Universiteit Maastricht reset wachtwoorden van studenten
De Universiteit Maastricht heeft vanwege de ransomware-infectie waar het vorige week mee te maken kreeg de wachtwoorden van alle studentenaccounts gereset. Dat meldt de universiteit op de eigen website. Op 6 januari zullen de lessen aan de universiteit weer van start gaan.
Verschillende belangrijke systemen, zoals informatiesystemen voor studenten om hun rooster te bekijken, studiematerialen (Blackboard/ELEUM) en het UM Student Portal zijn vanaf 2 januari weer online. "Hierbij is wel sprake van beperktere functionaliteit. Studenten zullen bovendien vanaf een externe locatie, dus buiten het UM WiFi netwerk, al hun wachtwoorden moeten wijzigen", aldus de universiteit.
Tevens zullen alle herkansingen in de week van 6 januari gewoon plaatsvinden. De universiteit erkent dat studenten door het niet beschikbaar zijn van studiemateriaal zich niet optimaal hebben kunnen voorbereiden. Er is dan ook besloten om een extra herkansingsmogelijkheid in te lassen. Ook wordt er gewerkt aan een 'coulance-regeling' voor studenten die door de ransomware-infectie aantoonbaar benadeeld zijn.
Reacties (12)
31-12-2019, 16:13 door
souplost
Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
Door souplost: Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
31-12-2019, 17:36 door
Tintin and Milou
Door souplost: Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
Waarom zouden ze dat in details communiceren? Dit is een logische stap in de recovery en staat los van eventuele overige data (verlies). AD is bijna altijd de authenticatie provider voor alle systemen intern. Het zal 1 van de eerste systemen zijn die je goed in de lucht moet hebben, voordat je echt de rest kunt herstellen.Ongeacht wat je doet... Wachtwoorden resetten in dit soort recoveries is altijd een goede. Bij een AD recovery in dit soort situaties kan dit een hele logische stap zijn, om gewoon alle wachtwoorden te resetten van alle user accounts. Dat weet je zeker dat de wachtwoorden veilig zijn en de accounts niet misbruikt kunnen worden bij de universiteit of daarbuiten.
Goede en doordachte actie vanuit de universiteit.
Door Sjef van Heesch:
Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
Door Tintin and Milou:
Ongeacht wat je doet... Wachtwoorden resetten in dit soort recoveries is altijd een goede. Bij een AD recovery in dit soort situaties kan dit een hele logische stap zijn, om gewoon alle wachtwoorden te resetten van alle user accounts. Dat weet je zeker dat de wachtwoorden veilig zijn en de accounts niet misbruikt kunnen worden bij de universiteit of daarbuiten.
Goede en doordachte actie vanuit de universiteit.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.Door souplost: Wat hebben ze nu gedaan? Ik lees niks over backups teruggezet, want dan moeten ze communiceren wat er verloren is gegaan. Het lijkt er dus op dat ze losgeld hebben betaald.
Waarom zouden ze dat in details communiceren? Dit is een logische stap in de recovery en staat los van eventuele overige data (verlies). AD is bijna altijd de authenticatie provider voor alle systemen intern. Het zal 1 van de eerste systemen zijn die je goed in de lucht moet hebben, voordat je echt de rest kunt herstellen.Ongeacht wat je doet... Wachtwoorden resetten in dit soort recoveries is altijd een goede. Bij een AD recovery in dit soort situaties kan dit een hele logische stap zijn, om gewoon alle wachtwoorden te resetten van alle user accounts. Dat weet je zeker dat de wachtwoorden veilig zijn en de accounts niet misbruikt kunnen worden bij de universiteit of daarbuiten.
Goede en doordachte actie vanuit de universiteit.
Door Sjef van Heesch:
Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.Of er waren goede backup's die terug gezet zijn, aan de desktops hebben ze kennelijk nog niks gedaan daar moet iedereen nog vanaf blijven. Als ze losgeld betaald zouden hebben hoeven ze niet zo panisch te doen, alles is immers dan te 'herstellen'.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
Er is dus altijd data verdwenen na een restore en dat zal je moeten melden aan je gebruikers. Hebben ze nog niet gedaan. Sommige services zijn ook alleen nog maar readonly omdat ze nog steeds bang zijn dta de ransomware actief is.
Het is dus bij lange na niet onder controle en gaat nog veel geld kosten. Dat wachtwoord restten is maar een heel klein onderdeeltje en minst vervelende.
Door souplost: [
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Als je AD servers gaat terugzetten van een snapshot dan moet je wel heel goed weten waar je mee bezig bent anders
wordt de ramp alleen nog maar groter. AD design gaat heel slecht om met die situatie. Dat is tevens ook een van de
redenen dat er zo vaak geen goede backup van AD is, soms zelfs terwijl te beheerders denken van wel.
Door Tintin and Milou:
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
Als ze loggeld betaald hebben, is het beter om nog steeds de wachtwoorden van alle accounts te resetten. Het is de enige manier om er zeker van te zijn, dat er geen hashed of wachtwoorden van accounts ergens achter blijven.
De domain controllers waren Geïnfecteerd, dat betekend dat al je eigenlijk al je accounts in de AD niet meer kunt vertrouwen, ongeacht of je nu een goede backup hebt, of niet.
Na een infectie is er feitelijk niks meer te vertrouwen. Het 'panisch' waar ik op doelde sloeg op het "Blijf van alle systemen af", immers alles is te herstellen bij het betalen van het losgeld. Natuurlijk moet je eigenlijk alles van grond af aan op gaan bouwen, ook als er geen losgeld betaald is.
31-12-2019, 22:02 door
souplost
Door Anoniem:
Als je AD servers gaat terugzetten van een snapshot dan moet je wel heel goed weten waar je mee bezig bent anders
wordt de ramp alleen nog maar groter. AD design gaat heel slecht om met die situatie. Dat is tevens ook een van de
redenen dat er zo vaak geen goede backup van AD is, soms zelfs terwijl te beheerders denken van wel.
Ik bedoel een snapshot van de hele virtuele machine incl memory. Dat moet kunnen anders zou je niet live kunnen migreren.Door souplost: [
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Als de domain controller is gehackt is er niets meer te vertrouwen. Authenticatie is niet het enige. DNS draait daar ook op in een windowsomgeving. IP addressen (en certificaten) kunnen dus ook zijn veranderd. Men zal alles opnieuw moeten installeren en data moeten terugzetten vanaf een niet geïnfecteerde backup. Dat kan van een tijd terug zijn. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Als je AD servers gaat terugzetten van een snapshot dan moet je wel heel goed weten waar je mee bezig bent anders
wordt de ramp alleen nog maar groter. AD design gaat heel slecht om met die situatie. Dat is tevens ook een van de
redenen dat er zo vaak geen goede backup van AD is, soms zelfs terwijl te beheerders denken van wel.
Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Een snapshot is geen backup, dus die zullen ze (hopelijk) niet periodiek maken, laat staan van alles wat belangrijk is.
01-01-2020, 13:37 door
souplost
Door Anoniem:
Alleen niet maar wel als onderdeel van een backup of restore. Een paar grote leveranciers hebben uitstekend snapshot management. Er zijn bedrijven die hiermee (continue) repliceren naar de andere kant van de wereld.Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Een snapshot is geen backup, dus die zullen ze (hopelijk) niet periodiek maken, laat staan van alles wat belangrijk is.Volgens mij een structureel gevalletje van rechten mis management.
Je zou alleen mogen werken met een Kantoor Automatiserings account zonder enige vorm van beheersrechten. Dan zou je probleem beperkt blijven tot je persoonlijke data.
Verder zijn snapshots op centraal gemanagede productie machines niet nodig, als je je systemen start vanuit een template, aka vdisk. Een herstart is dan voldoende om je OS / KA weer online te brengen.
Meestal is dit soort issues terug te brengen tot beheerders die niet veilig werken, te veel oneigenlijke beheerders en/of management dat niet onderlegd is in automatisering.
Je zou alleen mogen werken met een Kantoor Automatiserings account zonder enige vorm van beheersrechten. Dan zou je probleem beperkt blijven tot je persoonlijke data.
Verder zijn snapshots op centraal gemanagede productie machines niet nodig, als je je systemen start vanuit een template, aka vdisk. Een herstart is dan voldoende om je OS / KA weer online te brengen.
Meestal is dit soort issues terug te brengen tot beheerders die niet veilig werken, te veel oneigenlijke beheerders en/of management dat niet onderlegd is in automatisering.
Door Anoniem: Volgens mij een structureel gevalletje van rechten mis management.
Je zou alleen mogen werken met een Kantoor Automatiserings account zonder enige vorm van beheersrechten. Dan zou je probleem beperkt blijven tot je persoonlijke data.
Je zou alleen mogen werken met een Kantoor Automatiserings account zonder enige vorm van beheersrechten. Dan zou je probleem beperkt blijven tot je persoonlijke data.
En hoe werken die admins dan?
Wij hebben aparte accounts voor "kantoorwerk" en voor "adminwerk". Maar nog steeds ga ik mijn baas niet garanderen dat het hier niet ook kan gebeuren. In dit soort gevallen zit de aanvaller al maanden in het netwerk. Ze komen binnen op de machine van een normale gebruiker. Daar gaat een keer iets mis en dan komt er een werkbplekbeheerder met zijn beheersaccount. Dat raakt bekend. Vervolgens gaan ze verder en zoeken met dat account naar werkplekken van beheerders met meer rechten. Op die manier werken ze zich langzaam links en rechts door het netwerk en komen dan langzaam steeds dichter bij een beheerder met voldoende rechten om de boel te versleutelen.
En nee, virusscanners detecteren dit vaak niet. De aanvaller schrijft een specifieke versie voor de organisatie die hij op dat moment aanvalt.
Lees je eens in op Clop.
Peter
02-01-2020, 10:25 door
Tintin and Milou
Door Anoniem:
Een snapshot is weldegelijk een backup, sterker nog, bijna alle grote systemen maken snapshot backups. Als ze geen monocultuur hebben gebruiken ze misschien niet windows hypervisors opm snapshots terug te kunnen zetten maar ik verwacht dat niet.
Een snapshot is geen backup, dus die zullen ze (hopelijk) niet periodiek maken, laat staan van alles wat belangrijk is.Je moet alleen wel heel goed kijken, waarvoor zijn de snapshot backups geschikt. Voor een disaster recovery zijn ze een stukje minder geschikt, maar kunnen ze nog steeds gebruikt worden.
Snapshots kun je bijvoorbeeld naar tape wegschrijven.
Storage snapshots kun je laten repliceren naar een ander SAN op een andere locatie.
Voor file recovery is een (VSS) snapshot ideaal en gemakkelijk te gebruiken.
Een snapshot op je hypervisor is alleen geen DR backup oplossing, maar voor de recovery van je server zeer geschikt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
