Ook Nederlandse bedrijven getroffen door nieuwe gijzelsoftware

Monique Verlind (DJMO)

Verschillende bedrijven in Nederland zijn de afgelopen tijd slachtoffer geworden van SamSam, een nieuwe vorm van 'gijzelsoftware' die oprukt. Dat meldt Fox-IT op haar website. SamSam is de opvolger van onder andere WannaCry en GandCrab, en werkt slimmer dan zijn voorgangers zo vertelt Frank Groenewegen.

De mensen achter SamSam slaan na het besmetten niet direct toe, maar kijken eerst waar ze in het systeem zijn binnengekomen en of ze nog dieper kunnen binnendringen. Daarna worden eerst de back-ups verwijderd of gesaboteerd zodat het bedrijf de besmetting niet ongedaan kan maken. Zodra dat gebeurd is, vergrendelt SamSam de bestanden. "Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen" aldus Groenewegen.

Onbekend
Het is niet bekend hoeveel bedrijven er getroffen zijn, er zijn mogelijk ook bedrijven besmet zonder dat ze het zelf weten. Doordat computersystemen gericht worden gegijzeld, kunnen de makers een hoger losgeld eisen dan bij andere besmettingen. Groenewegen: "Soms weten ze zelfs hoeveel geld een bedrijf op de rekening heeft staan. Die informatie kunnen ze gebruiken om de hoogte van het losgeld te bepalen. Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg."

Het losgeld dat betaald moet worden kan oplopen tot enkele tonnen volgens Fox-IT. Enkele bedrijven hadden geluk en konden terugvallen op een oude back-up of een reservesysteem waar SamSam niet bij kon komen. Andere bedrijven zagen geen andere mogelijkheid dan het losgeld te betalen.

Internationaal
In de Verenigde Staten zijn minimaal tweehonderd organisaties, waaronder de gemeentes Atlanta en Newark, drie ziekenhuizen en de haven van San Diego, getroffen door SamSam. Daar zouden miljoenen mee buitgemaakt zijn. Twee Iraniërs zijn door de VS aangeklaagd vanwege het maken en verspreiden van SamSam sinds 2015. De twee verdachten, 34 en 27 jaar, zijn voortvluchtig. Twee andere Iraniërs zijn op een zwarte lijst gezet omdat ze betrokken zouden zijn bij het witwassen van het losgeld.

Ook Nederlandse bedrijven getroffen door nieuwe gijzelsoftware (Foto ©Pxhere)

zondag 2 december 2018, 12:11 uur #1

flipsen

Argentinie-specialist!

quote:
Bedrijven die niet genoeg geld hebben, gaan ze niet lastigvallen. Die zijn de moeite niet waard, dan gaan ze weg.

Niets te vrezen dus

Ik hou me bezig met het organiseren van reizen naar Argentinie, Chili en Peru voor Tipica Reizen.

zondag 2 december 2018, 12:28 uur #2

Averni

quote:
Daarna worden eerst de back-ups verwijderd of gesaboteerd zodat het bedrijf de besmetting niet ongedaan kan maken. Zodra dat gebeurd is, vergrendelt SamSam de bestanden. "Dit is een nieuwe trend. Ze gaan echt geraffineerd en zorgvuldig te werk, om de kans zo groot mogelijk te maken dat een slachtoffer geen andere optie heeft dan te betalen" aldus Groenewegen.

Backups worden nooit on-site bewaard, en zijn niet toegankelijk vanaf het systeem waarvan de backup gemaakt is. Daarnaast kun je een besmetting altijd ongedaan maken.

--edit
Simpeler uitgelegd; als je weinig beveiliging hebt dan is een virus niet nieuwswaardig, maar gewoon het gevolg van je eigen domheid.

zondag 2 december 2018, 12:34 uur #3

tstile

quote:
Op zondag 2 december 2018 @ 12:28 schreef Averni het volgende:

[..]
Backups worden nooit on-site bewaard, en zijn niet toegankelijk vanaf het systeem waarvan de backup gemaakt is. Daarnaast kun je een besmetting altijd ongedaan maken.

--edit
Simpeler uitgelegd; als je weinig beveiliging hebt dan is een virus niet nieuwswaardig, maar gewoon het gevolg van je eigen domheid.

Tja het nieuws is natuurlijk dat er nog genoeg bedrijven geen goede beveiliging hebben EN dat dit virus dus op zoek gaat naar backups en die gaat deleten. Dat is volgens mij een nieuwe ontwikkeling.

zondag 2 december 2018, 12:35 uur #4

mvdejong

Home is where the cat is.

quote:
Op zondag 2 december 2018 @ 12:28 schreef Averni het volgende:

[..]
Backups worden nooit on-site bewaard, en zijn niet toegankelijk vanaf het systeem waarvan de backup gemaakt is.

Leuk in theorie, maar bij kleine en middelgrote bedrijven (en soms ook grote, omdat backups daar vaak per site, afdeling of applicaties worden geregeld) is backup vaak een stiefkindje van de IT (kost geld, en "levert niets op"), en soms bestaat de backup-strategie uit het kopieren van de bestanden naar een NAS-kastje dat permanent als schijf-letter op de server aanwezig is. En ze saboteren ook de backup, dus zelfs als het bedrijf een betere oplossing heeft geimplementeerd, kunnen ze de backup gewoon uitschakelen, of de configuratie zo aanpassen dat hij cruciale bestanden niet meer veiligstelt. Ik heb helaas voldoende bedrijven meegemaakt waar de backup-logging niet gecontroleerd werd, en er zijn maar heel weinig bedrijven die regelmatig een restore-test uitvoeren, ondanks de wijsheid "klanten betalen niet voor een backup, klanten betalen voor een restore".

quote:
Daarnaast kun je een besmetting altijd ongedaan maken.

Wat hier bedoeld wordt is het herstellen van de bestanden vanaf een backup.

Sam the American Eagle : You, sir, are a demented, sick, degenerate, barbaric, naughty freako!
Alice Cooper : Why, thank you!
Sam the American Eagle : Freakos: One. Civilization: Zero.

zondag 2 december 2018, 12:39 uur #5

quote:
Op zondag 2 december 2018 @ 12:28 schreef Averni het volgende:

[..]
Simpeler uitgelegd; als je weinig beveiliging hebt dan is een virus niet nieuwswaardig, maar gewoon het gevolg van je eigen domheid.

Zeker. Het probleem is bij grote bedrijven (en zeker de overheid) dat beslissingen over de noodzaak van backups, en de kosten van backups, vaak bij verschillende afdelingen zijn belegd, met heel verschillende belangen. "Op backups kun je best bezuiningen, want die leveren geen geld op".

En als ik kijk hoeveel thuisgebruikers ik al heb moeten teleurstellen omdat een harddisk, of een USB-stick, waar al hun foto's, of jaren aan onderzoeks-werk op stonden, definitief niet meer te redden zijn ...

zondag 2 december 2018, 13:01 uur #6

X11

Dit invulveldje is veel te kor

quote:
Daarna worden eerst de back-ups verwijderd of gesaboteerd zodat het bedrijf de besmetting niet ongedaan kan maken.

Daar kon je op wachten natuurlijk. Toen ik me dat realiseerde ben ik gaan backuppen met FTP, dus niet simpel kopiëren naar een gedeelde schijf met R/W toegang.
Maar ongetwijfeld vindt het geboefte daar ook wel weer wat op. Zucht....

Rutte, ga weg. Alsjeblieft. ✔
Poetin, ga weg. Alsjeblieft.

zondag 2 december 2018, 13:12 uur #7

En wat als de ransomware weet te achterhalen wanneer die back-ups gemaakt worden, en vooraf het bestand versleutelt en als het back-uppen klaar is alles weer 'ontsleutelt'? Op die manier kun je dagenlang niks in de gaten hebben terwijl alle generaties van jouw back-up onbruikbaar zijn geworden.

Of breng ik hierdoor het geboefte op ideeën?

zondag 2 december 2018, 13:22 uur #8

quote:
Op zondag 2 december 2018 @ 12:34 schreef tstile het volgende:

[..]

Tja het nieuws is natuurlijk dat er nog genoeg bedrijven geen goede beveiliging hebben EN dat dit virus dus op zoek gaat naar backups en die gaat deleten. Dat is volgens mij een nieuwe ontwikkeling.

Kan me nog voorstellen dat het op zoek gaat naar SQL server backups op dezelfde server; je bent je diploma ook niet waard als je die daar bewaart. Images van een server (ook een backup) verwijderen zal er niet inzitten. Daarnaast is het ook vrij logisch dat we de backup fysiek ergens anders bewaren.

zondag 2 december 2018, 13:24 uur #9

quote:
Op zondag 2 december 2018 @ 13:12 schreef X11 het volgende:

[..]

En wat als de ransomware weet te achterhalen wanneer die back-ups gemaakt worden, en vooraf het bestand versleutelt en als het back-uppen klaar is alles weer 'ontsleutelt'? Op die manier kun je dagenlang niks in de gaten hebben terwijl alle generaties van jouw back-up onbruikbaar zijn geworden.

Of breng ik hierdoor het geboefte op ideeën?

Niet echt; versleutelen en ontsleutelen van grote bestanden vergt erg veel processortijd. Het valt wel op als de server twee dagen niet reageert omdat de CPU op 100% staat te kachelen.

Dat kan hooguit op een onbeveiligde PC waar een idioot achter zit. Daar hebben we er dan ook erg veel van

zondag 2 december 2018, 13:30 uur #10

De NOS geeft wat meer technische informatie: https://nos.nl/artikel/22(...)-gijzelsoftware.html

Zoals:

quote:
De hackers maken gebruik van het veelgebruikte RDP, het zogenoemde remote desktop protocol, waarmee je als systeembeheerder of medewerker vanuit huis in de systemen van de organisatie kan.

zondag 2 december 2018, 14:07 uur #11

Grimi

quote:
Op zondag 2 december 2018 @ 13:22 schreef Averni het volgende:

[..]
Kan me nog voorstellen dat het op zoek gaat naar SQL server backups op dezelfde server; je bent je diploma ook niet waard als je die daar bewaart. Images van een server (ook een backup) verwijderen zal er niet inzitten. Daarnaast is het ook vrij logisch dat we de backup fysiek ergens anders bewaren.

Eigenlijk kun je rustig stellen dat je je diploma niet waard bent als je überhaupt SQL Server inzet.

zondag 2 december 2018, 14:33 uur #12

Fleischmeister

Eet vleesch

quote:
Op zondag 2 december 2018 @ 14:07 schreef Grimi het volgende:

[..]

Eigenlijk kun je rustig stellen dat je je diploma niet waard bent als je überhaupt SQL Server inzet.

Hele volksstammen die het gewoon op een goede manier gebruiken, wat is er precies zo slecht aan SQL Server?

zondag 2 december 2018, 15:38 uur #14

#ANONIEM

samsam als in 50/50?

zondag 2 december 2018, 17:27 uur #15

quote:
Op zondag 2 december 2018 @ 14:33 schreef Henno het volgende:

[..]

Hele volksstammen die het gewoon op een goede manier gebruiken, wat is er precies zo slecht aan SQL Server?

Het is een speelgoed database. Leuk om.je platenverzameling in op te slaan ofzo. Of bedoel je dat met "op de goede manier gebruiken"?

zondag 2 december 2018, 18:15 uur #16

Breetai

....Relax....

quote:
Op zondag 2 december 2018 @ 13:01 schreef X11 het volgende:

[..]

Daar kon je op wachten natuurlijk. Toen ik me dat realiseerde ben ik gaan backuppen met FTP, dus niet simpel kopiëren naar een gedeelde schijf met R/W toegang.
Maar ongetwijfeld vindt het geboefte daar ook wel weer wat op. Zucht....

En dat nackupscript zal waarschijnlijk ook over inlog credentials beschikken. Wat dus weer eenpotentieel risico vormt.

Misschien als je NAS alles via rsync binnentrekt, dat het dan veiliger is.

"I’ll renounce cynicism when it ceases having predictive powers" -- @devbisme

zondag 2 december 2018, 23:18 uur #17

Pollius

Ik heb 1,5 minuut nodig voor jouw voordeurslot, zonder ook maar enige schade aan te richten. Als je je huis verder niet beveiligd hebt is het een gevolg van je eigen domheid als het morgen leeg is.

maandag 3 december 2018, 12:39 uur #18

VolGlorie

Dit is wel echt heftig hoor en een gevaar voor de toekomst. Dit is mogelijk nog maar het begin van online misdaad.

maandag 3 december 2018, 13:29 uur #19

boomer562

weer geen weer

als je denkt dat je er bent met het nieuwste software pakketje, blijkt toch dat je weer achteraan de technologie staat, de uitvinders van deze software zijn diezelfde die die ook van die gaten af weten, en dat levert ook veel geld op ,in de criminele wereld
het Oostblok en Afrika, zijn verder dan je denkt, alles wordt alleen maar onbetrouwbaarder.
in de toekomst valt je autotje stil bij een tankstation, met de melding op je dashboard of je cryptomuntjes wil overmaken, anders gaat jouw autotje nergens meer naar toe.
lekkere toekomst !!!!!

Reageer zelf

Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken

Ook Nederlandse bedrijven getroffen door nieuwe gijzelsoftware

Lees ook

19 reacties