Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Observant: "UM heeft losgeld betaald"

02-01-2020, 14:26 door RosaMystica, 40 reacties
Ik stel even voor de duidelijkheid, dat het onderstaande bericht niet van mij komt, maar van het Universiteitsblad Observant-online dat op het internet voor iedereen toegankelijk is. Dit blad beweert dat de UM losgeld betaald heeft wegens de Cyberaanval op de systemen van de Universiteit. Hierbij werd via Ransomware Clop belangrijke bestanden versleuteld. Officieel is echter nog niets bekend. Hieronder een deel van het bericht van het blad.


MAASTRICHT. De Universiteit Maastricht, die vlak voor kerst door een cyberhack werd getroffen, heeft ‘losgeld’ betaald aan de hackers. Daarmee is de sleutel verkregen waarmee de systemen weer toegankelijk gemaakt kunnen worden. Dat melden goed ingevoerde bronnen binnen de UM. Officieel worden er geen mededelingen gedaan.

Hoe lang het nog duurt voor alle systemen weer werken is niet duidelijk. Interim-woordvoerder Fons Elbersen: “We zeggen pas dat bijvoorbeeld de e-mail weer functioneert als die ook daadwerkelijk in de lucht is.” De UM-woordvoerder wil het bericht over het betalen van losgeld bevestigen noch ontkennen; zo lang het onderzoek naar de hack en zijn gevolgen nog loopt doet de universiteit geen mededelingen, ook al omdat men de ‘digitale veiligheid’ niet in gevaar wil brengen.

Het hele artikel is hier te lezen:
https://www.observantonline.nl/Home/Artikelen/articleType/ArticleView/articleId/17789/Cyberhack-Universiteit-Maastricht-betaalt-losgeld
Reacties (40)
02-01-2020, 14:49 door Tintin and Milou
Door RosaMystica: Ik stel even voor de duidelijkheid, dat het onderstaande bericht niet van mij komt, maar van het Universiteitsblad Observant-online dat op het internet voor iedereen toegankelijk is. Dit blad beweert dat de UM losgeld betaald heeft wegens de Cyberaanval op de systemen van de Universiteit. Hierbij werd via Ransomware Clop belangrijke bestanden versleuteld. Officieel is echter nog niets bekend. Hieronder een deel van het bericht van het blad.


MAASTRICHT. De Universiteit Maastricht, die vlak voor kerst door een cyberhack werd getroffen, heeft ‘losgeld’ betaald aan de hackers. Daarmee is de sleutel verkregen waarmee de systemen weer toegankelijk gemaakt kunnen worden. Dat melden goed ingevoerde bronnen binnen de UM. Officieel worden er geen mededelingen gedaan.

Hoe lang het nog duurt voor alle systemen weer werken is niet duidelijk. Interim-woordvoerder Fons Elbersen: “We zeggen pas dat bijvoorbeeld de e-mail weer functioneert als die ook daadwerkelijk in de lucht is.” De UM-woordvoerder wil het bericht over het betalen van losgeld bevestigen noch ontkennen; zo lang het onderzoek naar de hack en zijn gevolgen nog loopt doet de universiteit geen mededelingen, ook al omdat men de ‘digitale veiligheid’ niet in gevaar wil brengen.

Het hele artikel is hier te lezen:
https://www.observantonline.nl/Home/Artikelen/articleType/ArticleView/articleId/17789/Cyberhack-Universiteit-Maastricht-betaalt-losgeld
Ik hoorde dit ook om het 1400 nieuws. Waarschijnlijk 100.000 euro.
02-01-2020, 15:25 door Anoniem
Wordt dit het uiteindelijke doemscenario voor de nabije toekomst?

Lees: https://jwboissevain.wordpress.com/tag/cybercrime/

J.O.
02-01-2020, 15:41 door Anoniem
Ze dichten de community hier wel iets te veel kennis toe:

Deskundigen beweren, onder meer op techsites als Tweakers en Security.nl, dat dit soort hacks met ransomware, gijzelsoftware waarbij hele computersystemen op slot worden gezet en pas na overmaking van een losgeld weer worden vrijgegeven, meestal eindigen met betaling. Al was het maar omdat dat uiteindelijk vaak goedkoper blijkt dan weken- of misschien maandenlange reparaties waarbij de instelling langdurig vleugellam is.
02-01-2020, 16:12 door karma4
Trouwens lachen met dat bericht in de link.
1- "Deskundigen beweren, onder meer op techsites als Tweakers en Security.nl, dat dit soort hacks met ransomware, gijzelsoftware waarbij hele computersystemen op slot worden gezet en pas na overmaking van een losgeld weer worden vrijgegeven, meestal eindigen met betaling."
2- Deze niet gestaafde bewering word de kop boven het artikel
3- De kop van het artikel wordt als de waarheid op de site van de deskundigen verkondigd.
Dat heet een zelf vervullende voorspelling.

Ik hou meer van gedegen onderzoek en bewijs. Ja daar hoort een gezond wantrouwen bij. Niet elke bewering is zo maar de werkelijke waarheid.
02-01-2020, 19:35 door Anoniem
7000000 RUB
03-01-2020, 07:53 door [Account Verwijderd]
Door Anoniem: 7000000 RUB

Dat zou 101.000 euro zijn.
03-01-2020, 10:44 door Anoniem
Door karma4: Trouwens lachen met dat bericht in de link.
1- "Deskundigen beweren, onder meer op techsites als Tweakers en Security.nl, dat dit soort hacks met ransomware, gijzelsoftware waarbij hele computersystemen op slot worden gezet en pas na overmaking van een losgeld weer worden vrijgegeven, meestal eindigen met betaling."
2- Deze niet gestaafde bewering word de kop boven het artikel
3- De kop van het artikel wordt als de waarheid op de site van de deskundigen verkondigd.
Dat heet een zelf vervullende voorspelling.

Ik hou meer van gedegen onderzoek en bewijs. Ja daar hoort een gezond wantrouwen bij. Niet elke bewering is zo maar de werkelijke waarheid.

Oud nieuws: https://www.propublica.org/article/the-extortion-economy-how-insurance-companies-are-fueling-a-rise-in-ransomware-attacks
03-01-2020, 12:39 door Anoniem
Dat er wel of geen losgeld aan de afpersers zou zijn afgedragen, dat is vooralsnog zuivere speculatie. Daarover heeft de Universiteit Maastricht zelf, noch Justitie, in het belang van het lopende politie onderzoek, tot op heden geen enkele officiële mededeling over gedaan. Observant is geen officieel vertegenwoordigend universitair orgaan of persvoorlichter.

Men volgt aan de Universiteit Maastricht het SURFcert en NCSC.nl protocol, in nauwe samenwerking met politie en justitie. Dat kost tijd en het vergt veel expertise. Daarbij wordt professioneler gehandeld dan menig ramptoerist hier aan de zijlijn staat te verkondigen. Men moet de uitkomst van het onderzoek van politie en justitie gewoon afwachten.
03-01-2020, 13:37 door Anoniem
Het internet is 1 grote afvalbak geworden lijkt soms
Ben je niet interessant wordt je op een passieve tap gezet.
Ben je wel interessant genoeg wordt je op een actieve tap gezet
1984 set in motion iedereen vindt het helemaal top.
Wat zijn we goed bezig hoorray hoorray
03-01-2020, 13:54 door [Account Verwijderd] - Bijgewerkt: 03-01-2020, 13:55
Ik betwijfel of er losgeld betaald is, er staat namelijk op de website van de UM het volgende:

Heb je een visum-aanvraag ingediend, kijk dan in de FAQ hoe je achter de status kunt komen of (als je de aanvraag hebt ingediend na 23 december) hoe je deze aanvraag opnieuw kunt indienen.
https://www.maastrichtuniversity.nl/nl/nieuws/update-9-cyberaanval-um-0

Hier geeft men dus aan dat visa aanvragen gedaan na 23 december opnieuw ingediend dienen te worden.
Daaruit zou je af kunnen leiden dat die bestanden/aanvragen verloren gegaan zijn, immers indien er losgeld betaald is dan zouden alle bestanden te decrypten zijn en zouden deze aanvragen niet opnieuw ingediend hoeven te worden.

Dat zou (aanname) kunnen betekenen dat de backup van 23 december nog in orde zou zijn, de eerste berichten over een 'hack' zijn van 24 december.
03-01-2020, 14:24 door _R0N_
Door Sjef van Heesch:
Dat zou (aanname) kunnen betekenen dat de backup van 23 december nog in orde zou zijn, de eerste berichten over een 'hack' zijn van 24 december.

Was ook mijn idee.
Waarschijnlijk zal er nog wel een verklaring komen zodra de boel weer 100% beschikbaar is.
03-01-2020, 20:19 door [Account Verwijderd] - Bijgewerkt: 03-01-2020, 20:20
https://www.maastrichtuniversity.nl/nl/blog/2019/12/nationale-denktank-2019-serieuze-plannen-voor-een-betere-digitale-samenleving

Sinds 2006 wordt jaarlijks een groep jonge academici gevraagd na te denken over een maatschappelijk thema en concrete oplossingen aan te dragen om dit thema te lijf te gaan.

Ik weet nog wel een leuk thema voor ze .... het bestrijden van ransomware.
03-01-2020, 21:10 door Anoniem
Door Sjef van Heesch: Ik weet nog wel een leuk thema voor ze .... het bestrijden van ransomware.

Dan kan die denktank maar beter hier naar gaan streven:

0. open access
1. open hardware
2. open firmware
3. open drivers
4. open source
5. open society
6. good police
7. real justice

Omdat security through obscurity aantoonbaar niet werkt.

https://en.wikipedia.org/wiki/Security_through_obscurity
https://en.wikipedia.org/wiki/Open_access (science)
10-01-2020, 15:06 door Anoniem
Dat er wel of geen losgeld aan de afpersers zou zijn afgedragen, dat is vooralsnog zuivere speculatie.

Lol. Want als jij niet op de hoogte bent, is niemand op de hoogte. Ja er is betaald. Nee, dit is geen speculatie.
10-01-2020, 15:39 door Anoniem
Door Anoniem:
Dat er wel of geen losgeld aan de afpersers zou zijn afgedragen, dat is vooralsnog zuivere speculatie.

Lol. Want als jij niet op de hoogte bent, is niemand op de hoogte. Ja er is betaald. Nee, dit is geen speculatie.

Aha, we hebben een klokkenluider in ons midden.
10-01-2020, 18:38 door Anoniem
Door Anoniem:
Dat er wel of geen losgeld aan de afpersers zou zijn afgedragen, dat is vooralsnog zuivere speculatie.

Lol. Want als jij niet op de hoogte bent, is niemand op de hoogte. Ja er is betaald. Nee, dit is geen speculatie.

Nou, wie A zegt moet dan ook maar B zeggen.
10-01-2020, 19:03 door Erik van Straten
Door Anoniem:
Door Anoniem: Ja er is betaald.
Aha, we hebben een klokkenluider in ons midden.
Of een (niet noodzakelijkerwijs de) ransomwaremaker.
11-01-2020, 08:46 door Anoniem
Door Anoniem:
Door Anoniem:
Dat er wel of geen losgeld aan de afpersers zou zijn afgedragen, dat is vooralsnog zuivere speculatie.

Lol. Want als jij niet op de hoogte bent, is niemand op de hoogte. Ja er is betaald. Nee, dit is geen speculatie.

Aha, we hebben een klokkenluider in ons midden.

Of iemand die lekker anoniem doet alsof hij meer weet.
13-01-2020, 15:32 door Anoniem
Steek lekker je kop in het zand. Terwijl naar buiten is gebracht, dat er is betaald, doen we alsof dat nog niet zo is. Want de medewerkers die dat hebben gemeld, zijn niet de ''officiele woordvoerders''. Lol.

De meest betrouwbare persoon is de persvoorlichter ? ;)
13-01-2020, 16:27 door Anoniem
Door Anoniem: Steek lekker je kop in het zand. Terwijl naar buiten is gebracht, dat er is betaald, doen we alsof dat nog niet zo is. Want de medewerkers die dat hebben gemeld, zijn niet de ''officiele woordvoerders''. Lol.

De meest betrouwbare persoon is de persvoorlichter ? ;)

Geef even een linkje dan. Er is bij mijn weten geen enkele mededeling gedaan dat er losgeld betaald zou zijn.

Dus het is niet een kwestie van de kop in het zand steken maar je bij de feiten houden.
13-01-2020, 16:37 door karma4
Door Anoniem: …..De meest betrouwbare persoon is de persvoorlichter ? ;)
in ieder geval niet de raddraaier die op meer onrust uit is. Iedereen kan van alles beweren en zo'n bewering prettig uitkomt zou dat ineens de onweerlegbare waarheid zijn? Je belazerd jezelf met die goedgelovigheid. Ik heb een helen aan nep nieuws.

Stel je eens de vraag:
Als ze betaald hadden en meteen alles via de sleutel beschikbaar zouden hebben, waarom dan vele tonnen besteden om iet te herinrichten en achterstallig onderhoud weg te werken. Dat is wat je kunt volgen in het vrijkomen en nieuwsberichten.

Laten we eerste eens kijken wat ze allemaal vanaf 6 februari gaan vertellen.
13-01-2020, 16:59 door Anoniem
Door karma4:
Door Anoniem: …..De meest betrouwbare persoon is de persvoorlichter ? ;)
in ieder geval niet de raddraaier die op meer onrust uit is. Iedereen kan van alles beweren en zo'n bewering prettig uitkomt zou dat ineens de onweerlegbare waarheid zijn? Je belazerd jezelf met die goedgelovigheid. Ik heb een helen aan nep nieuws.

Stel je eens de vraag:
Als ze betaald hadden en meteen alles via de sleutel beschikbaar zouden hebben, waarom dan vele tonnen besteden om iet te herinrichten en achterstallig onderhoud weg te werken. Dat is wat je kunt volgen in het vrijkomen en nieuwsberichten.

Laten we eerste eens kijken wat ze allemaal vanaf 6 februari gaan vertellen.

De wonderen zijn de wereld nog niet uit, ik ben het met Karma4 eens.
13-01-2020, 17:00 door Anoniem
Door karma4:
Door Anoniem: …..De meest betrouwbare persoon is de persvoorlichter ? ;)
in ieder geval niet de raddraaier die op meer onrust uit is. Iedereen kan van alles beweren en zo'n bewering prettig uitkomt zou dat ineens de onweerlegbare waarheid zijn? Je belazerd jezelf met die goedgelovigheid. Ik heb een helen aan nep nieuws.

Stel je eens de vraag:
Als ze betaald hadden en meteen alles via de sleutel beschikbaar zouden hebben, waarom dan vele tonnen besteden om iet te herinrichten en achterstallig onderhoud weg te werken. Dat is wat je kunt volgen in het vrijkomen en nieuwsberichten.

Laten we eerste eens kijken wat ze allemaal vanaf 6 februari gaan vertellen.

Dat is een heel domme redenering.
Als je op de meest duidelijke manier geleerd hebt dat je systeem gatenkaas isen van onder tot boven platgehacked .

Dan zeg jij "restore de data met de gekochte sleutel en ga meteen weer live, en hoef je geen geld uit te geven aan verbetering en herinrichting".

En op die redenering bouw je de conclusie dat er *dus* geen losgeld betaald zal zijn , want ze zijn niet meteen weer live gegaan maar hebben geld uitgeven aan allerlei herbouw ?

Je kunt weinig concluderen over het al dan niet betaald zijn van losgeld - gegeven de hack was het fors herbouwen van de server infra hoe dan ook noodzakelijk om weer vertrouwen te hebben dat gaten en backdoors waar mogelijk gedicht zijn.
Of er dan losgeld betaald is voor de *data* is niet af te leiden - als er weinig of geen data verdwenen is zou dat ook op basis van een goed backup beleid geweest kunnen zijn.

Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.
13-01-2020, 17:56 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: …..De meest betrouwbare persoon is de persvoorlichter ? ;)
in ieder geval niet de raddraaier die op meer onrust uit is. Iedereen kan van alles beweren en zo'n bewering prettig uitkomt zou dat ineens de onweerlegbare waarheid zijn? Je belazerd jezelf met die goedgelovigheid. Ik heb een helen aan nep nieuws.

Stel je eens de vraag:
Als ze betaald hadden en meteen alles via de sleutel beschikbaar zouden hebben, waarom dan vele tonnen besteden om iet te herinrichten en achterstallig onderhoud weg te werken. Dat is wat je kunt volgen in het vrijkomen en nieuwsberichten.

Laten we eerste eens kijken wat ze allemaal vanaf 6 februari gaan vertellen.

Dat is een heel domme redenering.
Als je op de meest duidelijke manier geleerd hebt dat je systeem gatenkaas isen van onder tot boven platgehacked .

Dan zeg jij "restore de data met de gekochte sleutel en ga meteen weer live, en hoef je geen geld uit te geven aan verbetering en herinrichting".

En op die redenering bouw je de conclusie dat er *dus* geen losgeld betaald zal zijn , want ze zijn niet meteen weer live gegaan maar hebben geld uitgeven aan allerlei herbouw ?

Je kunt weinig concluderen over het al dan niet betaald zijn van losgeld - gegeven de hack was het fors herbouwen van de server infra hoe dan ook noodzakelijk om weer vertrouwen te hebben dat gaten en backdoors waar mogelijk gedicht zijn.
Of er dan losgeld betaald is voor de *data* is niet af te leiden - als er weinig of geen data verdwenen is zou dat ook op basis van een goed backup beleid geweest kunnen zijn.

Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.

Er is data verloren gegaan getuige de oproep om visa opnieuw aan te vragen welke gedaan zijn na 23 december.
Indien er losgeld betaald zou zijn is alle data te recoveren.

Daaruit zou je af kunnen leiden dat er niet betaald is.
13-01-2020, 18:27 door Anoniem
[
Door Anoniem:
Door karma4:
Door Anoniem: …..De meest betrouwbare persoon is de persvoorlichter ? ;)
in ieder geval niet de raddraaier die op meer onrust uit is. Iedereen kan van alles beweren en zo'n bewering prettig uitkomt zou dat ineens de onweerlegbare waarheid zijn? Je belazerd jezelf met die goedgelovigheid. Ik heb een helen aan nep nieuws.

Stel je eens de vraag:
Als ze betaald hadden en meteen alles via de sleutel beschikbaar zouden hebben, waarom dan vele tonnen besteden om iet te herinrichten en achterstallig onderhoud weg te werken. Dat is wat je kunt volgen in het vrijkomen en nieuwsberichten.

Laten we eerste eens kijken wat ze allemaal vanaf 6 februari gaan vertellen.

Dat is een heel domme redenering.
Als je op de meest duidelijke manier geleerd hebt dat je systeem gatenkaas isen van onder tot boven platgehacked .

Dan zeg jij "restore de data met de gekochte sleutel en ga meteen weer live, en hoef je geen geld uit te geven aan verbetering en herinrichting".

En op die redenering bouw je de conclusie dat er *dus* geen losgeld betaald zal zijn , want ze zijn niet meteen weer live gegaan maar hebben geld uitgeven aan allerlei herbouw ?

Je kunt weinig concluderen over het al dan niet betaald zijn van losgeld - gegeven de hack was het fors herbouwen van de server infra hoe dan ook noodzakelijk om weer vertrouwen te hebben dat gaten en backdoors waar mogelijk gedicht zijn.
Of er dan losgeld betaald is voor de *data* is niet af te leiden - als er weinig of geen data verdwenen is zou dat ook op basis van een goed backup beleid geweest kunnen zijn.

Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.

Wat is je reactie hierop:
https://www.security.nl/posting/637794
13-01-2020, 19:31 door karma4 - Bijgewerkt: 13-01-2020, 19:37
Door Anoniem: …..
Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.
Het is niet compleet ze moeten nog veel doen. De duur van het herstel lijkt op die van degenen die niet betaald hebben.

Dit is een verhaal bij het wel betallen. Je kan het zelfs nog onder de pet houden als je niet iets wil verhalen en er geen anderen zijn die op de hoogte zijn. https://www.security.nl/posting/639017/Amerikaanse+luchthaven+betaalt+losgeld+na+ransomware-infectie

Alleen het opnieuw aanzetten van vele servers kan zo maar weken duren. Dan heb je het niet eens over een hack waarbij dat kan optreden. Een wat problematische fysieke inrichting kan al tot zoiets leiden. Alles uit en aan kan heel onoverkomelijk zijn. https://www.maastrichtuniversity.nl/updates-cyberattack
13-01-2020, 19:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4:
Door Anoniem: …..De meest betrouwbare persoon is de persvoorlichter ? ;)
in ieder geval niet de raddraaier die op meer onrust uit is. Iedereen kan van alles beweren en zo'n bewering prettig uitkomt zou dat ineens de onweerlegbare waarheid zijn? Je belazerd jezelf met die goedgelovigheid. Ik heb een helen aan nep nieuws.

Stel je eens de vraag:
Als ze betaald hadden en meteen alles via de sleutel beschikbaar zouden hebben, waarom dan vele tonnen besteden om iet te herinrichten en achterstallig onderhoud weg te werken. Dat is wat je kunt volgen in het vrijkomen en nieuwsberichten.

Laten we eerste eens kijken wat ze allemaal vanaf 6 februari gaan vertellen.

Dat is een heel domme redenering.
Als je op de meest duidelijke manier geleerd hebt dat je systeem gatenkaas isen van onder tot boven platgehacked .

Dan zeg jij "restore de data met de gekochte sleutel en ga meteen weer live, en hoef je geen geld uit te geven aan verbetering en herinrichting".

En op die redenering bouw je de conclusie dat er *dus* geen losgeld betaald zal zijn , want ze zijn niet meteen weer live gegaan maar hebben geld uitgeven aan allerlei herbouw ?

Je kunt weinig concluderen over het al dan niet betaald zijn van losgeld - gegeven de hack was het fors herbouwen van de server infra hoe dan ook noodzakelijk om weer vertrouwen te hebben dat gaten en backdoors waar mogelijk gedicht zijn.
Of er dan losgeld betaald is voor de *data* is niet af te leiden - als er weinig of geen data verdwenen is zou dat ook op basis van een goed backup beleid geweest kunnen zijn.

Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.

Er is data verloren gegaan getuige de oproep om visa opnieuw aan te vragen welke gedaan zijn na 23 december.
Indien er losgeld betaald zou zijn is alle data te recoveren.

Daaruit zou je af kunnen leiden dat er niet betaald is.

Dat is te kort door de bocht.

Als je met alle hens aan dek bezig bent om systemen te herbouwen en te herinrichten kan op dat moment de mankracht ontbreken om data te restoren - ook al heb je de sleutel, je moet al die data door de decryptor trekken, en goed terugzetten - en oppassen dat je geen mogelijk trojans/backdoors mee terugzet.

Dan is het logisch dat je mensen wier mail urgent was gewoon vraagt om opnieuw te mailen - ook al zou je (of ga je) tzt de mail van die periode ook nog kunnen restoren.
Of ook al heb je besloten om de ransom te betalen omdat teveel belangrijke data anders verloren was - tussen het weer in de lucht hebben van het mail systeem en al het andere wat nog moet kun je dan simpelweg communiceren "als het urgent was en van na 23 december, stuur nog maar eens" .

Het is een datapuntje, maar m.i. niet solide genoeg om de hele conclusie "ze hebben niet gelapt" aan op te hangen - er zijn aannemelijke scenario's waarin wel betaald is maar zo'n bericht "urgente mail opnieuw sturen" een logische actie is.

Als er betaald is, is de groep mensen die dat weet (of zeker kan concluderen) iets te groot om de zaak echt geheim te houden.
De groep mensen die intern echt de recovery aan het doen zijn moeten zien en weten waar de 'backup' data vandaan komen - en weten ook wel hoe goed of slecht de echte backup ingeregeld was.
Als er dan een paar dagen na de grote shutdown opeens een 'backup-temp' server is waarop data van vlak voor de shutdown te vinden is kunnen ze wel concluderen dat team security daar met een decryptor achter zit, ook al wordt de achtergrond geheim gehouden. Of al die mensen die recovery doen hebben gewoon een decryptor met key gekregen - dan kun je ook behoorlijk zeker aannemen dat dat niet gratis gegaan is.
14-01-2020, 10:56 door karma4
Door Anoniem: …..
De groep mensen die intern echt de recovery aan het doen zijn moeten zien en weten waar de 'backup' data vandaan komen - en weten ook wel hoe goed of slecht de echte backup ingeregeld was.
Als er dan een paar dagen na de grote shutdown opeens een 'backup-temp' server is waarop data van vlak voor de shutdown te vinden is kunnen ze wel concluderen dat team security daar met een decryptor achter zit, ook al wordt de achtergrond geheim gehouden. Of al die mensen die recovery doen hebben gewoon een decryptor met key gekregen - dan kun je ook behoorlijk zeker aannemen dat dat niet gratis gegaan is.
Dat is veel te kort door de bocht met alle aannames. Backups zijn gewoonlijk best goed geregeld. Het staat op de afvinklijst van wat er moet zijn. Een hele DR simulatie is daarentegen vrijwel nooit iets wat staat.

Ik ga van het principe uit: onschuldig totdat het tegendeel bewezen is.
Jij gaat uit van het schuldig zijn omdat het zou kunnen zijn dat. Deze is aardig om over na te denken:
https://www.security.nl/posting/639145/Nederlandse+bedrijven+betaalden+losgeld+REvil-ransomware
Betaald en kennelijk niets in het publieke circuit en je hoort niets over uitval en herstel..
14-01-2020, 12:50 door Anoniem
Door Anoniem:


[..]
Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.

Wat is je reactie hierop:
https://www.security.nl/posting/637794

Die heb ik gepost 13 jan 19:31.
14-01-2020, 20:51 door Anoniem
Door karma4:
Door Anoniem: …..
De groep mensen die intern echt de recovery aan het doen zijn moeten zien en weten waar de 'backup' data vandaan komen - en weten ook wel hoe goed of slecht de echte backup ingeregeld was.
Als er dan een paar dagen na de grote shutdown opeens een 'backup-temp' server is waarop data van vlak voor de shutdown te vinden is kunnen ze wel concluderen dat team security daar met een decryptor achter zit, ook al wordt de achtergrond geheim gehouden. Of al die mensen die recovery doen hebben gewoon een decryptor met key gekregen - dan kun je ook behoorlijk zeker aannemen dat dat niet gratis gegaan is.
Dat is veel te kort door de bocht met alle aannames. Backups zijn gewoonlijk best goed geregeld. Het staat op de afvinklijst van wat er moet zijn. Een hele DR simulatie is daarentegen vrijwel nooit iets wat staat.

Ik ga van het principe uit: onschuldig totdat het tegendeel bewezen is.
Jij gaat uit van het schuldig zijn omdat het zou kunnen zijn dat. Deze is aardig om over na te denken:
https://www.security.nl/posting/639145/Nederlandse+bedrijven+betaalden+losgeld+REvil-ransomware
Betaald en kennelijk niets in het publieke circuit en je hoort niets over uitval en herstel..

Wat je publiek hoort van ICT zijn eigenlijk alleen grootschalig zichtbare effecten en/of zaken bij erg zichtbare partijen.
Dat Fox-IT weet van twee betalende bedrijven die niet op security.nl gestaan hebben is niet vreemd - als het effect niet grootschalig zichtbaar was haalt een eventuele storing, welke oorzaak dan ook, gewoon geen nieuws.

Het incident bij UM is nu eenmaal wel zichtbaar, en *als* de disaster recovery ondersteund werd met een decryptor , het aantal betrokkenen bij die DR een beetje te groot is om te verwachten dat het totaal geheim blijft.
Ga op 23 feb maar bieren rondom ICT'ers van de UM, heel grote kans dat je bijgepraat wordt
14-01-2020, 21:08 door Anoniem
Door karma4:
Door Anoniem: …..
Ik moet zeggen dat ,uitgaande van het min of meer compleet weer opzetten en inrichten van ongeveer de hele backend infra de zaak indrukwekkend snel gedaan is.
Ook met beschikbare data / configs uit backups dan wel betaald losgeld is zoiets veel werk.
Het is niet compleet ze moeten nog veel doen. De duur van het herstel lijkt op die van degenen die niet betaald hebben.

Dit is een verhaal bij het wel betallen. Je kan het zelfs nog onder de pet houden als je niet iets wil verhalen en er geen anderen zijn die op de hoogte zijn.


Alleen het opnieuw aanzetten van vele servers kan zo maar weken duren. Dan heb je het niet eens over een hack waarbij dat kan optreden. Een wat problematische fysieke inrichting kan al tot zoiets leiden. Alles uit en aan kan heel onoverkomelijk zijn. https://www.maastrichtuniversity.nl/updates-cyberattack

Leg je post van 13-1 16:37 nou nog eens uit.
Ik heb er al op 13-1 17:00 gereageerd.

Je zegt daar feitelijk , ook hier, dat je met betalen (veel) sneller weer online kunt zijn.

Ik zeg , in 13-1 17:00 samengevat het volgende:

1) Na een dusdanige ransomware infectie van al je kritische servers zit je vast aan een disaster recovery .
(dus herbouw van je OS platformen) .
2) Je hebt mogelijk betaald voor *data* waar je geen goede backup van bleek te hebben .
Maar omdat je toch een disaster recovery moet doen , valt uit de hersteltijd het verschil tussen betaald hebben en recovery van backups niet af te leiden.

Als je stelt dat je met betalen veel sneller weer online kunt zijn - blijkbaar zonder een cleane herbouw van je infra - leg eens uit waarom je dat zou doen ?
Waarom zou je (weer) live durven/kunnen gaan met een platform dat totaal gebreached was - waar haal je het vertrouwen vandaan dat je de gebruikte gaten gedicht hebt, en dat je geen mogelijke backdoor gemist hebt ?

