Limburgs Voortgezet Onderwijs getroffen door ransomware
De stichting Limburgs Voortgezet Onderwijs (LVO) is gisteren getroffen door ransomware, waardoor 26.000 leerlingen en 2800 medewerkers geen gebruik van computers kunnen maken. Dat laat de stichting, die 23 scholen beheert, via de eigen website weten.
De infectie deed zich voor in het datacenter waar de ict-omgeving van LVO draait. "Uit onderzoek blijkt dat het gaat om een nieuw ransomwarevirus dat nog niet gedetecteerd werd door de virusscanners. Omdat we er tijdig bij waren, was de impact van het virus klein en gegevensverlies beperkt", aldus de verklaring. Vanwege de infectie werden alle systemen uitgeschakeld. De ransomware wordt nu van alle systemen verwijderd, die in de loop van de dag stapsgewijs zullen worden vrijgegeven.
De e-mailomgeving, alsmede het leerling informatiesysteem Somtoday en de bedrijfssoftware AFAS, bleken niet te zijn getroffen. Toch besloot LVO uit veiligheidsoverwegingen om tijdelijk ook de toegang tot deze systemen af te sluiten. Om wat voor ransomware het precies ging en hoe de infectie zich kon voordoen is niet bekendgemaakt. De website van LVO is op het moment van schrijven offline. De site van LVO Maastricht is echter nog wel bereikbaar. Onlangs raakten ook 1700 computers van een Belgische school met ransomware besmet.
Reacties (21)
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
20-02-2020, 12:35 door
souplost
23 scholen. Dat is nogal wat en er zijn gegevens verloren gegaan. Ze zijn niet echt behulpzaam door het virus niet te noemen. Zo kunnen andere scholen er geen lering uit trekken.
26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Door Anoniem: 26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Het is voorjaarsvakantie, dus leerlingen en een groot deel van het personeel zullen niet aan het werk zijnBij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Door Anoniem:
Door Anoniem: 26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Het is voorjaarsvakantie, dus leerlingen en een groot deel van het personeel zullen niet aan het werk zijnBij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Voorjaarsvakantie in de regio noord. Daar heeft Limburgs Voortgezet Onderwijs niet zo veel vestigingen....
Draait bij ENGIE Services Zuid BV,
21/tcp open ftp ProFTPD 1.3.5rc3
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: ivengi.com - web3.ivengi.net -> https://www.shodan.io/host/185.92.61.12
443/tcp open ssl
Gzip Content Encoding Gzip HTTP Compression protocol DTD
Kwetsbaar: jquery 1.12.2.min Gevonden in -https://www.lvomaastricht.nl/repos/jquery/jquery-1.12.2.min.js?v=1 - Vulnerability info:
low CVE-2019-11358 jQuery before 3.4.0, wanner gebruikt in Drupal, Backdrop CMS, en andere producten, mishandles jQuery.extend(true, {}, ...) vanwege Object.prototype pollutie
LetsEncrypt & CloudFlare nimbus en Google Xenon 2020 & external CSS (o.a. facebook).
Waar ging het mis?
#sockpuppet
21/tcp open ftp ProFTPD 1.3.5rc3
80/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: ivengi.com - web3.ivengi.net -> https://www.shodan.io/host/185.92.61.12
443/tcp open ssl
Gzip Content Encoding Gzip HTTP Compression protocol DTD
Kwetsbaar: jquery 1.12.2.min Gevonden in -https://www.lvomaastricht.nl/repos/jquery/jquery-1.12.2.min.js?v=1 - Vulnerability info:
low CVE-2019-11358 jQuery before 3.4.0, wanner gebruikt in Drupal, Backdrop CMS, en andere producten, mishandles jQuery.extend(true, {}, ...) vanwege Object.prototype pollutie
LetsEncrypt & CloudFlare nimbus en Google Xenon 2020 & external CSS (o.a. facebook).
Waar ging het mis?
#sockpuppet
Door Anoniem:
Door Anoniem: 26.000 leerlingen en 2.800 medewerkers kunnen geen gebruik van computers maken en toch is de impact klein?
Bij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Het is voorjaarsvakantie, dus leerlingen en een groot deel van het personeel zullen niet aan het werk zijnBij zo'n conclusie kun je ook de vraagtekens zetten wat 'beperkt gegevensverlies' dan betekend.
Correctie: De voorjaarsvakantie in het zuiden begint pas morgen ;)
Hoewel ze dus tegen de vakantie aanzitten verwacht ik niet dat de impact minimaal is..
Maar goed, ik ben ook wel benieuwd naar wat voor virus het is en wat de schade nu echt is.
Omdat we er tijdig bij waren, was de impact van het virus klein en gegevensverlies beperkt.
Je zou haast gaan denken dat er gegevensverlies is opgetreden als je het bovenstaande op hun website leest.Maar afgezien daarvan: ik had graag een MD5 hash gehad om te zien of er virusscanners zijn die het wel detecteren via Virustotal. In plaats daarvan zie je op de website van het LVO alleen maar vaagheden waar niemand iets aan heeft.
Door Advanced Encryption Standard:
Maar afgezien daarvan: ik had graag een MD5 hash gehad om te zien of er virusscanners zijn die het wel detecteren via Virustotal. In plaats daarvan zie je op de website van het LVO alleen maar vaagheden waar niemand iets aan heeft.
Ben jij ZO belangrijk, dat JIJ het moet weten?Omdat we er tijdig bij waren, was de impact van het virus klein en gegevensverlies beperkt.
Je zou haast gaan denken dat er gegevensverlies is opgetreden als je het bovenstaande op hun website leest.Maar afgezien daarvan: ik had graag een MD5 hash gehad om te zien of er virusscanners zijn die het wel detecteren via Virustotal. In plaats daarvan zie je op de website van het LVO alleen maar vaagheden waar niemand iets aan heeft.
Door Anoniem: Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Wat is daar zo vreemd aan? Het is nieuw en NU kan pas actie genomen worden om het te detecteren!Door Anoniem:
Door Anoniem: Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Wat is daar zo vreemd aan? Het is nieuw en NU kan pas actie genomen worden om het te detecteren!Onzin; zowel HMP als InterceptX zijn behavior software en daar daar maakt het niet zoveel uit of iets nieuw of oud is.
Heel simplistisch: software ('processen") mag versleutelen ja of nee. Als nee.. simpel: dan draait Cryptoguard (van Interceptx) het terug en stop het proces.
Extra kenmerk: Intercepx kent tamper control wat het heel lastig maakt om als admin Interceptx uit te schakelen. De laatste patch laat interceptx ook in safe modus draaien om snatch te counteren.
Kortweg: ja het kan wel degelijk, je moet alleen geen vendor lockin hebben met Microsoft wat je 40% scheelt.
Eminus
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Sommige ransomware, niet alle ransomware.
Het is nieuw en NU kan pas actie genomen worden om het te detecteren!
Er zit wel een bepaalde voorspelbaarheid in de technieken welke gebruikt worden door ransomware families, ook nieuwe. Het kan dus zeker zo zijn, dat nieuwe ransomware wordt tegengehouden *zonder* dat de familie / samples bekend zijn.
Door Anoniem:
Sommige ransomware, niet alle ransomware.
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Sommige ransomware, niet alle ransomware.
Juist. Niet de EFS ransomware:
https://safebreach.com/Post/EFS-Ransomware
Peter
20-02-2020, 19:18 door
sjonniev
Door Anoniem:
Juist. Niet de EFS ransomware:
https://safebreach.com/Post/EFS-Ransomware
Peter
Door Anoniem:
Sommige ransomware, niet alle ransomware.
Uit onderzoek blijkt dat er software bestaat die nieuwe ransomware, die nog niet gedetecteerd wordt door virusscanners, kan tegenhouden. Hitmanpro.Alert, InterceptX, en wie weet wat nog meer.
Sommige ransomware, niet alle ransomware.
Juist. Niet de EFS ransomware:
https://safebreach.com/Post/EFS-Ransomware
Peter
Ja, die ook https://community.sophos.com/kb/en-us/135056
sorry heren,
laten we elkaar niet op woorden zitten af te vangen; InterceptX / HMP doet zijn werk (bijzonder) goed. Net zoals crowdstrike's falcon. Wat niet betekent dat het geinstalleerd staat / gaat worden op onderwijsinstellingen.
Zoals ik al eerder aangaf zijn er bij educatieve stichtingen tot 40% korting voor Microsoft producten. Dat betekent dat effectief andere producten gewoon veel minder kans hebben. Ook producten die, zeker voor bovenstaande zaken, beter werken.
uiteraard zijn producten als InterceptX en HMP niet zaligmakend; het gaat er (meer) om dat mensen hun gezonde hersens gebruiken. Zaken als het scheiden van netwerksegmenten, het scheiden van accounts privileges (gebruiker, local adm en domain admin), het up to date houden van machines en ook het secure aware maken van je gebruikers community zijn allemaal zaken die meespelen. Mocht het dan tot een versleuteling komen is een offilne backup essentieel. Niet te benaderen voor een hacker zelfs niet als hij (of zij) in de AD zit.
Ik kan alleen maar hopen dat er in ieder geval een offsite / offline backup is, waar niet aan gesleuteld kon worden.
Eminus
laten we elkaar niet op woorden zitten af te vangen; InterceptX / HMP doet zijn werk (bijzonder) goed. Net zoals crowdstrike's falcon. Wat niet betekent dat het geinstalleerd staat / gaat worden op onderwijsinstellingen.
Zoals ik al eerder aangaf zijn er bij educatieve stichtingen tot 40% korting voor Microsoft producten. Dat betekent dat effectief andere producten gewoon veel minder kans hebben. Ook producten die, zeker voor bovenstaande zaken, beter werken.
uiteraard zijn producten als InterceptX en HMP niet zaligmakend; het gaat er (meer) om dat mensen hun gezonde hersens gebruiken. Zaken als het scheiden van netwerksegmenten, het scheiden van accounts privileges (gebruiker, local adm en domain admin), het up to date houden van machines en ook het secure aware maken van je gebruikers community zijn allemaal zaken die meespelen. Mocht het dan tot een versleuteling komen is een offilne backup essentieel. Niet te benaderen voor een hacker zelfs niet als hij (of zij) in de AD zit.
Ik kan alleen maar hopen dat er in ieder geval een offsite / offline backup is, waar niet aan gesleuteld kon worden.
Eminus
Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
H
Door souplost: Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Even voor de beeldvorming: het betreft in bovenstaande casus geen ICT van Stichting Onderwijs Midden-Limburg, maar van Stichting Limburgs Voortgezet Onderwijs.Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
21-02-2020, 13:05 door
karma4
Door souplost: Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Nooit want als je data op endpoints toestaat is het einde zoek.Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Overigens had het Radboud grote problemen met Chromebooks, tentamens konden geen doorgang hebben wegens ICt problemen. Hoe ze dat voor elkaar kunnen krijgen is mij een raadsel.
https://www.voxweb.nl/nieuws/universiteit-doet-aangifte-tegen-cyberaanvallen
21-02-2020, 20:58 door
souplost
Door karma4:
Overigens had het Radboud grote problemen met Chromebooks, tentamens konden geen doorgang hebben wegens ICt problemen. Hoe ze dat voor elkaar kunnen krijgen is mij een raadsel.
https://www.voxweb.nl/nieuws/universiteit-doet-aangifte-tegen-cyberaanvallen
Karmaatje toch het gaat hier over een DDos aanval. Als ze dat bij jullie doen ligt O365 er ook uit. Een Chromebook werkt ook met interne webservers hoor!Door souplost: Wel wrang. Google leert: De ICT van Stichting Onderwijs Midden-Limburg ging van decentraal naar centraal: ... Geen Chromebooks en Apple MacBooks dus.
Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Nooit want als je data op endpoints toestaat is het einde zoek.Ze hebben het geweten. Arme drommels. Komen ze na het weekend terug, blijkt hun werkstuk verloren gegaan te zijn.
Ben benieuwd wanneer de Apples en Chromebooks weer terug zijn.
Overigens had het Radboud grote problemen met Chromebooks, tentamens konden geen doorgang hebben wegens ICt problemen. Hoe ze dat voor elkaar kunnen krijgen is mij een raadsel.
https://www.voxweb.nl/nieuws/universiteit-doet-aangifte-tegen-cyberaanvallen
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
