image

Fries onderzoeksinstituut Wetsus betaalde losgeld ransomware

woensdag 12 februari 2020, 11:22 door Redactie, 13 reacties

Het wetenschappelijk instituut voor watertechnologie Wetsus in Leeuwarden heeft een crimineel achter een aanval met ransomware losgeld betaald voor het ontsleutelen van bestanden, omdat dit goedkoper was dan het zelf herstellen van systemen. Dat meldt de Leeuwarder Courant vandaag.

Het netwerk van Wetsus raakte vorige week door ransomware besmet. "Vorige week maandagochtend verscheen op de centrale computer een plaatje van een klassiek doodshoofd. Daaronder in het Engels ongeveer de tekst: wil je de bestanden terug, mail me dan", zegt algemeen directeur Johannes Boonstra. Het instituut stelde dat het goedkoper was om de aanvaller te betalen dan de systemen zelf te herstellen.

Een dag na de infectie betaalde Wetsus het losgeld, maar de geleverde decryptietool bleek niet feilloos te werken. "Steeds als we wat probeerden, raakte er weer ander spul in de hobbel. We hebben wel een keer of 50 á 70 mailcontact gehad. Soms liet hij 12 uur lang niks van zich horen", merkt Boonstra op, die over een "niet-communicatieve" en ondeskundige hacker spreekt.

Afgelopen vrijdag had het instituut opnieuw contact met de aanvaller. "Wij hebben gezegd : stuur eerst de codes, daarna betalen we, dan stuur jij de laatste codes. Zo niet, dan vallen we terug op de back-ups. Dan verliezen wij, maar jij ook. Toen gaf hij rap toe." Hoe de aanvaller kon binnenkomen en hoeveel losgeld er is betaald is niet bekendgemaakt.

Image

Reacties (13)
12-02-2020, 11:42 door Anoniem
Soms liet hij 12 uur lang niks van zich horen", merkt Boonstra op, die over een "niet-communicatieve" en ondeskundige hacker spreekt.
Wat zegt het over je organisatie als je gepwnd wordt door een ondeskundige hacker, en je je recovery-proces daar vervolgens ook nog eens van af laat hangen? En ik zag op hun website dat ze voor een groot deel betaald worden door de belastingbetaler - hoe verantwoord is het om dan vervolgens de keuze om ransomware-aanvallers te betalen af te laten hangen van de vraag of dat goedkoper is dan het zelf van backups terugzetten?

Thanks Johannes! Je toont wederom aan dat het hacken van overheidsinstellingen een lucratieve business kan zijn. Tof dat je daar je bijdrage aan hebt geleverd!
12-02-2020, 12:08 door Anoniem
".. Soms liet hij 12 uur lang niks van zich horen", merkt Boonstra op, die over een "niet-communicatieve" en ondeskundige hacker spreekt .."
Toch is de hacker op het punt van ICT security net iets deskundiger dan Wetsus.

".. Hoe de aanvaller kon binnenkomen en hoeveel losgeld er is betaald is niet bekendgemaakt .."
Jammer dat Wetsus zich niet iets communicatiever opstelt. Zo leren we er niets van.
12-02-2020, 12:20 door Anoniem
Als de "hacker" een eenmansoperatie is en hij zit aan de andere kant van de wereld of heeft een legale baan dan is 12 uur zo voorbij natuurlijk. Wel grappig dat men over de professionaliteit begint waarvan ik inmiddels ook betwijfel of het onderzoeksinstituut dit bezit op IT gebied danwel de management laag....
12-02-2020, 12:51 door Anoniem
Door Anoniem: Als de "hacker" een eenmansoperatie is en hij zit aan de andere kant van de wereld of heeft een legale baan dan is 12 uur zo voorbij natuurlijk. Wel grappig dat men over de professionaliteit begint waarvan ik inmiddels ook betwijfel of het onderzoeksinstituut dit bezit op IT gebied danwel de management laag....

Je hebt totaal gelijk! Ze moeten zelfs blij wezen dat ze überhaupt een decryption key ontvangen hebben, verwacht geen class van een dief!

AA
12-02-2020, 13:34 door Anoniem
Door Anoniem:
Soms liet hij 12 uur lang niks van zich horen", merkt Boonstra op, die over een "niet-communicatieve" en ondeskundige hacker spreekt.
Wat zegt het over je organisatie als je gepwnd wordt door een ondeskundige hacker, en je je recovery-proces daar vervolgens ook nog eens van af laat hangen? En ik zag op hun website dat ze voor een groot deel betaald worden door de belastingbetaler - hoe verantwoord is het om dan vervolgens de keuze om ransomware-aanvallers te betalen af te laten hangen van de vraag of dat goedkoper is dan het zelf van backups terugzetten?

Thanks Johannes! Je toont wederom aan dat het hacken van overheidsinstellingen een lucratieve business kan zijn. Tof dat je daar je bijdrage aan hebt geleverd!

Wow, kan dat tegenwoordig? Een overheidsinstelling met ANBI-status. Het moet niet gekker worden. Of weet jij misschien niet wat een overheidsonstelling is?
12-02-2020, 13:43 door Anoniem
Door Anoniem:
Door Anoniem: Als de "hacker" een eenmansoperatie is en hij zit aan de andere kant van de wereld of heeft een legale baan dan is 12 uur zo voorbij natuurlijk. Wel grappig dat men over de professionaliteit begint waarvan ik inmiddels ook betwijfel of het onderzoeksinstituut dit bezit op IT gebied danwel de management laag....

Je hebt totaal gelijk! Ze moeten zelfs blij wezen dat ze überhaupt een decryption key ontvangen hebben, verwacht geen class van een dief!

AA
Ik zou een slechte review achterlaten. Eén ster! Dat zal de hacker leren!
12-02-2020, 14:01 door Anoniem
Door Anoniem:

Wow, kan dat tegenwoordig? Een overheidsinstelling met ANBI-status. Het moet niet gekker worden. Of weet jij misschien niet wat een overheidsonstelling is?
Ook goed, een door overheidsgeld in stand gehouden organisatie. Punt is dat een club die zoveel overheidsgeld incasseert geen criminelen moet financieren.
12-02-2020, 15:20 door Anoniem
Door Anoniem: Punt is dat een club die zoveel overheidsgeld incasseert geen criminelen moet financieren.

Alsof een geslaagde onderneming, die op eerlijke wijze goede zaken doet, dan wel zou moeten doen? Ik dacht het niet.
12-02-2020, 15:26 door Anoniem
Stop met het betalen van criminelen!
12-02-2020, 15:36 door Anoniem
Door Anoniem:
Door Anoniem: Punt is dat een club die zoveel overheidsgeld incasseert geen criminelen moet financieren.

Alsof een geslaagde onderneming, die op eerlijke wijze goede zaken doet, dan wel zou moeten doen? Ik dacht het niet.
En dat is dus ook precies niet wat ik zeg. Dat een commerciële club dat niet ZOU moeten doen, ben ik het helemaal mee eens, alleen zit er imho een behoorlijk verschil tussen de twee. Bij de één wordt de rekening namelijk betaald door u en ik, en bij de ander kan het nog verdedigd worden door te zeggen dat het een puur zakelijke overweging is. Daarnaast kan een commerciële club, als ze niet mogen betalen en ook de backups vergrendeld zijn, er gewoon aan failliet gaan, en kun je besluiten een pragmatische afweging te maken over welke keus erger is.

Organisaties zouden verplicht moeten worden om in dit soort gevallen een weloverwogen afweging te maken voor ze overgaan tot betalen. In die afweging zou bijvoorbeeld de technische en financiële haalbaarheid van herstellen zonder de aanvallers betalen meegenomen kunnen worden, de gevolgen van het incident voor de organisatie indien herstel niet mogelijk is, en een inschatting over wat in het belang is van het algemene goed. Op die manier krijg je niet van dit soort situaties, waar een door belastinggeld betaalde club besluit om een crimineel te betalen, terwijl het technisch en financieel kennelijk gewoon prima haalbaar is om te herstellen zonder de criminelen te betalen.
12-02-2020, 16:05 door Hyper
Die klantenservice van de hackerbrance is ook niet meer wat het geweest is...
12-02-2020, 16:52 door Anoniem
Als het zo makkelijk is moest ik me maar laten omscholen. Wel inschrijven bij de KvK als hacker natuurlijk.
13-02-2020, 08:45 door karma4
Ze hadden een backup maar het was goedkoper om te betalen en vervolgens dagen moeten wachten.
Iets klopt er niet in dat verhaal. Met die tegenspraak: Er was geen backup!

Een backup voor DR hoor getest en gevalideerd te zijn dat het werkt. Het criterium is niet dat er iemand gezegd heeft at er een backup gemaakt wort. Het criterium is dat je aantoonbaar met een backup binnen de gestelde tijd alles terug hebt.

Ik weet dat het vinkenlijstje voor een audit het graag bij het eerste houdt.
Dan moet je de auditor ook kunnen aanspreken op die fout. Iets zegt me dat leiding het liever onder de pet houdt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.