Cyberaanval treft ook Belgen

Nieuws omtrent telecommunicatie
Plaats reactie
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Wereldwijd worden sinds vrijdag computers getroffen door ransomware, kwaadaardige software die bestanden op computers versleutelt en alleen tegen betaling weer vrijgeeft.

Bron: http://www.standaard.be/cnt/dmf20170512_02879069

Links:
https://tweakers.net/nieuws/124627/were ... -plat.html
https://tweakers.net/nieuws/124635/beve ... pagne.html
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Zeg er meteen maar bij dat het exploits zijn die 2 maand geleden al gepatched zijn en waarvan geweten was dat de modus operandi een maand geleden gelekt werd door ShadowBrokers (dat was trouwens een groot verhaal in de media). Microsoft heeft de patches van begin af aan gemerkt als "CRITICAL* Security Update".

Ik verwacht weer allerhande excuses te horen waarom de computers 2 maand na publicatie niet gepatched waren, de realiteit is dat er gewoon geen excuses zijn, en dat men nu op de blaren gaat moeten zitten. Dat is dan voor al die keren dat men er mee weg geraakt is.

De patch in kwestie veroorzaakt trouwens geen enkele wijzigingen aan de functionaliteit het systeem, het zal dus niets kapot maken - wat anders meteen het grootste excuus is om geen patches te installeren. Enkel de NSA gaat last ondervinden van deze patch.

Zullen de bedrijven nu hun les leren? Natuurlijk niet. We blijven rustig verder Windows XP draaien, want geld op tafel leggen om legacy software up te daten willen we niet. Op naar de volgende.

Bij ons in het bedrijf (nog) niets gemerkt trouwens. De meeste van onze systemen draaien gelukkig *nix, inclusief de desktops/laptops (macOS). Die keuze op zich bespaart ons al van het meeste beveiligingsleed - waarmee ik niet beweer dat die systemen dan 100% veilig zouden zijn.

* "Microsoft recommends that customers apply Critical updates immediately."
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Omdat sommige bedrijven niet genoeg geld aan hun IT uitgeven (de NHS bv draait blijkbaar nog op XP, en heeft een paar jaar geleden het servicecontract opgezegd om kosten te besparen).
En andere bedrijven geen ongeteste patches willen of mogen deployen (denk bv maar aan banken).
En nog anderen win10 updates die reclame pushen en pcs doen herstarten tijdens werk/presentatie kotsbeu zijn en de hele zwik hebben afgezet.

Ik hoop alleszins dat alle ITers hier klaarstaan voor maandag, wanneer de werkweek begint en mogelijk geinfecteerde pcs terug aangezet worden.
Ik zou naast patches deployen, en zorgen dat de backups up to date zijn, ook de backup servers offline halen (als dat nog niet gebeurt), mss zelfs de fileservers effe disconnecten, de mailserver nog ns goed laten scannen op attachments, en de firewall rules dubbelchecken.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Omdat sommige bedrijven niet genoeg geld aan hun IT uitgeven
Zoals apothekers die vinden dat de kost voor een backup lijntje te veel is... nogmaals, IT is een belangrijk onderdeel van haast ieder bedrijf vandaag de dag... behandel het dan ook zo :!:
Gebruikersavatar
jphermans
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 139 keer
Bedankt: 109 keer

Ik las in de krant dat ook backup systemen kunnen getroffen worden die op het moment verbonden zijn met de pc. Zijn dat dan de lokale backup schijven of spreken ze dan ook over nas in het netwerk?

Verstuurd vanaf mijn SM-T813 met Tapatalk
Internet via Mobile Vikings
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 11 keer
Bedankt: 78 keer
Contacteer:

Elke PC/NAS die terwijl dat ding bezig is met encrypten is mogelijk getroffen. Zie daarom dat je voornamelijk indien je backups op je NAS bewaart je die niet 24/7 writable laat.
Of gewoon helemaal off-line een good old backup op een externe HDD die je enkel inplugt bij het overzetten van de genoemde backup. Verder laat je die dan ontkoppeld.

Die "WannaCry" malware werkt door het misbruiken van een lek in de SMB laag van windows. Het is een vrij aggressieve worm dus ik zou er niet raar van opkijken dat het ook je NAS gemounte shares mee aanvalt. Het delete/encrypt ook backups en andere dingen die het tegenkomt.
Tomby
Elite Poster
Elite Poster
Berichten: 6348
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1285 keer
Bedankt: 485 keer
Recent bedankt: 2 keer

GuntherDW schreef:Elke PC/NAS die terwijl dat ding bezig is met encrypten is mogelijk getroffen. Zie daarom dat je voornamelijk indien je backups op je NAS bewaart je die niet 24/7 writable laat.
Of gewoon helemaal off-line een good old backup op een externe HDD die je enkel inplugt bij het overzetten van de genoemde backup. Verder laat je die dan ontkoppeld.
Dit is idd iets dat serieus onderschat wordt en helemaal niet evident is. Er wordt nu wel terecht gezegd dat je veel moet backuppen e.d. Maar als de backups writeable zijn vanaf een client PC dan zal een besmette client PC evenzeer de backups deleten of encrypten.
Dus dat wil zeggen offline backups en reeds genomen backups in principe niet meer online brengen (niet evident als er incrementeel gebackupt wordt). Of backups die geschreven worden door een afzonderlijk backup proces op server of NAS (en die zelf hopelijk niet geïnfecteerd geraakt, i.e. goed dichtgeschroefd e.d.).
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

Incrementele backups? Zodat je terug kan gaan naar de situatie voor de encryptie?
orionis
Plus Member
Plus Member
Berichten: 135
Lid geworden op: 02 maa 2010, 19:52
Locatie: Tienen
Uitgedeelde bedankjes: 108 keer
Bedankt: 34 keer

Enig idee hoe dit zit met de online cloud systemen?
Zoals gdrive, dropbox, OneDrive, ea?
Ik veronderstel dat deze ook geïnfecteerd / geëncrypteerd worden, maar dat je met versie control toch terug zou kunnen gaan naar
de vorige versies?
- Internet, TV, mobile: scarlet Trio, Tempo Giga, Mobile Vikings
- Streaming: Netflix, Disney+ en Youtube premium
- Gaming: PC, Vive / Reverb G2 en Nintendo switch
- Domotica: Niko home control & philips hue & Nest
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14848
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1043 keer
Recent bedankt: 7 keer

Amazon: afhankelijk van het type backup dat je zelf instelt
Alle andere, inclusief Amazon desktop/smartphone app: ze houden de (verwijderde) files enkele dagen bij (betalende gebruikers wat langer).
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Gewoon op uw NAS een backup account aanmaken en backups laten maken met dat account, al de rest geen toegang of read only en u backup staat "veilig" (voor zover dat on-site kan). Zou eigenlijk zo standaard moeten zijn als het default wachtwoord aanpassen op toestellen.
En uw toestellen up-to-date houden natuurlijk, een belangrijke security patch die al sinds maart online staat installeren. Zelfs voor de XP gebruikers is de patch er inmiddels.
Dat wil dan wel niet zeggen dat je geen risico meer loopt, maar met simpele zaken kan zelfs een leek het risico toch ferm verkleinen.
Nu ziet de NSA ook eens wat de keerzijde van de medaille is als ze lekken niet rapporteren om ze zelf te kunnen gebruiken ;) zouden ze er iets uit leren? Nee.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

jphermans schreef:Ik las in de krant dat ook backup systemen kunnen getroffen worden die op het moment verbonden zijn met de pc.
Een NAS is dan wel modern... maar de beste backup blijft nog steeds een tape die je iedere dag offsite in een kluis stopt op een offsite locatie.

Wil je een NAS gebruiken als backup dan zorg je voor dezelfde concepten; verschillende versies, offsite opslag, niet overschrijfbaar binnen x-aantal dagen, ... een drivelettertje mounten en hier wat bestandjes naar copieren is dus niet de juiste oplossing !

Hoe goed je backup is hangt dus ook af van de kennis van je IT verantwoordelijke... dus ook hier is het belangrijk dat je vertrouwd op iemand met kennis (en ja zo'n mensen kosten centen) en niet de script kiddie van achter de hoek.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Aangezien dit virus een SMB bug exploit, zou het wel ns kunnen dat gewoon een share klaarstaan hebben genoeg is, of hij nu gemount is of niet.
Ik zie niet geheel direct in hoe het ding zichzelf zou runnen eenmaal het op de nieuwe pc is, maar voor hetzelfde geld runt het gewoon vanop de geinfecteerde pc en misbruikt het die smb bug om zich toch access te forceren.
Altijd dus een secundaire backup hebben die offline is.

Ik weet dat backups niet geliefd zijn omwille van duur en zelden nodig, maar naast je primaire onsite backup moet je eigenlijk altijd een secundaire backup hebben die offsite én offline is. Gebruik je dus een cloud backup (dat mag uiteraard), dan moet je toch nog een offline backup voorzien, al is dat een usb disk die je om de zoveel tijd gaat halen, een backup op zet, en terug wegsteekt offsite.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Aangezien dit virus een SMB bug exploit, zou het wel ns kunnen dat gewoon een share klaarstaan hebben genoeg is, of hij nu gemount is of niet.
Iedere PC bevat standaard shares zoals C$.
ITnetadmin schreef:Ik zie niet geheel direct in hoe het ding zichzelf zou runnen eenmaal het op de nieuwe pc is, maar voor hetzelfde geld runt het gewoon vanop de geinfecteerde pc en misbruikt het die smb bug om zich toch access te forceren.
Het hoeft zich maar op de disk te plaatsen en een script aan te maken in je startup folder en bij de eerstvolgende herstart heb je prijs al zijn er genoeg andere methodes om het zelfs meteen actief te krijgen (het hoeft maar één of andere DLL te besmetten die een onderdeel is van Windows en het is eveneens vertrokken).
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

Er zijn slechts 3 hardcoded BTC adressen waar je je ransom kunt betalen. De ransom is steeds $300 (of $600).

Nu, een BTC-adres is - naast het bedrag - het enige "unieke" element dat je kunt gebruiken bij een Bitcoin-betaling. Een beetje te vergelijken met de "gestructureerde mededeling". Je kan immers onbeperkt BTC-adressen aanmaken, en als je een adres slechts aan 1 persoon geeft, en je krijgt een betaling op dat adres, dan weet je dat die persoon betaald heeft.

Als iedereen dezelfde adressen gebruikt en hetzelfde bedrag betaalt, moet je mij toch eens uitleggen hoe men kan nagaan wie de ransom betaald heeft?????

Ofwel gaan ze gewoon lopen met het geld en geven ze geen decrypt-key, ofwel wachten ze nog ff tot ze genoeg geld gekregen hebben en dan releasen ze de master decrypt-key publiek (natuurlijk niet in hun eigen naam, ze zullen die wel ergens zogezegd "lekken").

Volgens mij zal het laatste gebeuren.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

r2504 schreef:
ITnetadmin schreef:Aangezien dit virus een SMB bug exploit, zou het wel ns kunnen dat gewoon een share klaarstaan hebben genoeg is, of hij nu gemount is of niet.
Iedere PC bevat standaard shares zoals C$.
PCs wel, gelukkig zijn niet alle storage devices PCs.
r2504 schreef:
ITnetadmin schreef:Ik zie niet geheel direct in hoe het ding zichzelf zou runnen eenmaal het op de nieuwe pc is, maar voor hetzelfde geld runt het gewoon vanop de geinfecteerde pc en misbruikt het die smb bug om zich toch access te forceren.
Het hoeft zich maar op de disk te plaatsen en een script aan te maken in je startup folder en bij de eerstvolgende herstart heb je prijs al zijn er genoeg andere methodes om het zelfs meteen actief te krijgen (het hoeft maar één of andere DLL te besmetten die een onderdeel is van Windows en het is eveneens vertrokken).
Beangstigend naar servers en NASsen toe, die zelden herstart worden.
Daar kunnen nog maanden sluimerende besmettingen zitten.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

In de pers verschijnen ondertussen nog steeds artikels over het niet spontaan openen van attachments (trouwens een terechte opmerking) al heb ik nog steeds geen duidelijkheid over de attack vector. Ik kan me namelijk moeilijk inbeelden dat onderstaande automaat zelf een attachment heeft geopend;

[tweet][/tweet]

Al is het misschien een combinatie van beide ?
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ik ben ook niet helemaal mee.
Wss is dat een van de besmettingsbronnen, waarna het ding zich vanzelf verspreid.
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

Het gaat over een worm die zicht verspreidt via een kwetsbaarheid in SMBv1 op een LAN.
Conclusie is dus dat die parkeerautomaten op hetzelfde LAN zitten waarop idioten attachments openen.
meer info:
https://community.rapid7.com/community/infosec/blog/2017/05/12/wanna-decryptor-wncry-ransomware-explained
https://www.saotn.org/disable-smbv1-windows-10-windows-server/
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

raf1 schreef:Conclusie is dus dat die parkeerautomaten op hetzelfde LAN zitten waarop idioten attachments openen.
Die conclusie had ik ook al gemaakt... FAIL dus !

Dergelijke dingen zet je normaal in een aparte VLAN.
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Waarschijnlijk is dat zelfs zo maar routeren ze alles voor het gemak... :?
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

Tweede mogelijkheid is dat poort 445 wagenwijd openstaat. Elke besmette pc met WannaCry genereert namelijk at random ip-adressen en test of poort 445 openstaat en dan zit je meteen binnen natuurlijk via SMBv1.
Zeer goede technische uitleg op https://blog.malwarebytes.com/threat-an ... nacrypt0r/
Laatst gewijzigd door raf1 15 mei 2017, 15:35, in totaal 2 gewijzigd.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Opgepast. Dit kan bv ook via een server die op beide vlans zit verspreiden.

Of iemand heeft een goeiekope layer 3 switch, zo'n "layer 3 light" model, dat gewoon by default alle vlans met mekaar route.
Om echt goed te zijn, zou je, indien je vlans route, dat niet met een switch maar met een heuse firewall moeten doen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Opgepast. Dit kan bv ook via een server die op beide vlans zit verspreiden.
Dergelijke "bridge" toestellen vragen net extra aandacht... daarom zet je deze nogmaals op een aparte VLAN, dus je office VLAN, je server VLAN en je "automaten" VLAN. Op die manier kan je tussen ieder segment de juiste firewalls rules implementeren. Vandaag de dag is het al bij verschillende bedrijven zo dat servers zelfs niet meer in dezelfde VLAN gestopt worden maar allemaal apart (micro-segmentering).
ITnetadmin schreef:Of iemand heeft een goeiekope layer 3 switch, zo'n "layer 3 light" model, dat gewoon by default alle vlans met mekaar route.
Dan hebben VLAN's natuurlijk weinig zin... het enige dat je wint is je broadcast probleem dan.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8248
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 522 keer
Recent bedankt: 12 keer

r2504 schreef:In de pers verschijnen ondertussen nog steeds artikels over het niet spontaan openen van attachments (trouwens een terechte opmerking) al heb ik nog steeds geen duidelijkheid over de attack vector. Ik kan me namelijk moeilijk inbeelden dat onderstaande automaat zelf een attachment heeft geopend;

[tweet][/tweet]

Al is het misschien een combinatie van beide ?
De exploit werkt via SMB remode code execution (zie ook de bulletin van Microsoft), maar er moet natuurlijk nog altijd een "patient 0" geweest zijn die de worm binnengehaald heeft en voor het eerst uitgevoerd heeft waarna alles begonnen is. Een van de gangbare theorieën is dat men via targeted phishing (wellicht via een email attachment) de worm naar een onachtzame werknemer van een bedrijf gestuurd heeft, waarmee de eerstelijnsverdediging (de mens) meteen al gefaald had.
Tim H.
Elite Poster
Elite Poster
Berichten: 759
Lid geworden op: 29 nov 2011, 22:31
Uitgedeelde bedankjes: 15 keer
Bedankt: 38 keer

http://uk.businessinsider.com/telefonic ... ?r=US&IR=T
Some 85% of Telefónica's computers have been affected, according to El Mundo. Portugal Telecom was also hit by a cyberattack on Friday, but its services weren't affected, a spokeswoman told Reuters. She didn't say whether it was a WannaCry attack.
oa het NOC zou volledig plat liggen
Plaats reactie

Terug naar “Telecom nieuws”