Cyberaanval treft ook Belgen

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Cyberaanval treft ook Belgen

Berichtdoor r2504 » 13 Mei 2017, 13:52

Wereldwijd worden sinds vrijdag computers getroffen door ransomware, kwaadaardige software die bestanden op computers versleutelt en alleen tegen betaling weer vrijgeeft.

Bron: http://www.standaard.be/cnt/dmf20170512_02879069

Links:
https://tweakers.net/nieuws/124627/were ... -plat.html
https://tweakers.net/nieuws/124635/beve ... pagne.html

CCatalyst
Elite Poster
Elite Poster
Berichten: 974
Lid geworden op: 20 Jun 2016
Bedankt: 88 keer
Recent bedankt: 2 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor CCatalyst » 13 Mei 2017, 14:04

Zeg er meteen maar bij dat het exploits zijn die 2 maand geleden al gepatched zijn en waarvan geweten was dat de modus operandi een maand geleden gelekt werd door ShadowBrokers (dat was trouwens een groot verhaal in de media). Microsoft heeft de patches van begin af aan gemerkt als "CRITICAL* Security Update".

Ik verwacht weer allerhande excuses te horen waarom de computers 2 maand na publicatie niet gepatched waren, de realiteit is dat er gewoon geen excuses zijn, en dat men nu op de blaren gaat moeten zitten. Dat is dan voor al die keren dat men er mee weg geraakt is.

De patch in kwestie veroorzaakt trouwens geen enkele wijzigingen aan de functionaliteit het systeem, het zal dus niets kapot maken - wat anders meteen het grootste excuus is om geen patches te installeren. Enkel de NSA gaat last ondervinden van deze patch.

Zullen de bedrijven nu hun les leren? Natuurlijk niet. We blijven rustig verder Windows XP draaien, want geld op tafel leggen om legacy software up te daten willen we niet. Op naar de volgende.

Bij ons in het bedrijf (nog) niets gemerkt trouwens. De meeste van onze systemen draaien gelukkig *nix, inclusief de desktops/laptops (macOS). Die keuze op zich bespaart ons al van het meeste beveiligingsleed - waarmee ik niet beweer dat die systemen dan 100% veilig zouden zijn.

* "Microsoft recommends that customers apply Critical updates immediately."

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5962
Lid geworden op: 28 Jan 2012
Bedankt: 449 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor ITnetadmin » 13 Mei 2017, 15:10

Omdat sommige bedrijven niet genoeg geld aan hun IT uitgeven (de NHS bv draait blijkbaar nog op XP, en heeft een paar jaar geleden het servicecontract opgezegd om kosten te besparen).
En andere bedrijven geen ongeteste patches willen of mogen deployen (denk bv maar aan banken).
En nog anderen win10 updates die reclame pushen en pcs doen herstarten tijdens werk/presentatie kotsbeu zijn en de hele zwik hebben afgezet.

Ik hoop alleszins dat alle ITers hier klaarstaan voor maandag, wanneer de werkweek begint en mogelijk geinfecteerde pcs terug aangezet worden.
Ik zou naast patches deployen, en zorgen dat de backups up to date zijn, ook de backup servers offline halen (als dat nog niet gebeurt), mss zelfs de fileservers effe disconnecten, de mailserver nog ns goed laten scannen op attachments, en de firewall rules dubbelchecken.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor r2504 » 13 Mei 2017, 16:41

ITnetadmin schreef:Omdat sommige bedrijven niet genoeg geld aan hun IT uitgeven


Zoals apothekers die vinden dat de kost voor een backup lijntje te veel is... nogmaals, IT is een belangrijk onderdeel van haast ieder bedrijf vandaag de dag... behandel het dan ook zo :!:

jphermans
Pro Member
Pro Member
Berichten: 432
Lid geworden op: 31 Aug 2009
Twitter: jp_hermans
Locatie: Aalst
Bedankt: 12 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 39 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor jphermans » 14 Mei 2017, 06:18

Ik las in de krant dat ook backup systemen kunnen getroffen worden die op het moment verbonden zijn met de pc. Zijn dat dan de lokale backup schijven of spreken ze dan ook over nas in het netwerk?

Verstuurd vanaf mijn SM-T813 met Tapatalk
Orange Internet
Orange Tv

GuntherDW
Pro Member
Pro Member
Berichten: 351
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 17 keer
Uitgedeelde bedankjes: 4 keer
Contact:

Re: Cyberaanval treft ook Belgen

Berichtdoor GuntherDW » 14 Mei 2017, 06:32

Elke PC/NAS die terwijl dat ding bezig is met encrypten is mogelijk getroffen. Zie daarom dat je voornamelijk indien je backups op je NAS bewaart je die niet 24/7 writable laat.
Of gewoon helemaal off-line een good old backup op een externe HDD die je enkel inplugt bij het overzetten van de genoemde backup. Verder laat je die dan ontkoppeld.

Die "WannaCry" malware werkt door het misbruiken van een lek in de SMB laag van windows. Het is een vrij aggressieve worm dus ik zou er niet raar van opkijken dat het ook je NAS gemounte shares mee aanvalt. Het delete/encrypt ook backups en andere dingen die het tegenkomt.

Tomby
Elite Poster
Elite Poster
Berichten: 3159
Lid geworden op: 01 Feb 2006
Bedankt: 221 keer
Recent bedankt: 5 keer
Uitgedeelde bedankjes: 241 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor Tomby » 14 Mei 2017, 07:42

GuntherDW schreef:Elke PC/NAS die terwijl dat ding bezig is met encrypten is mogelijk getroffen. Zie daarom dat je voornamelijk indien je backups op je NAS bewaart je die niet 24/7 writable laat.
Of gewoon helemaal off-line een good old backup op een externe HDD die je enkel inplugt bij het overzetten van de genoemde backup. Verder laat je die dan ontkoppeld.


Dit is idd iets dat serieus onderschat wordt en helemaal niet evident is. Er wordt nu wel terecht gezegd dat je veel moet backuppen e.d. Maar als de backups writeable zijn vanaf een client PC dan zal een besmette client PC evenzeer de backups deleten of encrypten.
Dus dat wil zeggen offline backups en reeds genomen backups in principe niet meer online brengen (niet evident als er incrementeel gebackupt wordt). Of backups die geschreven worden door een afzonderlijk backup proces op server of NAS (en die zelf hopelijk niet geïnfecteerd geraakt, i.e. goed dichtgeschroefd e.d.).
Afbeelding

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 5297
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 392 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 297 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor heist_175 » 14 Mei 2017, 08:07

Incrementele backups? Zodat je terug kan gaan naar de situatie voor de encryptie?

orionis
Starter Plus
Starter Plus
Berichten: 48
Lid geworden op: 02 Mar 2010
Locatie: Tienen
Bedankt: 6 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 12 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor orionis » 14 Mei 2017, 08:56

Enig idee hoe dit zit met de online cloud systemen?
Zoals gdrive, dropbox, OneDrive, ea?
Ik veronderstel dat deze ook geïnfecteerd / geëncrypteerd worden, maar dat je met versie control toch terug zou kunnen gaan naar
de vorige versies?
- Internet, TV, mobile: scarlet Trio, Tempo Giga, Mobile Vikings
- Streaming: Netflix en google play music
- Gaming: PC met Vive en Nintendo switch
- Domotica: Niko home control + domoticz op PI met Zwave

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 5297
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 392 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 297 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor heist_175 » 14 Mei 2017, 09:07

Amazon: afhankelijk van het type backup dat je zelf instelt
Alle andere, inclusief Amazon desktop/smartphone app: ze houden de (verwijderde) files enkele dagen bij (betalende gebruikers wat langer).

