image

ROC Mondriaan heeft nog weken last van aanval op systemen

dinsdag 31 augustus 2021, 11:59 door Redactie, 10 reacties

Onderwijsinstelling ROC Mondriaan heeft nog weken last van de aanval op de systemen die onlangs plaatsvond. In de scholen kan nog altijd geen enkele computer worden gebruikt. "We gaan terug naar de basis met pen en papier" zegt Brigitte Laukens, schooldirecteur van het ROC horeca en dienstverlening in Den Haag, tegenover Omroep West.

Om wat voor soort aanval het precies gaat is nog altijd niet bekendgemaakt. Het schoolbestuur verwacht dat het nog weken gaat duren voordat het systeem weer is hersteld. "Onze bedrijfskritische systemen hebben wel back-ups gemaakt van bijvoorbeeld financiën en leerlingvolgsystemen, maar het duurt een paar weken om erachter te komen wat we daarvan in de lucht kunnen houden", laat Hans Schutte weten, voorzitter van het college van bestuur van ROC Mondriaan.

De onderwijsinstelling weet nog altijd niet hoe de aanvallers zijn binnengekomen en wat ze willen. "Of dat losgeld is of iets anders. Vooralsnog richten wij ons eerst op het op gang brengen van onze systemen, zodat onze leerlingen en docenten weer normaal hun werk kunnen doen." Een securitybedrijf dat onderzoek naar de aanval doet adviseerde ROC Mondriaan om de systemen tijdelijk uit te schakelen, om zo de omvang en impact van de aanval in kaart te brengen en systemen te kunnen herstellen.

Reacties (10)
31-08-2021, 12:46 door walmare
Onze bedrijfskritische systemen hebben wel back-ups gemaakt van bijvoorbeeld financiën en leerlingvolgsystemen, maar het duurt een paar weken om erachter te komen wat we daarvan in de lucht kunnen houden",
Dat zijn windowsgebaseerde systemen. Blijkbaar is windows ge-encrypt (zoals gewoonlijk). Klinkt ook als dat er data verloren is gegaan. Als ze niet ge=encrypt zijn hadden ze de servers al lang met een Linux livecd weer terug kunnen hacken.
ROC Mondriaan geeft geen openheid van zaken en dat is zeer kwalijk. Ik begrijp het wel want ze moeten gaan toegeven dat er data verloren is gegaan. Ze zullen wel haastig opzoek zijn naar de verloren gegevens alvorens het boetekleed aan te kunnen doen.
31-08-2021, 16:00 door Anoniem
Het zou zomaar kunnen zijn dat de genoemde Brigitte Laukens (schooldirecteur) en Hans Schutte (voorzitter van het college van bestuur) heel weinig weten van Linux. Waarom wordt er op scholen en instellingen met Windows-systemen niet (ook) een backup gemaakt van de kroonjuwelen (bijvoorbeeld financiën en leerlingvolgsystemen) op een eenvoudig Linux-servertje??

Ook jammer dat het onderwijs verslaafd is aan Windows: er wordt geen "tekstverwerken" geleerd, maar "werken met Word." De leerlingen worden zo "Knoppen-aapjes". Als je dan ook nog het beheer uitbesteedt, ben je de grip op de kroonjuwelen kwijt.
https://www.security.nl/posting/715255/Securitybedrijven+luiden+noodklok+over+ransomware-incidenten+in+Nederland
05-08-2021, 13:17 door Anoniem
Door Anoniem: extra achtergrond:

https://www.computable.nl/artikel/achtergrond/security/7189156/1444691/onderhandelen-met-cybercriminelen-doe-je-zo.html

saillant daaruit is toch wel dit:

" Vrijwel in alle gevallen dringen de criminelen via Windowssystemen het netwerk binnen. Bedrijven met Unix- of Linux-omgevingen ontspringen de dans. Ook hebben opvallend veel organisaties die slachtoffer zijn van ransomware alle backups online staan. Daardoor kunnen ze deze niet herstellen of offline ophalen en terugzetten, vertelt Takkenberg."

In iets andere woorden is de boodschap ook terug te vinden in het FoxIT rapport over de Clop-ransomware besmetting van de Universiteit Maastricht:
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht
In totaal heeft Fox-IT vijf accounts en 269 Windows systemen geidentificeerd als gecompromitteerd (van in totaal 1.647 servers en 7.307 werkplekken). Naast Windows systemen heeft Opdrachtgever Linux en OS X systemen binnen de infrastructuur welke niet zijn geraakt door de aanval. (paragraaf 4.2 bladzijde 12 van 38)

Is dit nou een publiek geheim? Zet in ieder geval je kroonjuwelen op een Linux-server met backup in eigen beheer?
(Onderstreping toegevoegd) Dit spreekt toch boekdelen? Voor Brigitte Laukens en Hans Schutte is het helaas te laat. De leerlingen van het ROC Mondriaan zijn de dupe.
31-08-2021, 22:11 door karma4
Grootste probleem onvoldoende gedegen beheer.
De vele rapporten zijn daar helder in.
Bijkomend praktisch probleem linux fanatici die de boel lopen te saboteren. Geheel in het verlengde van de voormalige werknemer die nog wraak wil nemen op zijn opdrachtgever.
31-08-2021, 22:16 door karma4
Door Anoniem: Het zou zomaar kunnen zijn dat de genoemde Brigitte Laukens (schooldirecteur) en Hans Schutte (voorzitter van het college van bestuur) heel weinig weten van Linux. Waarom wordt er op scholen en instellingen met Windows-systemen niet (ook) een backup gemaakt van de kroonjuwelen (bijvoorbeeld financiën en leerlingvolgsystemen) op een eenvoudig Linux-servertje??
....
Lees dat rapport van fox-it nog eens beter. Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken. Passwoord en credentials weg dan haal je die backup als eerste onderuit. Bacmups sans zijn heel andere technieken.
01-09-2021, 09:20 door Bitje-scheef
Door karma4: Grootste probleem onvoldoende gedegen beheer.
De vele rapporten zijn daar helder in.
Bijkomend praktisch probleem linux fanatici die de boel lopen te saboteren. Geheel in het verlengde van de voormalige werknemer die nog wraak wil nemen op zijn opdrachtgever.

Nou die Linuxfanatici .... foei ! Ha, moet de eerste nog tekenkomen die de boel saboteert.
Microsoft heeft de scholen gewoon bij de ballen. Licenties voor een habbekrats.

IT en vooral IT security op scholen is veelal een ondergeschoven kindje.
01-09-2021, 13:06 door Anoniem
Door karma4:
Door Anoniem: Het zou zomaar kunnen zijn dat de genoemde Brigitte Laukens (schooldirecteur) en Hans Schutte (voorzitter van het college van bestuur) heel weinig weten van Linux. Waarom wordt er op scholen en instellingen met Windows-systemen niet (ook) een backup gemaakt van de kroonjuwelen (bijvoorbeeld financiën en leerlingvolgsystemen) op een eenvoudig Linux-servertje??
....
Lees dat rapport van fox-it nog eens beter. Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken. Passwoord en credentials weg dan haal je die backup als eerste onderuit. Bacmups sans zijn heel andere technieken.

doet u eens een citaat en referentie bij deze stelling....
01-09-2021, 14:01 door Anoniem
31-08-2021 22:16 door karma4:
Door Anoniem: Het zou zomaar kunnen zijn dat de genoemde Brigitte Laukens (schooldirecteur) en Hans Schutte (voorzitter van het college van bestuur) heel weinig weten van Linux. Waarom wordt er op scholen en instellingen met Windows-systemen niet (ook) een backup gemaakt van de kroonjuwelen (bijvoorbeeld financiën en leerlingvolgsystemen) op een eenvoudig Linux-servertje??
....
Lees dat rapport van fox-it nog eens beter. Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken. Passwoord en credentials weg dan haal je die backup als eerste onderuit. Bacmups sans zijn heel andere technieken.

Karma4 waar lees jij dat in het FoxIT rapport? In mijn reactie van 16:00 citeer ik namelijk letterlijk het FoxIT rapport:
31-08-2021, 16:00 door Anoniem
In iets andere woorden is de boodschap ook terug te vinden in het FoxIT rapport over de Clop-ransomware besmetting van de Universiteit Maastricht:
https://www.security.nl/posting/642572/Fox-IT+rapport+Maastricht
... "In totaal heeft Fox-IT vijf accounts en 269 Windows systemen geidentificeerd als gecompromitteerd (van in totaal 1.647 servers en 7.307 werkplekken). Naast Windows systemen heeft Opdrachtgever Linux en OS X systemen binnen de infrastructuur welke niet zijn geraakt door de aanval". (paragraaf 4.2 bladzijde 12 van 38)
Ik heb de onderstreping iets aangepast, misschien valt het dan beter op.
En wat is dan je reactie op de opmerking van Pim Takkenberg (North Wave Security):
31-08-2021, 16:00 door Anoniem
https://www.security.nl/posting/715255/Securitybedrijven+luiden+noodklok+over+ransomware-incidenten+in+Nederland
05-08-2021, 13:17 door Anoniem
Door Anoniem: extra achtergrond:
https://www.computable.nl/artikel/achtergrond/security/7189156/1444691/onderhandelen-met-cybercriminelen-doe-je-zo.html
saillant daaruit is toch wel dit:
" Vrijwel in alle gevallen dringen de criminelen via Windowssystemen het netwerk binnen. Bedrijven met Unix- of Linux-omgevingen ontspringen de dans. Ook hebben opvallend veel organisaties die slachtoffer zijn van ransomware alle backups online staan. Daardoor kunnen ze deze niet herstellen of offline ophalen en terugzetten, vertelt Takkenberg."
Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
01-09-2021, 19:38 door karma4
Door Anoniem: doet u eens een citaat en referentie bij deze stelling....
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt
Let even op het zijn de genoemde adviespunten uit het rapport:
1/ Betere ‘awareness’ en afhandeling van (meldingen van) ‘phishing-mails’ je kunt ook whatapp oplichting nemen.
2/ Technisch
- Het accuraat updaten van de software
- Het verbeteren van de segmentering van het Windows domein.
De zin daarachter meteen de opmerking van het domein admin voor dagelijks beheer op de vloer
- Het inrichten van 24/7 monitoring door middel van een SIEM en/of SOC OFwel het niet weten wat er speelt
- Configuration Management Data Base .. Doel je moet het kunnen herstellen niet eenmailg .. hij doet/deed het
3/ Dubbele back-up lees en huiver dat het om het per ongeluk verwijderde gegevens snel terughalen ging. Geen DR.

Door Anoniem: Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
Staat letterljk wat ik beweer in het rapport. Cloud op aangeven van een enkele leverancier is geen DR. Een NAS-je inzetten is geen Window. Als je voor SAN gaat kom je met heel andere zaken. Fox-it noemt de pijnpunten uitstekend.

Om het in een OS flaming te laten ontaarden is totaal onzinnig en buiten werkelijkheid.
Als we auto's er bij halen verklaar jij Volkswagen schuldig aan het verdwijnen van cash wegens de audi-bende.
01-09-2021, 23:56 door walmare
Door karma4:
Door Anoniem: doet u eens een citaat en referentie bij deze stelling....
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt
Let even op het zijn de genoemde adviespunten uit het rapport:
1/ Betere ‘awareness’ en afhandeling van (meldingen van) ‘phishing-mails’ je kunt ook whatapp oplichting nemen.
2/ Technisch
- Het accuraat updaten van de software
- Het verbeteren van de segmentering van het Windows domein.
De zin daarachter meteen de opmerking van het domein admin voor dagelijks beheer op de vloer
- Het inrichten van 24/7 monitoring door middel van een SIEM en/of SOC OFwel het niet weten wat er speelt
- Configuration Management Data Base .. Doel je moet het kunnen herstellen niet eenmailg .. hij doet/deed het
3/ Dubbele back-up lees en huiver dat het om het per ongeluk verwijderde gegevens snel terughalen ging. Geen DR.

Door Anoniem: Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
Staat letterljk wat ik beweer in het rapport. Cloud op aangeven van een enkele leverancier is geen DR. Een NAS-je inzetten is geen Window. Als je voor SAN gaat kom je met heel andere zaken. Fox-it noemt de pijnpunten uitstekend.

Om het in een OS flaming te laten ontaarden is totaal onzinnig en buiten werkelijkheid.
Als we auto's er bij halen verklaar jij Volkswagen schuldig aan het verdwijnen van cash wegens de audi-bende.
Anoniem vroeg naar een citaat en referentie van je stelling. Jij levert helemaal niks. Je pruttelt maar wat off topic. Vervolgens begin je over OS flaming waar niemand zich schuldig aan maakt . Je bent echt de weg kwijt. Je hoeft het niet opnieuw te proberen want je kan het niet.
02-09-2021, 16:14 door Anoniem
01 september 2021 19:38 door karma4:
01 september 13:06 door Anoniem: doet u eens een citaat en referentie bij deze stelling....
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt
Let even op het zijn de genoemde adviespunten uit het rapport:
1/ Betere ‘awareness’ en afhandeling van (meldingen van) ‘phishing-mails’ je kunt ook whatapp oplichting nemen.
2/ Technisch
- Het accuraat updaten van de software
- Het verbeteren van de segmentering van het Windows domein.
De zin daarachter meteen de opmerking van het domein admin voor dagelijks beheer op de vloer
- Het inrichten van 24/7 monitoring door middel van een SIEM en/of SOC OFwel het niet weten wat er speelt
- Configuration Management Data Base .. Doel je moet het kunnen herstellen niet eenmailg .. hij doet/deed het
3/ Dubbele back-up lees en huiver dat het om het per ongeluk verwijderde gegevens snel terughalen ging. Geen DR.

01 september 2021 14:01 door Anoniem: Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
Staat letterljk wat ik beweer in het rapport. Cloud op aangeven van een enkele leverancier is geen DR. Een NAS-je inzetten is geen Window. Als je voor SAN gaat kom je met heel andere zaken. Fox-it noemt de pijnpunten uitstekend.

Om het in een OS flaming te laten ontaarden is totaal onzinnig en buiten werkelijkheid.
Als we auto's er bij halen verklaar jij Volkswagen schuldig aan het verdwijnen van cash wegens de audi-bende.

Karma 4 de vraag was om jouw stelling te onderbouwen. Die stelling luidt:
31-08-2021, 22:16 door Karma4
Lees dat rapport van fox-it nog eens beter. Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken. Passwoord en credentials weg dan haal je die backup als eerste onderuit. Bacmups sans zijn heel andere technieken.

Karma4 reageert met de “lessons learnt” punt 1 t/m 3 (op bladzijde 3 en 4) uit de “Reactie van de Universiteit Maastricht op het FoxIT rapport”.
Maar daarmee gaat Karma4 geheel voorbij aan de alinea "Ransomware-aanval" eerder op pagina 2:
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt
(Pagina 2)
"Ransomware-aanval:
(..)Tijdens de aanval is een deel van onze technische infrastructuur geraakt. Die infrastructuur bestaat uit 1.647 Linux en Windows-servers en 7.307 werkplekken. De aanval heeft zich uiteindelijk gericht op 267 servers van het Windows-domein. De aanvaller heeft zich gefocust op het versleutelen van gegevensbestanden in het Windowsdomein. Daarbij is van een beperkt aantal systemen ook de back-up getroffen."
De “lessons learnt” (punten 1 t/m3) gaan dan vervolgens volledig over de infrastructuur die geraakt is, namelijk de 267 Windows servers. Karma 4 beschrijft dat als volgt:
01-09-2021, 19:38 door Karma4
2/ Technisch
- (..)
- Het verbeteren van de segmentering van het Windows domein.
De zin daarachter meteen de opmerking van het domein admin voor dagelijks beheer op de vloer
Wat staat er letterlijk in de "Reactie van de Universiteit Maastricht op het rapport van FoxIT ":
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt
Lessons learnt (pagina 3):
2.Technische maatregelen
(..)
Het verbeteren van de segmentering van het Windows-domein.
#Tot nu toe werd binnen het Windows-domein van de UM het domein administrator account met bijbehorende rechten ook gebruikt voor beheer en onderhoudswerkzaamheden op gewone servers.
Dit is in strijd met het bestaande beleid. Hierdoor was het makkelijker voor criminelen om via malware zeggenschap over het domein te bemachtigen en daarmee kwaadwillende acties uit te voeren, zoals het installeren van malware en ransomware. In de toekomst zullen we daarom nauwer toezien op het gebruik van de domain administrator accounts en het gebruik ervan beperken voor onderhoud aan het domein en de domein controllers. Ook zullen we de rechtenstructuur binnen het Windows-domein verder verfijnen.
Duidelijker kan het toch niet worden opgeschreven? Het probleem zit niet bij de Linux-servers.
Karma 4 beschrijft punt 3 als volgt:
01-09-2021, 19:38 door Karma4
3/ Dubbele back-up lees en huiver dat het om het per ongeluk verwijderde gegevens snel terughalen ging. Geen DR.
Wat staat er letterlijk in de reactie van de Universiteit Maastricht op het rapport van FoxIT :
https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-%E2%80%93-lessons-learnt
Lessons learnt (pagina 4):
3. Dubbele back-ups
Als cyberaanvallers onverhoopt toch schade weten aan te richten, wil de UM beter in staat zijn de schade zelf te herstellen met back-ups. Tot nu toe koos de UM ervoor om back-ups vooral te gebruiken om bijvoorbeeld bij een storing of uitval zo snel mogelijk weer te kunnen beschikken over een werkende omgeving. Hier zijn diverse technieken voor. Het meest gebruikt is het aanleggen van zogeheten ‘snapshots’ verdeeld over meerdere locaties. Deze techniek vraagt erom dat deze ‘snapshots’ online staan, afhankelijk van de gekozen oplossing of fabrikant. De cyberaanvaller wist van een paar kritische systemen deze online back-ups te versleutelen. Dat moet in de toekomst voorkomen worden. Daarom moeten er naast online back-ups óók offline back-ups komen, zodat het scenario van totale uitval kan worden voorkomen. Inmiddels hebben we voor elk cruciaal systeem offline én online back-ups gemaakt. (..)
De Universiteit Maastricht heeft dus goede stappen ondernomen. Snapshots zijn inderdaad niet hetzelfde als een SAN Storage Attached Network, of een regelmatig beproefde DR Disaster Recovery. Daar heb je gelijk Karma 4, maar daarmee onderbouw je je stelling niet:
31-08-2021, 22:16 door Karma4
Die backup op linuxservertje dachten ze te hebben. Alleen niet getest en open en bloot voor dezelfde beerder als van de werkplekken
De Windows backups van de UM waren snapshots, en daarvan wist de aanvaller een paar te versleutelen. Karma4 vlecht hier een "linuxservertje" in maar dat staat er niet. Waarom doe je dat Karma4, vertroebel de heldere analyse van FoxIT en de UM nou niet.
De Universiteit van Maastricht kan wat mij betreft niet genoeg geprezen worden voor het openbaar maken van dit FoxIT rapport en de openheid waarmee men de strijd tegen ransomware is aangegaan. Daar kunnen andere instellingen (ROC Mondriaan!!) en bedrijven hun voordeel mee doen.

01 september 2021 19:38 door karma4:
01 september 2021 14:01 door Anoniem: Ook hier heb ik de onderstreping aangebracht. Karma4: lees er niet overheen. Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet? Wat mij betreft kan je pas werken aan herstel na een goede diagnose.
Staat letterljk wat ik beweer in het rapport. Cloud op aangeven van een enkele leverancier is geen DR. Een NAS-je inzetten is geen Window. Als je voor SAN gaat kom je met heel andere zaken. Fox-it noemt de pijnpunten uitstekend.
Om het in een OS flaming te laten ontaarden is totaal onzinnig en buiten werkelijkheid.
Als we auto's er bij halen verklaar jij Volkswagen schuldig aan het verdwijnen van cash wegens de audi-bende.
Een snapshot is niet hetzelfde als een regelmatig geoefend DR Disaster Recovery. Dat klopt. Maar dat was de vraag niet. De vraag was:
01-09-2021 14:01 door Anoniem:
Slaan Pim Takkenberg en FoxIT de spijker op de kop, of deugt hun diagnose niet?
De diagnose van FoxIT en Pim Takkenberg is dat de Windows-systemen de zwakke schakel zijn gebleken.
FoxIT heeft een recept voor een goed medicijn opgeschreven, die de Universiteit Maastricht accepteert als "lessons learnt".
Karma4 haalt de ziekte en het medicijn door elkaar, en wijst naar een "linux-servertje". Daar zat het probleem (de ziekte) dus niet. Als je de diagnose vertroebelt kan je de ziekte niet genezen.

Een NAS-je inzetten is geen Window.
Dat begrijp ik helemaal niet. Wat bedoel je daarmee?

En OS-flaming is hier niet aan de orde. Wel het kennen en volledig begrijpen van de eigen systemen om aanvallers geen kans te geven. En het tijdig nemen van maatregelen (bevorderen van de security-awareness, segmentering van netwerken, inrichten van een (minimale) rechten systeem, invullen van een Configuration Management Database, backups online en offline, oefenen van Disaster Recovery).
Dat zijn maatregelen, noem het gerust gouden regels die voor ieder OS gelden. "Security by design" en wat mij betreft ook "privacy by design" ontbreken kennelijk nog te vaak in diverse systeemontwerpen.

Dat begint allemaal met een goede diagnose (zoals die van FoxIT) en vervolgens ook goed lezen en begrijpen. Dat begrijpen van de toch ondubbelzinnige teksten (van FoxIT, de "lessons learnt" van de Universiteit Maastricht, en ook Pim Takkenberg van NortWave Security) zie ik niet terug in de reactie van Karma4.

Anoniem van 31-08-2021 16:00, en 01-09-2021 14:01
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.