Mij lijkt dat volkomen onacceptabel - vandaar mijn stelling dat je met of zonder gekochte decryptor een DR moet doen, en uit de hersteltijd dus niets af te leiden is over backup vs betalen.
15-01-2020, 15:14 door karma4
Door Anoniem: ...
Waarom zou je (weer) live durven/kunnen gaan met een platform dat totaal gebreached was - waar haal je het vertrouwen vandaan dat je de gebruikte gaten gedicht hebt, en dat je geen mogelijke backdoor gemist hebt ?

Mij lijkt dat volkomen onacceptabel - vandaar mijn stelling dat je met of zonder gekochte decryptor een DR moet doen, en uit de hersteltijd dus niets af te leiden is over backup vs betalen.
Hoe denkt de manager? Die wil weer snel in de lucht en geen ruchtbaarheid:
https://www.security.nl/posting/639370/Door+ransomware+getroffen+Twentse+bedrijven+betaalden+losgeld
Ik heb ze met die houding meegemaakt, ook al zou jij en ik dat zelf onacceptabel vinden.

Van het UM zal het wel bekend worden wat er gebeurd is en welke overwegingen gemaakt zijn.
Zoiets zou standaard verplicht moeten zijn om ergens te melden en te laten onderzoeken.
24-01-2020, 20:49 door Anoniem
Een anoniem maakte 2020-01-07 op ObservantOnline boos melding van door het CvB opgehoeste som losgeld. De ICT afdeling van de UM zou jarenlang op een houtje hebben gebeten. Het onderwijsondersteunend personeel, niet alleen opgescheept met gebrekkige middelen, zou ook steeds benadeeld zijn geweest bij CAO onderhandelingen.

Een fragment van de tirade:

"Had de UM niet op tijd betaald, dan werden de bestanden definitief vernietigd. Daarnaast werd de ransom, het bedrag dat de UM moest betalen, telkens duurder. Hoe langer je wacht, des te duurder het werd. En je loopt het risico dat je bestanden worden vernietigd. Het was een race tegen de klok. Dus nee Martien [sic], geen gemeenschapszin maar noodzaak en het hebben van geen alternatief. Want, waar waren die backups dan? Precies, die waren er niet."

https://www.observantonline.nl/Home/Artikelen/articleType/ArticleView/articleId/17801/De-UM-staat-als-een-huis-in-tijden-van-crises

Het is een anoniem relaas, dus lees het met enige reserve. Wat het geheel interessant maakt, is de bijval, twee dagen later, die de anonieme reactie krijgt van een andere ICTer, ook verbonden aan de UM, die kennelijk wel de moed had onder zijn eigen naam te schrijven, en die het eerder anoniem geschetste beeld met niet zoveel woorden onderschrijft.
25-01-2020, 15:45 door Anoniem
Door karma4:
Door Anoniem: ...
Waarom zou je (weer) live durven/kunnen gaan met een platform dat totaal gebreached was - waar haal je het vertrouwen vandaan dat je de gebruikte gaten gedicht hebt, en dat je geen mogelijke backdoor gemist hebt ?

Mij lijkt dat volkomen onacceptabel - vandaar mijn stelling dat je met of zonder gekochte decryptor een DR moet doen, en uit de hersteltijd dus niets af te leiden is over backup vs betalen.
Hoe denkt de manager? Die wil weer snel in de lucht en geen ruchtbaarheid:
https://www.security.nl/posting/639370/Door+ransomware+getroffen+Twentse+bedrijven+betaalden+losgeld
Ik heb ze met die houding meegemaakt, ook al zou jij en ik dat zelf onacceptabel vinden.

Niks mis met snel weer in de lucht willen, en ook weinig mis met geen ruchtbaarheid willen geven.

Maar zeg nou eens duidelijk of je het wel of niet eens bent met mijn stelling dat je *ook met betalen* er heel verstandig aan doet een grondige -en dus langdurige - DR/rebuild te doen van het platform (en dan je _data_ terug hebt dankzij betaling) ?

En als je wel goede backups hebt - ook dan zit je met systemen die tot op het bot gehacked waren - en kun je voor livegang maar beter zeker stellen dat het niet nog een keer mis kan gaan. Gewoon hetzelfde kwetsbaar gebleken platform restoren is Niet Handig.

Jij stelde "Het duurt lang dus er is niet betaald" .

En ik stel dat het verschil tussen "betaald maar grondige rebuild van platformen" en "niet betaald maar uitgebreide DR van backups" niet te zien is aan de tijd van service restore.


Van het UM zal het wel bekend worden wat er gebeurd is en welke overwegingen gemaakt zijn.
Zoiets zou standaard verplicht moeten zijn om ergens te melden en te laten onderzoeken.
26-01-2020, 12:12 door Anoniem
En als je wel goede backups hebt - ook dan zit je met systemen die tot op het bot gehacked waren - en kun je voor livegang maar beter zeker stellen dat het niet nog een keer mis kan gaan.
Hoeft niet.
Als je er maar om denkt dat de backup naar het systeem toe wordt gepusht vanaf de (clean) backupserver.
Hierbij dient men een datadiode te gebruiken, die alleen verkeer van de backupserver naar systeem toelaat,
(en niet andersom). Er moet wel een handshakelijn teruglopen (stop/go) om de dataoverdracht van backupserver naar systeem te synchroniseren. Het geheel moet zo zijn ontworpen dat deze handshake-lijn puur wordt gebruikt om te synchroniseren, en dat de teruggekoppelde signalen op deze lijn nooit als data (bestanden) of code kan worden geïnterpreteerd.
Zo creëert men een veilige overdracht, en kan virus of ransomware niet op de backupserver overslaan bij de restore.

Dus het systeem (dat mogelijk besmettelijk is) kan men beter niet de backup "naar zich toe laten trekken".
want daarvoor is het immers nodig dat de backupserver commando's van het systeem accepteert!!!
En daarmee loop je een risico dat virus of ransomware overslaat op de backupserver en zich activeert
voordat de hele restore is gedaan, en is vervolgens ook je backup naar de kl..... eh, maan.

mvg,
Sherlock
27-01-2020, 07:46 door Anoniem
Door [Account Verwijderd]: Ik betwijfel of er losgeld betaald is, er staat namelijk op de website van de UM het volgende:

Heb je een visum-aanvraag ingediend, kijk dan in de FAQ hoe je achter de status kunt komen of (als je de aanvraag hebt ingediend na 23 december) hoe je deze aanvraag opnieuw kunt indienen.
https://www.maastrichtuniversity.nl/nl/nieuws/update-9-cyberaanval-um-0

Hier geeft men dus aan dat visa aanvragen gedaan na 23 december opnieuw ingediend dienen te worden.
Daaruit zou je af kunnen leiden dat die bestanden/aanvragen verloren gegaan zijn, immers indien er losgeld betaald is dan zouden alle bestanden te decrypten zijn en zouden deze aanvragen niet opnieuw ingediend hoeven te worden.

Dat zou (aanname) kunnen betekenen dat de backup van 23 december nog in orde zou zijn, de eerste berichten over een 'hack' zijn van 24 december.

Als er losgeld betaald is, en daar lijkt het nu sterk op, dan snap ik niet waarom het zo lang duurde voordat alles hersteld is en waarom er dan kennelijk toch bestanden kwijtgeraakt zijn.
27-01-2020, 08:50 door Anoniem
Door Anoniem:
En als je wel goede backups hebt - ook dan zit je met systemen die tot op het bot gehacked waren - en kun je voor livegang maar beter zeker stellen dat het niet nog een keer mis kan gaan.
Hoeft niet.
Als je er maar om denkt dat de backup naar het systeem toe wordt gepusht vanaf de (clean) backupserver.
Hierbij dient men een datadiode te gebruiken, die alleen verkeer van de backupserver naar systeem toelaat,
(en niet andersom). Er moet wel een handshakelijn teruglopen (stop/go) om de dataoverdracht van backupserver naar systeem te synchroniseren. Het geheel moet zo zijn ontworpen dat deze handshake-lijn puur wordt gebruikt om te synchroniseren, en dat de teruggekoppelde signalen op deze lijn nooit als data (bestanden) of code kan worden geïnterpreteerd.
Zo creëert men een veilige overdracht, en kan virus of ransomware niet op de backupserver overslaan bij de restore.

De vraag is niet (alleen) of de backup server besmet is, de vraag is of wat je ervan terughaalt niet (reeds) de malware - of achtergelaten backdoors - bevat.

Plus dat je een platform had dat *kwetsbaar bleek* - Dan knal je toch niet een backup terug en ga je met *datzelfde* platform - inclusief alle ge-restorede vulnerabilities en lekken weer live ?
27-01-2020, 17:38 door karma4
Door Anoniem: ….
Dus het systeem (dat mogelijk besmettelijk is) kan men beter niet de backup "naar zich toe laten trekken".
want daarvoor is het immers nodig dat de backupserver commando's van het systeem accepteert!!!
En daarmee loop je een risico dat virus of ransomware overslaat op de backupserver en zich activeert
voordat de hele restore is gedaan, en is vervolgens ook je backup naar de kl..... eh, maan.

mvg,
Sherlock
Het principe van een SAN op laag niveau is dat het een storage device in onderlaag van andere machines emuleert. Die onderlaag accepteert geen willekeurige commando's, het zijn datablokken als opdrachten.
Je hebt meteen een implementatie van jouw datadiode.
27-01-2020, 18:04 door Anoniem
Door karma4:
Door Anoniem: ….
Dus het systeem (dat mogelijk besmettelijk is) kan men beter niet de backup "naar zich toe laten trekken".
want daarvoor is het immers nodig dat de backupserver commando's van het systeem accepteert!!!
En daarmee loop je een risico dat virus of ransomware overslaat op de backupserver en zich activeert
voordat de hele restore is gedaan, en is vervolgens ook je backup naar de kl..... eh, maan.

mvg,
Sherlock
Het principe van een SAN op laag niveau is dat het een storage device in onderlaag van andere machines emuleert. Die onderlaag accepteert geen willekeurige commando's, het zijn datablokken als opdrachten.
Je hebt meteen een implementatie van jouw datadiode.

karma dit is ONZIN, een server die aan een SAN gekoppeld is kan vanaf de client die schrijf rechten heeft op de server data store (want anders is het geen backup/file server) kan encrypted data die SAN in duwen => SAN geen oplossing ansich.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.