Belgische verzekeraar kampt al weken met gevolgen ransomware
De Belgische verzekeringsmakelaar IC Verzekeringen die op 24 december vorig jaar door ransomware werd getroffen kampt acht weken later nog altijd met de gevolgen van de aanval. Zo laat de website van de verzekeraar weten dat die door "een technisch probleem" niet bereikbaar is. IC Verzekeringen heeft met name scholen, gemeenten en kerken als klant.
De aanvaller wist de dag voor kerst de systemen van de verzekeraar te versleutelen, die daarop het gehele netwerk en alle toepassingen uitschakelde. De website werd aangepast zodat die naar een tijdelijk domein wijst en de melding van technische problemen toont. Vanwege het onderzoek naar de aanval kon de verzekeraar dit niet eerder kenbaar maken.
Tegenover het Belgische persbureau Belga geeft IC Verzekeringen nu details over de aanval. Het type ransomware en de infectiemethode worden echter niet genoemd. Wel laat het bedrijf weten dat de aanvaller 2 miljoen euro vroeg voor het ontsleutelen van bestanden, dat later naar 4 miljoen euro werd verhoogd. IC Verzekeringen besloot het losgeld niet te betalen. Volgens Cristina Vos van IC Verzekeringen heeft het bedrijf "enorme inspanningen" geleverd om de afgelopen weken alle data te herstellen.
Toch is het bedrijf nog niet hersteld. "We zullen nog enkele weken met een vertraagde werking rekening moeten houden voor we opnieuw de service kunnen bieden die onze klanten gewoon zijn", aldus Vos. Om de achterstanden weg te werken zijn er extra mensen ingeschakeld. Het onderzoek liet verder zien dat de aanvaller geen toegang tot klantgegevens heeft gekregen.
Niet betalen
"Terwijl sommige ondernemingen geen andere uitweg zien dan tegemoet te komen aan de eisen van de criminelen, hebben wij beslist niet in te gaan op de vraag om losgeld", laat managing director Michel Höftmann weten. "Het gaat in tegen onze principes om ons over te geven aan criminelen en hen met de betaling van losgeld te helpen om hun illegale praktijken verder te zetten."
Höftmann adviseert andere door ransomware getroffen organisaties om het losgeld niet te betalen. "We hebben dat bewust meteen als houding aangenomen, in ons eigen belang en in het belang van onze klanten, want als je toegeeft aan dit soort criminaliteit, dan bevorder je het alleen maar."
vervolgens wordt dat programma automatisch uitgevoerd met de hoogst mogelijke rechten op die pc waar toegang voor is.
niet specifiek een windows lek, wel makkelijker gemaakt door microsofts autorun en click to run functies
Oorzaak nr 1 is dat Windows een drive-by infectie faciliteert. Google even op drive-by download
Kan door een bijlage/link in de email die moet worden uitgevoerd, of een opening in het OS/applicatie die niet gepatcht is.
Of rechten die niet correct staan.
Meestal is het een trapsraket, het begint met iets kleins zoals een phishingemail met link of bijlage en dan trekt een macro/script of uitvoerbaar bestand het vervelende stukje naar binnen. Dan komt vaak de misbruik.
zover ik weet maakt het voor de ransomware niet uit of een systeem gepatched is of niet, dat maakt alleen uit of een hacker er in kan komen. als het via een phishing mail of download binnen komt ben je nog steeds de sjaak ook al ben je volledig up to date.
zover ik weet maakt het voor de ransomware niet uit of een systeem gepatched is of niet, dat maakt alleen uit of een hacker er in kan komen. als het via een phishing mail of download binnen komt ben je nog steeds de sjaak ook al ben je volledig up to date.
Randsomeware op zich niet zo, maar wel de acties die vooraf gaan, de verspreiding. Als je deze apart wilt hakken zeg maar.
Randsomeware op zich niet zo, maar wel de acties die vooraf gaan, de verspreiding. Als je deze apart wilt hakken zeg maar.
de verspreiding word tegen gegaan door de rechten op de file storage te beperken. meeste randsomware scant op netwerk paden net als de windows verkenner doet, waarna het zich verspreidt naar de bestanden waar die gebruiker bij kan. vervolgens heb je kans dat het via bestanden die opgevraagd worden weer verder gaat als die gene weer meer rechten heeft. daarom wordt dit ook gezien als een worm achtige infectie.
in sommige gevallen is een hacker eerst al binnen geweest via een security leak en gooit een randsomeware op de pc om er nog een zakcentje aan te verdienen en/of als de kans hoog is dat alles gewhiped wordt is het ook handig om hiermee zijn sporen te wissen.
Websites laten te vaak code injection toe, ligt vast er aan dat het oss en Linux is dat vooral goedkoop moest zijn.
Kijk naar wordpress Citrix, pulse secure, dan hebben we het nog over open databases in de cloud.
Kern en root cause die meespeelt. De verblinding in een OS bashing oorlog en negeren van informatieveiligheid.
Websites laten te vaak code injection toe, ligt vast er aan dat het oss en Linux is dat vooral goedkoop moest zijn.
Kijk naar wordpress Citrix, pulse secure, dan hebben we het nog over open databases in de cloud.
Kern en root cause die meespeelt. De verblinding in een OS bashing oorlog en negeren van informatieveiligheid.
Stekeblind is men er voor. Alleen dat al zou reden genoeg moeten zijn om de ms werkplek niet te gebruiken. We lezen het hier elke dag
Stekeblind is men er voor. Alleen dat al zou reden genoeg moeten zijn om de ms werkplek niet te gebruiken. We lezen het hier elke dag
Wat voorbeelden:
https://arstechnica.com/information-technology/2016/04/active-drive-by-attacks-exploit-critical-android-bugs-care-of-hacking-team/
https://www.cnet.com/news/google-says-iphone-security-flaws-let-websites-hack-them-for-years/
Je onderbouwt:
"Kern en root cause die meespeelt. De verblinding in een OS bashing oorlog en negeren van informatieveiligheid."
Dat is inderdaad wat ik bedoel. Maar iemand vraagt even in jip en janneke taal wat het is en waar je ongeveer aan moet denken. Dat is even het verschil tussen "being nerdy" en voor iemand die niet helemaal snapt hoe het werkt maar wel kunnen aangeven wat belangrijk is.
Ik noem iets wat alleen onder een Windows desktop mogelijk is en waar alle ellende begint: drive-by infection zonder tussenkomst van de gebruiker. Noem het maar gerust HET Windows syndrome. Zolang dat niet is opgelost is het dweilen met de kraan open.
Stekeblind is men er voor. Alleen dat al zou reden genoeg moeten zijn om de ms werkplek niet te gebruiken. We lezen het hier elke dag
Er zijn een paar mogelijkheden
Op afstand over het netwerk => Segmentatie / firewalls en patches installeren. Daarnaast heb je dit op andere OSsen ook gewoon. Geen specifiek Windows probleem.
Gebruiker download iets, en voert dit uit => Geen drive by download. Want gebruiker moet altijd iets doen, vaak meerdere acties noodzakelijk. Waarbij een goede beheerder het meeste afgeschermd heeft, zodat een gebruiker dit niet direct zomaar kan doen.
Exploit in een webbrowser => is geen gebruikers of direct Windows probleem. Het is een browser probleem.
Ofwel het meeste is niet specific voor Windows.
Maar als nu een "hit en run" bedenken voor all Wordpress websites? Daar kunnen kan remote wel direct infecties gedaan worden:
https://www.security.nl/posting/644867/Miljoen+WordPress-sites+kwetsbaar+door+zerodaylek+in+plug-in
Het is afgerond inderdaad een Windows probleem. Maar het kan ook zonder lekken optreden. Vaak wordt dan tóch de hele computer besmet omdat je bij Windows administratieve rechten hebt. Of je moet een aparte gebruiker aanmaken, maar dat doen de meeste mensen niet. Plus dat je door het klikken op iets verkeerds meteen de klos bent omdat Windows dingen die je hebt gedownload zomaar uitvoerbaar maakt (als het maar de goede file extensie heeft).
Bovenstaande zaken zijn mede de rede dat afgerond alle malware voor het Windows is. Je kan het dus net zo goed walware (*) noemen.
(*) walware TM souplost
Het is afgerond inderdaad een Windows probleem. Maar het kan ook zonder lekken optreden. Vaak wordt dan tóch de hele computer besmet omdat je bij Windows administratieve rechten hebt. Of je moet een aparte gebruiker aanmaken, maar dat doen de meeste mensen niet. Plus dat je door het klikken op iets verkeerds meteen de klos bent omdat Windows dingen die je hebt gedownload zomaar uitvoerbaar maakt (als het maar de goede file extensie heeft).
Bovenstaande zaken zijn mede de rede dat afgerond alle malware voor het Windows is. Je kan het dus net zo goed walware (*) noemen.
(*) walware TM souplost
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
