Exchange-omgeving Universiteit Maastricht nog altijd offline
Studenten en medewerkers van de Universiteit Maastricht kunnen nog altijd geen gebruik van e-mail en hun agenda maken. Het herstellen van de Exchange-omgeving na de ransomware-infectie neemt meer tijd in beslag, zo meldt de universiteit in een update over het incident.
Afgelopen zaterdag liet de universiteit weten dat er gewerkt werd aan het operationeel maken van de e-mailomgeving en fileservers. De werkzaamheden zijn nog niet afgerond. "Momenteel wordt hard gewerkt om alle e-mail- en agendabestanden in een veilige back-upomgeving te plaatsen. Vanwege de enorme hoeveelheid data duurt dit langer dan gehoopt. Dit betekent dat e-mail en agenda op maandag 6 januari nog niet kunnen worden gebruikt", zo meldt de universiteit. Het is de verwachting dat de diensten "snel" na maandag weer operationeel zijn, maar een datum wordt niet genoemd. Ook printerdiensten zijn nog offline.
De netwerkschijven zijn wel weer toegankelijk voor studenten en medewerkers, maar alleen via een bekabelde netwerkverbinding en niet via wifi. Tevens zijn andere diensten waaronder SAP/ERP, bibliotheekdiensten, studentenportaal, studiematerialen, roostersystemen en SDA/VDI-clients online gebracht. Uit veiligheidsoverwegingen is het voor medewerkers vandaag nog niet mogelijk om vanaf het vaste, bekabelde UM-netwerk te internetten.
De universiteit adviseert studenten om bewerkte bestanden, zodra toegang tot de netwerkservers is hersteld, weer toe te voegen en de oudere lokale versies te verwijderen. "Tip: bewaar al je bewerkte bestanden op één plek op je desktop, of gebruik één USB-stick zodat je straks makkelijk de data kunt terugvinden en terugplaatsen zodra de netwerkschijven weer volledig operationeel zijn", aldus het advies van de universiteit aan studenten.
Wat wordt er door Universiteit Maastricht gedaan om dit in de toekomst te voorkomen
Q: "Is Student Desktop Anywhere (SDA)/ Virtual Desktop Infrastructure (VDI) live?"
A: "SDA/VDI is vanaf maandag 6 januari weer beperkt operationeel. Met SDA/VDI kun je onder andere in Microsoft office documenten op persoonlijke en centrale netwerkschijven bekijken en bewerken. Bestanden kunnen niet worden opgeslagen op deze netwerkschijven. Maak hiervoor gebruik van USB-sticks."
"Tip: bewaar al je bewerkte bestanden op één plek op je desktop, of gebruik één USB-stick zodat je straks makkelijk de data kunt terugvinden en terugplaatsen zodra de netwerkschijven weer volledig operationeel zijn."
Q: "Zijn externe opslagmedia (usb sticks) die verbonden waren met het UM-netwerk ook beschadigd?
A: "Dat weten we op dit moment nog niet."
Als de UM dat niet weet, kan je die USB sticks toch ook niet gebruiken? De adviezen van de UM vind ik daarom onduidelijk. Zo kan je toch niet werken? Men is misschien nog lang bezig met het decrypten met de gekochte sleutel? Welke detectie is er inmiddels toegevoegd aan het netwerk?
Wat wordt er door Universiteit Maastricht gedaan om dit in de toekomst te voorkomen
Knappe invulling geef jij er aan.
Blijkbaar ook enorme kennis van dergelijke malware.
Je kunt zaken wel snel restoren vanuit een DRP mind maar als je backup ook al besmet is in een ver verleden met deze malware dan wordt de zaak al ingewikkelder.
Schoon beginnen en selectief restores doen dan de manier om die troep niet weer binnen te halen. En dus niet even een VM/Server restoren en starten maar weer.
Mocht je het magische antwoord of oplossing voor de Universiteit hebben, dan zou ik je willen adviseren om hier te solliciteren.
1 de beveiliging niet op orde
2 geen backups(!?)
3 gewoon de dieven belonen
4 nog steeds niet terug in werkende staat
mooie score hoor! ga zo door
Hoe staat het met de boeven/daders/criminelen? Al enig idee wie, wat waar? Niet? Nee who cares toch!?
….
Q: "Zijn externe opslagmedia (usb sticks) die verbonden waren met het UM-netwerk ook beschadigd?
A: "Dat weten we op dit moment nog niet."
Als de UM dat niet weet, kan je die USB sticks toch ook niet gebruiken? De adviezen van de UM vind ik daarom onduidelijk. Zo kan je toch niet werken? Men is misschien nog lang bezig met het decrypten met de gekochte sleutel? Welke detectie is er inmiddels toegevoegd aan het netwerk?
https://docs.vmware.com/en/VMware-Horizon-Client-for-Windows/4.6/com.vmware.horizon.windows-client-46-user-guide.doc/GUID-A845BCB2-CCAD-4B5F-B2E7-C36BCA6941E2.html dat gebeurt gewoonlijk niet. Een bestand uitwisselen zou met een shared folder kunnen het kan ook met iets wat per bestand aangegeven moet worden.
Bij de interne direct op het netwerk aangesloten apparaten is dat anders. Deze zitten voorlopig nog even in een onzekere toestand. Pas als er naar gekeken wordt zal de toestand duidelijk worden. Lijkt wel de quantum methodiek.
En nee ze zitten zo te zien NIET te decrypten.
Er wordt vanuit een nieuwe opgezette machine omgeving van alles opnieuw opgebouwd. De laatste gegevens zijn weg of zullen via een spooling interface alsnog binnenkomen. Bedenk even om hoeveel bestanden het moet gaan voor alle studenten en de historie. Een groot aantal losse bestanden is iets waar elk OS problemen mee heeft.
U heeft helemaal gelijk.
iCQ
vaak nog met onveilige jQuery code, Microsoft of geen Microsoft genoemd.
Veelal gewoon platform-onafhankelijke lichtzinnigheden of te makkelijk gedacht, dat het niet extern toegankelijk zou zijn.
De cybercrimineel en zijn cybercrimineeltjes-maat hebben andere denkpatronen.
Vaak doetreffender als op shodan.io.
"Het zou verboden moeten worden", volgens security through obscurity voorstanders.
#sockpuppet
Er zijn namelijk vrij weinig alternatieven voor Exchange met de integratie mogelijkheden. Nog afgezien je een ander product, niet even neer zet in zo'n korte tijd.
1 de beveiliging niet op orde
2 geen backups(!?)
3 gewoon de dieven belonen
4 nog steeds niet terug in werkende staat
mooie score hoor! ga zo door
Hoe staat het met de boeven/daders/criminelen? Al enig idee wie, wat waar? Niet? Nee who cares toch!?
2: Die waren er wel. Alleen door 1, waren ze niet meer te gebruiken.
3: Tja... Altijd leuk dit soort punten. Totdat je zelf voor de keuze staat en je eigenlijk geen alternatieven hebt.
4: Iets met Beste stuurlui en wal.... Blijkbaar heb jij geen enkel idee, hoe complex dit soort omgevingen zijn.
1 de beveiliging niet op orde
2 geen backups(!?)
3 gewoon de dieven belonen
4 nog steeds niet terug in werkende staat
mooie score hoor! ga zo door
Hoe staat het met de boeven/daders/criminelen? Al enig idee wie, wat waar? Niet? Nee who cares toch!?
Hardstikke mooi om langs de zijlijn te schreeuwen. Je heb er werkelijk geen idee van hoe dingen gaan.
Hoezoo beveiliging niet op orde ??? Een beetje malware met een 0-day exploit komt overal doorheen, dan valt er niks te beveiligen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
