Bauhaus slås for at slippe ud af russiske hackeres kløer: Overvejer nu at betale løsesummen

Danske virksomheder blev ikke udsat for afpresning af nævneværdig grad før ransomware dukkede op. Nu er det pludseligt noget man forsøger at forsikre sig imod. I det hele taget var afpresning ikke nogen stor forretning hvis man bare går 10 år tilbage.

Det er stadigvæk Erasmus Montanus at lave den kobling du gør.

Ransomware er jo bare en ny form for afpresning og mit argument går på, at jeg ikke mener at krypto valuta er årsagen til at vi har fået ransomware.

Danske virksomheder blev ikke udsat for afpresning af nævneværdig grad før ransomware dukkede op. Nu er det pludseligt noget man forsøger at forsikre sig imod. I det hele taget var afpresning ikke nogen stor forretning hvis man bare går 10 år tilbage.

At sætte lighedstegn mellem krypto valutaer og fremkomsten af ransomware er efter min mening forkert.

Det kan du mene. Men uden kryptovalutaer var der i praksis ingen ransomware. Jeg kan ikke mindes nogen eksempler på succesfuld ransomware der ikke involverede ransomware. Det er muligt at hvis man forbød kryptovaluta, at forbryderne så ville gå et andet sted hen men det er rent spekulation.

Det havde muligvis været mere besværligt for dem (eller rettere gidslet at betale), men det ville stadig kunne ske.

Det er ikke besværret det er problemet. Det er risikoen. Risikoen for at blive fanget. Med kryptovaluta kan man sidde på en strand ved det krystalblå vand uden at bekymre sig om at politiet dukker op forklædt med falske moustacher mens ens malware arbejder og pengene vælter ind på kontoen. Det der gør kryptovaluta specielt egnet til ransomware er at det er elektronisk (=man behøver ikke dukke op fysisk for at modtage pengene) og det er ikke-sporbart (hvis man er klog).

Der er ingen andre nemt tilgængelige betalingsmetoder som opfylder begge krav. Myndighederne kæmper netop for at regulere alle andre elektroniske betalingsmetoder sådan at man kan ramme hvidvask, terrorfinansiering, sorte penge, etc. Så længe kryptovaluta ikke er reguleret på samme måde så vil det blive brugt til kriminalitet. Herunder ransomware. Af samme grund er din Erasmus Montanus vinkel helt ude i skoven …

Nej vi havde i praksis ikke ransomware før kryptovalutaer blev udbredt. Det kan der være mange grunde til men det var ikke noget problem før i tiden.

Det havde muligvis været mere besværligt for dem (eller rettere gidslet at betale), men det ville stadig kunne ske.

Vi har jo også stadig traditionelle gidseltagninger, selv om Nick så har plastret landet til med "tryghedskameraer".

Ransomware er jo bare en ny form for afpresning og mit argument går på, at jeg ikke mener at krypto valuta er årsagen til at vi har fået ransomware. Ransomware er blot en naturlig udvikling indenfor hacker miljøet. En ny måde at tjene penge på. Penge som de også ville forsøge at tjene på denne måde, hvis der ikke var noget der hed krypto valuta.

At sætte lighedstegn mellem krypto valutaer og fremkomsten af ransomware er efter min mening forkert.

Ny skrev jeg også afpresning. Ikke ransomware.

almindelig valuta i stor grad stadig bruges til forbrydelser

Ny skrev jeg også afpresning. Ikke ransomware.

Men skidt nu med det. Personligt tror jeg ikke, at det ville stoppe ved at man forbød Krypto Valutaer. Ser vi lidt på hvor mange hvidvaskningsskandaler der popper op vil jeg mene, at det er et ganske godt udtryk for, at almindelig valuta i stor grad stadig bruges til forbrydelser. Det er måske nemmere med krypto valuta, men at afskaffe det afhjælper ikke problemet.

