Hangt er vanaf: Of je toko failliet of een tonnetje schuiven, dan zou ik het wel weten.
Ik snap het dilemma maar dan kies ik toch voor mijn eigen hachje.


Er zijn ook andere vormen van gijzeling waar ook voor betaald wordt, vraag maar aan Trump.

Losgeld betalen is geen slecht idee in, bijvoorbeeld, oeverloze grensschermutselingen. De ene week betaal jij losgeld voor je maat, de andere week doet de ander dat aan jou voor zijn maat. Dan scheelt het een hoop doden. Maar die symmetrie die zie je niet terug bij bijvoorbeeld ontvoeringen, en ook niet bij ransomware. En dan is net als met afpersen: Betalen stimuleert de crimineel. En dat moet je nu net niet doen.

Beter idee: Zorg dat je je vatbaarheid voor ransomware reduceert. Want ransomware is geen spelletje dat je kan winnen.

Ransomware vergelijken met het 444 dagen in gijzeling houden van meer dan 50 burgers is wel een beetje bot.

Het is risk management.

In (en uit) principe zeg ik "slecht idee." Je moet gewoon de zaken op orde hebben. Maar is dat duurder dan gewoon betalen bij ransomware, dan is het een overweging. Veel mensen vergeten dat ransomware niet eenmalig is en dat de maatregelen om het te mitigeren ook helpen bij andere calamiteiten. Maar dan nog..... het is een risico afweging.

Hoezo Trump? Het is Obama geweest die het betalen van losgeld weer toegestaan heeft in bepaalde situaties. (lees kidnapping in het buitenland)

Afgezien van de discussie of betalen verstandig is of niet (ik acht het niet echt verstandig, want wie garandeert je dat ze de zaak echt ontsleutelen na betaling?) is veel belangrijker hoe een instituut als een universiteit zijn beveiliging en back-up-systemen zo slecht heeft geregeld. Ik vind het ongelooflijk dat zoiets anno 2019-2020 gebeurt. De computerveiligheid is hier aan de orde en dat is nu, als gevolg van grove nalatigheid, een dure grap geworden. Overigens zullende de verantwoordelijken wel rustig blijven zitten conform de gewoonten bij de overheid en haar organen.

Ik heb voor "slecht idee" gekozen, maar begrijp volledig waarom voor betalen gekozen wordt: kwestie van eieren voor je geld kiezen (alhoewel je geen garantie hebt dat je jouw bestanden terugkrijgt - door onwil, gebrekkige administratie (onjuiste sleutel) of bugs in de ontsleutelsoftware).

Zonder hoge boetes komen we hier niet vanaf. En, naarmate we meer betrouwbare back-ups gaan maken, zullen cybercriminelen vaker dreigen vertrouwelijke gegevens te publiceren (en dat ongetwijfeld waarmaken om geloofwaardig over te blijven komen). Dat probleem (wel met mogelijke boetes van de AP als gevolg) los je niet op met back-ups; het enige dat m.i. helpt tegen deze dreiging is de kans op geslaagde aanvallen van dit type verlagen (en/of je verzekeren voor de ontstane schade en/of boetes).

In https://www.security.nl/posting/398737/Synolocker+losgeld+betalen%3F beschreef ik een onderzoekje naar particulieren die betaald hebben.

In https://www.security.nl/posting/406538/%22Betalen+van+ransomware+helpt+bij+terugkrijgen+bestanden%22#posting406540 schreef ik:

Edit: volgorde aangepast (ik had verkeerd tussengevoegd)

Slecht idee, hoe meer bedrijven het losgeld betalen, des te groter word het aanbod van ransomware, als er niets meer betaald word, zal het aanbod ook afnemen doordat het risico om gepakt te worden de mogelijkheid betaald te worden verre overschrijd

Mensen lui en dom noemen en dan ofwel niet doorhebben dat je twintig spelfouten maakt, ofwel te lui zijn om het door de spellchecker te halen. Iets met balk, splinter en oog.

Dat maakt het geen goed idee, het is nog steeds een ronduit slecht idee, alleen is het alternatief nog veel slechter voor een toko die in die situatie zit. Die zijn op dat moment te laat om de goede ideeën nog toe te kunnen passen.

Security op orde houden kost ook geld, en de vraag is nog maar of dat ransomware altijd wel tegenhoudt,
want je weet nooit hoe een koe een haas vangt.

Uiteindelijk is het een kosten/baten afweging waarbij ook meetelt hoeveel het terugkrijgen van bestanden je waard is.
Verder zal bij grote ICT-omgevingen de impact meestal groter zijn dan bij kleine ICT-omgevingen.

Het is natuurlijk altijd goed om aan security te doen wat redelijk is, wat niet al teveel kost en niet al teveel gedoe geeft.
Bijv. iets van een recentelijke betrouwbare backup die goed is beschermd moet er eigenlijk wel zijn als je bestanden het waard zijn.

Maar alles continu ransomwareproof houden?
Als het je al lukt (wat ik betwijfel) dan kost het mogelijk meer dan een paar keer ransomware betalen.

Dat is niet wat ik bedoelde, Trump gijzelt complete landen door sancties op te leggen als ze niet naar zijn pijpen dansen.
Gewoon door middel van pressie zijn wil opleggen is ook een vorm van gijzelen.

Je kan in ieder geval weglopen van software die steeds maar weer vatbaar blijkt.

Kost wat, levert ook wat op. Vaak levert het zelfs meer op tegen minder kosten dan verwacht.

Er telt ook een maatschappelijk belang mee. Het is dus geen pure op jezelf beperkte kosten/baten-verhaal.

Je zou tegelijkertijd toch ook zeggen dat grotere ICT-omgevingen meer middelen hebben voor beheer dan kleinere.

Het kost je om te beginnen een cultuuromslag. Je moet je oude manier van kijken bij het grof vuil zetten en jezelf een nieuwe aanmeten die net ietsje groter is en geen genoegen neemt met kennelijk oeverloos oplappen.

Kijk maar wat je hier zelf aan het doen bent: Je probeert te beargumenteren dat verbeteren toch geen zin heeft dus blijf nou maar gewoon doormodderen met de ellende die je hebt. De eerste stap is dat ontkennen dat je een probleem hebt achter je te laten. Daarna kan je proberen je probleem op te lossen, of zelfs te laten verdwijnen door het ontstaan onmogelijk te maken.

Blablabla, de beste stuurlui staan altijd aan de wal en die weten het altijd beter, NOT. Uiteraard is het betalen van criminelen een slecht idee maar als je niet in de schoenen staat van de slachtoffers kun je er ook niet over meepraten.
Tuurlijk betaal je om je spullen terug te krijgen want dat is namelijk de business case van die criminelen. Die snappen ook wel dat als ze de data niet restoren dat nooit iemand meer zal betalen. Ze bieden zelfs helpdesk ondersteuning aan om decryptie goed te laten verlopen. Dus ja, het is een slecht idee om criminelen te belonen en ja het is een goed idee om criminelen te betalen wanneer je niet meer in staat bent om je gegevens zelf te restoren.
Ik hoop voor de slachtoffers die betaald hebben dat ze nu eens serieus werk maken van een weerbaarheid tegen dit soort cybercrime. Dat is echt geen hogere raketkunde en er zijn voldoende mogelijkheden om met eenvoudige maatregelen een hele hoop ellende te voorkomen of ervoor te zorgen dat de schade beperkt blijft. 100% voorkomen ga je dit soort aanvallen nooit dus je kunt je er maar beter op voorbereiden dat je slachtoffer gaat worden. Dat is geen kwestie van of maar van wanneer. Als je de zaken goed op orde hebt zal een dergelijke aanval hooguit een klein deel van je omgeving en gegevens treffen. Die kun je dan afsluiten en herstellen zodat dat deel weer snel up and running is.

Ben je als organisatie (in)direct verantwoordelijk als met de door jouw betaalde losgeld terroristische aanslagen wordt gepleegd? En als je niet (in)direct verantwoordelijk bent, vind je het fijn als het als kopstuk in de krant komt?

Voorbeeld: "Organisatie XYZ heeft aanslag gefinancierd door betaling losgeld terroristen".

Vanuit bedrijfseconomische overwegingen begrijp ik de betaling van het losgeld. Ook wanneer je hele cruciale data verloren hebt. Ethisch gezien kan het gewoon niet.

Wellicht organisaties die losgeld n.a.v. een cyberaanval betalen verplichten om 10 jaar lang een jaarlijkse algehele onafhankelijke security assessment laten doen inclusief het oplossen van alle critical en medium bevindingen? En dit onder toezicht van het NCSC o.i.d.?

Ik neem aan dat jij geen uit aardolie vervaardigde brandstoffen, oliën en kunststoffen koopt? Nooit drugs gebruikt hebt? Geen tastbare en ontastbare zaken benut die ook voor "foute" (discutabel) doeleinden kunnen worden gebruikt (kernergie, medische bestraling, rattengif en onkruidverdelgers, messen enzovoorts). Ik zie mezelf best wel als een moraalridder, maar ben uiteindelijk ook hartstikke hypocriet - een vermoedelijk noodzakelijke eigenschap om als mens te kunnen overleven.

Dat klinkt al een stuk realistischer.

NCSC heeft daar helemaal geen tijd voor.

Ik vermoed dat de dreiging van het moeten betalen van een flinke boete (die niet door een verzekering vergoed mag worden), in een bepaalde verhouding tot het betaalde losgeld, indien nalatigheid wordt aangetoond, bij veel commerciële bedrijven flink zou helpen (zelfs de, niet puur gokkende, aandeelhouders zullen dan het nut van prijzige preventieve maatregelen inzien).

Voor overheidsorganisaties, die zelden malen om boetes, is een "ondercuratelestelling" en ontslag van hooggegplaatste verantwoordelijken (zonder "losgeld"/"loosgeld" AKA gouden handdruk of (aanvullende) wachtgelduitkering) vermoedelijk een probaat middel.

Alleen met een vingertje zwaaien voorkomt niet dat er losgeld betaald blijft worden.

Voor wie dit een goed idee vindt, die moeten vanaf vandaag voor straf 1000 strafregels schrijven en op papier zetten:

slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.
slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.slecht idee.

Duidelijk?

Een goed idee is het zeker niet.

Maar in sommige gevallen is er gewoon geen keus. De eerste post somt het duidelijk op.
Als er geen goede backups zijn (ja heel slecht, maar komt voor), of ongeteste backups, dan kan je wel eens in een situatie komen waar betalen minder tijd EN geld kost dan de schade zelf proberen te fixen. In sommige gevallen betekend schade fixen zelfs helemaal overnieuw starten.

Mijn keuze is dus "hangt ervan af"
Het beste is uiteraard zorgen dat je niet geinfecteerd wordt en backups zodat je alsnog terug kunt gaan als het toch zover komt.


Dat is leuk, maar als de "once in a lifetime" foto's van een vakantie of van je kind toe die nog klein was, niet meer teruggehaald kunnen worden, of andere items op je pc die je toch echt niet wilt kwijtraken, dan wordt het 'betalen'-knopje toch wel heel moeilijk om niet op te klikken.

In het geval van het UM is hier natuurlijk ook heel goed met allerlei experts gesproken wat de opties zijn.
En is er heel doelbewust voor gekozen om hun bestanden terug te halen dmv een betaling naar de criminelen.

Iedereen kan wel zeggen "moet je niet doen" of "dat zou ik echt nooit doen", maar als puntje bij paaltje komt kan ik je garanderen dat je er heel hard over gaat nadenken wat je keuze is. Zeker als je dingen dreigt te verliezen die kostbaar zijn.

Hangt ervan af? Eerlijke criminelen bestaan niet. Er is geen garantie.

Dit wordt een beetje een discussie van dingen willen afschaffen,
omdat er nare dingen mee gedaan kunnen worden.
Beeldhouwen met een hamer geeft kunst, slopen met een hamer laat een puinhoop achter.
Wel, is er met aangepaste ransomware dan nog iets creatiefs te verzinnen?
Wellicht voor het adequaat afvoeren van verouderde software?

Een slechte zaak vind ik het ontbreken van transparantie.
Begrijpelijk dat daarom ook "security through obscurity" een slecht idee blijft.

Doe niet aan open disclosure, want je maakt niet alleen de verdediger tegen aanvallen wijzer,
maar ook de cybercrimineel/cyberterrorist. Dat denkt men, maar is dit a priori zo?

Het is als met elke hulp. Geeft men mondjesmaat wat gdoseerde veiligheid (pleister op de kwetsbaarheid)
dan blijft nog steeds voortdurend slachtoffer.

Leer de mensen zelf beveiligen en je helpt iemand echt. (Net als met een vis geven i.t.t. tot het aanleren van te vissen).

Dus gaan er hier op security dot nl al stemmen op om de shodan scanner en dazzlepod nmap scanner maar af te schaffen
en wellicht ook malware analyses. Doe je het licht maar uit, denkt men, dan zie je de olifant in de ijskast niet,
maar hij stampt en dendert wel verder door de vla.

Conclusie: zonder dat er duidelijkheid komt in technische zin, kan ook geen goede protectie en handhaving plaats hebben.

J.O.

Komt die duidelijkheid in technische zin er ten slotte, schrikt iedereen zich rot in hoeverre het systeem al volledig gecompromitteerd is. (infrastructuur). Het gaat dan alleen maar aantonen, hetgeen mensen met technisch inzicht al lang hebben gezegd. Ten behoeve van het handhaven van de "macht" (hoe je die ook wenst te definieren) is alles echt 100% "holed" en men deed het vaak nog met opzet ook. Om de massa zoet te houden is een systeem van pappen en nathouden (pleisters uitrollen) verzonnen, maar een echte overhaul komt er niet. Nooit, meen ik.

Pas als je dat dus eens duidelijk boven water hebt gekregen, kun je er iets aan gaan doen, maar dat wil men kennelijk niet.
Dus ransomware, ransomware, meer en meer ransomware.

J.O.

' te laaaaaaat ' !

Er is nu wereldwijd al zo vaak betaald, dat de geur van ransom-$$$
al lang door de neuzen van de laffe criminelen is geroken,
de malware door welwillende $-georienteerde-blackhats verder is door ontwikkeld,
de aanpak van het vinden van slachtoffers dmv phising, inventarisseren van het netwerk op zwakke plekken enz., goed is uitgedacht en er ruim de tijd in wordt geinvesteerd voor een grotere kans op uitbetaling.

Komt op die manier meer over als hersenspoelen of indoctrinatie!

Het gaat om het prijskaartje versus risico. Wat kost het om alles goed te hebben beveiligd en de daarbij komende onderhoudskosten tov being-ransomed?
Aangezien veel bedrijven IT gebruiken als tool, moet zo'n tool niet al je omzet gaan verbranden.
Daarbij te nonchalant de risico-analyse doen , maakt de naieve keuze om (rotte) eieren te kiezen voor hun geld.
Om nadien op de blaren te mogen zitten met de gedachte: ' had ik maar ...'

Ach, het is hetzelfde of je een verzekering neemt voor iets of zelf een potje aanlegt om eventuele tegenslagen aan te kunnen. Goed berekenen wat het goedkoopst uitvalt (goed beveiligen, zelf-potje-sparen/ransom betalen, verzekeren) is hier de kunst.

Toch wel weer frappant dat de menselijke maat totaal ontbreekt. Of de wereld alleen bestaat uit nullen, enen en directory's heren ICT'ers?

Denk het niet: Bijna 8 miljard stuks homo sapiens, waaraan bij een significant deel onafwendbaar op dagelijkse basis iets 'stuk gaat', iets gaat haperen: Apendixje hier, hoornvliesje of knobbeltje daar, opstoppinkje zus, breukje zo, en dan strompelen we min of meer naar een ziekenhuis...... dat door ransomware getroffen kan worden.

Ja en dan kan je wel - excuses moi - autistisch gaan lullen: "Hadden ze maar zus of zo op netwerkniveau moeten regelen, middels - en dan komt er me toch een sliert vaktermen - die feitelijk niets meer inhouden op zo'n moment als natrappen: de uiterste minachting van de menselijke maat, wat dan culmineert in het volgende hersenloze gebrabbel:


Je bent dan een inhumane robot - letterlijk - om dan te eisen dat er geen losgeld betaald mag worden, met als mogelijk gevolg dat er mensenlevens in gevaar komen. Tot nu is dat niet gebeurd, mits er in het nieuws niets ontbreekt, wat dan weer bewijst dat gedurende zulke calamiteiten ziekenhuizen redelijk tot goed voorbereid zijn om 'op papier' terug te vallen o.i.d. maar het kán misgaan.

Dus, mijn keuze:
Betalen van losgeld?
Het hangt er van af. Bij ransomware aanvallen waarbij mensenlevens in het gedrang komen, kun je geen risico nemen.

En, niet in het állerminst:

Criminelen die worden gepakt en waarbij bewezen wordt dat zij een aanval hebben uitgevoerd op een ziekenhuis, daarvoor geldt m.i. maar één strafmaat, of zij nu slachtoffers hebben gemaakt of niet: Levenslange gevangenisstraf, en dan ook écht levenslang tot de dood erop volgt. De maatschappij is wel klaar met dat soort lui.

@Philias,

Maar in een wereld die 'cyberwar' wordt aangedaan, wordt dit soort "low life" vaak gedoogd. Het komt als bijproduct van de totaal gepn*wde globale cyber-structuur met zero-days, targeted victims, voortgezette bevolkingsreductie, herfinanciering van grote system-banksters via "green deals", bevordering van een "androgyne" mensheid (met als daarvan als gevolg minder aanwas) etc. etc. De neergang van dit super decadente imperium heeft wellicht ingezet. Daar moet onze hoop op gevestigd zijn. Geen imperium op aarde dat langer als zo'n 250 jaar wist te blijven bestaan.

Nu in deze tijd doet 'cyberworld' denken aan een soort van moderne duistere middeleeuwen met cyber-roofridders en een paar edele schildknapen, maar tevens met veel drijvers en handlangers voor de cyber-jacht, die lijfstraf krijgen als ze het cyberjargon en -bedrijf niet "verstaan".In die zin van dit weten uit te voeren voor de "black cyberlairds".

De mensen, die de structuren bloot willen leggen of verduidelijken verdwijnen of zijn staatsvijand nummer 1. Denk hierbij bijvoorbeeld aan onze onderzoeker, A.K., die in Noorwegen verdween en Assange, die men laat "wegrotten" ergens in een cel en Saint Snowden, die zich onder Federaal Russische controle bevindt, terwijl USA hem als verwerpelijke verrader afschildert.

Binnen zo'n faciliterende cyberstructuur gaan de ransomware developers en faciliterende partijen echt niet levenslang de cel in. Echt niet. Ze dragen wat nodig is af aan hun "capo di tutti capi" en gaan rustig verder met hun crimineel bedrijf. Worden ze ontdekt, verkassen ze razendsnel. Hun werkterrein is de ganse globe en soms zelfs de satelliet daarboven. Begin er maar eens aan als Europol. Je ziet hoe diensten als urlquery dot net zelfs niet meer online komen, hoe clean mx alleen nog via gecontroleerde accounts de malware verduidelijkingen aan kan bieden. Hoe lang kunnen we blijven wegkijken?

Mijn conclusie. Echt er woedt een cyberwar op Interwebz en de massa is er blind voor (gemaakt).

Jodocus Oyevaer