Categorie op Ransomware

Onderzoekers ontdekken nieuwe ransomware voor macOS

Onderzoekers hebben nieuwe ransomware voor macOS ontdekt die via torrentbestanden wordt verspreid. De ransomware, met de naam OSX.EvilQuest, zat verborgen in installatieprogramma’s voor firewall Little Snitch, dj-software Mixed In Key 8 en muziekprogramma Ableton Live, maar mogelijk gaat het om meer veel meer programma’s.

Zodra gebruikers de installatieprogramma’s downloaden en openen wordt de genoemde software geïnstalleerd, alsmede de ransomware. Die schakelt eerst verschillende beveiligingsprogramma’s uit, zoals Little Snitch en verschillende antivirusproducten. Vervolgens versleutelt de ransomware allerlei bestanden en laat een bericht achter waarin staat dat de gebruiker 50 dollar voor het ontsleutelen van zijn bestanden moet betalen. De losgeldinstructies worden ook via de voorleesfunctie van macOS voorgelezen.

Beveiligingsonderzoeker Patrick Wardle laat weten dat de ransomware tevens cryptovaluta-gerelateerde bestanden lijkt te stelen, over een keylogger beschikt en een reverse shell opent waarmee de aanvaller toegang tot het systeem houdt. Wat voor soort encryptie de ransomware gebruikt en of die eenvoudig is te kraken is nog onbekend, stelt onderzoeker Thomas Reed van antimalwarebedrijf Malwarebytes. Hoeveel Mac-gebruikers door de ransomware besmet zijn geraakt is onbekend.

Lees hier verder. © Security.nl

NCSC adviseert organisaties om geen losgeld bij ransomware te betalen

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Om ransomware te voorkomen wordt een combinatie van technische en organisatorische maatregelen aangeraden. Het gaat onder andere om het gebruik van spamfilters, het regelmatig uitvoeren van phishingtests, het trainen van personeel in hoe ze met phishingmails moeten omgaan, het verhogen van de awarenees van het personeel, het tijdig installeren van beveiligingsupdates, het beperken van usb-gebruik, het uitschakelen van macro’s in Microsoft Office en het toepassen van applicatiewhitelisting.

In het geval van een succesvolle aanval zijn de herstelmaatregelen afhankelijk van de omvang van de infectie. In het geval van een beperkte infectie kan worden volstaan om het besmette systeem uit het netwerk te halen en indien nodig opnieuw te installeren. Bij een netwerkbrede infectie wordt aangeraden om het netwerk van de buitenwereld af te sluiten en experts in te schakelen.

Daarnaast wordt geadviseerd om de infectie bij de politie te melden. Ook moeten organisaties nagaan of ze verplicht zijn de besmetting te melden, bijvoorbeeld bij het NCSC, een toezichthouder, een opdrachtgever of bij een andere instantie.

Lees hier verder. © Security.nl

IT-bedrijf draait op voor schade ‘gegijzeld’ administratiekantoor

De zaak speelde al een paar jaar geleden, maar het vonnis werd pas op 7 juni j.l. gepubliceerd. Een IT-bedrijf dat een administratiekantoor verkeerd adviseerde draait op voor de schade. Het kantoor kreeg te maken met zogenaamde gijzelsoftware.

‘Te veel kosten en gedoe’

De IT-leverancier verrichtte diensten op het gebied van IT en automatisering voor een administratiekantoor. Een schriftelijke overeenkomst hadden deze partijen niet. In 2009 richtte het IT-bedrijf de IT-infrastructuur van het administratiekantoor opnieuw in. Er werden verschillende suggesties gedaan voor beveiliging, bijvoorbeeld het aanleggen van een firewall en het werken met roulerende externe schijven als back-up. Maar het administratiekantoor wilde dit niet vanwege de kosten en het gedoe. De IT-leverancier ging hierin mee, ook omdat het administratiekantoor geen leek op computergebied was en volgens de IT-leverancier dus welke risico’s aan deze keuze kleefden.

Bestanden gegijzeld

In 2017 werd het administratiekantoor getroffen door ransomware. Het systeem kon niet worden teruggezet met een back-up. De criminelen eisten drie bitcoins van ruim € 950,- per stuk (€2850). Het kantoor betaalde en kreeg een sleutel om de bestanden op de server weer te ontgrendelen. Het kantoor liet onderzoek doen hoe dit had kunnen gebeuren. De oorzaak van de gijzeling bleek een combinatie van zwakke wachtwoorden en een gemakkelijke toegang. Volgens het onderzoeksbureau had deze aanval met relatief eenvoudige maatregelen voorkomen kunnen worden, namelijk het gebruik van sterkere wachtwoorden, een VPN-verbinding en een betere back-upvoorziening. Het betalen van losgeld had voorkomen kunnen worden met een op de juiste manier ingeregelde back-up.

‘IT-bedrijf schoot tekort’

De IT-leverancier heeft na de aanval herstelwerkzaamheden verricht voor het administratiekantoor en deze werkzaamheden in rekening gebracht. Het administratiekantoor weigert echter om deze facturen te betalen, omdat de IT-leverancier in haar ogen toerekenbaar tekort is geschoten. Volgens het administratiekantoor was met de IT-leverancier afgesproken dat deze een volledige IT-infrastructuur zou aanleggen en dus ‘totaalpakket’ zou leveren. Onderdeel van dit totaalpakket is de adequate beveiliging van het netwerk, aldus het administratiekantoor. De IT-leverancier was er immers van op de hoogte dat een adequate beveiliging van groot belang was, omdat zij met gevoelige gegevens werkt.

‘Nooit uit te sluiten’

De IT-leverancier vond echter dat ze die beveiligingsmaatregelen had voorgesteld, maar dat het administratiekantoor deze telkens van de hand had gewezen. Dit terwijl het administratiekantoor geen leek was en dus ook zelf goed kon inschatten wat daarvan de risico’s zouden zijn. Daarnaast stelde de IT-leverancier dat een ransomware-aanval nooit kan worden uitgesloten. Daarmee betwistte de IT-leverancier dus het causaal verband tussen een eventuele tekortkoming van zijn kant en het plaatsvinden van de aanval (en daarmee het ontstaan van de schade).

Zorgplicht

De rechtbank gaat niet mee in het verweer van de IT-leverancier. Het administratiekantoor is er terecht van uitgegaan dat de IT-leverancier bij het vervullen van de opdracht om een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging. Volgens de rechter is het moeilijk voorstelbaar dat onder een ‘totaalpakket’ niet ook de aanleg van de daarbij behorende beveiliging zou zijn inbegrepen. Door geen firewall aan te leggen en geen externe back-ups te verzorgen, heeft de IT-leverancier zijn opdracht niet goed uitgevoerd, zo oordeelt de rechter. Het feit dat het administratiekantoor bepaalde beveiligingsmaatregelen zelf niet wilde, maakt dat niet anders. De IT-leverancier had dan de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aandragen, of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico’s die het achterwege laten van een firewall en een externe back-upstructuur met zich zouden brengen.

Causaal verband

Ook het argument dat het administratiekantoor geen leek was en zij deze risico’s dus ook zelf had kunnen inschatten, is volgens de rechter onvoldoende om de IT-leverancier van zijn verantwoordelijkheden te ontslaan. Gezien de professionele deskundigheid van de IT-leverancier kon hij niet met een enkele waarschuwing volstaan. De rechtbank ziet bovendien een causaal verband: de IT-leverancier heeft erkend dat het met goede beveiliging, waaronder sterke wachtwoorden, in ieder geval langer had geduurd voordat de hackers het netwerk hadden kunnen binnendringen en zij het daarom misschien wel hadden opgegeven. Daarnaast heeft de IT-leverancier erkend dat externe back-ups de betaling van losgeld mogelijk hadden kunnen voorkomen. De gevolgen van de aanval waren dan beperkt gebleven.

Zwakke wachtwoorden

Op één punt komt de rechter de IT-leverancier tegemoet. Het administratiekantoor heeft er zelf voor gekozen om zwakke wachtwoorden te gebruiken. Dit komt voor rekening van het administratiekantoor. De rechter stelt het gedeelte eigen schuld vast op 1/3. Als gevolg van de ransomware-aanval heeft het administratiekantoor een aantal weken stilgelegen. De gederfde omzet en het geleden verlies door de gemaakte personeelskosten moeten door de IT-leverancier worden vergoed. Ook de kosten voor het uitvoeren van het externe onderzoek naar de oorzaak van de ransomware komen voor vergoeding in aanmerking. Daarnaast merkt de rechtbank de betaalde bitcoins aan als schade die voor vergoeding in aanmerking komt, zodat ook deze kosten door de IT-leverancier moeten worden vergoed. De totale schade zou zo’n € 10.000 zijn.

Meer claims?

Bij IT-bedrijven leidt de recente uitspraak van de rechtbank tot veel onrust. Experts voorzien een stortvloed aan schadeclaims van andere bedrijven die door hackers zijn gedupeerd. ‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers in het Financieele Dagblad. Het voormalige Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen. ‘Op dit moment heb ik enkele vergelijkbare zaken onder behandeling. De omvang van de schade wisselt. Ik heb er ook een zaak tussen zitten waarbij de gevorderde schade meer dan €1 mln bedraagt.’

Conclusie

Volgens advocatenkantoor Dirkzwager kunnen uit de uitspraak van de rechtbank een aantal conclusies worden getrokken:

  1. Het belang van duidelijke (schriftelijke) afspraken;
  2. Indien het treffen van adequate beveiligingsmaatregelen tot de opdracht van de IT-leverancier behoort, rust op de IT-leverancier als deskundige de (zorg)plicht om beveiligingsmaatregelen te treffen om ransomware-aanvallen te voorkomen;
  3. Indien de afnemer bepaalde (noodzakelijke) beveiligingsmaatregelen van de hand wijst, kan de IT-leverancier niet volstaan met een enkele waarschuwing. Hij dient dan op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s van het achterwege laten van deze beveiligingsmaatregelen, alternatieven aan te dragen of zelfs de opdracht te weigeren wegens onuitvoerbaarheid.

Lees hier verder. © Accountancy van Morgen

Inspectie: Universiteit Maastricht was niet goed voorbereid op ransomware-aanval

De Universiteit Maastricht was niet goed voorbereid op een aanval met ransomware, waarmee het eind vorig jaar te maken kreeg. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Onderwijsinspectie. Naar aanleiding van het incident, waarbij criminelen allerlei systemen van de universiteit wisten te versleutelen en uiteindelijk 197.000 euro losgeld ontvingen voor het ontsleutelen van bestanden, stelde de Inspectie een onderzoek in.

Uit het onderzoek blijkt dat de universiteit niet goed voorbereid was op een dergelijke aanval. Zo was er wel aandacht voor databeveiliging, maar ging dat voornamelijk over de AVG en niet over mogelijke cyberaanvallen. In de draaiboeken voor grote incidenten was ransomware niet opgenomen. Tevens was er voorafgaand aan de aanval geen totaal (over)zicht op de it-inrichting en daarmee slechts beperkt zicht op de cyberweerbaarheid van de universiteit als geheel, aldus de inspectie.

Verder blijkt dat de interne controle op de uitvoering van het ict-beleid en de opvolging van afspraken nauwelijks was ingericht. Zo was de externe controle procesmatig en enkel gericht op het financiële en HR-pakket van de centrale it-voorziening van de universiteit. Verschillende partijen, waaronder het College van Bestuur (CvB), laten aan de Onderwijsinspectie weten dat er binnen de universiteit over cyberdreigingen werd gesproken, maar dat dit niet als één van de hoogste risico’s werd geprioriteerd. “Risico’s voor het UM-onderwijs en onderzoek rond de politieke en maatschappelijke discussie over taal en internationalisering stonden hoger op de agenda”, aldus de Inspectie.

Die stelt verder dat een aantal zwakheden in de it-infrastructuur en organisatie van de Universiteit Maastricht hebben bijgedragen aan de omvang van de uiteindelijke ransomware-aanval. Bij een aantal servers in het netwerk waren de laatste beveiligingsupdates niet geïnstalleerd en was er beperkte segmentatie binnen het UM-netwerk. Daarnaast was er volgens de inspectie sprake van gebrekkige monitoring waardoor er geen opvolging werd gegeven aan meldingen van een virusscanner die uiteindelijk door de aanvallers handmatig werd uitgeschakeld. “Hierdoor heeft men onder andere gefaald in het detecteren van de malware”, zo laat de Inspectie weten.

Lees hier verder. © Security.nl

Apeldoornse landbouwdistributeur Royal Reesink slachtoffer van ransomware

De Apeldoornse landbouwdistributeur Royal Reesink is op 3 juni slachtoffer van ransomware geworden, zo heeft het bedrijf via de eigen website bekendgemaakt. Aanvallers wisten bestanden op een groot deel van de systemen te versleutelen. “Er zijn onmiddellijk maatregelen genomen om de gevolgen van de aanval te beperken. Alle netwerkaansluitingen zijn direct afgesloten om verspreiding te voorkomen”, aldus het bedrijf.

Het afsluiten van systemen had gevolgen voor medewerkers, die hierdoor nauwelijks konden werken. “We konden niks doen, zelfs niet mailen. Het is heel vervelend voor de medewerkers. We zijn aan het opkrabbelen van de coronacrisis en krijgen nu dit. Er is een hoop onbegrip en frustratie over waarom mensen dit doen”, zegt communicatiemanager Judith Dijkstra tegenover de Stentor. De woordvoerder kon nog niet laten weten of er losgeld aan de aanvallers was betaald.

Nadat de systemen waren uitgeschakeld werd de afgelopen dagen met een team van interne en externe beveiligingsexperts begonnen om die weer op een gecontroleerde en veilige manier op te starten. “Dat is ondertussen voor het grootste deel gelukt en de connectiviteit met de belangrijke relaties is weer hersteld”, verklaart Royal Reesink.

Het bedrijf is een internationale distributeur van onder meer landbouwmachines en heeft 35 bedrijven in tien landen. Daarvan werd zeventig procent door de aanval geraakt, meldt de Volkskrant. Vorig jaar bedroeg de omzet bijna 1 miljard euro. Hoe groot de financiële schade is kan het bedrijf nog niet zeggen. Ook is nog onbekend hoe de aanvallers wisten binnen te dringen.

Lees hier verder. © Security.nl