image

Brabants logistiek bedrijf betaalt losgeld na infectie door Lockbit-ransomware

maandag 4 mei 2020, 09:37 door Redactie, 15 reacties

De Brabantse logistiek dienstverlener Van der Helm Logistics heeft criminelen losgeld betaald nadat bestanden door de Lockbit-ransomware waren versleuteld. De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan. Dat laat het bedrijf tegenover De Volkskrant weten.

De infectie vond plaats in februari. Bestanden op twintig servers en tweehonderd pc's werden versleuteld, waaronder ook back-ups. De aanvallers wisten binnen te komen via een bruteforce-aanval op een webserver die een verouderde vpn-dienst draaide, zo laat antivirusbedrijf McAfee in een analyse van de Lockbit-ransomware weten. Via de aanval hadden de aanvallers het beheerderswachtwoord verkregen en daarmee toegang tot andere systemen in het netwerk.

"Helaas is dit geen uniek geval, systemen die aan het internet hangen horen waar mogelijk altijd over multifactorauthenticatie te beschikken", aldus de virusbestrijder, die opmerkt dat organisaties daarnaast met het principe van verminderde rechten moeten werken als het gaat om het inloggen op systemen.

Doordat de aanvallers beheerdersrechten hadden konden ze ook de back-ups van het Brabantse bedrijf versleutelen. "En de tapestreamer die back-ups regelt, was net kapot. Murphy's law: als het eenmaal fout gaat, gaat alles fout", zegt directeur Richard van der Helm tegenover De Volkskrant.

In eerste instantie wilde het bedrijf het losgeld niet betalen, laat Van der Helm weten. Het herstellen van alle getroffen systemen en het opnieuw scannen van de voorraad zou echter weken duren. "Dan konden we onze contractuele verplichtingen niet nakomen en zouden we al vrij snel richting faillissement gaan. We moesten onderhandelen", aldus de directeur die het losgeld uiteindelijk betaalde. Een exact bedrag wordt niet genoemd, maar het zou vergelijkbaar zijn met de 197.000 euro die de Universiteit Maastricht voor het ontsleutelen van bestanden betaalde.

Reacties (15)
04-05-2020, 11:01 door souplost
De aanvallers wisten binnen te komen via een bruteforce-aanval. Ja daar moet je je tegen wapenen. Methodes genoeg.
Dan blijkt de TCO of windows vele malen hoger dan verteld was.
04-05-2020, 12:16 door karma4 - Bijgewerkt: 04-05-2020, 12:19
Door souplost: De aanvallers wisten binnen te komen via een bruteforce-aanval. Ja daar moet je je tegen wapenen. Methodes genoeg. ...Dan blijkt de TCO of windows vele malen hoger dan verteld was.
Wat heeft Windows met een kapotte tapestreamer van doen en achterhaalde verouderde VPN en een slecht gebuik in segmenratie en rechten?
Hier zit waarschijnlijk het OSS dogma achter dat een backup niet hoeft want een ander doet het voor jou gratis
een goede ICT inrichting hoeft niet, heeft een ander wel voor je bedacht alles gratis en voor niets.
Ransomware als OSS model werkt goed maar is goed fout.
04-05-2020, 12:42 door souplost - Bijgewerkt: 04-05-2020, 12:45
Door karma4:
Door souplost: De aanvallers wisten binnen te komen via een bruteforce-aanval. Ja daar moet je je tegen wapenen. Methodes genoeg. ...Dan blijkt de TCO of windows vele malen hoger dan verteld was.
Wat heeft Windows met een kapotte tapestreamer van doen en achterhaalde verouderde VPN en een slecht gebuik in segmenratie en rechten?
Hier zit waarschijnlijk het OSS dogma achter dat een backup niet hoeft want een ander doet het voor jou gratis
een goede ICT inrichting hoeft niet, heeft een ander wel voor je bedacht alles gratis en voor niets.
Ransomware als OSS model werkt goed maar is goed fout.
Wat jij noemt kan windows niet zo veel aan doen. Men is binnengekomen met een bruteforce attack. Als verdediging hoort daar bv bij na 5 keer verkeerd inloggen een BAN van x minuten.
Wat wel een windows probleem is is dat het zo gevoelig is voor malware blijkt iedere week weer, waarvan meer dan de helft oplosbaar is door te patchen. Dat gebeurd vaak niet omdat het vaak andere functionaliteit breekt (daar is een reden voor) en dus moet er veel meer worden getest en dus loopt de TCO op en zeker als je losgeld moet betalen en eigenlijk niet kan garanderen dat je in control bent.
Verder begin je weer met je aperte leugens over OSS. Nu zit er weer een OSS dogma achter dat een backup niet hoeft. Man laat je nakijken want je frustratie spreekt boekdelen.
04-05-2020, 12:49 door Anoniem
Door souplost: De aanvallers wisten binnen te komen via een bruteforce-aanval. Ja daar moet je je tegen wapenen. Methodes genoeg.
Dan blijkt de TCO of windows vele malen hoger dan verteld was.
Je bedoelt zo'n vinkje zetten? Via een GPO is dit echt basisconfiguratie. Account lockout policy instellen.
Maar er zijn gelukkig mogelijkheden. Ik zie nog niet echt een TCO issue hier ontstaan.
Bij andere software producten loop je namelijk exact tegen dezelfde issues aan. Dus exact de zelfde TCO issues, als het al niet duurder is.

Hier is gewoon weer basisconfiguratie waar het op fout gaat. Niets specifiek iets met Windows iets. Want bij een ander OS zou men exact dezelfde fouten maken. Segmentatie en tiering model en patching zijn vrij basic dingen van IT. Als je dit al niet kunt inrichten, dan is het vragen om ellende.
04-05-2020, 13:39 door Anoniem
@souplost,

De frustratie bestaat in mijn nederige opinie voornamelijk hieruit,dat je in het ene geval bijvoorbeeld een validatie methode alleen kan analyseren aan de hand van het gedrag resulterend in en dat dan moet zien te mitigeren via de bekende security through obscurity methoden, bijvoorbeeld verhoogde enumeratie graad, obfuscatie en/ of gebruik van enkelzijdig niet dubbel te interpreteren aanroepen van methoden, terwijl bij open source je de code naar de afloop alleen maar hoeft te testen.

Dat laatste is dus een a priori vele malen transparanter manier. Daarom zijn code-gordijnschuivers zo gevaarlijk. Het zou eigenlijk verboden moeten worden om het geheim te houden, dan kan iedereen vrijelijk een keuze maken. Set (y)our code free!

J.O.
04-05-2020, 14:15 door Anoniem
Het volskrant artikel lijkt wel betaalde reclame van northwave
04-05-2020, 15:12 door souplost - Bijgewerkt: 04-05-2020, 15:12
Door Anoniem:
Door souplost: De aanvallers wisten binnen te komen via een bruteforce-aanval. Ja daar moet je je tegen wapenen. Methodes genoeg.
Dan blijkt de TCO of windows vele malen hoger dan verteld was.
Je bedoelt zo'n vinkje zetten? Via een GPO is dit echt basisconfiguratie. Account lockout policy instellen.
Maar er zijn gelukkig mogelijkheden. Ik zie nog niet echt een TCO issue hier ontstaan.
Bij andere software producten loop je namelijk exact tegen dezelfde issues aan. Dus exact de zelfde TCO issues, als het al niet duurder is.

Hier is gewoon weer basisconfiguratie waar het op fout gaat. Niets specifiek iets met Windows iets. Want bij een ander OS zou men exact dezelfde fouten maken. Segmentatie en tiering model en patching zijn vrij basic dingen van IT. Als je dit al niet kunt inrichten, dan is het vragen om ellende.
Blijkbaar is het allemaal veel te ingewikkeld voor een logistieke dienstverlener en moet je concluderen dat windows hier ongeschikt is gebleken. Je kan al die vele incidenten niet afblijven schuiven op beheerders en gebruikers zoals op security.nl gebruikelijk is.
Als je dat blijft volhouden deugt er ook iets niet in de MS certificeringstrajecten.
Het betalen van losgeld, imago schade en het feit dat je eigenlijk alles opnieuw moet installeren is een vette TCO verhoging. C=kosten!
04-05-2020, 15:19 door souplost
Door Anoniem: @souplost,

De frustratie bestaat in mijn nederige opinie voornamelijk hieruit,dat je in het ene geval bijvoorbeeld een validatie methode alleen kan analyseren aan de hand van het gedrag resulterend in en dat dan moet zien te mitigeren via de bekende security through obscurity methoden, bijvoorbeeld verhoogde enumeratie graad, obfuscatie en/ of gebruik van enkelzijdig niet dubbel te interpreteren aanroepen van methoden, terwijl bij open source je de code naar de afloop alleen maar hoeft te testen.

Dat laatste is dus een a priori vele malen transparanter manier. Daarom zijn code-gordijnschuivers zo gevaarlijk. Het zou eigenlijk verboden moeten worden om het geheim te houden, dan kan iedereen vrijelijk een keuze maken. Set (y)our code free!

J.O.
Dat zou inderdaad moeten net als bij de potjes hak. Daar staat tegenwoordig ook op wat er in zit. Transparantie wordt blijkbaar niet door iedereen op prijs gesteld, omdat anders de prijs niet gerechtvaardigd/afgedwongen kan worden.
De politiek gaat dit niet oplossen. Het enige wat zou kunnen helpen is nog meer malware loslaten in het kader van de natuurlijke selectie zeg maar.
04-05-2020, 19:45 door karma4
Door souplost: .....
Verder begin je weer met je aperte leugens over OSS. Nu zit er weer een OSS dogma achter dat een backup niet hoeft. Man laat je nakijken want je frustratie spreekt boekdelen.
Wie zit er zo vol frustratie dat al het kwade van microsoft komt en dat het goede alleen van OSS kan komen?
Het is die houding waarop ik reageer. Van verblinde evangelisten komt weinig goeds.
04-05-2020, 23:09 door souplost
Door karma4:
Door souplost: .....
Verder begin je weer met je aperte leugens over OSS. Nu zit er weer een OSS dogma achter dat een backup niet hoeft. Man laat je nakijken want je frustratie spreekt boekdelen.
Wie zit er zo vol frustratie dat al het kwade van microsoft komt en dat het goede alleen van OSS kan komen?
Het is die houding waarop ik reageer. Van verblinde evangelisten komt weinig goeds.
Lees je reactie eens terug man: Vandaag, 12:16 door karma4
Het enige wat ik zeg is dat de TCO van windows vele malen hoger blijkt dan verteld was door dit soort incidenten.
Als jij dan reageert met "het OSS dogma achter dat een backup niet hoeft want een ander doet het voor jou gratis" sla je de plank volledig mis. Over blinde evangelist gesproken. Microsoft is de broodheer van karma4 dat is wel duidelijk.
05-05-2020, 08:07 door The FOSS - Bijgewerkt: 05-05-2020, 08:43
Door souplost:
Door karma4: ...
Microsoft is de broodheer van karma4 dat is wel duidelijk.

Dat is werkelijk bij iedereen overduidelijk! Alleen karma4 zelf beseft het waarschijnlijk niet.

De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan.

Als miljoenenbedrijf hoef je niet te controleren of de apparatuur voor je backups kapot is. Of je kan dat gerust negeren als je het hebt geconstateerd.
05-05-2020, 13:32 door souplost
En nog durft deze directeur te melden (althans volgens de volkskrant) dat de schade niet financieel maar emotioneel is.
HIj zit met een systeem waarbij hij niet kan garanderen dat er geen backdoors zijn ingebouwd. De hackers zijn de baas niet de eigenaar. Gewoon doorgaan alsof er niets aan de hand is.
06-05-2020, 06:15 door The FOSS
Door souplost: HIj zit met een systeem waarbij hij niet kan garanderen dat er geen backdoors zijn ingebouwd.

Dat geldt eigenlijk voor elk systeem met closed source software. Want hoe kan je ooit nagaan wat er voor backdoors in bv. het closed source Microsoft Windows zijn ingebouwd?
06-05-2020, 09:34 door souplost - Bijgewerkt: 06-05-2020, 09:35
Door The FOSS:
Door souplost: HIj zit met een systeem waarbij hij niet kan garanderen dat er geen backdoors zijn ingebouwd.

Dat geldt eigenlijk voor elk systeem met closed source software. Want hoe kan je ooit nagaan wat er voor backdoors in bv. het closed source Microsoft Windows zijn ingebouwd?
Klopt alleen Microsoft zal haar systemen niet gaan versleutelen. Wel vernaggelen na een mislukte update. Dat is de reden waarom het updaten van windows altijd zo lang duurt. Het moet eerst goed worden uitgetest door de gebruiker en dan zijn ze te laat en slaat de malware toe.
06-05-2020, 17:28 door Anoniem
die brute force conclusie is er alleen voor om een eventuele verzekering te laten uitkeren. Het niet patchen van je client to site vpn oplossingen komt een beetje slordig over. er wordt gewoon gescand op bestaande lekken en eenmaal binnen wordt de ransomware uitgerold. het is veel te veel moeite om een onzekere, landurige bruteforce aanval te gebruiken voor dat doel terwijl er legio bedrijven zijn waar je binnen 10 seconden binnen bent omdat ze een slecht gepatchte vpn-oplossing / webserver hebben draaien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.