Containerterminals Rotterdam getroffen door ransomware
Zeventien containerterminals van APM in Rotterdam en andere delen van de wereld zijn getroffen door dezelfde ransomware die ook een Oekraïens mediabedrijf infecteerde. De website van APM Terminals geeft op het moment van schrijven een foutmelding.
Moederbedrijf Maersk bevestigt tegenover RTV Rijnmond dat er wereldwijd "computerproblemen" zijn. Op Twitter meldt het bedrijf dat sommige it-systemen uit de lucht zijn. Door de infectie zou het werk op de Maasvlakte sinds 13.20 uur stilliggen. Hieronder een screenshot van de melding die het Oekraïense mediabedrijf 24 vandaag op computers kreeg te zien en overeenkomt met de melding bij de terminals van APM. APM telt wereldwijd 64 containerterminals in 60 landen en heeft 20.000 werknemers.
Update
Op Hacker News meldt iemand die zegt een medewerker van Maersk te zijn dat het personeel de laptop niet mag starten en sommige afdelingen het personeel hebben gevraagd om morgen thuis te blijven.
Dat is een voorbarige conclusie. Er bestaat zoiets als zero-days ook. Als dit een gerichte actie is, dan is de kans groot dat dit niet zomaar een zaakje is van "had je maar moet patchen 3 maanden geleden".
Ik mag voor de IT daar hopen dat dat niet is.
Petya Ransomware
Ransomware is niet van gisteren en ook niet van eergisteren.
https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?environmentId=100
Dat is een voorbarige conclusie. Er bestaat zoiets als zero-days ook. Als dit een gerichte actie is, dan is de kans groot dat dit niet zomaar een zaakje is van "had je maar moet patchen 3 maanden geleden".
Ik mag voor de IT daar hopen dat dat niet is.
Uiteraard niet. Patchen is iets dat je sowieso zo snel mogelijk moet doen. Het gaan immers om bekende beveiligingsproblemen. Niet patchen, zonder mitigerende maatregelen, is een nalatigheid.
Daarnaast kan je je natuurlijk ook beschermen tegen nog niet gekende issues. Je hangt bijvoorbeeld je PC niet rechtstreeks aan het internet, of doet aan anomaly detection on de systemen/netwerk, of je bouwt je netwerk in verschillende segmenten zodat een infectie zich niet overal kan verspreiden.
Dit zijn basis security maatregelen, die helaas vaak niet toegepast worden, want men denkt dat software pakket X, of cloud service Y, alle problemen zal oplossen.
http://toolbar.netcraft.com/site_report?url=http%3A%2F%2Fwww.apmterminals.com%2F500.html%3Faspxerrorpath%3D%2F
Microsoft yep bingo -> dit is of liever gezegd was...Microsoft-IIS/7.5 op NNIT Backbone Denemarken
Hadden ze net de upgrade niet binnen gehaald nadat er cybercriminelen hadden gedreigd?
Bericht uit Denemarken. Klopt dit is er kwestie van nalatigheid...
Lees hier: http://www.nnit.com/OfferingsAndArticles/Pages/COWI-Upgrades-its-IT-Security.aspx
It looks like custom errors are not correctly configured as the requested URL contains the heading "Server Error in".
Custom errors are easy to enable, just configure the web.config to ensure the mode is either "On" or "RemoteOnly" and ensure there is a valid "defaultRedirect" defined for a custom error page as follows:
<customErrors mode="RemoteOnly" defaultRedirect="~/Error" />
Wedden dat het asynchroon javascript was dit keer, net als zo vaak.bij ransomeware...
Cisco Talos reports that the infections started in Ukraine following the auto-update feature of software by the Ukrainian company Me-Doc. Attackers likely got access to the Me-Doc update servers, using the update feature of the software to infect all their, mostly Ukrainian customers. This explains the disruptions observed within various Ukrainian companies, including airports, hospitals and other vital infrastructure. This supports what Fox-IT is observing, affected companies have business in Ukraine and observed initial Petya activity from those networks.
Because of the various spreading mechanisms of Petya the ransomware managed to reach companies in other countries, most likely as a result of existing network connections between (branch) offices or suppliers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
