Categorie op Ransomware

Ervaringsverhaal: Ransomware.

Gerke van de Ven is samen met Ester Böinck oprichter en eigenaar van Boven en Dean. Boven is een family office voor vermogende klanten in het bedrijfsleven, topsport en entertainmentwereld. Dean ontzorgt klanten administratief als persoonlijk secretaris. Beide bedrijven werken met zeer persoonlijke gegevens. Ze verwerken bijvoorbeeld alle fysieke en digitale post van cliënten. Van bankafschriften tot huwelijkse voorwaarden tot aangiftes.

Op een maandag in februari 2020 gaat het mis. De office manager komt op kantoor, start het systeem op en merkt op dat het uiterlijk van documenten op de pc is veranderd en dat hij deze niet kan openen. Ester, die in het bedrijf de ICT-zaken coördineert, ziet direct dat de bestanden zijn geëncrypt (versleuteld). Langzaam daalt het besef dat ze te maken hebben met een ransomware-aanval. Inderdaad vinden ze tussen de bestanden een bericht van de hackers. Hierin geven ze aan dat ze in ruil voor Bitcoins de bestanden weer kunnen ontsleutelen.

Lees hier verder. © Digital Trust center

Britse overheid publiceert advies om ransomware te voorkomen

De Britse overheid heeft het eigen advies om malware en ransomware te voorkomen van een update voorzien, waarbij er extra nadruk wordt gegeven aan het hebben van geteste offline back-ups en het uitschakelen of beperken van scripting-omgevingen en macro’s.

Begin dit jaar kwam het Britse National Cyber Security Centre (NCSC) met een negen pagina’s tellend advies genaamd “Mitigating malware and ransomware attacks”. Het advies moest de kans dat organisaties met ransomware en malware besmet raken verkleinen en de verspreiding van malware binnen de organisatie en impact van de infectie beperken.

Nu is versie 2.0 van het advies verschenen. “Van elk incident waar het NCSC bij betrokken is leren we. We leren hoe criminelen netwerken compromitteren, hoe ze malware uitrollen en de mitigaties die, wanneer aanwezig, de aanval hadden kunnen voorkomen”, zegt Geoff E., adjunct-hoofd Consultancy en Advies van de Britse overheidsinstantie. Vanwege de veranderende aard van de aanvallen heeft het NCSC naar eigen zeggen besloten een update uit te brengen.

Daarbij is het volgens Geoff E. belangrijk om twee maatregelen extra te benadrukken, namelijk het hebben van geteste, up-to-date, offline back-ups en het uitschakelen of beperken van scripting-omgevingen en macro’s. Het gaat dan om het gebruik van PowerShell Constrained Language dat systemen tegen misbruik moet beschermen. Bij veel ransomware-aanvallen maken aanvallers gebruik van PowerShell voor het uitvoeren van de aanval. Met de PowerShell Constrained Language kunnen aanvallers bepaalde COM-objecten, libraries en classes niet meer in PowerShell-sessies laden. Het NCSC adviseert verder om macro’s uit te schakelen wanneer die niet worden gebruikt.

Volgens het NCSC is het daarnaast belangrijk dat organisaties zich op een eventueel incident voorbereiden en is het handig om te weten wat er kan worden gedaan wanneer systemen al besmet zijn. In het geval van ransomware wordt in ieder geval afgeraden om het losgeld te betalen. “We beseffen dat niet alle organisaties over een elite team van security-architecten beschikken, maar we denken dat dit advies een haalbaar aantal acties biedt die de meeste organisaties kunnen implementeren”, aldus Geoff E.

Lees hier verder. © Security.nl

Universiteit van Newcastle getroffen door grote ransomware-aanval

De Universiteit van Newcaste is getroffen door een grote ransomware-aanval en verwacht dat het meerdere weken zal duren om getroffen systemen te herstellen. Veel it-diensten zijn op dit moment offline en zullen dat ook blijven zolang de systemen niet zijn hersteld. Ook waarschuwt de universiteit dat de it-diensten die nog wel werken op elk moment zonder aankondiging offline kunnen gaan.

De aanval deed zich voor op 30 augustus en zorgde voor storingen op de netwerken en it-systemen van de universiteit. Die spreekt op de eigen website over een “ernstig cyberincident”. Bij de aanval zouden de aanvallers ook gegevens hebben buitgemaakt. Een deel van deze gegevens is inmiddels openbaar gemaakt en de aanvallers dreigen ook de overige data te publiceren tenzij de universiteit het gevraagde losgeld betaalt. Het zou onder andere om gegevens van studenten en medewerkers gaan, zo meldt Sky News.

Alle universiteitssystemen, op Office 365, Microsoft Teams, Canvas en Zoom na, zijn offline of beperkt beschikbaar. De universiteit heeft nog geen idee wanneer alle systemen weer operationeel zijn. Het onderzoek naar de aanval bevindt zich nog in de beginfase en er wordt nog hard gewerkt aan een plan om de systemen te herstellen, aldus een verklaring. De universiteit sluit niet uit dat er data van studenten verloren is gegaan.

Lees hier verder. © Security.nl

Chileense bank sluit alle kantoren nadat ransomware 12.000 computers besmet

De Chileense bank BancoEstado heeft gisteren alle 410 kantoren gesloten nadat ransomware 12.000 computers besmette. Dat laat bankpresident Sebastián Sichel tegenover de Chileense krant en televisiezender Emol weten. Het Chileense computer security incident response team (CSIRT) meldt dat het om een infectie door de REvil-ransomware gaat, ook bekend als Sodinokibi (pdf).

De aanval deed zich afgelopen zaterdag voor, waarbij data op 12.000 machines werd versleuteld. Er werd besloten om alle systemen uit te schakelen en zo verdere verspreiding te voorkomen. Hierdoor zag BancoEstado zich genoodzaakt om alle bankkantoren gisteren te sluiten. De website, geldautomaten en mobiele bank-app bleven wel gewoon functioneren. Volgens Sichel heeft de bank geen verzoek tot het betalen van losgeld ontvangen.

Gisteren werd er begonnen met het opschonen van de besmette machines. Aan het eind van maandagmiddag meldde de bank dat 21 kantoren inmiddels weer open waren. BancoEstado hoopt later deze week alle kantoren weer te openen. Volgens de bank zijn de gegevens en het geld van de 13 miljoen klanten die het heeft niet in gevaar geweest. Daarnaast zijn er back-ups van alle gegevens, meldt de Chileense krant La Tercera. Hoe de infectie zich kon voordoen is niet bekendgemaakt.

Lees hier verder. © Security.nl

Ransomware legt systemen Veiligheidsregio Noord- en Oost-Gelderland plat

De Nederlandse Veiligheidsregio Noord- en Oost-Gelderland is afgelopen weekend slachtoffer geworden van ransomware. De interne systemen van de organisatie werken nog maar beperkt maar meldingssystemen zouden niet getroffen zijn.

De gijzelsoftware sloeg zaterdagmiddag toe bij de Veiligheidsregio Noord- en Oost-Gelderland. Dit is een samenwerkingsverband van de hulpverleningsdiensten van 22 Gelderse gemeenten. De internetsystemen van de organisatie werken nog maar beperkt en werknemers kunnen niet meer e-mailen, aldus de VNOG.

De VNOG meldt niet om welke ransomware het gaat en volgens de organisatie is niet bekend ‘uit welke hoek de aanval komt’. De veiligheidsregio werkt samen met het Nationaal Cyber Security Centrum en politie bij het onderzoek naar de aanval en de impact. Onder andere bekijken de organisaties of de aanvallers toegang tot data hebben gekregen.

Volgens de VNOG heeft de ransomwareaanval geen gevolgen voor de meldingssystemen P2000 en C2000 en ook zou de brandweer over alle informatie kunnen beschikken die nodig is voor hun werk.

Lees hier verder. © Tweakers.net