image

Overheid waarschuwde bedrijven duizenden keren voor configuratiefouten

dinsdag 13 december 2022, 12:14 door Redactie, 16 reacties

De overheid heeft Nederlandse bedrijven dit jaar al duizenden keren gewaarschuwd voor kwetsbare systemen. Veel waarschuwingen gaan over configuratiefouten waardoor systemen vanaf het internet toegankelijk zijn. Dat laat het Digital Trust Center (DTC) van het ministerie van Economische Zaken vandaag weten.

Het DTC informeerde het bedrijfsleven via de eigen website al over bekende beveiligingslekken, maar neemt sinds vorig jaar zomer ook contact op met ondernemingen als die van kwetsbare software gebruikmaken, zijn gecompromitteerd of risico op aanvallen lopen. Vorig jaar ging het nog om 361 notificaties, dit jaar zijn het er al bijna 4900. "Er zijn in 2022 veel bedrijven gewaarschuwd over via het internet benaderbare systemen. Vaak komt dit door een configuratiefout en zijn technisch beheerders zich niet bewust van het gevaar", aldus het DTC.

Zo blijkt dat bij veel bedrijven het RDP-protocol benaderbaar is via het internet, waardoor aanvallers vervolgens kunnen proberen om toegang tot systemen van organisaties te krijgen. Een veelgebruikte methode bij ransomware-aanvallen is door middel van bruteforce-aanvallen via RDP in te loggen. Het DTC waarschuwt bedrijven in deze gevallen telefonisch of e-mail om maatregelen te nemen. Bij zo’n 76 procent van de notificaties was benaderbaarheid via het internet de aanleiding om bedrijven te adviseren om direct actie te ondernemen om aanvallers buiten te houden.

Het DTC heeft in het voorbije anderhalf jaar ook honderden potentiële slachtoffers van ransomware-aanvallen gewaarschuwd. Dit gebeurt bijvoorbeeld op basis van gevonden gestolen inloggegevens die op het internet verhandeld worden. Ook worden lijsten van gebruikers van kwetsbare verouderde software bij het DTC aangeleverd. Via bekende beveiligingslekken in verouderde software kunnen cybercriminelen binnendringen en ransomware installeren. Als het risico groot is zoekt het DTC contactgegevens van het betreffende bedrijf om dat rechtstreeks te kunnen waarschuwen.

De overheidsdienst is van plan om de waarschuwingsdienst verder uit te breiden. "We willen zoveel mogelijk bedrijven in staat stellen om hun digitale veiligheid te versterken of repareren. Daarom breiden we onze bronnen uit. Ook verbeteren we de adviezen die we bedrijven geven in de notificaties. Het moet zo concreet zijn, dat een bedrijf zelf, of met behulp van een it-dienstverlener, gerichte maatregelen kan treffen om schade te voorkomen", zegt Kim van der Veen van het DTC.

Reacties (16)
13-12-2022, 12:21 door Anoniem
Ik snap niet wat zo moeilijk is aan het dichtspijkeren van je netwerk. Mits je weet wat je doet. Maar daar heb je dus de juiste mensen voor in dienst. Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.
13-12-2022, 12:22 door Anoniem
Het is voor de overheid natuurlijk erg handig om te weten waar ze makkelijk binnen kunnen komen en waar niet. 'Bijvangst' vertel je het voor het rookgordijn. En de toko's waar je naar binnen wilt, daar vertel je natuurlijk helemaal niks.
13-12-2022, 12:24 door Erik van Straten
Ik vind het absurd dat organisaties niet zelf hun broek ophouden en zij, betaald vanuit algemene middelen, door derden gewaarschuwd moeten worden voor hun stupiditeiten.

Op z'n minst zou er bij elke "vondst" een fikse boete betaald moeten worden (meer dan het kost om zelf te beveiligen).
13-12-2022, 12:34 door Erik van Straten
Door Anoniem: Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.
En wat vertel je dan aan personen van wie de gegevens op straat liggen? "Wij nemen uw privacy zeer serieus"?
13-12-2022, 12:45 door Anoniem
Door Anoniem: Ik snap niet wat zo moeilijk is aan het dichtspijkeren van je netwerk. Mits je weet wat je doet. Maar daar heb je dus de juiste mensen voor in dienst. Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.

Jouw netwerk is dan ook Enterprise grade en voorziet 40.000 gebruikers over de hele wereld van een werkplek en bijbehorende data? Want dat maakt het namelijk wel iets complexer en kostbaarder.
13-12-2022, 12:58 door Tintin and Milou
Door Anoniem: Ik snap niet wat zo moeilijk is aan het dichtspijkeren van je netwerk.
Fouten maken is menselijk.
Mits je weet wat je doet. Maar daar heb je dus de juiste mensen voor in dienst.
Want die maken nooit een fout?
Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.
Klinkt stoer, maar menig bedrijf dacht daar waarschijnlijk net zo over.
Ben al menig bedrijf tegen gekomen, waarbij de Backup oplossing AD geïntegreerd is. Als je domain controllers dan gecompromitteerd zijn, of de backups weggegooit zijn of misschien wel encrypted zijn, sta je nog steeds met je mond vol tanden.
13-12-2022, 13:45 door Anoniem
Door Anoniem: Ik snap niet wat zo moeilijk is aan het dichtspijkeren van je netwerk. Mits je weet wat je doet. Maar daar heb je dus de juiste mensen voor in dienst. Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.

Dat doet me denken aan een manager die ooit zei "ik snap werkelijk waar niet waarom die migratie en het bijbehorend omzetten van die VB code zo lang moet duren; ik heb dit thuis in een avondje gedaan".

Zoals hierboven wordt aangegeven: de problemen worden iets anders wanneer je 40.000 werkplekken hebt, 10.000 zelf in elkaar gehackte Excel macro's door het bedrijf ziet slingeren die kritieke processen ondersteunen, de meest onmogelijke software moet worden ondersteund geleverd door bedrijven die niet meer bestaan, iedere dag minimaal 500 changes hebt die ineens gaten kunnen veroorzaken in jouw netwerk- en endpointbeveiliging, onkundige mensen in dienst hebt, legacy IAM problemen hebt etc. We hebben het niet over een thuisnetwerk waar jij uren en uren kunt besteden aan het hardenen en inrichten van 3 machines en een switch.
13-12-2022, 15:59 door Anoniem
. We hebben het niet over een thuisnetwerk waar jij uren en uren kunt besteden aan het hardenen en inrichten van 3 machines en een switch.

LOL
14-12-2022, 09:32 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.
En wat vertel je dan aan personen van wie de gegevens op straat liggen? "Wij nemen uw privacy zeer serieus"?

Ransomeware is het encrypten van bestanden en vervolgens vragen van veel geld voor de key dat ongedaan te maken. Jij hebt het over diefstal van bestanden. Nu liggen er geen gegevens op straat, je komt er zelf niet meer bij. Dat is een ander level en imho en niet relevant in dit onderwerp.

Als antwoord op je vraag: zorg dat je belangrijke gegevens niet unencrypted opslaat. Maar 100% dicht is het nooit.
14-12-2022, 09:38 door Anoniem
Door Anoniem:10.000 zelf in elkaar gehackte Excel macro's door het bedrijf ziet slingeren die kritieke processen ondersteunen, de meest onmogelijke software moet worden ondersteund geleverd door bedrijven die niet meer bestaan, iedere dag minimaal 500 changes hebt die ineens gaten kunnen veroorzaken in jouw netwerk- en endpointbeveiliging, onkundige mensen in dienst hebt, legacy IAM problemen hebt etc.

Moses kriebel! Wat voor bedrijf is dit dan?

Normaal is veel te ondervangen met policies. En daar zal je strak in moeten zijn. Wat je hierboven beschrijft kan alleen maar een drama worden.
14-12-2022, 11:22 door Anoniem
Door Anoniem: Het is voor de overheid natuurlijk erg handig om te weten waar ze makkelijk binnen kunnen komen en waar niet. 'Bijvangst' vertel je het voor het rookgordijn. En de toko's waar je naar binnen wilt, daar vertel je natuurlijk helemaal niks.

De overheid wil bij die bedrijven binnen dringen om de data te stelen of malware te droppen??
Of zou het goed bedoelt zijn?
14-12-2022, 13:10 door Anoniem
Door Anoniem: Ik snap niet wat zo moeilijk is aan het dichtspijkeren van je netwerk. Mits je weet wat je doet. Maar daar heb je dus de juiste mensen voor in dienst. Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.

Op jouw netwerk onmogelijk ? Haha, ook op jouw netwerk is het mogelijk vriend of denk je dat je briljanter bent dan de rest van alle it'ers ?
14-12-2022, 13:47 door Anoniem
Door Anoniem: Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn.
Famous last words... :-D
15-12-2022, 00:11 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.
En wat vertel je dan aan personen van wie de gegevens op straat liggen? "Wij nemen uw privacy zeer serieus"?

Ransomeware is het encrypten van bestanden en vervolgens vragen van veel geld voor de key dat ongedaan te maken. Jij hebt het over diefstal van bestanden. Nu liggen er geen gegevens op straat, je komt er zelf niet meer bij. Dat is een ander level en imho en niet relevant in dit onderwerp.
Het artikel gaat over onjuist geconfigureerde internet-facing systemen waardoor aanvallers daar ongeautoriseerde toegang tot zouden kunnen krijgen.

Net zoals "hacker" en "crypto" meerdere betekenissen kunnen hebben, geldt dat ook voor ransomware. Boven uit https://en.wikipedia.org/wiki/Ransomware:
Ransomware is a type of malware from cryptovirology that threatens to publish the victim's personal data or permanently block access to it unless a ransom is paid.

Double extorsion ransomware bestaat minstens 7 jaar: https://www.computerworld.com/article/3002120/new-ransomware-program-threatens-to-publish-user-files.html. Als je op internet zoekt naar ransomware multi extorsion valt de trend nauwelijks te missen: steeds meer "ransomware gangs" versleutelen niet alleen data (en maken back-ups zoveel mogelijk onklaar), maar kopiejatten zoveel mogelijk vertrouwelijke gegevens (voordat het versleutelen begint). Dit kan worden gecombineerd met DDoS aanvallen en/of het tevens benaderen en afpersen van jouw personeel, klanten en leveranciers met gegevens van hen die zij bij jou gekopiejat (zeggen) te hebben. Phishing-aanvallen op genoemde groepen, gebruikmakend van de gekopiejatte gegevens, komen ook voor - en ook die zijn niet goed voor de reputatie van de gehackte partij (hoe sneller jij jouw back-ups terugzet en roept met weinig schade weer in de lucht te zijn, hoe bozer zij kunnen worden; juich niet te vroeg).

Bijvoorbeeld de aanval op de gemeente Antwerpen/Digipolis zou door de "Play" ransomware groep zijn uitgevoerd, en naar verluidt (https://www.bleepingcomputer.com/news/security/play-ransomware-claims-attack-on-belgium-city-of-antwerp/) zou daarbij 557 GB zijn gekopiejat, waaronder "personal information, passports, IDs, and financial documents". Dat er bij de grotere ransomware-aanvallen tevens (potentieel) vertrouwelijke gegevens naar systemen van de aanvallers worden gekopieerd, was het afgelopen jaar eerder regel dan uitzondering.

En voor slachtoffers is het helemaal irrelevant of je het "ransomware" noemt of iets anders.

Door Anoniem: Als antwoord op je vraag: zorg dat je belangrijke gegevens niet unencrypted opslaat. Maar 100% dicht is het nooit.
Niemand heeft iets aan online data die encrypted is. Wel kun je de risico's op ongeautoriseerde toegang beperken door zo min mogelijk mensen "de sleutel" te geven. Echter, naast dat veel mensen slordig met sleutels omspringen, is het de praktijk dat de meeste organisaties toegang met toegangsrechten (i.p.v. encryptie) proberen in te perken. En de praktijk is tevens dat er steeds nieuwe techieken worden gepubliceerd om op servers root/admin-rechten te verkrijgen, in welk geval aanvallers er alsnog bij kunnen (bijvoorbeeld middels "Diamond Ticket" en "Sapphire Ticket" aanvallen in AD/Kerberos; zie https://unit42.paloaltonetworks.com/next-gen-kerberos-attacks/ van afgelopen maandag).

Je mag best trots zijn op een uitgekiende back-up en restore strategie, maar als je tegelijkertijd laat doorschemeren geen rekening te houden met het op het darknet gepubliceerd worden van vertrouwelijke gegevens uit jouw netwerk (als je niet betaalt - en wellicht toch als je wel betaalt), moet je misschien toch eens achter je oren krabben.
15-12-2022, 09:48 door Anoniem
Door Erik van Straten:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ik snap dat ransomware gedoe ook niet. Zou op mijn netwerk onmogelijk zijn. En anders heb ik een backup die ik terug kan zetten.
En wat vertel je dan aan personen van wie de gegevens op straat liggen? "Wij nemen uw privacy zeer serieus"?

Ransomeware is het encrypten van bestanden en vervolgens vragen van veel geld voor de key dat ongedaan te maken. Jij hebt het over diefstal van bestanden. Nu liggen er geen gegevens op straat, je komt er zelf niet meer bij. Dat is een ander level en imho en niet relevant in dit onderwerp.
Het artikel gaat over onjuist geconfigureerde internet-facing systemen waardoor aanvallers daar ongeautoriseerde toegang tot zouden kunnen krijgen.

Net zoals "hacker" en "crypto" meerdere betekenissen kunnen hebben, geldt dat ook voor ransomware. Boven uit https://en.wikipedia.org/wiki/Ransomware:
Ransomware is a type of malware from cryptovirology that threatens to publish the victim's personal data or permanently block access to it unless a ransom is paid.

Double extorsion ransomware bestaat minstens 7 jaar: https://www.computerworld.com/article/3002120/new-ransomware-program-threatens-to-publish-user-files.html. Als je op internet zoekt naar ransomware multi extorsion valt de trend nauwelijks te missen: steeds meer "ransomware gangs" versleutelen niet alleen data (en maken back-ups zoveel mogelijk onklaar), maar kopiejatten zoveel mogelijk vertrouwelijke gegevens (voordat het versleutelen begint). Dit kan worden gecombineerd met DDoS aanvallen en/of het tevens benaderen en afpersen van jouw personeel, klanten en leveranciers met gegevens van hen die zij bij jou gekopiejat (zeggen) te hebben. Phishing-aanvallen op genoemde groepen, gebruikmakend van de gekopiejatte gegevens, komen ook voor - en ook die zijn niet goed voor de reputatie van de gehackte partij (hoe sneller jij jouw back-ups terugzet en roept met weinig schade weer in de lucht te zijn, hoe bozer zij kunnen worden; juich niet te vroeg).

Bijvoorbeeld de aanval op de gemeente Antwerpen/Digipolis zou door de "Play" ransomware groep zijn uitgevoerd, en naar verluidt (https://www.bleepingcomputer.com/news/security/play-ransomware-claims-attack-on-belgium-city-of-antwerp/) zou daarbij 557 GB zijn gekopiejat, waaronder "personal information, passports, IDs, and financial documents". Dat er bij de grotere ransomware-aanvallen tevens (potentieel) vertrouwelijke gegevens naar systemen van de aanvallers worden gekopieerd, was het afgelopen jaar eerder regel dan uitzondering.

En voor slachtoffers is het helemaal irrelevant of je het "ransomware" noemt of iets anders.

Door Anoniem: Als antwoord op je vraag: zorg dat je belangrijke gegevens niet unencrypted opslaat. Maar 100% dicht is het nooit.
Niemand heeft iets aan online data die encrypted is. Wel kun je de risico's op ongeautoriseerde toegang beperken door zo min mogelijk mensen "de sleutel" te geven. Echter, naast dat veel mensen slordig met sleutels omspringen, is het de praktijk dat de meeste organisaties toegang met toegangsrechten (i.p.v. encryptie) proberen in te perken. En de praktijk is tevens dat er steeds nieuwe techieken worden gepubliceerd om op servers root/admin-rechten te verkrijgen, in welk geval aanvallers er alsnog bij kunnen (bijvoorbeeld middels "Diamond Ticket" en "Sapphire Ticket" aanvallen in AD/Kerberos; zie https://unit42.paloaltonetworks.com/next-gen-kerberos-attacks/ van afgelopen maandag).

Je mag best trots zijn op een uitgekiende back-up en restore strategie, maar als je tegelijkertijd laat doorschemeren geen rekening te houden met het op het darknet gepubliceerd worden van vertrouwelijke gegevens uit jouw netwerk (als je niet betaalt - en wellicht toch als je wel betaalt), moet je misschien toch eens achter je oren krabben.

I stand corrected. Ik wist inderdaad niet dat het zo omvangrijk was.
15-12-2022, 14:02 door Erik van Straten
Door Anoniem: I stand corrected. Ik wist inderdaad niet dat het zo omvangrijk was.
Dank voor jouw eerlijke reactie! Ik hoop dat ook jij meehelpt met uitdragen (aan collega's bijvoorbeeld) wat de risico's zijn en hoe deze zich ontwikkelen in de loop van de tijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.