image

Belgisch bedrijf: betalen losgeld ransomware was goedkoper

zaterdag 18 januari 2020, 10:16 door Redactie, 29 reacties

De Belgische leverancier van bakkerijgrondstoffen Ranson die vorig jaar werd getroffen door ransomware en tienduizenden euro's losgeld besloot te betalen om weer toegang tot systemen te krijgen heeft dit gedaan omdat het goedkoper en sneller was. Dat laat het bedrijf nu tegenover De Tijd weten.

In totaal werden 52 servers van het bedrijf door ransomware getroffen, waarbij ook de back-ups werden versleuteld. Het bedrijf ging in onderhandeling met de aanvallers en besloot uiteindelijk enkele tienduizenden euro's te betalen. "We voelden aan dat er enige ruimte was om te onderhandelen. We lieten onder meer weten dat we niet zomaar aan dat geld konden geraken en dat we geen ervaring hadden in cryptomunten", zegt Guy Deleersnyder, it-manager van Ranson.

Deleersnyder merkt op dat het een "redelijk typische bedrijfsonderhandeling" was. De aanvallers besloten uiteindelijk het gevraagde losgeld te verlagen en Ranson betaalde. Het bedrijf ontving de decryptiesleutel. Die bleek niet volledig te werken, waarop de aanvallers het bedrijf verder hielpen totdat alle systemen waren ontsleuteld. "Zodra we hadden beslist te betalen, begonnen we te onderhandelen. Het was voor ons sneller en goedkoper. We zijn een commercieel bedrijf, het is onze betrachting daar als een goede huisvader zo goed mogelijk over te waken", aldus de it-manager.

Volgens Winston Krone van securitybedrijf Kivu wordt er vaker betaald dan bedrijven laten weten. "Dat is de trieste waarheid. Ja, iedereen weet wel dat je criminelen niet mag betalen. Maar wat is het alternatief als je bedrijf kapotgaat? Zeggen tegen je werknemers: 'Sorry, iedereen is zijn job kwijt. Maar wees trots, want we hebben niet toegegeven aan de misdaad.'"

Reacties (29)
18-01-2020, 10:26 door Anoniem
Als je vergeet de indirecte en maatschappelijke schade van het betalen mee te rekenen.

Hoe dan ook, geinfecteerd worden is niet een natuurverschijnsel, maar een brevet van onvermogen.
18-01-2020, 10:54 door Ron625
Goedkoper en sneller is alleen voor de eerste keer.
Het loont nu de moeite voor de criminelen, om het weer te proberen, ze worden tenslotte beloond.
Jammer, maar helaas waar.......
18-01-2020, 11:00 door Anoniem
Door Ron625: Goedkoper en sneller is alleen voor de eerste keer.
Het loont nu de moeite voor de criminelen, om het weer te proberen, ze worden tenslotte beloond.
Jammer, maar helaas waar.......
Veel mensen denken verkeerdelijk dat misdaad niet loont, maar dat is natuurlijk onzin. Wie de misdaadwereld induikt - of het nu klein of groot is - verdient bakken zwart geld. Je hoeft immers nooit vermogens- en inkomstenbelasting te betalen, want je steekt alles in eigen zak.
18-01-2020, 12:09 door Anoniem
En zo wordt de cost of ownerschip van windows lekker hoog. Ben benieuwd waar dit onder geboekt gaat worden.
Daarnaast zijn er ook voorbeelden van mensen die betalen en nooit de sleutel hebben gekregen.
Ik geloof dat ik mijn worm ook maar los laat.
18-01-2020, 12:59 door Anoniem
Daarom is het rekensommetje voor degenen in de achterstandswijk snel gemaakt.
Je gaat niet a raison van 1800 euro per maand je vriendjes oppakken.
Je wordt dus in ieder geval geen handhaver.

Als de pakkans bij cybercrime ook nog eens gering is
en je alleen maar weg moet blijven uit de eigen achtertuinen.
Dan maak je dat rekensommetje.

Draag af aan de capo di tutti capo en je zit gebeiteld.
Dit denkt men tot men toch eens een keer gepakt wordt.

Doch als je peanuts aan mensen betaalt worden ze getrainde aapjes
en worden slechts de apen boven op de apenrots rijker en rijker.
En wordt het bovenstaande verhaaltje daardoor weer eens onderstreept.

Waarom houden we ons nog met security bezig, leren we nog continu bij?
Dat er nog mensen zo gek zijn als wij? Snapt u het nog?

Witte hoeden,grijze en zwarte hoeden lopen allen over een "checkered floor".;)

Jodocus Oyevaer
18-01-2020, 13:38 door Anoniem
Nou goed, een goede IT specialist inhuren is zo makkelijk 175-200+ euro de uur. Als zo iemand dus langer dan 6-8 dagen bezig is om te onderzoeken of de data kan worden hersteld heb je de ransom bedrag er al uit.

Als de specialist tot een conclusie komt dat de data niet valt te herstellen krijgt het bedrijf na de ransom bedrag nog een factuur van 50.000-100.000+ euro.
18-01-2020, 13:47 door Anoniem
Hmm, misschien ook maar eens proberen. Lijkt toch wel lucratief te zijn.
18-01-2020, 14:10 door Anoniem
Als je backups versleutelbaar kunnen zijn, ben je gewoon slecht bezig.

Je zou alleen schrijfrechten mogen hebben op zo'n server. Geen verwijder of edit rechten. Als je dan ook ineens een deftige incremental backup zou implementeren kan je er nog leesrechten bij steken zodat er alleen data kan bijkomen en deze niet aangepast kan worden.

Voor de rest zou deze server zelfs geen ssh server mogen hosten. Er is maar 1 service nodig die benaderbaar moet zijn voor data toegestuurd te krijgen.
18-01-2020, 14:29 door Anoniem
Door Ron625: Goedkoper en sneller is alleen voor de eerste keer.
Het loont nu de moeite voor de criminelen, om het weer te proberen, ze worden tenslotte beloond.
Jammer, maar helaas waar.......
Nee, want nu kun je gecontroleerd iets nieuws en goeds neer zetten, terwijl het bedrijf doorgaat.

Iets nieuws neerzetten, kost ook de nodige tijd.
18-01-2020, 20:00 door Ron625
Door Anoniem:Nee, want nu kun je gecontroleerd iets nieuws en goeds neer zetten, terwijl het bedrijf doorgaat.

Iets nieuws neerzetten, kost ook de nodige tijd.
Daar ben je dan wel (veel) te laat mee...............
18-01-2020, 20:15 door Anoniem
Week erna ben je toch gewoon weer de pineut, want ze weten dat je betaald.
En een backdoor die even snel is achtergelaten, ook zo een ding.
18-01-2020, 20:21 door Anoniem
Wanneer zulke misdaden samen gaan met complete willekeur, dan staat het voor mij op het zelfde niveau als terrorisme.Erger nog wat ik kan me voorstellen dat het als de volgende weer een ziekenhuis is, terroristen wellicht er toch voor kiezen om een straatje verder te gaan lopen opblazen.

Het is iets om internationaal zwaar aan te pakken. Of moet dat soms wachten totdat een of andere presidentsdochter haar bluetooth krultang geransomwared is of zo? Of Greta d'r electrische fiets?
18-01-2020, 20:24 door johanw
Door Anoniem: Als je backups versleutelbaar kunnen zijn, ben je gewoon slecht bezig.

Je zou alleen schrijfrechten mogen hebben op zo'n server. Geen verwijder of edit rechten. Als je dan ook ineens een deftige incremental backup zou implementeren kan je er nog leesrechten bij steken zodat er alleen data kan bijkomen en deze niet aangepast kan worden.

Voor de rest zou deze server zelfs geen ssh server mogen hosten. Er is maar 1 service nodig die benaderbaar moet zijn voor data toegestuurd te krijgen.
En die toegestuurde data is versleuteld na infectie. Dat laat men een poosje doorgaan zonder dat de werking van de rest van de systemen verstoord wordt totdat er zoveel backups versleuteld zijn dat het terugzetten van de nog oudere niet echt een optie meer is. Bij sommige bedrijven kan een backup van een week oud al volkomen onbruikbaar zijn, en soms is het bij een backup van een dag al erg duur om die weer actueel te krijgen. Ik heb het in de praktijk een keer meegemaakt, geen ransomware maar een crash, een defecte en een onvolledige backup (die de transacties van de laatste dag mistte). Dat was een megaklus om het bedrijf weer op gang te brengen en kostte aanzienlijk meer dan die 10duizenden euro's. Alleen al het stilliggen van het bedrijf en kwade klanten vanwege vertraagde leveringen.
18-01-2020, 20:47 door Anoniem
hebben jullie de naam van dat bedrijf gezien? alsof je de goden verzoekt nietwaar?
19-01-2020, 00:45 door Anoniem
Mooie business case voor de oude offline backup. Dat had in ieder geval de files gescheeld. Uiteraard moet je nog 52 servers opnieuw installeren maar niettemin het was een iets ander verhaal geworden.

Eminus
19-01-2020, 04:29 door Anoniem
Door johanw:
Door Anoniem: Als je backups versleutelbaar kunnen zijn, ben je gewoon slecht bezig.

Je zou alleen schrijfrechten mogen hebben op zo'n server. Geen verwijder of edit rechten. Als je dan ook ineens een deftige incremental backup zou implementeren kan je er nog leesrechten bij steken zodat er alleen data kan bijkomen en deze niet aangepast kan worden.

Voor de rest zou deze server zelfs geen ssh server mogen hosten. Er is maar 1 service nodig die benaderbaar moet zijn voor data toegestuurd te krijgen.
En die toegestuurde data is versleuteld na infectie. Dat laat men een poosje doorgaan zonder dat de werking van de rest van de systemen verstoord wordt totdat er zoveel backups versleuteld zijn dat het terugzetten van de nog oudere niet echt een optie meer is. Bij sommige bedrijven kan een backup van een week oud al volkomen onbruikbaar zijn, en soms is het bij een backup van een dag al erg duur om die weer actueel te krijgen. Ik heb het in de praktijk een keer meegemaakt, geen ransomware maar een crash, een defecte en een onvolledige backup (die de transacties van de laatste dag mistte). Dat was een megaklus om het bedrijf weer op gang te brengen en kostte aanzienlijk meer dan die 10duizenden euro's. Alleen al het stilliggen van het bedrijf en kwade klanten vanwege vertraagde leveringen.

Allemaal leuk en aardig.

Het gros van de bedrijven, overheid inclusief, heeft veel te weinig kennis in huis mbt IT.
Mensen in het bestuur (vaak ook 50+), bij de meeste GROTE bedrijven, hebben meestal zeer weinig kennis en budgetteren gewoon veel te weinig voor de IT-tak van hun grote bedrijf. Zie bijna elke groot bedrijf met MEER dan zo'n 2000 werknemers. Kijk naar universiteiten die gewoon niks op orde hebben, zelfs technische Universiteiten of andere universiteiten waar men serieuze studies geeft mbt tot ICT (als je er les in geeft zou je het moeten weten, recent Universiteit Maastricht). En omdat bijna elk groot bedrijf zo'n vergelijkbare (gedateerde) standaard hanteert word dat nog steeds als de norm gezien en dus ook (vaak) aanbevolen.

Het betalen is niet zo heel duur als je naar die eenmalige situatie kijkt, dat is lekker makkelijk.
Maar dat is hetzelfde verhaal als mijn afval bij mijn buurman(land) dumpen (of het fabeltje van groene stroomcertificaten).

Er hangen zeer grote consequenties aan, in principe zou het betalen verboden moeten worden, als niemand meer betaald dan hebben de aanvallen weinig zin. Het probleem, de overheid (belgië, nederland, duitsland en nog wel meer) hebben de zaken zelf niet fatsoenlijk op orde, dan heb ik het voornamelijk over overheidsinstantie die niet over veiligheid gaan. En aangezien de overheid zich zelf niet in de vingers gaat snijden zullen ze het ook niet verbieden.

Verliest een bedrijf daardoor dan veel geld, dan is en blijft het hun fout door nalatigheid, komt het door een systeem dat ze gebruiken, bijvoorbeeld iets van Microsoft, dan moet Microsoft verplicht worden om de complete schade te vergoeden of met een fatsoenlijke oplossing komen die de schade verhelpt. Betalen is GEEN oplossing.

Want of data versleuteld is kun je namelijk zien als je het zou monitoren ...
Voor elk probleem is er een oplossing ...
Het niet op orde hebben van je IT-systemen is een eigen veroorzaakt probleem.
Als dit soort daders harder achtervolgt zouden worden en misschien een gepakt zouden worden zou dat ook ontmoedigen, dit is ZEER moeilijk maar niet onmogelijk (want ze moeten op een manier binnengekomen zijn, dus zijn er ergens wel sporen). Echter zie ik het niet gebeuren met de magere lonen die de overheid betaald aan hun IT-experts, je moet opboksen tegen bedragen die veel groter zijn en erg weinig risico met zich meebrengen (vooral in Nederland en België; de VS, China en Rusland betalen veel meer maar zullen ze misschien ook taken geven die niet in de boeken staan).
19-01-2020, 07:51 door Anoniem
Door johanw: En die toegestuurde data is versleuteld na infectie. Dat laat men een poosje doorgaan zonder dat de werking van de rest van de systemen verstoord wordt totdat er zoveel backups versleuteld zijn dat het terugzetten van de nog oudere niet echt een optie meer is. Bij sommige bedrijven kan een backup van een week oud al volkomen onbruikbaar zijn, en soms is het bij een backup van een dag al erg duur om die weer actueel te krijgen.
Dan zouden die bedrijven er verstandig aan doen om ook van het controleren van de bruikbaarheid van de backups een dagelijkse bezigheid te maken.

Ik kan me een paar controles voorstellen die als onderdeel van een backupsysteem geautomatiseerd zouden moeten kunnen worden:
• Er is een plotselinge toename in het dagelijks aantal gewijzigde bestanden.
• Een opvallend hoog deel van de bestanden heeft een entropie van 8 bits per byte.
• De bestandsinhoud komt niet overeen met de extensie (voor een snelle check kan het file-commado van *nix gebruikt worden).
19-01-2020, 10:47 door Anoniem
De boekhouder of directeur zal wel porno gekeken hebben en toen weer wat geinstalleerd toen die druk bezig was met zich zelf
19-01-2020, 12:33 door Anoniem
Door Anoniem:
Door johanw: En die toegestuurde data is versleuteld na infectie. Dat laat men een poosje doorgaan zonder dat de werking van de rest van de systemen verstoord wordt totdat er zoveel backups versleuteld zijn dat het terugzetten van de nog oudere niet echt een optie meer is. Bij sommige bedrijven kan een backup van een week oud al volkomen onbruikbaar zijn, en soms is het bij een backup van een dag al erg duur om die weer actueel te krijgen.
Dan zouden die bedrijven er verstandig aan doen om ook van het controleren van de bruikbaarheid van de backups een dagelijkse bezigheid te maken.

Ik kan me een paar controles voorstellen die als onderdeel van een backupsysteem geautomatiseerd zouden moeten kunnen worden:
• Er is een plotselinge toename in het dagelijks aantal gewijzigde bestanden.
• Een opvallend hoog deel van de bestanden heeft een entropie van 8 bits per byte.
• De bestandsinhoud komt niet overeen met de extensie (voor een snelle check kan het file-commado van *nix gebruikt worden).

een waarschuwing is meestal geen leer moment ben ik bang dus ik ben er niet zeker van dat nu er betaald is er daadwerkelijk iets structureel veranderen gaat
19-01-2020, 13:01 door Erik van Straten
Door Anoniem: Ik kan me een paar controles voorstellen die als onderdeel van een backupsysteem geautomatiseerd zouden moeten kunnen worden:
• Er is een plotselinge toename in het dagelijks aantal gewijzigde bestanden.
• Een opvallend hoog deel van de bestanden heeft een entropie van 8 bits per byte.
• De bestandsinhoud komt niet overeen met de extensie (voor een snelle check kan het file-commado van *nix gebruikt worden).
Prima ideeën! Als aanvulling hierop zou ik een tabel van hashes van alle bestanden maken, waarbij ook in "compound" bestanden (zoals .zip) wordt gekeken. Daarmee voorkom je false positives als iemand veel bestanden heeft verplaatst of gezipped, of de naam van een map heeft veranderd.

Als een bestand met een specifieke hash verdwenen is van het te back-uppen device, verplaats je de huidige back-up ervan naar "rescue storage". Het te snel vollopen van die rescue storage is dan een reden voor onderzoek.

Daarbij zou die "rescue storage" regelmatig handmatig opgeschoond kunnen worden, of automatisch (bestanden verwijderen die er langer dan een bepaalde tijd op staan).

Een absolute voorwaarde voor alles wat je op dit punt bedenkt, is dat het systeem dat deze controles uitvoert, niet zelf is gecompromitteerd. Want zodra ransomwaremakers zich bewust zijn van het bestaan van dit soort systemen, zal dat een doel op zich worden om hun kans op geld "verdienen" niet te ondergraven.

Dat brengt me op het volgende punt: wat we hiermee zouden doen is zowel symptoombestrijding als schadebeperking. Dat laatste omdat een back-up zelden de laatste situatie herstelt en je altijd downtime en een hoop ellende hebt.

En belangrijker, symptoombestrijding: omdat het feitelijke probleem is dat criminelen ongeautoriseerde toegang tot netwerken en computers hebben verkregen. En dus ook gevoelige informatie naar hun eigen schijven hebben kunnen kopiëren en dreigen die gegevens te publiceren. Dat is geen theorie van mij, dit gebeurt al in de praktijk - en zal (denk ik) alleen maar toenemen zodra we betere back-ups hebben.

Daarom denk ik dat het zinvoller is om te focussen op:
1) het voorkomen dat criminelen toegang krijgen tot onze systemen;
2) (wetende dat 1 nooit voor 100% gaat lukken) het zo snel mogelijk ontdekken van intrusions;
3) het voorkomen dat de aanvallers eenvoudig meerdere systemen en/of accounts kunnen compromitteren, na één systeem of account te hebben gehacked;
4) het voorkomen dat aanvallers (snel) hoge privileges kunnen verkrijgen;
5) het voorkomen dat er überhaupt "God mode" privileges bestaan of inzetbaar zijn waarmee alle bestanden en/of back-ups in een domein (of daarbuiten) benaderd kunnen worden.
19-01-2020, 19:40 door karma4
Door Erik van Straten: …...
Daarom denk ik dat het zinvoller is om te focussen op:
1) het voorkomen dat criminelen toegang krijgen tot onze systemen;
2) (wetende dat 1 nooit voor 100% gaat lukken) het zo snel mogelijk ontdekken van intrusions;
3) het voorkomen dat de aanvallers eenvoudig meerdere systemen en/of accounts kunnen compromitteren, na één systeem of account te hebben gehacked;
4) het voorkomen dat aanvallers (snel) hoge privileges kunnen verkrijgen;
5) het voorkomen dat er überhaupt "God mode" privileges bestaan of inzetbaar zijn waarmee alle bestanden en/of back-ups in een domein (of daarbuiten) benaderd kunnen worden.
Dat zijn inderdaad veel zinvollere acties. Het betekent wel:
- ingrijpen op wat de externe leveranciers als een standaard installatie zien.
- een grote hoeveelheid serviceaccounts (high privileged accounts) welke je zo minimale rechten geeft.
- een hele behoorlijk zware analyse op al die log gegevens
Tot nu toe geeft dat flinke weerstand bij de systeembeheerders en bij de HR afdeling. De afdeling HR heeft het rollenbeheer en kent de noodzaak van serviceaccounts niet. En je loopt tegen het wijzigingsbeheer met vrijgeven uitrol van releases aan.
20-01-2020, 08:34 door Anoniem
Door Anoniem: Als je vergeet de indirecte en maatschappelijke schade van het betalen mee te rekenen.

Hoe dan ook, geinfecteerd worden is niet een natuurverschijnsel, maar een brevet van onvermogen.

Ik snap niet dat bedrijven niet hier recruiteren onder de reageerders, hier weet ECHT iedereen het beter dan welke bedrijf of ICT afdeling dan ook.
20-01-2020, 09:28 door _R0N_
Door Anoniem: En zo wordt de cost of ownerschip van windows lekker hoog. Ben benieuwd waar dit onder geboekt gaat worden.
Heeft niets met Windows te maken, als een bedrijf de financiële schade kan beperken zal dat meestal de voorkeur hebben boven de overige opties.


Daarnaast zijn er ook voorbeelden van mensen die betalen en nooit de sleutel hebben gekregen.

Tja, net als een ontvoerder die z'n slachtoffer om het leven brengt op dezelfde dag.


Ik geloof dat ik mijn worm ook maar los laat.

Pas op voor je het weet staat de zedenpolitie op de stoep
20-01-2020, 09:33 door Anoniem
Door Anoniem:
Door Anoniem: Als je vergeet de indirecte en maatschappelijke schade van het betalen mee te rekenen.

Hoe dan ook, geinfecteerd worden is niet een natuurverschijnsel, maar een brevet van onvermogen.

Ik snap niet dat bedrijven niet hier recruiteren onder de reageerders, hier weet ECHT iedereen het beter dan welke bedrijf of ICT afdeling dan ook.

Toch is het vaak het laaghangende fruit waardoor men slachtoffer is geworden. Met doelmatige monitoring en tijdige updates waren vrijwel alle gevallen in het nieuws voorkomen.
20-01-2020, 09:34 door Anoniem
Door Anoniem: De boekhouder of directeur zal wel porno gekeken hebben en toen weer wat geinstalleerd toen die druk bezig was met zich zelf

Heb je voorbeelden van concrete nieuwswaardige gevallen?
20-01-2020, 09:41 door Anoniem

Veel mensen denken verkeerdelijk dat misdaad niet loont, maar dat is natuurlijk onzin. Wie de misdaadwereld induikt - of het nu klein of groot is - verdient bakken zwart geld. Je hoeft immers nooit vermogens- en inkomstenbelasting te betalen, want je steekt alles in eigen zak.

Inderdaad, velen begrijpen dat niet, en plaatsen dat geld niet in de correcte context. Je hebt zelfs van die koeien die ook nog concluderen dat iemand succesvol is als die persoon geld heeft, en je raar aankijken als je ze verteld dat er geen relatie is tussen geld en succes of geld en intelligentie.
20-01-2020, 09:52 door Anoniem
We zijn een commercieel bedrijf, het is onze betrachting daar als een goede huisvader zo goed mogelijk over te waken", aldus de it-manager.

Ja daarom zijn jullie ook getroffen. Iets te veel focus op commercieel en kortzichtig. Als je je wat meer had verdiept in de laatste trends had je kunnen weten dat dit een reëel scenario is.

Nu maar hopen dat het management acht dat het aanhouden van de IT manager in het commercieel belang is ;)
20-01-2020, 10:31 door Anoniem
Door Anoniem: Wanneer zulke misdaden samen gaan met complete willekeur, dan staat het voor mij op het zelfde niveau als terrorisme.Erger nog wat ik kan me voorstellen dat het als de volgende weer een ziekenhuis is, terroristen wellicht er toch voor kiezen om een straatje verder te gaan lopen opblazen.

Het is iets om internationaal zwaar aan te pakken. Of moet dat soms wachten totdat een of andere presidentsdochter haar bluetooth krultang geransomwared is of zo? Of Greta d'r electrische fiets?

Geniaal en spot on, thanks!
20-01-2020, 15:28 door Anoniem
Door Anoniem:
We zijn een commercieel bedrijf, het is onze betrachting daar als een goede huisvader zo goed mogelijk over te waken", aldus de it-manager.

Ja daarom zijn jullie ook getroffen. Iets te veel focus op commercieel en kortzichtig. Als je je wat meer had verdiept in de laatste trends had je kunnen weten dat dit een reëel scenario is.

Nu maar hopen dat het management acht dat het aanhouden van de IT manager in het commercieel belang is ;)

Ik denk dat ze jou meteen zullen aannemen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.