Canadees bedrijf betaalt 425.000 dollar na ransomware-infectie
Een Canadees bedrijf heeft dit weekend 425.000 dollar betaald om weer toegang tot bestanden te krijgen nadat die door ransomware waren versleuteld. De aanvallers hadden niet alleen de productiedatabases versleuteld, maar ook de back-ups. "Ze hadden geen andere keuze dan te betalen", zegt Daniel Tobok van securitybedrijf Cytelligence, dat het bedrijf helpt met het onderzoek, tegenover IT World Canada.
Om toegang tot systemen te krijgen verstuurden de aanvallers e-mails naar zes hooggeplaatste medewerkers. Twee van de e-mails leken van een transportbedrijf afkomstig en deden zich voor als facturen voor opgehaalde pakketjes. De andere e-mails vroegen om het meegestuurde document te printen. De bijlage was een pdf-document met een "kwaadaardige lading". Verdere technische details worden niet gegeven.
"Uit voorlopig onderzoek blijkt dat er kwetsbaarheden in ongepatchte systemen in hun Windowsomgeving waren", aldus Tobok. "Ze hadden een aantal verouderde databaseservers die niet up-to-date waren." Volgens Tobok hadden de aanvallers uitgebreide kennis van het netwerk. "Ze wisten waar de databases en vertrouwelijke informatie zich bevonden. Ze wisten alles." Voordat er werd betaald eiste het bedrijf dat de aanvallers bewezen dat ze over de decryptiesleutel beschikten.
Om wat voor ransomware het gaat is niet vermeld. Een bekend ransomware-exemplaar dat hoge bedragen eist, back-ups verwijdert en veel systemen in een netwerk infecteert is de SamSam-ransomware, ook bekend als Samas. De aanvallers achter deze ransomware hacken systemen. Vervolgens wordt SamSam op het netwerk geïnstalleerd en back-ups verwijderd. Begin april raakte een Amerikaans ziekenhuis door SamSam besmet en besloot de gevraagde 24 bitcoin (op dat moment 48.000 euro) niet te betalen. Het ziekenhuis was zes weken ontregeld. Een Britse cloudprovider ging vorig jaar wel tot betaling over.
...dit is hetzelfde als zeggen dat het je eigen schuld is als de airbag in de auto niet afgaat - had je maar een helm op moeten doen. Je mag er vanuit gaan dat de airbag afgaat.
Maar met software is het vandaag de dag zo dat deze in 8 van de 10 gevallen niet af lijkt te gaan. Dus in plaatst van de hele tijd maar over aanvullende layerd security te praten wordt het tijd dat software makers kijhard worden aangepakt en verantwoordelijk worden gesteld voor wat ze maken.... zeg maar zoals alles in de fysieke wereld ook werkt.
Dat is geen juiste vergelijking. Als back-ups via het netwerk te benaderen zijn weet je dat dit kan gebeuren. Oftewel, in jouw vergelijking, je maakt bewust de keuze voor een model waarbij je weet dat airbags met enige regelmaat hun werk niet doen.
Daarmee heb je een eigen verantwoordelijkheid als dit je overkomt.
Dat is geen juiste vergelijking. Als back-ups via het netwerk te benaderen zijn weet je dat dit kan gebeuren. Oftewel, in jouw vergelijking, je maakt bewust de keuze voor een model waarbij je weet dat airbags met enige regelmaat hun werk niet doen.
Daarmee heb je een eigen verantwoordelijkheid als dit je overkomt.
Uiteraard, maar dat was niet het punt dat ik probeerde te maken. Want dan ga je nog steeds op de oude toer door dat je als betalende klant verantwoordelijk bent voor defecte software en niet de fabrikant.
“It appears from early investigation there were vulnerabilities in unpatched systems in their Windows environment,” said Tobok. “They had a couple of outdated database servers that had not had all the recent patches on them.”
It is believed the attackers then spent several months hunting around the network to find data stores before releasing the ransomware, which spread across the corporate network including backed up data.
Het is simpelweg bizar dat we accepteren en vervolgens het hele IT beheer apparaat erop inrichten dat een systeem wekelijks ge-update moet worden. Patchen mag geen oplossing van het probleem zijn. Maar op een of andere manier hebben we met z'n allen omarmd dat software defacto defect is op het moment dat je het uitrolt. En wordt er bij iedere lek maar geroepen 'had je maar moeten patchen'. Jij bestempeld het mogelijk als 'de nieuwe werkelijkheid' waar je je maar aan hebt te adapteren - net als dat je 'nu eenmaal je fiets op slot moeten zetten' anders is het je eigen schuld. In mijn optiek moet er fundamenteel iets veranderen (in de kwaliteit van software en b.v. regionalisatie van internet).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
