Oekraïne kampt met grootschalige uitbraak van ransomware

Opnieuw is er sprake van een grootschalige aanval met ransomware. Na WannaCry gaat het nu om Xdata, al lijkt de infectie zich vooralsnog te beperken tot Oekraïne. Vooralsnog is er geen tool beschikbaar om de bestanden die door Xdata worden versleuteld, weer vrij te krijgen.

De verspreiding van de Xdata-ransomware begon vorige week, met een groot aantal infectiehaarden in Oekraïne, zo meldt Wired op basis van een analyse van MalwareHunter. Waar de WannaCry-ransomware van eerder deze maand nog een vast geldbedrag vroeg om de getroffen bestanden te ontsleutelen, namelijk 300 dollar, verschilt het bedrag bij Xdata per gebruiker. Waarschijnlijk laat de ransomware bedrijven meer geld betalen om weer toegang te krijgen tot de versleutelde bestanden. Inmiddels hebben verscheidene Oekraïense bedrijven al gemeld dat zij kampen met een infectie van de Xdata-ransomware.

Vooralsnog is niet duidelijk van welke kwetsbaarheid de ransomware gebruikmaakt om in te breken op computersystemen. Ook bestaat de kans dat de infectie zich uiteindelijk verspreidt tot buiten Oekraïne. Tot nu toe zijn daar maar weinig meldingen van gemaakt, met een paar infecties in onder andere Rusland en Duitsland. Uit de meldingen blijkt dat verscheidene versies van Windows kwetsbaar zijn, waaronder XP, 7 en 10.

Alhoewel de wereld eerder deze maand dus werd opgeschrikt door een grootschalige aanval met de WannaCry-ransomware, bleef de impact in Oekraïne toen nog beperkt; Xdata heeft tot nu toe een veel groter aantal computers geïnfecteerd in het Oost-Europese land. Onduidelijk blijft of de aanvallers die verantwoordelijk zijn voor de Xdata-ransomware, zich specifiek hebben gericht op Oekraïne. Eerder was Oekraïne al slachtoffer van verscheidene hackaanvallen, waaronder op zijn elektriciteitsnetwerk.

Door RoD

Admin Mobile

Feedback • 21-05-2017 07:45
105 • submitter: Swoooon

21-05-2017 • 07:45

105 Linkedin Whatsapp

Submitter: Swoooon

Lees meer

Grote ransomwareaanval treft organisaties meerdere landen - update
Grote ransomwareaanval treft organisaties meerdere landen - update Nieuws van 27 juni 2017
'Systemen van nieuw Brits vliegdekschip draaien op Windows XP'
'Systemen van nieuw Brits vliegdekschip draaien op Windows XP' Nieuws van 27 juni 2017
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update Nieuws van 12 mei 2017
'Oekraïense stroomnetwerk is opnieuw getroffen door hackers'
'Oekraïense stroomnetwerk is opnieuw getroffen door hackers' Nieuws van 10 januari 2017
Oekraïne onderzoekt mogelijke internetaanval op energienet Kiev
Oekraïne onderzoekt mogelijke internetaanval op energienet Kiev Nieuws van 20 december 2016
Meer producten en artikelen
Netwerk en systeembeheer Ransomware

IT-banen

Meer vacatures

Reacties (105)

-Moderatie-faq
105
96
56
7
1
30
Wijzig sortering
eltweako
21 mei 2017 11:02
Het lijkt er op dat de malware zich inderdaad beperkt tot Oekraïne, wat dus zou kunnen suggereren dat het een gerichte aanval is. Op het moment bevinden ongeveer 95% van de geïnfecteerde systemen zich in Oekraïne. Maar er zijn ook al besmettingen in Rusland, Duitsland en Estland.

XData gebruikt AES Encryptie en gebruikt de extensie .~xdata~. Naast lokale data versleuteld XData ook alle gegevens op netwerkschijven. De losgeldbrief verschijnt als een eenvoudig tekstbestand in de versleutelde mappen met de naam “HOW_CAN_I_DECRYPT_MY_FILES.txt”.

De methode van verspreiden is op het moment nog geheel onbekend. Mogelijk is het een gerichte phishing aanval (bijv. factuur van een bekende Oekraïense provider), wat zou kunnen verklaren waarom de besmettingen zich lijken te beperken tot Oekraïne. De ransomware lijkt niet het zelfverspreidende aspect van WanaCry te hebben.
Ik heb geen communicatie kunnen vaststellen tussen de ransomware en een externe server. Sterker nog, ik heb de indruk dat dit off-line ransomware betreft. Waarschijnlijk is de ransomware geschreven zodat deze alle systemen kan infecteren zonder afhankelijk te zijn van internettoegang. Daarom slaat de ransomware een keyfile op de computer op welke je per e-mail moet versturen naar e-mail adressen in de losgeldbrief. Daarna krijg je betaalinstructies. Ik verwacht dat een tool om de bestanden te ontsleutelen binnen korte tijd beschikbaar is.

Wat wel al bekend is zijn de processen welke aanwezig zijn op een geïnfecteerd systeem:
  • mssql.exe
  • msdns.exe
  • msdcom.exe
  • mscomrpc.exe
HitmanPro Alert, Ransomfree en WinPartol WAR detecteerde de ransomware en stopte deze. Bitdefender Anti-Ransomware deed niets en Malwarebytes (alleen de ransomware bescherming ingeschakeld) detecteerde de ransomware pas tijdens het versleutelen.

Of het virus zich nog gaat verspreiden naar andere landen twijfel ik niet aan. Maar het zal waarschijnlijk geen grote vormen aannemen. Het virus heeft al flink huisgehouden en de belangrijkste anti-virus oplossingen hebben al een update gehad met de signature (https://www.virustotal.co...91ffd0080327ab9/analysis/).
ro8in
@eltweako21 mei 2017 12:44
Hoe zit het dan met die standaard virus scanner van microsoft die bij windows zit. Is dat gewoon 10 keer niks? Het geeft namelijk wel de indruk dat je niet meer verder op zoek hoeft naar nog een pakket.
eltweako
@ro8in21 mei 2017 17:26
10 keer niks is overdreven. De Windows Defender is niet fantastisch, maar is stukken beter als wat het ooit was.
Windows Defender was een tijd zo slecht dat hij niet meer meegenomen werd in de meeste AV tests. Nu lijkt de virusscanner een goede middenklasser. Waar Defender het meeste tekort schiet is het feit dat het eigenlijk niet meer als een virusscanner is.
Virusscanners hebben het grote nadeel dat ze eigenlijk pas iets kunnen voorkomen, als het ergens anders al fout gegaan is. Doordat ze werken op basis van signatures moeten ze eerst een update krijgen van de maker voordat ze het virus kunnen identificeren. Fabrikanten zijn al jaren bezig om virussen op basis van gedrag te herkennen, maar dit werkt nog altijd niet zoals je wilt.

Bron:
AV-Comparatives: https://chart.av-comparatives.org/chart1.php
AV-Test: https://www.av-test.org/e...y-essentials-4.10-170547/
needless to say
@eltweako22 mei 2017 18:32
Daar heb je ondertussen defender ATP voor. https://www.microsoft.com...wsforbusiness/windows-atp
Luxx
@ro8in21 mei 2017 19:04
Is't probleem hier ook niet een beetje dat MS antivirus standaard met windows geleverd wordt, dus als je een virus ontwikkelt, is het minste wat het moet kunnen de MS antivirus te slim af zijn, anders hoef je het niet uit te brengen. Juist een 'onbekende' 3rd party virusscanner wordt door virus-bouwers niet meegenomen , en kan dus soms ineens wel een nieuw virus herkennen...

Aan de andere kant is MS een enorm bedrijf, met enorm veel resources, en kennen ze windows als de beste. Als er dus iets is kunnen ze het wel snel patchen/updaten.

[Reactie gewijzigd door Luxx op 21 mei 2017 22:36]

ro8in
@Luxx21 mei 2017 21:38
Daar heb je inderdaad een punt. Had ik nooit aan gedacht terwijl het vrij voor hand liggend is.

Ik draai op me game pc eigenlijk alleen de standaard defender maar heb nooit last van virussen gehad. Nou moet ik wel toegeven dat ik eigenlijk ook vrij weinig doe behalve games downloaden vanuit de officiele stores en hier en daar wat foto bewerking met legale versies van software pakketten. Emailen en al het andere doe ik vanaf me macbook...
RIVDSL
@ro8in21 mei 2017 13:20
Mijn ervaring is dat dat inderdaad 10x niks is. Heb bij iemand een virus aangetroffen die door deze standaard scanner gewoon doorgelaten werd. Deze persoon had altijd wel een 3rd party scanner, echter was deze automatisch verwijderd door de upgrade naar Windows 10.

Na controle van zijn ontvangen emails bleek dat hij een attachment had geopend met een .exe in een .rar bestand. Resultaat was dat zijn email wachtwoord door iemand achterhaald werd en dat er facturen werden gestuurd naar zijn klantenbestand. Heb dit attachment toen geüpload naar virustotal.com. Ongeveer iedere scanner zou hem opgepikt hebben behalve die van Microsoft.
Qinshi
@eltweako21 mei 2017 13:05
Als de ransom ware zich enkel tot Oekraïne beperkt, dan kan je er zeker van zijn, dat er richting Rusland moet gekeken worden.

Het is eigenlijk voor een land, gemakkelijker om een ander land digitaal aan te vallen en z'n hele economie naar een schroothoop herleiden, dan effectief legers/tanks in het land sturen.
De media zal altijd feller reageren op een effectieve militaire aanval, dan een digitale aanval. Een digitale aanval, dat wss eigenlijk meer schade aanricht dan een militaire aanval.
familyman
@Qinshi22 mei 2017 12:38
Er zijn ook partijen die belang hebben bij een conflict(perceptie) tussen dje twee. Of een bepaalde reputatie van Rusland.

Die zouden het net zo goed kunnen doen.

Net zoals rusland zich zal willen verschuilen achter een iedereen wil ons zwart maken verhaal.

Niets is wat het lijkt als het op geopolitiek of terrorisme aankomt.
Jorgen
@Qinshi21 mei 2017 20:19
Ik zou niet graag Russische tanks of Chinese soldaten hier over de vloer hebben hoor ;)
Natuurlijk kan je je hele infrastructuur naar de haaien hebben door gerichte cyberaanvallen, maar fysieke oorlog zou ik nog niet uitvlakken en "minder schadelijk" willen noemen.
turtles3
@Jorgen21 mei 2017 20:44
Mocht Rusland hierachter zitten dan krijgen ze het als een boemerang terug. Dat lijkt me ook niet jofel.
Greymane
@Qinshi21 mei 2017 16:43
Dit is voor mij een typische anti-russische gedachtengang welke grotendeels voortkomt uit indoctrinatie door de media. Puur en alleen omdat deze ook anti Rusland en anti Putin is. Echter kom je niet met feiten of bewijs voor deze uitspraken, wat de uitspraken dan op zijn beurt weer herleiden tot je huidige score: 0 ofwel irrelevant.

Niet dat ik je hiermee probeer af te zeiken, ik probeer duidelijk te maken dat iedereen zijn mening wordt beinvloed door de media. Ook de Russische media maakt zich hier schuldig aan. Echter worden er een hoop dingen door onze media direct in de schoenen van Rusland geschoven, terwijl er geen greintje bewijs is.

Als je voor de gein eens zoekt op onafhankelijke nieuws sites, die niet aan een land of diplomatiek gebonden zijn, zul je een hoop alternatieve feiten ontdekken.

Oekraine heeft nog genoeg vijanden, ook in eigen land die dit klaar kunnen spelen, om politieke, criminele of persoonlijke redenen. En gezien het hier om ransomware gaat, is de logischere denkwijze criminele redenen. Niet politieke.

- knip -

[Reactie gewijzigd door Bor op 21 mei 2017 18:51]

Greymane
@goDiegogo21 mei 2017 22:19
En hoe weet jij van Putin zijn acties? De media wellicht? En ik ben niet geindoctrineerd, ik ben neutraal. Je kunt namelijk lezen dat ik duidelijk heb gezegd dat Rusland zich er ook schuldig aan maakt. Dus die opmerking sloeg kant noch wal. Eindstand is dat geen enkele overheid te vertrouwen is. Dus ook Rusland, Nederland of zelf België niet.
goDiegogo
@Greymane22 mei 2017 23:11
Jij neutraal, laat me niet lachen. Krijg je betaalt ofzo om positief over Putin te zijn? De media heeft toch niet verzonnen dat hij grondwetten heeft veranderd of dat hij als president zijn maatje die premier is president laat worden en hij weer premier, maar als een dictator de macht in handen houdt. Nee dat hebben de media allemaal verzonnen, die vent is hartstikke braaf zeg. Helemaal geen dictator hoor, hoe kom je erbij.
Greymane
@goDiegogo23 mei 2017 11:37
Ik vermoed dat het lezen van mijn beargumentatie een uitdaging is voor je. Vast door de vele moeilijke woorden en her en der een ingewikkelde zinsopbouw. Echter is nergens uit op te maken dat ik Pro-Putin ben of dat ik niet neutraal ben. Maar ik zal mijn neutraliteit nogmaals voor je bevestigen met deze woorden. Het boeit mij absoluut niet wat Putin doet in zijn eigen land. Welke wetten hij veranderd, zelfs al is het ten voordele van zichzelf. Wettelijk gezien is er in Rusland een presidentschap, en dat maakt het in theorie een democratie. Maar als was het officieel een dictatuur, wat de EU net zo hard kan zijn volgens jouw maatstaven, boeit me dat nog steeds he-le-maal niks. Wat ik wel heb is respect voor president Vladimir Putin. Hij heeft in zijn eentje meer ballen dan alle politica bij elkaar. Maar goed, ik laat het hierbij, je kwam namelijk bijzonder gefrustreert over, en dat ga ik je niet helpen ver aan te wakkeren. :) Dosvedanja!
kikker81
@Qinshi22 mei 2017 08:53
Werk je bij de AIVD? :o
Socket 1337
@eltweako21 mei 2017 13:00
Malwarebytes V3 neem ik aan?
eltweako
@Socket 133721 mei 2017 17:17
Ik heb mijn test uitgevoerd met V3 ja, alle modules uit behalve de ransomware module. Dit is immers de module die je zou moeten beschermen voor onbekende malware. Hoewel de module nog niet geweldig is, is hij stukken beter dan voorheen.
Jorgen
@eltweako21 mei 2017 20:17
Welk programma raadt jij aan om naast je normale viruspakket te installeren? Ik draai nu de meest recente versie van Norton Security (al jaren zeer tevreden Norton gebruiker) en heb daarnaast proefversies van Malwarebytes Antimalware en HitmanPro geprobeerd. Als het zin heeft om naast Norton nog iets anders te draaien, wil ik er gewoon voor betalen. Het moet echter wel zin hebben / lonen om dit te doen.
eltweako
@Jorgen21 mei 2017 23:13
Ik ben geen fan van Norton, maar dat is voornamelijk gebaseerd op de Norton van jaren geleden. Ik heb het product al 10 jaar niet meer getest/gebruikt.

Naar wat voor aanvullende beveiliging ben je op zoek? Als het om anti-malware/exploit/ransomware gaat heb je eigenlijk "maar" twee echte all-in-1 opties:
  • HitmanPro.Alert
  • Malwarebytes
Beide producten zijn een aanvulling voor je bestaande AV oplossing. HitmanPro Alert beschermt goed. Het geeft wel veel problemen bij exotische programma's en computergames.
Malwarebytes heeft met hun versie 3 een prachtig product op de markt gezet. Van alle producten op de markt is dit zo wat het compleetste en het meest gebruiksvriendelijk van allemaal.
Malwarebytes leunt meer op signatures waar HitmanPro leunt op gedragsanalyse.

Ik vind het moeilijk om echt iets aan te raden. Het is niet zo dat er een wonder product is waarmee je computer op en top beschermd is. Uiteindelijk ben je zelf de zwakste schakel. Sommige experts vinden beveiligingssoftware zoals virusscanners onnodig.
Persoonlijk vind ik software zoals een virusscanner belangrijk. Vergelijk het met de airbag in je auto. Als je een top chauffeur bent heb je hem niet nodig, maar als je een foutje maakt, of iemand anders, dan ben je wel blij dat hij er is.
Jorgen
@eltweako22 mei 2017 01:32
Bedankt voor je duidelijke verhaal. Ben blij dat ik dus al in de goede richting zat te denken.
BeosBeing
@eltweako22 mei 2017 13:50
Vergelijk het met de airbag in je auto. Als je een top chauffeur bent heb je hem niet nodig, maar als je een foutje maakt, of iemand anders, dan ben je wel blij dat hij er is.
Klopt niet helemaal. Zolang je niet crasht is een airbag nutteloos, dood gewicht, dit in tegenstelling tot keramische remschijven, ABS, ESP en zovoorts, die het rijden zelf veiliger maken en helpen een ongeluk te voorkomen, mits je niet bewust of onbewust roekelozer gaat rijden.
Als goede chauffeur kun je door vooruit te kijken ook fouten van anderen opvangen. Uiteraard is er aan dat ook een grens.

In het geval van malware, daar kan iedereen mee geconfronteerd worden als de site die je bezoekt een Drive-by-Download of zelfs een drive-by-install doet. Dat kunnen ook gewone normale sites zijn zoals in 2014 de Leeuwarder Courant, in 2013 de Telegraaf, speedtest.net, in 2011 FD, en ook nu.nl twee keer deed. Als gebruiker ben je dan altijd te laat.

Ook laadde Outlook in het verleden o.a. via het preview-venster bepaalde code in mails. Dat laatste heeft Microsoft inmiddels ondervangen, maar voor beide is een scanner die dit ondervangt, wat je zelf niet kunt, nodig.
In tegenstelling tot de auto heeft dat met roekeloosheid of met anderen​ hun fouten niets te maken.

Als je toch die aanrijding krijgt dan helpen airbags en kreukelzone's natuurlijk wel, ongeacht wie er fout was. Ook hier gaat de vergelijking niet op, want als jij je op internet onveilig gedraagt, kan geen een malware-scanner alles tegenhouden.
BeerGeneral
@eltweako22 mei 2017 02:18
Als (gekochte)Bitdefender gebruiker vraag ik mij dan af waarom een gratis programma als Hitman( al is het voor 30 dagen) dit wel detecteert en Bitdefender niet?
eltweako
@BeerGeneral22 mei 2017 21:47
HitmanPro.Alert werkt op basis van gedrag. Bitdefender AV op signatures en Bitdefender Antiransom werkt alleen tegen enkele varianten van ransomware.
Ransomware bescherming staat nog in de kinderschoenen, daarom zie je ook dat grote namen zoals Sophos bedrijven als Surfright (makers van hitmanpro) opkopen om de knowhow in huis te halen.
BeerGeneral
@eltweako22 mei 2017 22:29
oh op die fiets, tnx ;)
NNyx
@eltweako22 mei 2017 21:05
Nog nooit gehoord van Cybereason RansomFree. Hoe goed presteert het? Het lijkt een handige tool, en is bovendien gratis.
eltweako
@NNyx22 mei 2017 21:44
Getest, en ben er nog niet helemaal over uit. Voor een gratis tool kan ik er niets slechts over zeggen. XData leek het meteen te detecteren en te stoppen, dus dat is niet slecht. Maar ik meen van eerdere tests te herinneren dat het sterk leunde op trapfiles, zodra hier iets mee gebeurde stopte ransomfree het proces. Ik heb al verschillende ransomware gezien waarbij ransomfree helemaal niets deed.
Nogmaals, voor een gratis tool, niets mis mee. Zeker draaien als je wat extra veiligheid wilt. Maar mijn testresultaten zijn nog te inconsistent om er echt iets over te zeggen.
hotabibber
21 mei 2017 08:08
Hebben Windows Vista en Windows 8 en Windows 8.1 gebruikers hier dan gaan last van?
wildhagen
@hotabibber21 mei 2017 08:16
Jawel, XData gebruikt (volgens enkele analyses in ieder geval) dezelfde EternalBlue-exploit (patched in MS17-010) als de WannaCry-malware, dus ook Vista en 8.x zijn kwetsbaar, net zoals de RTM-versie van Windows 10 (latere updates van Win10 zijn niet kwetsbaar).

Alleen zijn de hoeveelheden users bij die versies waarschijnlijk gewoon een stuk lager.

Het is dus zaak goed bij te blijven met je security-patches (de fix was in maart immers al uitgekomen), en ook om SMBv1 te disablen. Dit laatst kan je doen middels een PowerShell-commando: Set-SmbServerConfiguration -EnableSMB1Protocol $false

De actuele status van je SMB-versies is op te vragen middels Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

Daarnaast uiteraard ook een goede, uptodate, virusscanner draaien voor verdere bescherming.

[Reactie gewijzigd door wildhagen op 21 mei 2017 08:23]

eltweako
@wildhagen21 mei 2017 11:05
Interessant, ik heb zelf nog geen netwerkverkeer kunnen vaststellen. Heb je wellicht een bron voor me?
Hoewel het uitschakelen van SMBv1 zonder meer een goed idee is, het net up-to-date houden van je systemen een must is, heb ik niet het idee dat het gaat helpen tegen XData. Het lijkt mij een "off-line" ransomware te zijn.
wildhagen
@eltweako21 mei 2017 11:13
Interessant, ik heb zelf nog geen netwerkverkeer kunnen vaststellen. Heb je wellicht een bron voor me?
Zelf heb ik hem nog niet mogen detecteren (lijkt tot nu toe idd helemaal binnen de Oekraïne te blijven), maar enkele malwareblogs koppelden het aan EternalBlue. In hoeverre dit klopt weet ik dus niet helaas.

Er zijn inmiddels overigens meerdere ransomware-wormen (en andere vormen van malware) actief die gebruik maken van de "NSA-exploits", om het maar even zo te benoemen. Een hele leuke is bijvoorbeeld EternalRocks, die gebruikt maakt van maar liefst 7 NSA-exploits (ter vergelijk: WannaCry gebruikte er 2).

In de nabije toekomst voorzie ik nog wel meer van dit soort malware. In ieder geval zolang mensen ongepatched op Internet blijven rondsurfen, en men SMBv1 niet disabled (waar mogelijk), en gekoppeld aan het niet gebruiken van een (fatsoenlijke) virusscanner.

Zolang er mensen blijven betalen bij dit soort acties, blijft het voor criminelen aantrekkelijk om ermee door te gaan, en met nieuwe varianten te komen.
eltweako
@wildhagen21 mei 2017 11:19
Goed voorbeeld doet goed volgen. Het is een kwestie van tijd totdat iemand een goede cocktail van exploits en ransomware maakt.

EthernalRocks is een zeer interessant voorbeeld. Maar lijkt meer een POC te zijn daar waar het geen echte payload heeft. Het is natuurlijk wachten totdat iemand EthernalRocks inzet om ransomware af te leveren.

Nu misbruiken ze exploits die anderen ontdekt hebben, maar geef ze nog even om zich te professionaliseren en de criminelen gaan hun eigen exploits schrijven/ontdekken.
CAPSLOCK2000
@eltweako21 mei 2017 12:53
Nu misbruiken ze exploits die anderen ontdekt hebben, maar geef ze nog even om zich te professionaliseren en de criminelen gaan hun eigen exploits schrijven/ontdekken.
Te laat, die markt bestaat al (minstens) 30 jaar. Veel van de exploits waar we het nu over hebben zijn extern ingekocht door de CIA/NSA. Ook criminelen kopen op die markt. De reden dat we er nu opeens veel van horen is dat een hoop van die exploits gratis op internet zijn verschenen. De kopers van deze exploits zijn namelijk normala gesproken heel terughoudend in het gebruik. Zodra bekend wordt dat een exploit bestaat wordt het gat gedicht en raakt je exploit z'n waarde kwijt.

Omdat het spul nu gratis op internet staat zijn er een hoop opportunisten die er zo snel mogelijk een slaatje uit willen slaan voor anderen het doen. Daarom is alle voorzichtigheid aan de kant gezet en schiet men openlijk met zware wapens.
Over een paar weken zal het wel weer afzwakken als de belangrijkste gaten gepatched zijn. Niettemin kan alle aandacht voor het onderwerp werken als reclame. Wellicht zijn er een paar mensen op het idee gekomen om ook maar eens een exploit te (ver)kopen.
ColdRain
@wildhagen21 mei 2017 09:46
Ik kan smbv1 niet disablen want dan valt een 7 miljoen draaiende productie eruit. Uiteraard kunnen die xp's en w98 (jawel) niet naar buiten maar aan de servers moeten ze wél kunnen dus die hebben smbv1 enabled. 't Is maar, het is niet altijd zo eenvoudig :)
adam76
@ColdRain21 mei 2017 10:29
Dan zit je goed fout, Als je een productie heb van 7 miljoen en je draait op zulke verouderde software dan moet je toch eens achter op je hoofd gaan krabben. Je moet je niet indenken wat er dan gebeurd als je een keer een wannacry binnen krijgt.... dan is het niet meer te stoppen.
26779
@adam7621 mei 2017 12:50
Dat is wel erg kort door de bocht. Ik heb het nog wel zouter gegeten: Op een pijplegger (schip) werd gebruik gemaakt van een Dos programma dat op een oude XT (8086 processor) draaide. Dit programma stuurde de las apparatuur aan die de pijpleidingen aan elkaar lassen. Als deze computer uitviel lag de productie van het schip stil. Kosten: 2mil per dag.
Soms ben je van legacy meuk afhankelijk. Het enige wat je dan kan doen is zo veel mogelijk scenario's vastleggen en daar procedures op plakken en zo aan damage control doen.
freaxje
@2677921 mei 2017 14:39
Gewoon op DOS laten draaien dan. ZEKER niet op een Windows gaan draaien. Die DOS is prima. Dat zal de komende 500 jaar blijven werken, zolang je maar hardware hebt die DOS plus je stukje software kan draaien.

Eneuh, nee, een industriële las machine heeft geen internetverbinding of browser of zo nodig. En er moet ook geen stappenteller of om het even welke tegenwoordige onnozele IoT "uitvinding" op kunnen draaien ook niet.
ColdRain
@adam7621 mei 2017 10:53
Jij denkt dat ik dit niet weet? Uit je 'naam' leid ik af dat ik 15 jaar ouder ben en wellicht dus ook 15 jaar meer ervaring en kennis heb. Ben daarom niet slimmer ofzo. Maar dat vingertje ben ik intussen wél beu.
Ik heb overigens enkel geschreven dat "het niet altijd zo eenvoudig is" als hier op Tweakers en elders doorgaans wordt voorgesteld. Er zijn omstandigheden (industrie meestal productie-machine gerelateerd) waarbij je niet anders kan dan smbv1 te enablen. Dan gaat het niet over de 'software' (het os dus) maar over de hardware (aansturing).
Ernieball_d
@ColdRain21 mei 2017 11:19
Ik denk dat Adam76 helemaal gelijk heeft.. wanneer je vandaag de dag ongepatchte systemen gebruikt (en daar 7 miljoen mee draait) dan loop je een groot risico. Dat weet jij want je klaagt hier over het probleem en als je dan een reactie terug krijgt vindt je het niet leuk dat iemand met het vingertje wijst. Als patchen of uitschakelen van smb v1 niet kan dan zul je naar andere oplossingen (bijv.. die omgeving in een fysiek gescheiden netwerk met fw hangen) moeten zoeken.
Ik ga er vanuit dat jij niet verantwoordelijk bent zoals de omgeving nu draait en dat jij het ook graag anders ziet.. maar je moet wel de keuze voor het blijven draaien met dit risico bij de verantwoordelijke personen neerleggen. Ik spreek uit ervaring en heb uiteindelijk geluk gehad dat wij de rvb konden overtuigen welke risico's zij liepen.
Ge Someone
@Ernieball_d21 mei 2017 13:31
Hij kan zijn systemen toch wel patchen? Er zijn patches voor XP / 2003 t/m W10. Tja W98, moet je niet meer aan een netwerk hangen.
LollieStick
@Ernieball_d22 mei 2017 01:43
Naar andere oplossingen zoeken is prima maar daar hangt vaak een (enorm) prijskaartje aan. Vaak gaat dit via een Raad van Bestuur die zijn fiat (ik heb het dus niet over die Italiaanse meuk :P) hier aan moet geven. Sommige zaken moeten zelfs nog langs een Raad van Toezicht.

Is het dan terecht te wijzen naar de ICT'er die geen budget krijgt of moet je wijzen naar de verantwoordelijke bestuurder?

Kortom het is in dat geval niet zijn verantwoordelijkheid, wel zijn probleem want hij moet het weer ("binnen 5 minuten") oplossen....

[Reactie gewijzigd door LollieStick op 22 mei 2017 01:46]

Puffino
@ColdRain21 mei 2017 12:43
Klopt helemaal, het is ook niet eenvoudig.

Het is nu een mooi moment om het wel een duwtje te geven, en managers doodsbang te maken. Hun keuze voor het niet prio geven kun je nu mooi als scenario voorleggen, als er een virus als deze door het bedrijf wandelt.

Uiteraard kan het goed aflopen en word je niet geraakt, maar die kans is klein.

Die vinger krijg je van mij zeker niet, ik zit zelf ook vaak zat in deze spagaat. Maar het IS normaal gesproken wel degelijk oplosbaar, alleen hangen er vaak kosten aan (en die kunnen idioot hoog zijn). En die zijn normaal gesproken het probleem.

Mocht het weer hangen op een leverancier, dan is het dus een kwestie van HEN verantwoordelijk stellen voor geleden schade, bijv. Confronteer HEN met jullie probleem. En "knijp die gasten uit" (om het even oneerbiedig te zeggen). Ook leveranciers moeten mee met veiligheid-vereisten.

Ik hoop dat het je lukt. Succes!
Anoniem: 890159
@Puffino21 mei 2017 22:09
Weer een hype creeeren, en als er dan bij de meeste mensen niks gebeurt weet die manager ook weer "die ITers proberen ook alles aan te grijpen om hun zin door te drijven". Men is de jaar 2000 paniekzaaierij ook nog niet vergeten.
Puffino
@Anoniem: 89015921 mei 2017 22:57
Inderdaad. Zo zijn "we". Agh die pareer je makkelijk hoor... "heb jij een autoverzekering"? (OK, je bent verplicht, sorry, maar het idee is duidelijk.)

Dat houd ik managers dan graag wel voor: "Wat je nu niet overkomt, overkomt je morgen DUS ook niet. Welterusten. Zet jij nu je handtekening dat je nu niet ingrijpt en dit risico neemt? Dat jij als niet-ingewijde vindt dat we geen risico lopen? Waarom heb je dan IT'ers in dienst als jij het beter weet?" Vinden ze niet leuk hoor, die vragen. ;-)
Neko Koneko
@Anoniem: 89015922 mei 2017 07:37
Is het niet zo dat juist omdat er zoveel te doen was om de millenniumbug mensen juist voorbereid waren, system waar mogelijk geüpdate waren en daardoor de uiteindelijke problemen juist meevielen?
Anoniem: 890159
@Neko Koneko22 mei 2017 12:09
Weet ik niet, in die tijd heb ik maar een probleem meegemaakt: toen we alle servers uitgezet hadden op 31-12-1999 wilde er een niet meer booten op 1-1-2000: de harddisk wilde niet meer opspinnen. Natuurlijk zo'n geval waar geen backup van was... Systeembeheer heeft toen met zachtjes er tegen tikken dat ding weer aan de gang gekregen waarna er meteen een backup gedraaid is.
osmosis
@ColdRain21 mei 2017 11:03
Wellicht een optie om de server die met de buitenwereld smbv1 connecties legt, een andere OS te geven.

ZFS + smbv1 = immuun

Bijv Freenas is dan een optie of een Oracle ZFS gebaseerd pakket

[Reactie gewijzigd door osmosis op 21 mei 2017 11:03]

CAPSLOCK2000
@ColdRain21 mei 2017 12:45
Ik kan smbv1 niet disablen want dan valt een 7 miljoen draaiende productie eruit. Uiteraard kunnen die xp's en w98 (jawel) niet naar buiten maar aan de servers moeten ze wél kunnen dus die hebben smbv1 enabled. 't Is maar, het is niet altijd zo eenvoudig :)
Niet om flauw te doen, maar om de realiteit te benadrukken:
Het klinkt alsof deze productielijn als 20 jaar draait. Daarmee is het project zo'n 20 x 7 = 140 miljoen euro waard. Met zoveel geld zou er ook wat van af moeten kunnen voor onderhoud en vernieuwing.

Maar goed, ik heb makkelijk praten van achter mijn toetsenbord, dat sommetje had je zelf natuurlijk al lang gemaakt en meegenomen in je overwegingen. Ik wil jou dan ook niks verwijten, het gaat me vooral om de (ogenschijnlijke) absurditeit van de situatie.
supersnathan94
@ColdRain21 mei 2017 13:25
Maar waarom heb je dan een smbv1 server nog steeds direct aan het internet hangen? Ik mag toch aannemen dat je wel tunneling gebruikt en ip whitelisting enzo?
goarilla
@ColdRain21 mei 2017 13:39
Zo'n situatie herken ik. Geniet van je ~< 14 character case insensitive password LM hashed passwoord :D.
Zarhrezz
@wildhagen21 mei 2017 11:59
Dank voor die commands...net even gedraaid op m'n W10 AU PC en tot m'n verbazing stonden SMBv1 en SMBv2 allebei aan! SMBv1 maar even uitgezet ondanks dat na de patch van maart het niet uit zou moeten maken op W10.
P.A.T.R.I.C.K
@wildhagen21 mei 2017 17:50
https://support.microsoft...indows-and-windows-server
hotabibber
@wildhagen21 mei 2017 08:49
Uiteraard begreep ik wel dat die versies er ook last van hebben. Maar ze worden om de een of andere reden niet in het artikel genoemd.

Zijn ook twee systemen die veel minder in gebruik zijn als de rest.

Die opmerking was eigenlijk meer bedoeld voor de auteur (Bauke) van het artikel.
Jay-B
@wildhagen21 mei 2017 20:40
Je hebt hiervoor uiteraard wel elevated privileges nodig. Klinkt voor de hand liggend maar voor mensen die hier minder in thuis zijn een belangrijk detail. :)
blorf
21 mei 2017 08:14
En ik heb al een maand een virtuele Win7 als "default server" van de LAN en zonder enige beveiliging runnen om eens zoiets op te lopen. Het wil maar niet lukken...
dasiro
@blorf21 mei 2017 08:45
als je NAT op je (modem)router hebt aanstaan wordt het al veel moeilijker, als er ergens dan nog eens een firewall tussen zit, is de kans al helemaal miniem om geïnfecteerd te raken
blorf
@dasiro21 mei 2017 09:48
Dat is dus die 'default server'. Nat kan niet "uit" op mijn modem. Verder staat alleen ssh naar een andere machine gericht en die krijgt constant password-raad-aanvallen voor zijn kiezen.
slommer
@blorf21 mei 2017 10:29
Dat had ik hier ook. Vervolgens maar ssh op andere poort gezet en 0 attacks sindsdien :)
ro8in
@slommer21 mei 2017 12:47
Je weet dat ssh op een andere poort natuurlijk wel totale schijn beveiliging is he?
Het houd alleen de domste bots tegen, maar een iets slimmere bot/virus kijkt hier dwars doorheen natuurlijk.
Ventieldopje
@ro8in21 mei 2017 13:47
SSH op een andere poort helpt wel in de zin dat de aanvaller een port scan moet uitvoeren op de niet-standaard poorten. Iets wat goed te detecteren is ;)
hackerhater
@Ventieldopje21 mei 2017 14:36
En het ontlast de SSH deamon omdat ie alleen nog de slimmere bots op zich krijgt.
Daniel_Elessar
@blorf21 mei 2017 10:07
Je kunt ze online ook vinden als je erop zoekt :)
Rudie_V
@dasiro21 mei 2017 10:58
Elke nat router heeft wel een dmz instelling. :)
dasiro
@Rudie_V22 mei 2017 08:35
en daar zit standaard niets in
Rudie_V
@dasiro22 mei 2017 11:00
Gelukkig niet nee :) , maar moelijk hoeft het niet te zijn om een 'honeypot' pc direct aan het internet te koppelen achter een nat router zoals het bij @blorf maar niet wilde lukken om geinfecteerd te raken met z'n windows 7 machine. :)
MrAndy9797
@blorf21 mei 2017 10:57
Misschien een domme vraag, maar als je bestanden in de vm versleuteld zijn, loopt jou hostmachine dan ook geen risico (omdat deze zogezegd met netwerk aangesloten zijn, of dat de vm op 'dezelfde' schijf staat als de host (vm-map van installatie op dezelfde schijf)). Ik heb echt geen idee hiervan...
badboyqxy
@MrAndy979721 mei 2017 11:27
Als je geen fileshare van je main naar je vm aan hebt staan kan er niet veel gebeuren, maar als je files als netwerk schijf aanwezig dan loop je wel risico.
Neko Koneko
@MrAndy979722 mei 2017 08:43
Misschien een domme vraag, maar als je bestanden in de vm versleuteld zijn, loopt jou hostmachine dan ook geen risico (omdat deze zogezegd met netwerk aangesloten zijn, of dat de vm op 'dezelfde' schijf staat als de host (vm-map van installatie op dezelfde schijf)). Ik heb echt geen idee hiervan...
De bestanden van de VM zullen op een virtuele schijf staan welke, zolang je hem niet in het host systeem mount, niet toegankelijk zijn vanuit het host systeem. De virtuele machine hoeft ook niet eens in hetzelfde netwerk te zitten als de host machine, je kunt hem op een (virtueel) netwerk plaatsen dat bijvoorbeeld alleen verbinding heeft met de router en dus alleen toegang heeft tot het internet.

Volgens mij is het wel een probleem dat veel malware kan detecteren dat het in een virtuele omgeving draait en dan vervolgens niet activeert om detectie door beveiligingsspecialisten moeilijker te maken.
Tim_bots
@blorf21 mei 2017 08:43
Staat die vm wel "rechtstreeks" op het internet aangesloten?
Je zult in je router moeten instellen dat deze alle data doorstuurt naar je vm. Anders krijg je het niet voor elkaar.
Als extra (voor lering en vermaak) zorg ervoor dat je Wireshark hebt draaien op de verbinding tussen je router en de vm. Kun je alle aanvallen zo binnen zien komen.
The Zep Man
@blorf21 mei 2017 11:03
En ik heb al een maand een virtuele Win7 als "default server" van de LAN en zonder enige beveiliging runnen om eens zoiets op te lopen. Het wil maar niet lukken...
Misschien heb je SMB 1.0 uitgeschakeld of de update al geïnstalleerd? De exploit maakt gebruik van SMB 1.0, een protocol dat overbodig is en uitgeschakeld kan worden zonder invloed op SMB te hebben. Heb je ook de 'File and Printer Sharing for Microsoft Networks' voor je netwerkadapter ingeschakeld en de software firewall geconfigureerd/uitgeschakeld?

[Reactie gewijzigd door The Zep Man op 21 mei 2017 11:05]

hcQd
@blorf21 mei 2017 09:44
Waarschijnlijk blokkeert je provider poort 445. Ik weet dat in ieder geval Ziggo en Xs4all dit doen.

[Reactie gewijzigd door hcQd op 21 mei 2017 09:56]

Bitmaster
@hcQd22 mei 2017 14:15
Je kunt de blokkering van poort 445 bij XS4ALL uitschakelen door in 'Mijn XS4ALL' de poortbeveiliging op niveau 0 te zetten (niveau 1 of hoger blokkeert 445). Maar dit is natuurlijk alles behalve aan te raden, want ook poort 135 en 1434 etc. gaan dan open.
hcQd
@Bitmaster22 mei 2017 14:35
Dat was vroeger zo, maar tegenwoordig staat ook op niveau 0 poort 445 dicht.
Bitmaster
@hcQd22 mei 2017 15:03
Oh. Dan heb ik niets gezegd...
blorf
@hcQd21 mei 2017 10:25
Telfort, even getest met netcat: in ieder geval niet voor rauwe ASCII. :)
blorf
@ro8in21 mei 2017 17:15
https://www.freebsd.org/c...path=SuSE+Linux/i386+11.3
https://play.google.com/s...ls?id=com.nikedlab.netcat

[Reactie gewijzigd door blorf op 21 mei 2017 17:16]

Kalief
21 mei 2017 13:45
Zou de standaardvaluta van hackers te maken hebben met de plotselinge koersstijging van de Bitcoin?
http://www.nu.nl/internet...an-2000-dollar-waard.html
gepebril
@Kalief21 mei 2017 14:26
Volgens mij stijgt de BTC al 2 jaar. Volgens mij meer dan 700% rendement in 2 jaar
.oisyn
@Kalief21 mei 2017 16:24
Natuurlijk heeft dat er niets mee te maken, de koers van bitcoin is namelijk compleet irrelevant. Of de koers nou $1 of $10.000 is, als je $300 wilt ontvangen dan pak je de hoeveelheid btc die dat bedrag geeft, oftewel resp. 300btc en 0,03btc.
Brontosaurus1
@.oisyn21 mei 2017 22:33
Nou... stel dat erg veel mensen betalen, dat zou betekenen dat er ineens veel bitcoin van de markt wordt gehaald, i.e. de prijs stijgt. Maar persoonlijk schat ik dat het te verwaarlozen is tov het dagelijkse handelsvolume.
.oisyn
@Brontosaurus122 mei 2017 02:04
Stel dat het niet verwaarloosbaar was, dan maakt het toch nog steeds niet uit hoe hoog de koers is? :)

[Reactie gewijzigd door .oisyn op 22 mei 2017 02:04]

Brontosaurus1
@.oisyn22 mei 2017 15:24
Volgens mij hebben we het over twee verschillende dingen. Ik denk dat je bedoelt, die 300$ (of wat dan ook) is nogsteeds 300$ ongeacht de prijs van bitcoin. Daar ben ik het mee eens.
Maar wat ik wil zeggen is dat de koers van bitcoin kan stijgen omdat een boel mensen het inkopen. Dus om in te gaan op de vraag van OP:

>Zou de standaardvaluta van hackers te maken hebben met de plotselinge koersstijging van de Bitcoin?

Ja dat kan.
.oisyn
@Brontosaurus122 mei 2017 15:27
Ah zo. Onwaarschijnlijk, om twee redenen:
  • Het volume van cryptomalware valt compleet in het niet met het dagelijkse handelsvolume van bitcoin, zoals je zelf ook al zei.
  • Die criminelen zitten niet te wachten op bitcoin, die willen gewoon geld. Bitcoin is slechts een middel. Dus bitcoins die door slachtoffers zijn aangeschaft (koersstijging) worden door de criminelen weer verkocht (koersdaling), en zal het verschil onder de streep niet zo groot zijn.
Jaahp
21 mei 2017 10:28
5 euro dat het russen zijn

EDIT: Russen met een hoofdletter :P

[Reactie gewijzigd door Jaahp op 21 mei 2017 13:17]

Steyn_E
@Jaahp21 mei 2017 13:31
Nog preciezer, het zijn vier Russen :+
Droxal
21 mei 2017 12:01
5 jaar geleden was het ergste wat je kon meemaken met je computer het (poepsimpele) "politie virus".
Als je dat vergelijkt met de ransomware van tegenwoordig begin ik al schrik te krijgen voor wat achter 5 jaar in omloop gaat zijn. :s
Om nog maar te zwijgen over de zero-day exploits waarvan er nog geen weet is.
Anoniem: 896479
@Droxal21 mei 2017 13:09
Gouden tijden voor de ICT Support bedrijfjes, die hun diensten aanbieden aan mensen die nooit een computer hadden moeten kopen.
SpoekGTi
@Anoniem: 89647921 mei 2017 16:17
Je realiseert je dat ook die personen die geen computer hadden moeten kopen wel verplicht wordt om een computer te kopen omdat een hoop diensten nu eenmaal via internet en niet anders meer gaan.
MrHankey
21 mei 2017 10:38
XData had 94 detected unique infections as of midday Friday, and the number was rising. In contrast, MalwareHunterTeam’s data indicates that there were less than 30 WannaCry infections in Ukraine in all
124 infecties, wow
Glenn0
21 mei 2017 22:59
Misschien is het toeval. Maar dit komt net enkele dagen nadat de regering van Oekraïne heeft besloten om verschillende grote "russische" websites te blokkeren zoals VK (hun Facebook) en Yandex (hun Google). Die websites waren (en zijn nog steeds zeer populair bij Oekraïners.
GekkePrutser
21 mei 2017 16:42
Mooi. Het grootste deel van de ransomware komt uit de Oekraine (dit is ook de oorsprong van het fenomeen) omdat de politie er daar niet tegen optreedt. Ik las dat er zelfs een openlijke conferentie is geweest van Ransomwaremakers. Hopelijk gaat dat nu veranderen, nu ze zelf eens getroffen worden hierdoor.
Anoniem: 924741
22 mei 2017 11:17
Wees voorzichtig met deze nieuwe in-dev ransomware ook.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee