Tweehonderd bedrijven via managed serviceprovider besmet met ransomware
Bij een grote ransomware-aanval zijn zeker tweehonderd bedrijven via hun managed serviceprovider (MSP) met ransomware besmet geraakt. De aanvallers eisen miljoenen dollars van getroffen bedrijven voor het ontsleutelen van hun bestanden.
De aanval lijkt te zijn uitgevoerd door middel van een malafide update voor Kaseya VSA, laat Mark Loman van antivirusbedrijf Sophos op Twitter weten. Managed serviceproviders gebruiken de software voor het op afstand beheren van de systemen van hun klanten. Bijvoorbeeld voor het installeren van updates en verhelpen van problemen.
Kaseya roept MSP's op om hun VSA-servers uit te schakelen. Het bedrijf heeft zelf de eigen SaaS-servers uit voorzorg uitgeschakeld. Het Nationaal Cyber Security Centrum (NCSC) adviseert klanten van MSP's die VSA-agents in gebruik hebben, om contact te zoeken met hun managed serviceprovider voor verdere instructies. De exacte oorzaak is nog niet bekend, maar uit onderzoek blijkt dat de aanvallers de toegang van de beheerder tot VSA meteen stoppen.
Volgens Kaseya zijn voor zover nu bekend minder dan veertig klanten die van VSA-servers gebruikmaken getroffen. Een managed serviceprovider kan echter zelf tientallen of honderden klanten hebben. Securitybedrijf Huntress meldt op Reddit dat het van drie MSP's weet die bij elkaar minstens tweehonderd bedrijven als klant hebben waarvan de systemen zijn versleuteld.
De aanval zou zijn uitgevoerd door de groep achter de REvil-ransomware, die eerder achter de aanval op vleesverwerker JBS zat. JBS betaalde de aanvallers 11 miljoen dollar losgeld. Bij de nu waargenomen aanval worden losgeldbedragen tot 5 miljoen dollar geëist.
Het is niet voor het eerst dat criminelen via managed serviceproviders bedrijven met ransomware infecteren. In 2019 kwamen meerdere van dergelijke aanvallen voor. Zo werden systemen bij honderd Amerikaanse tandartspraktijken versleuteld.
Reacties (35)
Inderdaad, het houdt maar niet op. Vandaag dit weer gelezen. Moe word je ervan:
https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
De noodzaak van een goede backup strategie van data wordt steeds belangrijker.
Door Anoniem: Inderdaad, het houdt maar niet op. Vandaag dit weer gelezen. Moe word je ervan:
https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
03-07-2021, 13:33 door
Briolet
De aanvallers eisen miljoenen dollars van getroffen bedrijven voor het ontsleutelen van hun bestanden.
Toen ik dit vanochtend in de krant las, stond er volgens mij dat het om relatief lage bedragen van 50.000 ging. Nu ik het artikel herlees, zie ik dat het aangepast is in "tot 5 miljoen dollar". Dat is 100x meer.
https://www.ad.nl/tech/grote-hackaanval-met-gijzelsoftware-gaande-200-bedrijven-getroffen-waaronder-nederlandse-firma~ac23c767/
Waarschijnlijk zijn die bedragen dus heel variabel per bedrijf.
03-07-2021, 14:41 door
karma4
Door karma:
Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.
Het is het ideaal van veel bedrijven om de hele keten uit te besteden. Netwerkmonitoring servers desktops ... alles. Onbeperkte rootrechten in de uitbesteding naar de andere partij. Daar wordt het MSP met tools voor remote werken bij ingezet. Dit met minimale dubbele checks en controles. Juist met servers brengt dat uitbesteedde beheer zoveel kostenbesparing op. Daar gaat het nu fout: in de supply chain met de verplichte automatische updates.Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.
Door karma:
Als een andere partij de server beheerd, dan ben je er zelf dus geen beheerder meer over en dus ook niet verantwoordelijk voor, dus ook geen root rechten beheerder of wat dan ook. Jij hebt dan niets meer te zeggen over de server.Door Anoniem: Inderdaad, het houdt maar niet op. Vandaag dit weer gelezen. Moe word je ervan:
https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Door karma4:
Door karma:
Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.
Het is het ideaal van veel bedrijven om de hele keten uit te besteden. Netwerkmonitoring servers desktops ... alles. Onbeperkte rootrechten in de uitbesteding naar de andere partij. Daar wordt het MSP met tools voor remote werken bij ingezet. Dit met minimale dubbele checks en controles. Juist met servers brengt dat uitbesteedde beheer zoveel kostenbesparing op. Daar gaat het nu fout: in de supply chain met de verplichte automatische updates.Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.
Nee hoor! Root cause analysis leert dat het probleem ligt waar iedereen eigenlijk verdomde goed weet waar het ligt. Namelijk bij het gebruik van software voor lichte consumententoepassingen in een professionele context. Dat zou verboden moeten worden.
Ja dat zijn dan van die bedrijven die dat wel even veilig voor jouw kunnen doen.
Daar betaal je voor.
Niets blijk veilig.
Daar betaal je voor.
Niets blijk veilig.
Hopelijk gaan de US nu ns zo hard in de tegenaanval dat het afgelopen is met deze flauwekul.
Door karma4:
Het is een juiste constatering dat je door uitbesteding een ander risicoprofiel krijgt. Hackers hoeven zich dan niet op tig individuele bedrijven te richten, maar vallen een MSP aan. Die gebruiken één platform voor tientallen of honderden klanten waar de hackers dat 'gratis' binnen komen. Het heeft veel weg van de zogenaamde monoculturen, het risico dat je loopt als je alle software uniformeert rond één product.Door karma:
Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.
Het is het ideaal van veel bedrijven om de hele keten uit te besteden. Netwerkmonitoring servers desktops ... alles. Onbeperkte rootrechten in de uitbesteding naar de andere partij. Daar wordt het MSP met tools voor remote werken bij ingezet. Dit met minimale dubbele checks en controles. Juist met servers brengt dat uitbesteedde beheer zoveel kostenbesparing op. Daar gaat het nu fout: in de supply chain met de verplichte automatische updates.Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.
Andere kant, het is voor kleine bedrijven ondoenljik om deugdelijk ICT beveiliging zelf te organiseren. Maar in plaats van al die aan internet geknoopte cloud based remote access technologie, zou men wellicht weer op on premise beheer moeten richten. Kost iets meer, maar je verkleint het risico p dit soort grootschalige aanvallen.
In zoverre mee eens. Als je gewaarschuwd wordt voor een komende grote ontwrichting van de infrastructuur en dan nog op je handen blijft zitten of slechts kan denken in termen van reputatie management, verdien je dan iets anders? Het voelen bepaalt het handelen, niet het denken. Wie het voelen manipuleren kan is hier de baas. De cybercrimineel dus of die hem aanstuurt.
#sockpuppet
#sockpuppet
In Zweden is de Coop supermarkt en een apothekerij keten door een gijzeling getroffen, mogelijk door dezelfde bende.
https://nos.nl/artikel/2387781-zweedse-supermarktketen-lamgelegd-door-cyberaanval
https://www.svt.se/nyheter/snabbkollen/it-attack-mot-coop-butiker-stangs
De Zweedse minister van defensie Peter Hultqvist noemt de aanslag "zeer gevaarlijk", omdat het sectoren als de voedselzekerheid en andere elementaire levensbehoeften voor het functioneren van de samenleving raakt.
Coop heeft een marktaandeel van 20 procent in de Zweedse supermarktsector en een jaaromzet van omgerekend ongeveer 1,5 miljard euro. Door de cyberaanval zijn de kassasystemen lamgelegd, meldt de Zweedse omroep SVT. De hele nacht is er aan een oplossing gewerkt, maar zonder succes.
https://nos.nl/artikel/2387781-zweedse-supermarktketen-lamgelegd-door-cyberaanval
SVT Nyheter har i flera artiklar berättat om hackerattacken som sänkt Coops butiker i Sverige. Attacken har inte varit riktad mot Coop själva utan det amerikanska mjukvaruföretaget Kaseya, som i sin tur levererat mjukvara till Coops leverantör Visma Esscom. Även SJ och Apoteket Hjärtat har påverkats.
https://www.svt.se/nyheter/snabbkollen/it-attack-mot-coop-butiker-stangs
De Zweedse minister van defensie Peter Hultqvist noemt de aanslag "zeer gevaarlijk", omdat het sectoren als de voedselzekerheid en andere elementaire levensbehoeften voor het functioneren van de samenleving raakt.
Het is wachten op een besmetting van het update mechanisme of onderdelen ervan, van die grote tech reuzen...
MS stond laatst ook te kijken naar een gesigneerde driver met de groeten van een Chinese website, wat nog in onderzoek is.
En nee, ik ben niet Anti MS. Die discussie ga ik niet aan.
Ik hoop dat al die particuliere bedrijven en overheids onderdelen een goede recente backup hebben die een hele lange tijd terug gaat.
Want de volgende zet zal natuurlijk zijn dat ze die ransomeware 2 jaar laten sleepen oid.
MS stond laatst ook te kijken naar een gesigneerde driver met de groeten van een Chinese website, wat nog in onderzoek is.
En nee, ik ben niet Anti MS. Die discussie ga ik niet aan.
Ik hoop dat al die particuliere bedrijven en overheids onderdelen een goede recente backup hebben die een hele lange tijd terug gaat.
Want de volgende zet zal natuurlijk zijn dat ze die ransomeware 2 jaar laten sleepen oid.
Bij revil betrokken websites zijn allemaal Word Press sites.
Zo vaak hier gehad over deze ellende, toch nog niets essentieel veranderd.
luntrus
Zo vaak hier gehad over deze ellende, toch nog niets essentieel veranderd.
luntrus
Door Anoniem:
Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Dat de beheerders bepalen wat voor software er op komt en niet de managers. Op te hoog niveau wordt al bepaald welke software het moet worden ipv functionaliteit te specificeren maar zelfs dat, want er zijn nog steeds idioten die antivirus onder Linux eisen.Door karma:
Als een andere partij de server beheerd, dan ben je er zelf dus geen beheerder meer over en dus ook niet verantwoordelijk voor, dus ook geen root rechten beheerder of wat dan ook. Jij hebt dan niets meer te zeggen over de server.Door Anoniem: Inderdaad, het houdt maar niet op. Vandaag dit weer gelezen. Moe word je ervan:
https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
Ik wordt moe van die managed service providers die op een malware ecosysteem zijn gebaseerd. Sommige providers beheren ook Linux servers omdat de klant het wil en worden dan volgepropt met commerciële shit agents zoals Kaseya, scom, nessus etc) zodat ook deze gevaar gaan lopen. Beste Linux beheerders van deze providers zorg dat deze opgedrongen bagger geen root rechten krijgt.https://www.ad.nl/tech/universiteit-leiden-vermoedelijk-ook-gehackt-door-russen-en-nu-wil-iraanse-groep-geld-zien~a96a3faa/
Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Het Nederlandse bedrijf VelzArt, dat is gespecialiseerd is in ICT oplossingen voor het midden- en kleinbedrijf meldt:
https://velzart.nl/blog/ransomeware/
https://www.ad.nl/tech/wereldwijde-hackaanval-met-gijzelsoftware-gaande-systemen-nederlandse-mkbers-volledig-ontoegankelijk~ac23c767/
https://www.nrc.nl/nieuws/2021/07/03/aanval-met-gijzelsoftware-treft-honderden-bedrijven-a4049773
https://velzart.nl/blog/ransomeware/
[...] dat zij uit al hun contacten ‘lijken op te kunnen maken dat systemen, die gisteren tussen 18.00 uur en 20:00 uur hebben aangestaan, zijn geïnfecteerd’, zo staat te lezen in een verklaring.
https://www.ad.nl/tech/wereldwijde-hackaanval-met-gijzelsoftware-gaande-systemen-nederlandse-mkbers-volledig-ontoegankelijk~ac23c767/
Dit soort ‘supply chain attacks’, waarbij software van een vertrouwde derde partij wordt misbruikt om binnen te dringen bij slachtoffers, zijn in opmars.
https://www.nrc.nl/nieuws/2021/07/03/aanval-met-gijzelsoftware-treft-honderden-bedrijven-a4049773
03-07-2021, 18:39 door
karma4
Door Toje Fos:
Nee hoor! Root cause analysis leert dat het probleem ligt waar iedereen eigenlijk verdomde goed weet waar het ligt. Namelijk ....
Met het woord root-cause analyses heb je meteen het probleem. Verslaafd zijn aan het gebruik van root zonder verificatiestappen. ALs je MSP providers met een volledige SOC invulling als lichte consument ziet dan heb je de plank weer eens volledig mis geslagen. Dit is de professionele markt met uitbesteedde server diensten.Nee hoor! Root cause analysis leert dat het probleem ligt waar iedereen eigenlijk verdomde goed weet waar het ligt. Namelijk ....
03-07-2021, 18:43 door
karma4
Door Anoniem: Als een andere partij de server beheerd, dan ben je er zelf dus geen beheerder meer over en dus ook niet verantwoordelijk voor, dus ook geen root rechten beheerder of wat dan ook. Jij hebt dan niets meer te zeggen over de server.
Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Goede vraag, het alternatief is denk ik een tweede controlerend partij die beoordeeld of een wijziging actie wel doorgang mag vinden (vooraf) en een achteraf controle over de acties. Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Met ITIL en ISMS standaarden is die aanpak zowat verplicht.
Het is raar als je dat overboord kiepert in een uitbesteding waar gewoonlijk de prijs leidend is. Dan krijg je rare besparingen.
Ik lees dat er ook een grote supermarkt (COOP, 20% marktaandeel) in Zweden getroffen is.
Het wordt denk ik tijd voor actie op statelijk nivo, desnoods militair. Dit moet stoppen, het verhaaltje "dan moet je je
maar beter beveiligen" dat is echt niet meer houdbaar. Als deze gasten niet gepakt worden dan blijf je hier last
van houden, het is gewoon terrorisme dus laten ze het net zo aanpakken als met Bin Laden.
Het wordt denk ik tijd voor actie op statelijk nivo, desnoods militair. Dit moet stoppen, het verhaaltje "dan moet je je
maar beter beveiligen" dat is echt niet meer houdbaar. Als deze gasten niet gepakt worden dan blijf je hier last
van houden, het is gewoon terrorisme dus laten ze het net zo aanpakken als met Bin Laden.
https://nos.nl/artikel/2387823-ook-in-nederland-mogelijk-honderden-bedrijven-getroffen-door-ransomware-aanval
03-07-2021, 20:46 door
Erik van Straten
Door karma4:
Met ITIL en ISMS standaarden is die aanpak zowat verplicht.
Nou, dan moeten we meteen stoppen met het gebruiken van software van Microsoft - met hun stikken of slikken patchbeleid met nauwelijks gedocumenteerde megapatches. En dan heb ik het nog niet over de vele miljoenen navelstrengen naar Redmond die elke dag "Click-to-Run" Office-updates vervoeren waarvan buiten de baarmoeder niemand weet waar die goed (of juist niet) voor zijn.Door Anoniem: Als een andere partij de server beheerd, dan ben je er zelf dus geen beheerder meer over en dus ook niet verantwoordelijk voor, dus ook geen root rechten beheerder of wat dan ook. Jij hebt dan niets meer te zeggen over de server.
Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Goede vraag, het alternatief is denk ik een tweede controlerend partij die beoordeeld of een wijziging actie wel doorgang mag vinden (vooraf) en een achteraf controle over de acties. Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Met ITIL en ISMS standaarden is die aanpak zowat verplicht.
Die baarmoeder in Redmond penetreren is de natte droom van ransomwaregangs. En vroeger of later lukt dat, desnoods via een supply-chain attack (wie weer hoe dicht de SolarWinds-hackers al bij dat vuur zaten). Zolang we die potentieel giftransporterende navelstrengen niet doorknippen, kunnen we alleen maar hopen dat Putin zo'n aanval veto'd (en dat er nog naar hem geluisterd wordt).
Cia en Nsa moeten meer geld krijgen, dan is een lek in bekende software natuurlijk makkelijk misbruikt om inkomsten te genereren voor extra hdd en cpu in je aftap datacentra. Natuurlijk heb ik geen bewijs maar dat heeft de fbi ook nog maar wordt wel als zoete koek geslikt, terwijl we weten dat die amerikanen alles aan elkaar liegen...
Door karma4:
Door Toje Fos:
Nee hoor! Root cause analysis leert dat het probleem ligt waar iedereen eigenlijk verdomde goed weet waar het ligt. Namelijk ....
Met het woord root-cause analyses heb je meteen het probleem. Verslaafd zijn aan het gebruik van root zonder verificatiestappen. ...Nee hoor! Root cause analysis leert dat het probleem ligt waar iedereen eigenlijk verdomde goed weet waar het ligt. Namelijk ....
Natuurlijk ken jij die term niet en zit je op het verkeerde spoor (what else is new en dan heb ik het niet over jouw an sich valide uitbestedingsargument).
Door Erik van Straten:
...
Door karma4:
Met ITIL en ISMS standaarden is die aanpak zowat verplicht.
Nou, dan moeten we meteen stoppen met het gebruiken van software van Microsoft - met hun stikken of slikken patchbeleid met nauwelijks gedocumenteerde megapatches. En dan heb ik het nog niet over de vele miljoenen navelstrengen naar Redmond die elke dag "Click-to-Run" Office-updates vervoeren waarvan buiten de baarmoeder niemand weet waar die goed (of juist niet) voor zijn.Door Anoniem: Als een andere partij de server beheerd, dan ben je er zelf dus geen beheerder meer over en dus ook niet verantwoordelijk voor, dus ook geen root rechten beheerder of wat dan ook. Jij hebt dan niets meer te zeggen over de server.
Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Goede vraag, het alternatief is denk ik een tweede controlerend partij die beoordeeld of een wijziging actie wel doorgang mag vinden (vooraf) en een achteraf controle over de acties. Maar wat is je alternatief? Juist centraal beheer is vaak van belang, zelf alles knutselen is meestal niet gewenst.
Met ITIL en ISMS standaarden is die aanpak zowat verplicht.
...
De eerder in deze discussie genoemde root cause analysis doorzettende ligt het eigenlijke probleem bij het gebruik van closed source software. Dat maakt dat je de broncode v.d. software en updates daarop niet kan inzien en je totaal aan de grillen van de fabrikant bent en blijft overgeleverd. Het uitbestedingsargument van karma4 doorzettende: als je closed software gebruikt dan besteed je jouw soevereiniteit uit.
Murphy's Law zegt: alles wat mis kan gaan, zal ook een keer mis gaan. Zelfs als de kans daarop heel erg klein is.
Dat betekent in dit verband dat je je niet kunt verdedigen tegen een hack. Microsoft update zal een keer gehackt worden en een repo van een grote linux distro ook.
En dan?
Dat betekent in dit verband dat je je niet kunt verdedigen tegen een hack. Microsoft update zal een keer gehackt worden en een repo van een grote linux distro ook.
En dan?
Door Anoniem: Hopelijk gaan de US nu ns zo hard in de tegenaanval dat het afgelopen is met deze flauwekul.
Dat kan lang gaan duren, maar als men de 'powers that be' maar lang genoeg tart, dan barst de bom vanzelf een keer.
Joe Biden said on Saturday he had directed US intelligence agencies to investigate a sophisticated ransomware attack that hit hundreds of American businesses as the Fourth of July holiday weekend began and aroused suspicions of Russian gang involvement.
https://www.theguardian.com/technology/2021/jul/03/kaseya-ransomware-attack-us-sweden
Zolang het gebruik van ongereguleerde, niet-traceerbare cryptomunten wereldwijd oogluikend blijft toegestaan, zal deze vorm van ondermijnenende zware criminaliteit blijven voortwoekeren -- want crypto is het nieuwe belastingparadijs.
04-07-2021, 10:06 door
karma4
Door Toje Fos: De eerder in deze discussie genoemde root cause analysis doorzettende ligt het eigenlijke probleem bij het gebruik van closed source software. Dat maakt dat je de broncode v.d. software en updates daarop niet kan inzien en je totaal aan de grillen van de fabrikant bent en blijft overgeleverd. Het uitbestedingsargument van karma4 doorzettende: als je closed software gebruikt dan besteed je jouw soevereiniteit uit.
De rootcause;- Bedrijven wensen geen IT hobbyisme daarom besteden ze het uit aan MSP dienstverleners.
- MSP dienstverleners hebben geen trek in de kosten van IT hobbyisme, daarom kopen ze software in.
- De software leverancier gebruikt vele open sources componenten. De marketing daarbij is dat het goedkoop is en iedereen de code kan zien dus dat het wel veilig is. In werkelijkheid doet niemand dat.
- De back hacker zit een prachtig verdienmodel want dat vertrouwen dat iemands anders het wel doet levert hem alle ruimte bij het gebrek op echte controle.
Dit is zo standaard dat het ergerlijk is dat open source wel de oplossing voor alles is.
Iemand moet rekeningen betalen gratis en voor niets is de zon die opgaat.
Door Anoniem: Murphy's Law zegt: alles wat mis kan gaan, zal ook een keer mis gaan. Zelfs als de kans daarop heel erg klein is. Dat betekent in dit verband dat je je niet kunt verdedigen tegen een hack. Microsoft update zal een keer gehackt worden en een repo van een grote linux distro ook.
En dan?
Het gaat hier om de supply chain waar remote beheer mee gedaan wordt. Waarom zit daar in vredesnaam een automatische update in? Desktops worden bij bedrijven niet via een MS update automatisch uitgerold, servers ook niet waarom dan deze weer wel ... Ik denk aan een "best practice": automatisch updaten, dat een "bad practice" is.En dan?
Door karma4:
Het gaat hier om de supply chain waar remote beheer mee gedaan wordt. Waarom zit daar in vredesnaam een automatische update in? Desktops worden bij bedrijven niet via een MS update automatisch uitgerold, servers ook niet waarom dan deze weer wel ... Ik denk aan een "best practice": automatisch updaten, dat een "bad practice" is.
Ik denk niet dat het feit dat die update "automatisch" was erg relevant is. Bij de vorige vergelijkbare aanval was deHet gaat hier om de supply chain waar remote beheer mee gedaan wordt. Waarom zit daar in vredesnaam een automatische update in? Desktops worden bij bedrijven niet via een MS update automatisch uitgerold, servers ook niet waarom dan deze weer wel ... Ik denk aan een "best practice": automatisch updaten, dat een "bad practice" is.
update ook niet automatisch en toch ging het fout. Als je de server waar de updates op staan gehacked hebt dan gaan
na verloop van tijd vanzelf de betrokkenen de update installeren ook als dat niet automatisch gaat, en als je dan lang
genoeg wacht met je daadwerkelijke aanval (en niet te lang zodat het evt ontdekt wordt) dan heb je een vergelijkbare
impact (40 getroffen serviceproviders) ook wel te pakken.
Bovendien klopt je claim niet, bij het merendeel van de bedrijven worden MS updates wel degelijk automatisch geinstalleerd.
Dat idee van een eigen WSUS server met alleen updates die eerst getest waren (en wat zegt dat??) dat neemt steeds
verder af, dat werd vooral gedaan om de internet verbinding te ontlasten en dat argument valt weg.
Door karma4:
- Bedrijven wensen geen IT hobbyisme daarom besteden ze het uit aan MSP dienstverleners.
- MSP dienstverleners hebben geen trek in de kosten van IT hobbyisme, daarom kopen ze software in.
- De software leverancier gebruikt vele open sources componenten.
Door Toje Fos: De eerder in deze discussie genoemde root cause analysis doorzettende ligt het eigenlijke probleem bij het gebruik van closed source software. Dat maakt dat je de broncode v.d. software en updates daarop niet kan inzien en je totaal aan de grillen van de fabrikant bent en blijft overgeleverd. Het uitbestedingsargument van karma4 doorzettende: als je closed software gebruikt dan besteed je jouw soevereiniteit uit.
De rootcause;- Bedrijven wensen geen IT hobbyisme daarom besteden ze het uit aan MSP dienstverleners.
- MSP dienstverleners hebben geen trek in de kosten van IT hobbyisme, daarom kopen ze software in.
- De software leverancier gebruikt vele open sources componenten.
Als je je eerst beter had verdiept in de indicatoren van compromittering die Huntress.com vanochtend vroeg over deze ransomware zaak op Reddit heeft gepubliceerd, dan had je ingezien dat dit probleem met Kaseya VSA zich alleen op servers van het Microsoft Windows platform afspeelt. Dus in plaats van te spreken van een "root cause", om je bekende stokpaardje te kunnen berijden, dien je dus hier eerder te spreken van een "administrator cause" analysis.
Maar waarom heeft WEF hier al voor gewaarschuwd?
Grote klapper komt gegarandeerd.
Hoe kwetsbaar heeft Big Tech de wereld gemaakt via security through obscurity?
luntrus
Grote klapper komt gegarandeerd.
Hoe kwetsbaar heeft Big Tech de wereld gemaakt via security through obscurity?
luntrus
04-07-2021, 15:54 door
karma4
Door Anoniem:
Ik denk niet dat het feit dat die update "automatisch" was erg relevant is. ... als je dan lang
genoeg wacht met je daadwerkelijke aanval (en niet te lang zodat het evt ontdekt wordt) dan heb je een vergelijkbare
impact (40 getroffen serviceproviders) ook wel te pakken.
Dat zag je met Solar Winds bewust lang onder de radar gebleven. Daar was het opgelegd via uitbesteding zeer dicht bij waar je een ongezonde aandacht kan verwachten. Tja het verdienmodel op de korte termijn is zo vaak winnend op korte termijn.Ik denk niet dat het feit dat die update "automatisch" was erg relevant is. ... als je dan lang
genoeg wacht met je daadwerkelijke aanval (en niet te lang zodat het evt ontdekt wordt) dan heb je een vergelijkbare
impact (40 getroffen serviceproviders) ook wel te pakken.
[Bovendien klopt je claim niet, bij het merendeel van de bedrijven worden MS updates wel degelijk automatisch geinstalleerd. Dat idee van een eigen WSUS server met alleen updates die eerst getest waren (en wat zegt dat??) dat neemt steeds verder af, dat werd vooral gedaan om de internet verbinding te ontlasten en dat argument valt weg.
Internet verbinding is en was het probleem niet. Het zijn de afhankelijkheden met app in stacks.en de strijdige afhankelijkheden. Als die stack afhankelijkheden niet meer zo duidelijk zijn dan komt dat makkelijke uitbesteden, vervallen meteen wat controles (kosten).Door karma4:
- Bedrijven wensen geen IT hobbyisme ...
Door Toje Fos: De eerder in deze discussie genoemde root cause analysis doorzettende ligt het eigenlijke probleem bij het gebruik van closed source software. Dat maakt dat je de broncode v.d. software en updates daarop niet kan inzien en je totaal aan de grillen van de fabrikant bent en blijft overgeleverd. Het uitbestedingsargument van karma4 doorzettende: als je closed software gebruikt dan besteed je jouw soevereiniteit uit.
De rootcause;- Bedrijven wensen geen IT hobbyisme ...
Dat zou je denken, ze blijven echter vasthouden aan het gebruik van software voor lichte consumententoepassingen in professionele context.
04-07-2021, 21:59 door
walmare
Door Anoniem: Murphy's Law zegt: alles wat mis kan gaan, zal ook een keer mis gaan. Zelfs als de kans daarop heel erg klein is.
Dat betekent in dit verband dat je je niet kunt verdedigen tegen een hack. Microsoft update zal een keer gehackt worden en een repo van een grote linux distro ook.
En dan?
Daarom moet je de checksums ook altijd controleren. Door het decentrale git ontwikkelplatform hoef je ook niet bang te zijn voor een hack. Dat merk je direct. Uiteindelijk is dan altijd wel iemand die de juiste versie heeft. Wat veel belangrijke is hoe zorg je dat er goede reviewers/maintainers beschikbaar blijven om betrouwbaar te kunnen blijven ontwikkelen. Die zijn er bij die closed source bedrijven in ieder geval niet. Dat hebben we de laatste tijd wel ervaren.Dat betekent in dit verband dat je je niet kunt verdedigen tegen een hack. Microsoft update zal een keer gehackt worden en een repo van een grote linux distro ook.
En dan?
06-07-2021, 16:34 door
karma4
Door Anoniem: Dat de beheerders bepalen wat voor software er op komt en niet de managers. Op te hoog niveau wordt al bepaald welke software het moet worden ipv functionaliteit te specificeren maar zelfs dat, want er zijn nog steeds idioten die antivirus onder Linux eisen.
IDS en meer is ook hoor nodig kijk maar eens naar die VSA servers alles van dat ontbrak. Nee ik weet niet welk OS maakt niet uit zie de WD nas systemen. waar de boel pen en bloot ligt.Door Anoniem:
Dat kan lang gaan duren, maar als men de 'powers that be' maar lang genoeg tart, dan barst de bom vanzelf een keer.
Door Anoniem: Hopelijk gaan de US nu ns zo hard in de tegenaanval dat het afgelopen is met deze flauwekul.
Dat kan lang gaan duren, maar als men de 'powers that be' maar lang genoeg tart, dan barst de bom vanzelf een keer.
Witte Huis dreigt met actie tegen ransomwaregroepen als Rusland niet ingrijpt
woensdag 7 juli 2021, 11:06 door Redactie
https://www.security.nl/posting/711079/Witte+Huis+dreigt+met+actie+tegen+ransomwaregroepen+als+Rusland+niet+ingrijpt
Wereldwijde ransomware-aanval via Kaseya VSA-software: een overzicht
maandag 5 juli 2021, 07:54 door Redactie
Laatst bijgewerkt: 06-07-2021, 12:06
https://www.security.nl/posting/710650/Wereldwijde+ransomware-aanval+via+Kaseya+VSA-software%3A+een+overzicht
maandag 5 juli 2021, 07:54 door Redactie
Laatst bijgewerkt: 06-07-2021, 12:06
https://www.security.nl/posting/710650/Wereldwijde+ransomware-aanval+via+Kaseya+VSA-software%3A+een+overzicht
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