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4350
Lid geworden op: 16 Feb 2011
Bedankt: 245 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 284 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor MClaeys » 14 Mei 2017, 09:20

Gewoon op uw NAS een backup account aanmaken en backups laten maken met dat account, al de rest geen toegang of read only en u backup staat "veilig" (voor zover dat on-site kan). Zou eigenlijk zo standaard moeten zijn als het default wachtwoord aanpassen op toestellen.
En uw toestellen up-to-date houden natuurlijk, een belangrijke security patch die al sinds maart online staat installeren. Zelfs voor de XP gebruikers is de patch er inmiddels.
Dat wil dan wel niet zeggen dat je geen risico meer loopt, maar met simpele zaken kan zelfs een leek het risico toch ferm verkleinen.
Nu ziet de NSA ook eens wat de keerzijde van de medaille is als ze lekken niet rapporteren om ze zelf te kunnen gebruiken ;) zouden ze er iets uit leren? Nee.
Xbox Live: MClaeys

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor r2504 » 14 Mei 2017, 10:38

jphermans schreef:Ik las in de krant dat ook backup systemen kunnen getroffen worden die op het moment verbonden zijn met de pc.


Een NAS is dan wel modern... maar de beste backup blijft nog steeds een tape die je iedere dag offsite in een kluis stopt op een offsite locatie.

Wil je een NAS gebruiken als backup dan zorg je voor dezelfde concepten; verschillende versies, offsite opslag, niet overschrijfbaar binnen x-aantal dagen, ... een drivelettertje mounten en hier wat bestandjes naar copieren is dus niet de juiste oplossing !

Hoe goed je backup is hangt dus ook af van de kennis van je IT verantwoordelijke... dus ook hier is het belangrijk dat je vertrouwd op iemand met kennis (en ja zo'n mensen kosten centen) en niet de script kiddie van achter de hoek.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5962
Lid geworden op: 28 Jan 2012
Bedankt: 449 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor ITnetadmin » 14 Mei 2017, 12:46

Aangezien dit virus een SMB bug exploit, zou het wel ns kunnen dat gewoon een share klaarstaan hebben genoeg is, of hij nu gemount is of niet.
Ik zie niet geheel direct in hoe het ding zichzelf zou runnen eenmaal het op de nieuwe pc is, maar voor hetzelfde geld runt het gewoon vanop de geinfecteerde pc en misbruikt het die smb bug om zich toch access te forceren.
Altijd dus een secundaire backup hebben die offline is.

Ik weet dat backups niet geliefd zijn omwille van duur en zelden nodig, maar naast je primaire onsite backup moet je eigenlijk altijd een secundaire backup hebben die offsite én offline is. Gebruik je dus een cloud backup (dat mag uiteraard), dan moet je toch nog een offline backup voorzien, al is dat een usb disk die je om de zoveel tijd gaat halen, een backup op zet, en terug wegsteekt offsite.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor r2504 » 15 Mei 2017, 07:15

ITnetadmin schreef:Aangezien dit virus een SMB bug exploit, zou het wel ns kunnen dat gewoon een share klaarstaan hebben genoeg is, of hij nu gemount is of niet.


Iedere PC bevat standaard shares zoals C$.

ITnetadmin schreef:Ik zie niet geheel direct in hoe het ding zichzelf zou runnen eenmaal het op de nieuwe pc is, maar voor hetzelfde geld runt het gewoon vanop de geinfecteerde pc en misbruikt het die smb bug om zich toch access te forceren.


Het hoeft zich maar op de disk te plaatsen en een script aan te maken in je startup folder en bij de eerstvolgende herstart heb je prijs al zijn er genoeg andere methodes om het zelfs meteen actief te krijgen (het hoeft maar één of andere DLL te besmetten die een onderdeel is van Windows en het is eveneens vertrokken).

CCatalyst
Elite Poster
Elite Poster
Berichten: 974
Lid geworden op: 20 Jun 2016
Bedankt: 88 keer
Recent bedankt: 2 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor CCatalyst » 15 Mei 2017, 08:37

Er zijn slechts 3 hardcoded BTC adressen waar je je ransom kunt betalen. De ransom is steeds $300 (of $600).

Nu, een BTC-adres is - naast het bedrag - het enige "unieke" element dat je kunt gebruiken bij een Bitcoin-betaling. Een beetje te vergelijken met de "gestructureerde mededeling". Je kan immers onbeperkt BTC-adressen aanmaken, en als je een adres slechts aan 1 persoon geeft, en je krijgt een betaling op dat adres, dan weet je dat die persoon betaald heeft.

Als iedereen dezelfde adressen gebruikt en hetzelfde bedrag betaalt, moet je mij toch eens uitleggen hoe men kan nagaan wie de ransom betaald heeft?????

Ofwel gaan ze gewoon lopen met het geld en geven ze geen decrypt-key, ofwel wachten ze nog ff tot ze genoeg geld gekregen hebben en dan releasen ze de master decrypt-key publiek (natuurlijk niet in hun eigen naam, ze zullen die wel ergens zogezegd "lekken").

Volgens mij zal het laatste gebeuren.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5962
Lid geworden op: 28 Jan 2012
Bedankt: 449 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor ITnetadmin » 15 Mei 2017, 11:30

r2504 schreef:
ITnetadmin schreef:Aangezien dit virus een SMB bug exploit, zou het wel ns kunnen dat gewoon een share klaarstaan hebben genoeg is, of hij nu gemount is of niet.


Iedere PC bevat standaard shares zoals C$.


PCs wel, gelukkig zijn niet alle storage devices PCs.

r2504 schreef:
ITnetadmin schreef:Ik zie niet geheel direct in hoe het ding zichzelf zou runnen eenmaal het op de nieuwe pc is, maar voor hetzelfde geld runt het gewoon vanop de geinfecteerde pc en misbruikt het die smb bug om zich toch access te forceren.


Het hoeft zich maar op de disk te plaatsen en een script aan te maken in je startup folder en bij de eerstvolgende herstart heb je prijs al zijn er genoeg andere methodes om het zelfs meteen actief te krijgen (het hoeft maar één of andere DLL te besmetten die een onderdeel is van Windows en het is eveneens vertrokken).

Beangstigend naar servers en NASsen toe, die zelden herstart worden.
Daar kunnen nog maanden sluimerende besmettingen zitten.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor r2504 » 15 Mei 2017, 11:44

In de pers verschijnen ondertussen nog steeds artikels over het niet spontaan openen van attachments (trouwens een terechte opmerking) al heb ik nog steeds geen duidelijkheid over de attack vector. Ik kan me namelijk moeilijk inbeelden dat onderstaande automaat zelf een attachment heeft geopend;

[tweet]https://twitter.com/patrickcoomans/status/863515975433547777/photo/1[/tweet]

Al is het misschien een combinatie van beide ?

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5962
Lid geworden op: 28 Jan 2012
Bedankt: 449 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor ITnetadmin » 15 Mei 2017, 12:06

Ik ben ook niet helemaal mee.
Wss is dat een van de besmettingsbronnen, waarna het ding zich vanzelf verspreid.

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 3682
Lid geworden op: 17 Nov 2009
Bedankt: 1286 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 224 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor raf1 » 15 Mei 2017, 12:28

Het gaat over een worm die zicht verspreidt via een kwetsbaarheid in SMBv1 op een LAN.
Conclusie is dus dat die parkeerautomaten op hetzelfde LAN zitten waarop idioten attachments openen.
meer info:
https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained
https://www.saotn.org/disable-smbv1-windows-10-windows-server/
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor r2504 » 15 Mei 2017, 13:41

raf1 schreef:Conclusie is dus dat die parkeerautomaten op hetzelfde LAN zitten waarop idioten attachments openen.


Die conclusie had ik ook al gemaakt... FAIL dus !

Dergelijke dingen zet je normaal in een aparte VLAN.

tb0ne
Elite Poster
Elite Poster
Berichten: 774
Lid geworden op: 24 Aug 2012
Bedankt: 53 keer
Uitgedeelde bedankjes: 22 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor tb0ne » 15 Mei 2017, 14:20

Waarschijnlijk is dat zelfs zo maar routeren ze alles voor het gemak... :?

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 3682
Lid geworden op: 17 Nov 2009
Bedankt: 1286 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 224 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor raf1 » 15 Mei 2017, 14:32

Tweede mogelijkheid is dat poort 445 wagenwijd openstaat. Elke besmette pc met WannaCry genereert namelijk at random ip-adressen en test of poort 445 openstaat en dan zit je meteen binnen natuurlijk via SMBv1.
Zeer goede technische uitleg op https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
Laatst gewijzigd door raf1 op 15 Mei 2017, 14:35, 2 keer totaal gewijzigd.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5962
Lid geworden op: 28 Jan 2012
Bedankt: 449 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 82 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor ITnetadmin » 15 Mei 2017, 14:35

Opgepast. Dit kan bv ook via een server die op beide vlans zit verspreiden.

Of iemand heeft een goeiekope layer 3 switch, zo'n "layer 3 light" model, dat gewoon by default alle vlans met mekaar route.
Om echt goed te zijn, zou je, indien je vlans route, dat niet met een switch maar met een heuse firewall moeten doen.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 27241
Lid geworden op: 28 Okt 2003
Bedankt: 1813 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 315 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor r2504 » 15 Mei 2017, 15:11

ITnetadmin schreef:Opgepast. Dit kan bv ook via een server die op beide vlans zit verspreiden.


Dergelijke "bridge" toestellen vragen net extra aandacht... daarom zet je deze nogmaals op een aparte VLAN, dus je office VLAN, je server VLAN en je "automaten" VLAN. Op die manier kan je tussen ieder segment de juiste firewalls rules implementeren. Vandaag de dag is het al bij verschillende bedrijven zo dat servers zelfs niet meer in dezelfde VLAN gestopt worden maar allemaal apart (micro-segmentering).

ITnetadmin schreef:Of iemand heeft een goeiekope layer 3 switch, zo'n "layer 3 light" model, dat gewoon by default alle vlans met mekaar route.


Dan hebben VLAN's natuurlijk weinig zin... het enige dat je wint is je broadcast probleem dan.

CCatalyst
Elite Poster
Elite Poster
Berichten: 974
Lid geworden op: 20 Jun 2016
Bedankt: 88 keer
Recent bedankt: 2 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor CCatalyst » 15 Mei 2017, 16:34

r2504 schreef:In de pers verschijnen ondertussen nog steeds artikels over het niet spontaan openen van attachments (trouwens een terechte opmerking) al heb ik nog steeds geen duidelijkheid over de attack vector. Ik kan me namelijk moeilijk inbeelden dat onderstaande automaat zelf een attachment heeft geopend;

[tweet]https://twitter.com/patrickcoomans/status/863515975433547777/photo/1[/tweet]

Al is het misschien een combinatie van beide ?


De exploit werkt via SMB remode code execution (zie ook de bulletin van Microsoft), maar er moet natuurlijk nog altijd een "patient 0" geweest zijn die de worm binnengehaald heeft en voor het eerst uitgevoerd heeft waarna alles begonnen is. Een van de gangbare theorieën is dat men via targeted phishing (wellicht via een email attachment) de worm naar een onachtzame werknemer van een bedrijf gestuurd heeft, waarmee de eerstelijnsverdediging (de mens) meteen al gefaald had.

Tim H.
Premium Member
Premium Member
Berichten: 624
Lid geworden op: 29 Nov 2011
Bedankt: 27 keer
Uitgedeelde bedankjes: 9 keer

Re: Cyberaanval treft ook Belgen

Berichtdoor Tim H. » 15 Mei 2017, 19:00

http://uk.businessinsider.com/telefonic ... ?r=US&IR=T

Some 85% of Telefónica's computers have been affected, according to El Mundo. Portugal Telecom was also hit by a cyberattack on Friday, but its services weren't affected, a spokeswoman told Reuters. She didn't say whether it was a WannaCry attack.


oa het NOC zou volledig plat liggen


Terug naar “Breedband nieuws”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast