image

Nederlandse bedrijven betaalden losgeld REvil-ransomware

dinsdag 14 januari 2020, 09:36 door Redactie, 18 reacties

Twee Nederlandse bedrijven zijn de afgelopen weken door dezelfde ransomware getroffen die GWK Travelex infecteerde en hebben het losgeld betaald dat de criminelen vroegen, zo laat securitybedrijf Fox-IT tegenover het Nederlands Dagblad weten. Om welke bedrijven het gaat is niet bekendgemaakt.

Daarnaast stelt het securitybedrijf dat er waarschijnlijk veel meer slachtoffers in Nederland zijn gemaakt. De ransomware in kwestie wordt REvil genoemd, maar staat ook bekend als Sodinokibi. Hoe de organisaties konden worden geïnfecteerd wordt niet gemeld. Eerdere infecties door Sodinokibi vonden plaats via bekende kwetsbaarheden in Oracle WebLogic-servers en de vpn-software Pulse Secure. Zodra er één machine is besmet proberen de aanvallers eerst de rest van het netwerk te verkennen, waarbij ze ook beschikbare back-ups en back-updiensten verwijderen of uitschakelen, voordat alle machines met ransomware worden besmet.

De groep achter deze ransomware heeft ook meerdere keren ingebroken bij it-dienstverleners, om vervolgens de klanten van deze bedrijven te infecteren. Gisteren werd bekend dat een luchthaven in New York via de eigen it-dienstverlener door de Sodinokibi-ransomware besmet was geraakt en het gevraagde losgeld betaalde om weer toegang tot bestanden te krijgen.

Reacties (18)
14-01-2020, 09:59 door Anoniem
Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!
14-01-2020, 10:23 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!

waar lees jij dat precies als ik vragen mag?
14-01-2020, 10:24 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!

Waar lees jij dat het een advies is van Fox-IT om losgeld te betalen?
14-01-2020, 10:26 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!

Waar staat dat dat het advies is?
14-01-2020, 10:36 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!
Goed lezen. Fox-IT geeft alleen maar aan dat 2 bedrijven betaald hebben. Er staat niet bij of ze dat geadviseeerd hebben.
14-01-2020, 10:37 door Anoniem
Waarom weet de overheid mij en ongetwijfeld andere eerlijke burgers wel altijd te vinden.
Denk aan de belastingdienst die begin en eindstand banksaldo weet.
Facturen enz..
Criminelen gaan altijd vrijuit. Terwijl ik altijd een mooie kreet hoor: follow the money.
Of telt dat alleen voor eerlijke mensen.
14-01-2020, 11:00 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!
Waarom niet?
Fox-IT is geen Messias of overheid die voor ons allemaal opkomt, ze komen op voor betalende klanten.

Ja, voor de wereld is het beter dat alle geïnfecteerde bedrijven vrijwillig failliet gaan, en zodoende hackers honger laten lijden, maar eet jij geen vlees meer en laat je de auto staan voor een betere wereld, of is dat meer iets voor andere mensen?
En als je dat wel doet, eis je dat dan ook van iedereen in je omgeving?

We zouden overvallers ook allemaal moeten slaan, en weigeren de pin-code af te staan, maar als ik een gun in mijn nek krijg, of een faillissement kan afwenden voor 50K, dan kies ik voor mezelf, en betaal gewoon.
(en ja, backups en security, overwerkte/onderbetaalde/incapabele systeembeheerders en managers)
14-01-2020, 11:15 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!

En waar in dit verhaal staat dat Fox dit aangeraden heeft, hmmmm? Kom op, laat eens zien?

Die bedrijven trekken uiteindelijk hun eigen plan, waarbij de keuze betalen/niet betalen eerder een business dan een infosec afweging zal zijn - iets waar een partij als Fox-IT dus geen mening over heeft. En zelf al hád Fox-IT aangeraden om te betalen, hoe KOM je erbij om dat onprofessioneel te noemen? Je kent niet alle feiten, alle beweegredenen.

Wat een arrogantie zeg
14-01-2020, 11:20 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!

Wie zegt dat FOX dat adviseerde, LEZEN is ook een kunst ! Verder is langs de zijlijn schreeuwen hardstikke makkelijk !
14-01-2020, 12:18 door Erik van Straten
Bedrijven als Fox-IT worden ingehuurd om te zorgen dat (1) de boel zo snel als mogelijk weer draait, (2) helpen zoeken naar achterdeurtjes die de cybercriminelen kunnen hebben achtergelaten en (3) om kwetsbaarheden te verwijderen die dit soort aanvallen mogelijk maken.

Bij (1) hoort ook adviseren. Het, al dan niet ethisch geachte, besluit wordt genomen door de opdrachtgever; het zou me verbazen als Fox-IT niet waarschuwt voor de consequenties daarvan (zoals imagoschade). Als Fox-IT het heilige boontje uit gaat hangen, nemen bedrijven wel een andere partij in de arm.

Bovendien is het zeker dat verzekeringsmaatschappijen aanraden om losgeld te betalen - ook al zou dat wel eens tegen beter weten in kunnen zijn. Of juist niet, omdat ze hiermee door de pers te halen (oops, I did it again), meer klanten werven en ze een goede reden hebben om de premies te verhogen. Waarom dan zo klagen over Fox-IT en nauwelijks over verzekeringsmaatschappijen, laat staan over hen "die de trekker overhalen" (degenen die besluiten om te betalen -nooit zijnde Fox-IT)?

Hoe dan ook, ethiek preken werkt niet of nauwelijks onder het kapitalisme. Als je wilt dat betalen van losgeld stopt, zul je boetes moeten opleggen van wellicht een veelvoud van het losgeldbedrag asn betalers. Pas dan zullen risicoanalyses bedrijven dwingen om betere beveiligingsmaatregelen te nemen, die helpen voorkomen dat ze ooit zo'n boete (+losgeld +herstelkosten) moeten betalen.
14-01-2020, 12:20 door Anoniem
Nu blijkt dus dat outsourcing en de verantwoordelijkheid elders leggen toch niet zo'n al te goed idee is.
De rekening zit nu eenmaal altijd onder inde zak,
ook al is het een rekening gestuurd door ransomware cybercriminelen.

Denk aan de beslissing-nemers, die altijd meer over hun riante bonus inzitten,
dan over wat hun getrainde aapjes kunnen verdienen.
Als je voor een "duppie" op de eerste rang wil zitten, krijg je dit.

Tel daarbij op het slappe opsporing- en handhavingsbeleid en we zitten in de wereld waarin we zitten.
Moest eerst toch allemaal kunnen, vrijheid blijheid. Wat zal de reactie nu zijn?

Die komt pas als het echt allemaal gierend uit de klauwen is gelopen.
Maar in Nederland is dat in dat geval bijna altijd een extreme reactie.
Het kan bijna nooit eens gewoon stap voor stap.

Net als in Rusland is het binnen in de huiselijke kring gezellig, men zingt en voelt zich geborgen,
maar buiten heerst de jungle en kan men corrupt blijven als men maar afdraagt aan de juiste nomenclatura.
Daar zitten ook veel cybercriminele verdiensten tussen.

Maar hier is het ook niet allemaal pais en vree.
We zullen het wel zien en we zullen het wel beleven.

Jodocus Oyevaer.
14-01-2020, 13:10 door souplost
Schiet lekker op zo. Waarschijnlijk topje van de ijsberg. Faillissement van een ecosysteem komt steeds dichterbij. Elke maand kritische patches betekent continue onveilig en een monitor voor de nsa
14-01-2020, 13:40 door Anoniem
Het grappige is dat de data mogelijk dan nog steeds op straat ligt omdat een kopietje trekken van de data als je toch al alles hebt overgenomen als cyber crimineel dat ook een koud kunstje is. Nog meer grappig is dat het inhuren van, zo goedkoop mogelijke figuren in verwegistan met bullshit certificaten maar geen kennis en ervaring al jaren leidt tot dit soort onzin en niemand er lering uit trekt!

Wie zijn billen brandt …..
14-01-2020, 13:40 door Anoniem
@souplost,

Er zijn twee mogelijkheden, Een mogelijkheid van "genoeg is genoeg", maar inmiddels er is genoeg onderlinge verdeeldheid verspreid om dit omslagpunt weg te houden of een tweede mogelijkheid, dat het systeem aan zichzelf ten gronde zal gaan.

Alleen dan is het belangrijk te weten wanneer degenen, die het hebben opgezet, besluiten de stekker eruit te trekken. Zij blazen het eventueel op, niet wij. Zij bepalen wanneer we aan het adtracking randje zijn gekomen.

Net als bij het geledelijk systeem, dat nu overeind gehouden moet worden door geld van de burger via "green deals".
Ook dat zal op een gegeven moment gereset moeten worden. Of het daarna beter wordt of nog wat rotter, is dan de vraag.

Jodocus Oyevaer
14-01-2020, 16:51 door Anoniem
Ok, ze hebben betaald, maar hebben ze daarmee ook hun data teruggekregen?
14-01-2020, 18:12 door Anoniem
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!
ehmm. Dus je wilt liever dat je data gepubliceerd wordt???
16-01-2020, 08:41 door The FOSS
Door Anoniem: Heel erg professioneel van Fox-IT om hun klanten te adviseren om te betalen. NOT!

Er zijn ook beveiligingsbedrijven die - geheel buiten de klant om - het gevraagde losgeld betalen en dan tegen een stevig uurtarief herstelwerkzaamheden in rekening brengen. Als je al geïnfecteerd bent dan is gewoon betalen vaak de goedkoopste oplossing. Helaas. Voorkomen is beter dan genezen.
16-01-2020, 10:19 door Anoniem
Door Anoniem: Ok, ze hebben betaald, maar hebben ze daarmee ook hun data teruggekregen?

Zeer waarschijnlijk wel. De ransomware criminelen hebben de reputatie een goede SLA te bieden, helpdesk/support voor het gebruik van de decryptor e.d.

(serieus - de berichten zijn dat je idd na betaling snel de sleutel krijgt, en dat er idd 'supportkanalen' zijn die bevestigen dat ze je de sleutel kunnen geven )
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.