Nieuws

Ransomware besmette 620 computers Amerikaanse gemeente

dinsdag 31 juli 2018, 14:30 door Redactie, 8 reacties

Bij de aanval op Matanuska-Susitna Borough in de Amerikaanse staat Alaska zijn alle 500 werkstations en 120 van de 150 servers met ransomware besmet geraakt. Vanwege de infectie moest de gemeente, die ruim 106.000 inwoners telt, allerlei systemen uitschakelen en op typemachines terugvallen.

Hoe de infectie zich precies kon voordoen is nog altijd onduidelijk. In een update over de situatie (pdf) verklaart it-directeur Eric Wyatt van Matanuska-Susitna Borough dat de oorzaak waarschijnlijk een e-mail met een link naar een kwaadaardige website was of dat er een Word-document met kwaadaardige macro als bijlage is gebruikt. Na de initiële infectie werden verschillende malware-exemplaren geïnstalleerd, waaronder de Emotet-bankmalware en BitPaymer-ransomware.

Volgens Wyatt is Matanuska-Susitna Borough al het 210de slachtoffer van de aanval. Eenmaal actief verzamelen de aanvallers het Outlook-adresboek van getroffen machines voor verdere aanvallen en proberen Active Directory-beheerderstoegang te krijgen. Op deze manier worden ook andere machines in het netwerk besmet. Wyatt stelt dat de malware op 17 juli werd ontdekt na een update van de McAfee-virusscanner. Dit gebeurde echter alleen op Windows 7-machines. McAfee detecteerde en verwijderde de initiële Trojan, maar miste alle andere onderdelen. "Tegen de tijd dat het aantal besmette werkstations een alarmerend niveau had bereikt ontdekten we dezelfde problemen op meerdere servers", aldus de it-directeur.

Via een script werden de onderdelen die McAfee had gemist verwijderd. Ook werden de wachtwoorden van alle gebruikers en beheerders gereset. Ondertussen waren de mailservers, telefoonsysteem en zelfs het deurtoegangssysteem getroffen. Inmiddels zijn verschillende systemen hersteld en 110 werkstations opgeschoond en opnieuw geïnstalleerd. Per dag zullen 38 werkstations worden hersteld, waardoor het herstelproces nog zeker 10 dagen in beslag zal nemen.

Het herstel van sommige andere systemen kan zelfs twee tot drie weken in beslag nemen. Verder blijkt dat oudere e-mailbestanden mogelijk niet meer zijn te herstellen. De gemeente stelt dat het op periodieke basis gebruikers gaat trainen om dreigingen te voorkomen. Verder zal alle versleutelde data worden bewaard mocht de FBI de decryptiesleutels weten te vinden.

HP betaalt tot 10.000 dollar voor kwetsbaarheden in printers

Pentagon gaat alle websites dit jaar van https voorzien

Reacties (8)

31-07-2018, 15:58 door -karma4

Zie hier de prijs die je als instantie of bedrijf vroeg of laat gaat betalen als je een besturingssysteem voor lichte consumententoepassingen in een professionele setting gebruikt. Dan mag je nog van geluk gespreken als je gebruikers je er niet op aan gaan spreken. En met de fabrikant in gebreke stellen en aanklagen maak je ook weinig kans, vrees ik.

31-07-2018, 16:27 door Anoniem

Word macro's of linkjes in emails. Dat is nu al meer dan 10 jaar de way to go. Je zou toch zeggen dat dit een keer gesnapt gaat worden. Maar blijkbaar blijven hele generaties gewoon op alles klikken.

En het mooie is, dat alle overheden zowel binnen als buitenland heilig van overtuigd zijn dat alles automatiseren beter is. Zorg dan eerst ervoor dat je je mensen goed opleidt.

En ja, ik heb om die reden de laptops van mijn ouders voorzien van Linux ipv Windows. En ja, het scheelt mij elke 3 maanden een windows bak op schonen.

TheYOSH

31-07-2018, 16:45 door karma4

Door The FOSS: Zie hier de prijs die je als instantie of bedrijf vroeg of laat gaat betalen als je een besturingssysteem voor lichte consumententoepassingen in een professionele setting gebruikt. Dan mag je nog van geluk gespreken als je gebruikers je er niet op aan gaan spreken. En met de fabrikant in gebreke stellen en aanklagen maak je ook weinig kans, vrees ik.

Het is de prijs die je betaald voor goedkoop slecht ICT beheer. Denk maar niet dat al het argument gratis opduikt dat dat beter gaat. Integendeel de puinhoop wordt groter. Laten we Linus Torvald en Redhat maar aansprakelijk stellen daarvoor, dat lijkt me een prima idee.

31-07-2018, 17:14 door -karma4

De Chinezen hebben het besturingssysteem voor lichte consumententoepassingen een aantal jaren geleden al verboden voor overheidscomputers:

https://www.security.nl/posting/388600/China+verbiedt+Windows+8+op+overheidscomputers.

Nu de rest van de wereld nog...

31-07-2018, 18:05 door karma4 - Bijgewerkt: 31-07-2018, 18:06

Door The FOSS: De Chinezen hebben het besturingssysteem voor lichte consumententoepassingen een aantal jaren geleden al verboden voor overheidscomputers:
..Nu de rest van de wereld nog...

http://gs.statcounter.com/os-market-share/all/china wel even bijblijven. De acceptatie van kylin is niet goed, . Niet bij de burgersdie vertrouwen net zoals de noordkoreaanse variant en niet bij de chinese overheid, https://www.theverge.com/2017/3/21/14998644/microsoft-windows-10-china-custom-version

Ik heb het verhaal LHM desktop gevolgd. Het is het zelfde beeld van Linux fanboisme van: onvoldoende dienstverlening (burgers bij de balie), de hoogste baas bij binnenkomst schofferen, oplopende kosten die niet helder gebracht worden.
Dat heeft een kans stuk gemaakt. Het begon al met een politieke beslissing in 2003 gedragen en gesteund door IBM.

31-07-2018, 22:36 door Bitwiper - Bijgewerkt: 31-07-2018, 22:41

Uit de PDF:

[...]
This is also a ‘Zero-day’ attack. Meaning, the anti-virus software does not yet have the virus
definitions in their software to catch and remove this threat.
[...]
We started to pick up Trojan component of the attack on July 17th after an update of our anti-virus software (McAfee). This was only seen on Windows 7 machines. McAfee was then doing its job of detecting and deleting the Trojan, but continued to miss all other components. By the time the number of workstations affected rose to alarming levels, we had discovered the same issues on multiple servers. We developed a script to remove the discovered components that McAfee was leaving behind from all machines
[...]
Nearly all of the 500 workstations (both Windows 7 and Windows 10) and 120 of the 150 servers have been infected.

In dit representatieve voorbeeld wordt dus één van meerdere malware exemplaren welliswaar gedetecteerd door McAfee onder Windows 7, maar de infectie wordt niet gestopt. Onder Windows 10 detecteerde McAfee precies NIETS.

Dit is geen toevallige omstandigheid, want mijn ervaringen (en die van andere onafhankelijke onderzoekers) geven een vergelijkbaar en geheel verklaarbaar beeld. In de praktijk tweaken cybercriminelen hun malware namelijk net zo lang (moeilijk is dat niet) tot die malware nog door geen enkele veelgebruikte virusscanner wordt gedetecteerd, waarna de malware wordt verspreid. Makers en (en niet-onafhankelijke testers) van virusscanners die claimen dit soort malware te kunnen detecteren voordat zij een definitie-update hebben gemaakt die geïnstalleerd is op jouw PC voor een specifieke malware-variant, LIEGEN - ofwel zijn een niche speler en/of hun product geeft veel false positives (iets dat uit een onafhankelijke test zou moeten blijken).

Uit https://www.security.nl/posting/571559/Test%3A+Nauwelijks+verschil+in+virusscanners+voor+Windows+10:

[...]
Voor de detectie van de zero-day malware, wat in de definitie van AV-Test onbekende, nieuwe malware is, werd er een gemiddelde score van 99,6 procent gehaald.
[...]
Uiteindelijk weten Avira, Kaspersky Lab en McAfee de maximale 18 punten te scoren
[...][/b]

Zijn er serieus nog security.nl lezers die enige waarde hechten aan de herhaaldelijke leugens van clubs zoals AV-Test? In elk geval ik ga geen moeite meer doen om "wat in de definitie van AV-Test onbekende, nieuwe malware is" te doorgronden, want ik sluit bij voorbaat uit dat die ook maar iets met de dagelijkse praktijk te maken heeft.

01-08-2018, 09:26 door karma4

Door Bitwiper: Uit de PDF:

[...]
….
Zijn er serieus nog security.nl lezers die enige waarde hechten aan de herhaaldelijke leugens van clubs zoals AV-Test? In elk geval ik ga geen moeite meer doen om "wat in de definitie van AV-Test onbekende, nieuwe malware is" te doorgronden, want ik sluit bij voorbaat uit dat die ook maar iets met de dagelijkse praktijk te maken heeft.

Ik hecht zowiezo weinig waarde aan scans op endpoints. Je kunt beter de endpoints beschermen voordat er wat naar toe gaat en je moet akelig goed weten of er wat mis en als er wat mis is moet je het zo geïsoleerd hebben dat er weinig schade ontstaat. Omdat er ergens een vinkenlijstje van een auditor is: "heeft u virisscanners geintsalleerd"wordt de rest overgeslagen. Van het zelfde niveau "wordt er een backup gemaakt". Een backup heeft pas nu als die in een DR scnenario bruikbaar blijkt. Bij een DR plan hoort ook een remimage / nieuwe hardware.

02-08-2018, 13:10 door Anoniem

Geen goede backup, geen monitoring van logs, geen netwerk segmentatie, geen beleid, geen normale ICT management. Ja, ook geen gebruikerstraining.
En nu de resultaat.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer