Nieuws

Containerterminals Rotterdam getroffen door ransomware

dinsdag 27 juni 2017, 15:08 door Redactie, 15 reacties

Laatst bijgewerkt: 27-06-2017, 16:54

Zeventien containerterminals van APM in Rotterdam en andere delen van de wereld zijn getroffen door dezelfde ransomware die ook een Oekraïens mediabedrijf infecteerde. De website van APM Terminals geeft op het moment van schrijven een foutmelding.

Moederbedrijf Maersk bevestigt tegenover RTV Rijnmond dat er wereldwijd "computerproblemen" zijn. Op Twitter meldt het bedrijf dat sommige it-systemen uit de lucht zijn. Door de infectie zou het werk op de Maasvlakte sinds 13.20 uur stilliggen. Hieronder een screenshot van de melding die het Oekraïense mediabedrijf 24 vandaag op computers kreeg te zien en overeenkomt met de melding bij de terminals van APM. APM telt wereldwijd 64 containerterminals in 60 landen en heeft 20.000 werknemers.

Update

Op Hacker News meldt iemand die zegt een medewerker van Maersk te zijn dat het personeel de laptop niet mag starten en sommige afdelingen het personeel hebben gevraagd om morgen thuis te blijven.

Nieuwe rechtszaak over anoniem parkeren met contant geld

Oekraïense Bank waarschuwt voor aanval met onbekend virus

Reacties (15)

27-06-2017, 15:22 door Anoniem

Zijn er meer details bekend over welke (mogelijke) variant het gaat?

27-06-2017, 15:26 door linuxpro

Dat kost miljoenen, 20.000 man die niets zitten te doen. De eerste grote in Nederland was volgens mij Qpark maar dat is maar een kleintje vergeleken bij APM Maersk. Met een omzet van 30 miljard per jaar kost ze dat omgerekend ong. 3,5 miljoen per uur. Daar had je mooi je IT van op orde kunnen hebben... dure les.

27-06-2017, 15:35 door Anoniem

Door linuxpro: Daar had je mooi je IT van op orde kunnen hebben... dure les.

Dat is een voorbarige conclusie. Er bestaat zoiets als zero-days ook. Als dit een gerichte actie is, dan is de kans groot dat dit niet zomaar een zaakje is van "had je maar moet patchen 3 maanden geleden".

Ik mag voor de IT daar hopen dat dat niet is.

27-06-2017, 15:35 door SecGuru_OTX

Sample: https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
Petya Ransomware

27-06-2017, 15:38 door Anoniem

Geen leuke dag voor Maarten

27-06-2017, 15:39 door Anoniem

Als dit kan gebeuren (spam-attachment geopend op de centrale administratie, internet en buitenmail op de terminal?) heb je je IT zaakjes gewoon niet op orde.
Ransomware is niet van gisteren en ook niet van eergisteren.

27-06-2017, 15:43 door abj61 - Bijgewerkt: 27-06-2017, 15:43

"Dat kost miljoenen, 20.000 man die niets zitten te doen." 20.000 man is het hele personeelsbestand van APM. 17 van de 64 terminals liggen plat, er zit dus minder dan 20.000 man niks te doen

27-06-2017, 15:46 door SecGuru_OTX

Distributie lijkt vooralsnog via de EthernalBlue Exploit te gaan, maar dit is nog niet 100% zeker.

27-06-2017, 15:47 door [Account Verwijderd]

[Verwijderd]

27-06-2017, 15:52 door SecGuru_OTX

Bijgaand de analyse:

https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100

27-06-2017, 16:40 door Anoniem

Door Anoniem:

Door linuxpro: Daar had je mooi je IT van op orde kunnen hebben... dure les.

Uiteraard niet. Patchen is iets dat je sowieso zo snel mogelijk moet doen. Het gaan immers om bekende beveiligingsproblemen. Niet patchen, zonder mitigerende maatregelen, is een nalatigheid.

Daarnaast kan je je natuurlijk ook beschermen tegen nog niet gekende issues. Je hangt bijvoorbeeld je PC niet rechtstreeks aan het internet, of doet aan anomaly detection on de systemen/netwerk, of je bouwt je netwerk in verschillende segmenten zodat een infectie zich niet overal kan verspreiden.

Dit zijn basis security maatregelen, die helaas vaak niet toegepast worden, want men denkt dat software pakket X, of cloud service Y, alle problemen zal oplossen.

27-06-2017, 16:47 door Anoniem

Vragen ze echt maar 300$ in BTC? Das een schijntje voor de haven...

27-06-2017, 17:26 door Anoniem

En wat staat hiernaast in de personeelswerving van het NCSC? Schaal 11. Pay peanuts, get infected.

27-06-2017, 19:52 door Anoniem

Hallo ga je lekker met je aspx site: https://asafaweb.com/Scan?Url=www.apmterminals.com%2F500.html%3Faspxerrorpath%3D

http://toolbar.netcraft.com/site_report?url=http%3A%2F%2Fwww.apmterminals.com%2F500.html%3Faspxerrorpath%3D%2F

Microsoft yep bingo -> dit is of liever gezegd was...Microsoft-IIS/7.5 op NNIT Backbone Denemarken

Hadden ze net de upgrade niet binnen gehaald nadat er cybercriminelen hadden gedreigd?
Bericht uit Denemarken. Klopt dit is er kwestie van nalatigheid...
Lees hier: http://www.nnit.com/OfferingsAndArticles/Pages/COWI-Upgrades-its-IT-Security.aspx

Result
It looks like custom errors are not correctly configured as the requested URL contains the heading "Server Error in".

Custom errors are easy to enable, just configure the web.config to ensure the mode is either "On" or "RemoteOnly" and ensure there is a valid "defaultRedirect" defined for a custom error page as follows:

<customErrors mode="RemoteOnly" defaultRedirect="~/Error" />

jammer, volgende keer beter.

Wedden dat het asynchroon javascript was dit keer, net als zo vaak.bij ransomeware...

28-06-2017, 00:04 door SecGuru_OTX

Bron: Fox-IT, Bleepingcomputer, Kaspersky, Cisco, ESET, MalwareHunterteam.

Cisco Talos reports that the infections started in Ukraine following the auto-update feature of software by the Ukrainian company Me-Doc. Attackers likely got access to the Me-Doc update servers, using the update feature of the software to infect all their, mostly Ukrainian customers. This explains the disruptions observed within various Ukrainian companies, including airports, hospitals and other vital infrastructure. This supports what Fox-IT is observing, affected companies have business in Ukraine and observed initial Petya activity from those networks.

Because of the various spreading mechanisms of Petya the ransomware managed to reach companies in other countries, most likely as a result of existing network connections between (branch) offices or suppliers.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer