Nieuws

NCSC: ‘Tientallen Nederlandse bedrijven getroffen door ransomware’

Meerdere Nederlandse bedrijven zijn getroffen door geavanceerde ransomware, staat in een vertrouwelijk rapport van het Nationaal Cyber Security Centrum (NCSC) dat de NOS heeft ingezien. Een woordvoerder van de NCSC bevestigt in gesprek met NU.nl dat recent inderdaad tientallen Nederlandse bedrijven slachtoffer zijn geworden van ransomware-aanvallen.

In het rapport staat niet om hoeveel bedrijven het gaat. Wel is bekend dat internationaal meer dan achttienhonderd bedrijven recent door ransomware zijn getroffen. Volgens het NCSC is een klein deel van deze bedrijven Nederlands.

Wanneer ransomware op een computersysteem terechtkomt, worden bestanden versleuteld en moet de eigenaar de hackers betalen om weer toegang te krijgen. Als getroffen bedrijven de hackers niet betalen, dan kunnen die alsnog grote verliezen lijden doordat processen stil komen te liggen.

Het NCSC vermoedt dat de hackers achter de ransomware toegang hadden tot zero-daykwetsbaarheden. Dit zijn beveiligingslekken in software die niet bekend zijn bij de ontwikkelaar van de software, waardoor kwaadwillende hackers ongestoord hun gang kunnen gaan tot het lek ontdekt wordt.

Bedrijven betalen soms miljoenen om weer toegang te krijgen

Een gedupeerd bedrijf betaalt soms miljoenen euro’s om weer toegang te krijgen tot de systemen. Volgens het rapport komt dit ook voor in Nederland. In sommige gevallen kon het NCSC bedrijven waarschuwen voordat de ransomware werd geactiveerd.

Wie achter de ransomware zit, is niet bekend. Wel verwacht het NCSC dat dergelijke aanvallen zullen blijven voorkomen, omdat die zeer winstgevend zijn.

Het is niet de eerste keer dat bekend wordt dat Nederlandse bedrijven doelwit zijn van ransomware. In 2017 werd de haven van Rotterdam getroffen door ransomware, waardoor de containerterminals stil kwamen te liggen.

Bedrijven hebben basisbeveiliging vaak niet op orde

Woordvoerder Anna Sophia Posthumus van het NCSC benadrukt dat bedrijven zelf meer moeten doen om hun beveiliging op orde te krijgen. Hoewel het om geavanceerde aanvallen gaat, hebben bedrijven hun beveiliging zelf niet goed op orde.

“Zorg ervoor dat je als bedrijf regelmatig updates draait en personeel bewust maakt van de dreiging”, vertelt Posthumus. “Veel ransomware komt binnen via phishing in de mail. Je beveiliging is zo sterk als de zwakste schakel in een bedrijf.”

Ook zijn er vaak geen back-ups aanwezig. “Ik vergelijk het altijd met een brandoefening; die doen bedrijven ook regelmatig om te weten waar de bottlenecks zitten als mensen een pand snel moeten verlaten. Bedrijven moeten dit ook doen om erachter te komen hoe goed ze zijn voorbereid als hun systemen ontoegankelijk worden”, aldus Posthumus.

Bron: https://www.nu.nl/tech/6014036/meerdere-nederlandse-bedrijven-volgens-ncsc-getroffen-door-ransomware.html

Gehackte computers kopen | Rats & Slaves | 3LAB DOCU

Een korte documentaire op de VPRO uit oktober 2019. De moeite waard om te bekijken.

In de 3LAB-documentaire Rats & Slaves onderzoekt filmmaker Anthony van der Meer de levendige digitale handel in gehackte computers. Hij infiltreert op een hackersforum voor ‘RATters’; hackers die mensen bespioneren, bestelen of afpersen. Deze slachtoffers worden ‘slaves’ genoemd. De documentaire geeft inzicht in een wereld die voor velen verborgen blijft en onderzoekt tegelijkertijd de ethische en journalistieke grenzen van de maker. Op de hackersforums worden niet alleen ‘RAT-tools’ aangeboden, maar ook volledige handleidingen om deze tools te gebruiken. Ervaren RATters helpen beginners op weg en er worden tips gegeven om geld te kunnen verdienen aan slaves, wiens foto’s als trofeeën worden gedeeld. Zelfs antivirus software wordt ontweken met makkelijk te gebruiken tools.

http://youtube.com/watch?v=BGsw_l0tT10

Piek in cyberaanvallen dit jaar, vooral vanuit China

De meest actieve hackers werken in opdracht van de Chinese overheid. Dat stelt cloud security-leverancier CrowdStrike op basis van een eigen rapport.

Het rapport laat zien dat in de eerste helft van 2019 het aantal cyberaanvallen flink is toegenomen. Dit is met name te wijten aan een toenemende uitwisseling van TTP’s (tools, techniques and procedures) tussen verschillende hacker-groeperingen. Zo wisselen hackers die in opdracht van landen werken ook regelmatig TTP’s uit met hackers die daar geld aan verdienen.

Het aantal aanvallen is stevig gestegen, constateren de onderzoekers. “Ons OverWatch-team ontdekt regelmatig hackers die zichzelf toegang hebben verschaft tot netwerken door gebruik te maken van valide accounts. Op deze manier infiltreren zij in bedrijfsnetwerken. Het is duidelijk dat hackers steeds brutaler worden en geavanceerde middelen gebruiken om schade aan te richten”, stelt Ronald Pool, Cyber Security Specialist bij CrowdStrike.

“We zijn steeds vaker dat hackers aan ‘Big Game Hunting’ doen, waarbij ze diep in een bedrijf infiltreren en dan plotseling de schakelaar omzetten en hun ransomware verspreiden. De impact is dan vaak zo groot dat het zeer waarschijnlijk is dat het slachtoffer het geëiste losgeld betaalt.”

De Chinese overheid heeft diverse industrieën als belangrijkste doelwit, waaronder chemical, gaming, health care, hospitality, manufacturing, technology en telecom. 

Bron: https://channelconnect.nl/securitydossier/2019/10/29/piek-in-cyberaanvallen-dit-jaar-vooral-vanuit-china/

De gevaren van USB apparaten.

USB-drives, ook wel thumb drives genoemd, zijn een populaire vorm geworden voor het opslaan en transporteren van bestanden van de ene computer naar de andere.

Hun aantrekkingskracht ligt in het feit dat ze klein, gemakkelijk verkrijgbaar, goedkoop en extreem draagbaar zijn. Deze kenmerken maken ze echter aantrekkelijk voor aanvallers. Kijk maar eens naar enkele van de meest spectaculaire computeraanvallen van de afgelopen jaren, en u zult meestal een USB-stick in het hart van dit alles vinden.

En het zijn niet alleen thumb drives die de boosdoeners zijn, elk apparaat dat op een USB-poort wordt aangesloten, inclusief elektronische fotolijsten, iPods en camera’s, kan worden gebruikt om malware te verspreiden. Deze apparaten kunnen zelfs tijdens het productie- of supply chain-proces worden geïnfecteerd als de kwaliteitscontrolemaatregelen niet voldoen. Wanneer gebruikers de geïnfecteerde producten kopen en op hun computer aansluiten, wordt malware op hun computer geïnstalleerd.

Aanvallers kunnen op talloze manieren USB-schijven gebruiken om computers te infecteren. Een methode is om kwaadaardige code of malware op het apparaat te installeren die kan detecteren wanneer deze op een computer is aangesloten. Wanneer het USB-station op een computer wordt aangesloten, infecteert de malware die computer. Een andere methode is om gevoelige informatie rechtstreeks naar een USB-schijf te downloaden.

Het enige dat hiervoor nodig is, is fysieke toegang tot een computer op het netwerk. Zelfs computers die zijn uitgeschakeld, kunnen kwetsbaar zijn, omdat het geheugen van een computer nog enkele minuten zonder stroom actief is. Als een aanvaller gedurende die tijd een USB-schijf op de computer kan aansluiten, kan hij of zij het systeem snel opnieuw opstarten vanaf de USB-schijf en het geheugen van de computer, inclusief wachtwoorden, coderingssleutels en andere gevoelige gegevens, naar de schijf kopiëren.

Cosol is de distributeur Benelux van USB-Lock-RP, de perfecte tool als het gaat om beheer van USB poorten, eSATA, Firewire, Bluetooth, IRDA, WiFi, CD//DVD en MTP.

USB-Lock-RP dashboard

SentinelOne ondersteunt container workloads

Cosol is partner en leverancier van SentinelOne.

SentinelOne levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. SentinelOne analyseert het gedrag van endpoints met behulp van slimme zelflerende algoritmes waardoor ook de nieuwste, onbekende malware wordt ontdekt. Door een geheel geautomatiseerd proces dat gestart wordt bij detectie van afwijkend gedrag, zorgt deze security oplossing voor een significante vermindering van het security management.

SentinelOne breidt zijn platform voor server- en werkplek-beveiliging uit met bescherming van container workloads, inclusief beheerde en onbeheerde Kubernetes-systemen.

Gebruikers profiteren van SentinelOne’s Behavioral AI en autonome response-capaciteit op alle Linux-platformen, fysiek en virtueel, cloud-native workloads en containers die de aanbieder van autonome endpoint bescherming biedt. Daardoor kan preventie, detectie, response en threat hunting op alle platformen plaatsvinden. Kwaadaardige bestanden en live-aanvallen in cloud-native en container omgevingen worden herkend en tegengegaan, waarna systemen autonoom worden opgeschoond.

Endpoints en containers

Infrastructuren worden steeds vaker aangestuurd en gehost in de cloud, vaak als container workloads. Veel tools voor endpoint-protectie en EDR vertrouwen op cloud voor detectie, maar door de grotere kwetsbaarheid door die cloud, schieten ze snel te kort. De nieuwe server en workload protection van SentinelOne is specifiek gebouwd voor container-workloads en voor installaties op traditionele servers in de cloud en private datacenters.

Bedrijven vergroten hun perimeter en daarmee de aanvalsoppervlakte, die zich inmiddels uitstrekt tot in de cloud. Deze workloads vereisen dezelfde monitoring, provisioning en bescherming als elk ander apparaat in het netwerk. Het vernieuwde SentinelOne platform maakt dit mogelijk door zichtbaarheid, bescherming en context te bieden bij elke cloud workload, container en virtuele machine, en daarmee real-time bescherming tegen aanvallen.

SentinelOne’s server en workload bescherming is infrastructuur-onafhankelijk en kan worden uitgerold in de containers zelf, op de machines die ze hosten, op servers of in de cloud.

Ransomware; schade 74 miljoen euro

Een omvangrijke infectie door ransomware kost de Deense hoortoestelfabrikant Demant naar schatting een bedrag van tussen de 74 en 87 miljoen euro, zo heeft het bedrijf in een persbericht laten weten. De infectie vond plaats op 3 september en zorgde ervoor dat Demant besloot om de it-systemen van meerdere locaties en bedrijfseenheden uit te schakelen.

Doordat belangrijke it-systemen niet toegankelijk waren had de infectie gevolgen voor allerlei onderdelen van het bedrijf, waaronder onderzoek, productie en distributie. Vorige week meldde Demant dat op een aanzienlijk aantal locaties de it-systemen zijn hersteld en het bedrijf naar verwachting over twee tot drie weken weer volledig operationeel zal zijn. Tevens liet de hoortoestelfabrikant zich uit over de verwachte schade voor dit jaar. Die wordt geschat op een bedrag van tussen de 74 en 87 miljoen euro. Het schadebedrag is inclusief de 13,4 miljoen euro die de Demant van de verzekering krijgt uitgekeerd.

De financiële impact zou vooral liggen in misgelopen verkopen en verzwakking van de groei. “Het incident heeft ervoor gezorgd dat we onze ambitieuze groeiactiviteiten in een aantal van de belangrijkste maanden van het jaar, met name in de Verenigde Staten, onze grootste markt, niet konden uitvoeren”, aldus de verklaring van Demant. De directe schade door de ransomware zelf is op 6,7 miljoen euro geschat en zit ook in het eerder genoemde totale schadebedrag verwerkt. Demant zal later dit jaar met een verdere update over de financiële gevolgen komen en heeft inmiddels besloten om het terugkopen van aandelen tijdelijk te staken.

Bron: https://www.security.nl/posting/625980/Ransomware+kost+hoortoestelfabrikant+74+miljoen+euro

Bulgaarse bank krijgt boete van 500.000 euro voor datalek

De Bulgaarse privacytoezichthouder heeft de Bulgaarse DSK Bank wegens een datalek veroordeeld tot een boete van ruim 500.000 euro. Uit onderzoek van de toezichthouder bleek dat de bank onvoldoende technische en organisatorische maatregelen had genomen om klantgegevens te beschermen.

Daardoor konden de gegevens van meer dan 33.000 klanten door derde partijen worden opgevraagd. Het ging om namen, de Bulgaarse tegenhanger van het Burgerservicenummer, adresgegevens, gescande kopieën van identiteitsbewijzen met biometrisch informatie over lengte en kleur van de ogen, belasting- en salarisgegevens en informatie over bezittingen. Hoe het datalek precies kon ontstaan laat de toezichthouder niet weten.

Wel bleek uit onderzoek van de autoriteit dat de bank de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen en diensten voor het verwerken van persoonlijke gegevens van personen en klanten van de bank en gerelateerde derde partijen niet kon garanderen. Daarop werd een boete van 1 miljoen Bulgaarse lev opgelegd, omgerekend 511.000 euro.

Algemene Rekenkamer: cybersecurity vitale waterwerken niet waterdicht

Rijkswaterstaat kan tunnels, bruggen, sluizen en waterkeringen nog beter beveiligen tegen cyberaanvallen. Dat is de belangrijkste conclusie uit een rapport van de Algemene Rekenkamer. Minister Van Nieuwenhuizen van Infrastructuur en Waterstaat is het hier mee eens en neemt de aanbevelingen van de Algemene Rekenkamer over.

De Algemene Rekenkamer heeft onderzocht hoe de waterwerken die essentieel zijn voor ons land worden beschermd tegen cyberaanvallen. Uit het onderzoek blijkt dat Rijkswaterstaat de afgelopen jaren zelf van alle tunnels, bruggen, sluizen et cetera heeft vastgesteld welke cyberveiligheidsmaatregelen moeten worden genomen.

Een groot deel van die maatregelen (ongeveer 60%) was begin 2018 ook al uitgevoerd, maar Rijkswaterstaat ziet volgens de Algemene Rekenkamer onvoldoende toe op de uitvoering van het resterend deel en heeft geen actueel overzicht van de overgebleven maatregelen. Rijkswaterstaat dwingt de uitvoering van openstaande maatregelen niet af bij de eigen regionale organisatieonderdelen. Ook maakt cybersecurity nog geen volwaardig onderdeel uit van reguliere inspecties.

Kwetsbaarheid cybercriminaliteit toegenomen
Vitale waterwerken functioneren op automatiseringssystemen die veelal stammen uit de jaren 80 en 90 van de vorige eeuw. Deze zijn in de loop der jaren gekoppeld aan computernetwerken om bijvoorbeeld bediening op afstand mogelijk te maken. Daardoor is de kwetsbaarheid voor cybercriminaliteit toegenomen. Volgens Rijkswaterstaat is het kostbaar en technisch uitdagend om klassieke automatiseringssystemen te moderniseren en wordt er daarom vooral ingezet op detectie van aanvallen en een adequate reactie daarop.

Security Operations Center
Minister Van Nieuwenhuizen heeft een aantal waterwerken die Rijkswaterstaat beheert als vitaal aangewezen. Een aanval op IT van deze waterwerken kan grote gevolgen hebben voor Nederland. Uit het onderzoek blijkt dat nog niet alle vitale waterwerken rechtstreeks zijn aangesloten op het Security Operations Center (SOC) van Rijkswaterstaat. De ambitie om eind 2017 bij alle vitale waterwerken cyberaanvallen direct te kunnen detecteren was in het najaar van 2018 daarmee nog niet gerealiseerd. Hierdoor bestaat het risico dat RWS een cyberaanval niet of te laat detecteert.

Documentatie niet altijd actueel
De Algemene Rekenkamer vindt het voor een snelle en adequate reactie op een crisissituatie van essentieel belang dat informatie up-to-date is. Maar uit het onderzoek blijkt dat bij crises belangrijke documentatie niet altijd actueel is en dat er geen proces is ingericht om deze actueel te houden. Ook ligt er geen specifiek scenario klaar voor een crisis als gevolg van een cyberaanval en worden zogenoemde penetratie- of ‘pentesten’ nauwelijks uitgevoerd. Bij zulke testen proberen ingehuurde hackers beveiligingssystemen te omzeilen of te doorbreken. Pentesten zouden integraal onderdeel uit moeten maken van de cybersecuritymaatregelen bij vitale waterwerken, aldus de Algemene Rekenkamer.

Kwetsbaarheidstest
Gedurende het onderzoek is in samenwerking met Rijkswaterstaat een kwetsbaarheidstest uitgevoerd bij een van de vitale waterwerken. Daarbij wisten de ingehuurde ethische hackers het object fysiek binnen te dringen en zich toegang tot de controlekamer te verschaffen. De aanvallers werden echter direct opgemerkt door het SOC toen ze vanaf het terrein een laptop aansloten op het IT-netwerk van Rijkswaterstaat.

Bron: https://www.waterforum.net/algemene-rekenkamer-cybersecurity-vitale-waterwerken-niet-waterdicht/

Scroll to top