image

Canadees bedrijf betaalt 425.000 dollar na ransomware-infectie

donderdag 13 juli 2017, 15:14 door Redactie, 9 reacties

Een Canadees bedrijf heeft dit weekend 425.000 dollar betaald om weer toegang tot bestanden te krijgen nadat die door ransomware waren versleuteld. De aanvallers hadden niet alleen de productiedatabases versleuteld, maar ook de back-ups. "Ze hadden geen andere keuze dan te betalen", zegt Daniel Tobok van securitybedrijf Cytelligence, dat het bedrijf helpt met het onderzoek, tegenover IT World Canada.

Om toegang tot systemen te krijgen verstuurden de aanvallers e-mails naar zes hooggeplaatste medewerkers. Twee van de e-mails leken van een transportbedrijf afkomstig en deden zich voor als facturen voor opgehaalde pakketjes. De andere e-mails vroegen om het meegestuurde document te printen. De bijlage was een pdf-document met een "kwaadaardige lading". Verdere technische details worden niet gegeven.

"Uit voorlopig onderzoek blijkt dat er kwetsbaarheden in ongepatchte systemen in hun Windowsomgeving waren", aldus Tobok. "Ze hadden een aantal verouderde databaseservers die niet up-to-date waren." Volgens Tobok hadden de aanvallers uitgebreide kennis van het netwerk. "Ze wisten waar de databases en vertrouwelijke informatie zich bevonden. Ze wisten alles." Voordat er werd betaald eiste het bedrijf dat de aanvallers bewezen dat ze over de decryptiesleutel beschikten.

Om wat voor ransomware het gaat is niet vermeld. Een bekend ransomware-exemplaar dat hoge bedragen eist, back-ups verwijdert en veel systemen in een netwerk infecteert is de SamSam-ransomware, ook bekend als Samas. De aanvallers achter deze ransomware hacken systemen. Vervolgens wordt SamSam op het netwerk geïnstalleerd en back-ups verwijderd. Begin april raakte een Amerikaans ziekenhuis door SamSam besmet en besloot de gevraagde 24 bitcoin (op dat moment 48.000 euro) niet te betalen. Het ziekenhuis was zes weken ontregeld. Een Britse cloudprovider ging vorig jaar wel tot betaling over.

Reacties (9)
13-07-2017, 18:12 door Anoniem
Dankzij slecht security-beleid wordt de misdaad in stand gehouden.
14-07-2017, 04:21 door Anoniem
Canadese dollars, neem ik aan, als een Canadese website over een Canadees bedrijf bericht?
14-07-2017, 08:05 door Anoniem
Nee, dankzij slechte, vaak financieel gemotiveerde beslissingen, wordt de misdaad in stand gehouden. Het zijn over het algemeen niet de beheerders maar managers die deze risico's nemen.
14-07-2017, 08:34 door Anoniem
Eigen stomheid. Backups moeten off-line worden bewaard en wie dat niet doet, betaalt de prijs. Zeker in deze tijden, als je weet dat dit soort dingen kunnen gebeuren.
14-07-2017, 09:50 door Anoniem
Door Anoniem: Dankzij slecht security-beleid wordt de misdaad in stand gehouden.

...dit is hetzelfde als zeggen dat het je eigen schuld is als de airbag in de auto niet afgaat - had je maar een helm op moeten doen. Je mag er vanuit gaan dat de airbag afgaat.

Maar met software is het vandaag de dag zo dat deze in 8 van de 10 gevallen niet af lijkt te gaan. Dus in plaatst van de hele tijd maar over aanvullende layerd security te praten wordt het tijd dat software makers kijhard worden aangepakt en verantwoordelijk worden gesteld voor wat ze maken.... zeg maar zoals alles in de fysieke wereld ook werkt.
14-07-2017, 09:52 door [Account Verwijderd]
[Verwijderd]
14-07-2017, 12:17 door Anoniem
Door Anoniem:
Door Anoniem: Dankzij slecht security-beleid wordt de misdaad in stand gehouden.
...dit is hetzelfde als zeggen dat het je eigen schuld is als de airbag in de auto niet afgaat - had je maar een helm op moeten doen. Je mag er vanuit gaan dat de airbag afgaat.

Dat is geen juiste vergelijking. Als back-ups via het netwerk te benaderen zijn weet je dat dit kan gebeuren. Oftewel, in jouw vergelijking, je maakt bewust de keuze voor een model waarbij je weet dat airbags met enige regelmaat hun werk niet doen.

Daarmee heb je een eigen verantwoordelijkheid als dit je overkomt.
14-07-2017, 14:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Dankzij slecht security-beleid wordt de misdaad in stand gehouden.
...dit is hetzelfde als zeggen dat het je eigen schuld is als de airbag in de auto niet afgaat - had je maar een helm op moeten doen. Je mag er vanuit gaan dat de airbag afgaat.

Dat is geen juiste vergelijking. Als back-ups via het netwerk te benaderen zijn weet je dat dit kan gebeuren. Oftewel, in jouw vergelijking, je maakt bewust de keuze voor een model waarbij je weet dat airbags met enige regelmaat hun werk niet doen.

Daarmee heb je een eigen verantwoordelijkheid als dit je overkomt.

Uiteraard, maar dat was niet het punt dat ik probeerde te maken. Want dan ga je nog steeds op de oude toer door dat je als betalende klant verantwoordelijk bent voor defecte software en niet de fabrikant.

“It appears from early investigation there were vulnerabilities in unpatched systems in their Windows environment,” said Tobok. “They had a couple of outdated database servers that had not had all the recent patches on them.”
It is believed the attackers then spent several months hunting around the network to find data stores before releasing the ransomware, which spread across the corporate network including backed up data.


Het is simpelweg bizar dat we accepteren en vervolgens het hele IT beheer apparaat erop inrichten dat een systeem wekelijks ge-update moet worden. Patchen mag geen oplossing van het probleem zijn. Maar op een of andere manier hebben we met z'n allen omarmd dat software defacto defect is op het moment dat je het uitrolt. En wordt er bij iedere lek maar geroepen 'had je maar moeten patchen'. Jij bestempeld het mogelijk als 'de nieuwe werkelijkheid' waar je je maar aan hebt te adapteren - net als dat je 'nu eenmaal je fiets op slot moeten zetten' anders is het je eigen schuld. In mijn optiek moet er fundamenteel iets veranderen (in de kwaliteit van software en b.v. regionalisatie van internet).
15-07-2017, 22:25 door Anoniem
Maar de bitcoins van de ransomeware artiesten kunnen binnenkort in het niets verdwijnen:

https://www.theregister.co.uk/2017/07/13/bitcoins_might_just_vanish_into_the_ether/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.