preventief op slot.
Inclusief alle kluizen en kredieten, opdat er niet stiekem tussentijds betaald wordt.
eentje om in te kaderen, dit. Er zullen er nog veel volgen.
Zeker niet.
Dan krijgen zij, en hun gasten, ook weer alle problemen terug van hotels met analoge sleutels en moedersleutel systemen .
De mogelijkheid van automatische sleutel-invalidatie, persoonlijke sleutels met meer of minder privileges, audit trails, het (in principe) niet kopieerbaar zijn van sleutels [iig voor gebruik na verloop van de gestelde verblijftijd] , het ontbreken van de mogelijkheid om op basis van een beperkt-privilege sleutel een hoog-privilege sleutel af te leiden en tenslotte de verwaarloosbare kosten van de individuele sleutels zijn echt enorme voordelen van digitale sleutels in een hotel (of bedrijfs) setting.
Je moet echt veel verder denken dan je eigen huissleutel voor de vraag "wat is er mis met een mechanisch sloten _systeem_ " .
eentje om in te kaderen, dit. Er zullen er nog veel volgen.
Zeker niet.
Dan krijgen zij, en hun gasten, ook weer alle problemen terug van hotels met analoge sleutels en moedersleutel systemen .
De mogelijkheid van automatische sleutel-invalidatie, persoonlijke sleutels met meer of minder privileges, audit trails, het (in principe) niet kopieerbaar zijn van sleutels [iig voor gebruik na verloop van de gestelde verblijftijd] , het ontbreken van de mogelijkheid om op basis van een beperkt-privilege sleutel een hoog-privilege sleutel af te leiden en tenslotte de verwaarloosbare kosten van de individuele sleutels zijn echt enorme voordelen van digitale sleutels in een hotel (of bedrijfs) setting.
Je moet echt veel verder denken dan je eigen huissleutel voor de vraag "wat is er mis met een mechanisch sloten _systeem_ " .
eentje om in te kaderen, dit. Er zullen er nog veel volgen.
Zeker niet.
Dan krijgen zij, en hun gasten, ook weer alle problemen terug van hotels met analoge sleutels en moedersleutel systemen .
De mogelijkheid van automatische sleutel-invalidatie, persoonlijke sleutels met meer of minder privileges, audit trails, het (in principe) niet kopieerbaar zijn van sleutels [iig voor gebruik na verloop van de gestelde verblijftijd] , het ontbreken van de mogelijkheid om op basis van een beperkt-privilege sleutel een hoog-privilege sleutel af te leiden en tenslotte de verwaarloosbare kosten van de individuele sleutels zijn echt enorme voordelen van digitale sleutels in een hotel (of bedrijfs) setting.
Je moet echt veel verder denken dan je eigen huissleutel voor de vraag "wat is er mis met een mechanisch sloten _systeem_ " .
Maar zo eenvoudig is het niet altijd, ik heb zelf ransomware meegemaakt bij een hotel die hetzelfde is overkomen. Alleen maakten zij een backup van alle bestanden. De PC schonen en de backup terugzetten en het probleem is over.
Wat vaak gebeurt is dat bij de receptie van een hotel een reserveringssysteem staat waar ook reserveringen via e-mail binnenkomen, daar zitten ook PDFjes bij. Een keer niet opletten en die balie PC waar ook sleutels worden geautoriseerd raakt besmet met ransomware. De database waar alle sleutels in staan wordt dan tevens encrypted. Het gevolg is dat bestaande geautoriseerde en uitgegeven sleutels geen problemen hebben, alleen de sleutel applicatie werkt niet meer. Dus er kunnen geen nieuwe sleutels worden uitgegeven. (en je reserverings systeem is mogelijk ook encrypted, wat nog erger is)
Er is eigenlijk maar 1 oplossing, isoleer de sleutel registratie PC van Internet, echter dat betekent een extra PC op de balie, die toch al beperkt is qua ruimte. Of een virtueel iets, een logisch gescheiden oplossing. Vergeet ook niet bewustwording van medewerkers.
.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