Det ville være som at forbyde benzin for at forhindre færdselsuheld eller noget i den stil. :-)

Nu var der også afpresning før krypto valutaer var en ting. "Sjovt" nok fandt de også dengang metoder til at stikke af med pengene.

Nej vi havde i praksis ikke ransomware før kryptovalutaer blev udbredt. Det kan der være mange grunde til men det var ikke noget problem før i tiden.

Og det kan være ganske svært få sine afpresningspenge udbetalt. Hvis man selv skal dukke op for at hente en kuffert fyldt med penge så udsætter man sig selv for stor risiko. På samme måde er det også ret svært at hive den slags gennem det internationale banksystem.

Nu var der også afpresning før krypto valutaer var en ting. "Sjovt" nok fandt de også dengang metoder til at stikke af med pengene.

Så at regne med at den slags angreb her ville forsvinde hvis krypto valutaer forsvandt synes jeg er helt forkert.

Til dem der gerne vil læse om teknik og løsninger og ikke bare høre om it chefers synsninger er der tilsyneladende bedre medier end v2. eks:

https://www.computerworld.dk/art/256919/undgaa-ransomware-her-er-tre-basale-metoder-som-du-kommer-rigtigt-langt-med

Måske har de masser af backup, men på en platform der også er ramt. Eller malware har eksisteret længe og langsomt ændret data.

Det er det jeg mener en dygtig IT-journalist skulle have boret eller kan gøre i en opfølgende artikel. Så man som læser af IT-medie faktisk bliver klogere og ikke bare får en liste over hvem der nu er ramt.

Der kom f.eks. en rigtigt god - men også rystende - V2-artikel om Mærsks milliard-dyre nedbrud hvor man netop havde alle AD-servere online som backup for hinanden, og ikke havde nogen offline-backup.

Det er både tillladt og tilrådeligt for os IT-folk og IT-ledere at lære af de andres problemer og deciderede fejl, når de er så uselviske at fortælle om detaljerne og deres egne fejl.

Modsat var V2s artikel om det helt samme hos Demant helt blottet for indsigt. IT-lederen fortalte om de fantastiske helte der kæmpede for at slukke branden som de helt uventet og uden advarsel blev ramt af - men som tilsyneladende var næsten det samme som Mærsk advarde om.

Nu har vi så Bauhaus, der trods de efter eget udsagn havde fantastisk styr på alting, og alligevel helt uventet og uden advarsler tilsyneladende blev ramt af næsten det samme som Demant og Mærsk advarede om.

Hvem siger at de ikke har haft backup? Måske har de masser af backup, men på en platform der også er ramt. Eller malware har eksisteret længe og langsomt ændret data. Der kan være mange grunde til ikke at kunne restore backup.

Og hvis man ser på AK Techotel, så ser det ud til at flere workstations blev ramt, og krypterede filer med hver deres nøgle. Så selvom man købte nøgler var det svært at finde ud af hvilken nøgle skulle bruges til hvilken fil. De ligner en rent Windows hus, så havde nok også backup på Windows, muligvis i samme domæne.

Backup/restore kan også være en flaskehals. specielt hvis mange systemer er ramt.

Hvor mange har deres redundans på alternative platforme ? Dvs Windows backup på eksempelvis Linux eller AIX ?

Og en anden leverandør end Cisco til failover eller defence in depth ?

Det er svært at sikre sig, men nu med supply chain attacks, så er det muligt at malware kommer med Windows, og gemmer sig i 3 måneder inden den går live. Så er alt Windows sandsynligvis ramt, inkl backup på Windows.

Der er vist kun set 2 multi-platform malwares indtil videre, altså malware der downloades/køres på en platform og angriber en anden. Men det er ikke længere en ren teoretisk mulighed.

Når alt dette er sagt, så bør man også have segmenteret sit netværk, med portfiltrering, og ingen internetadgang til servere (ville have beskyttet mod SolarWinds). Proxy server som servere kan bruge for at nå godkendte destinationer. Det giver noget overhead, men har været anbefaling fra CISA længe. "The Cybersecurity and Infrastructure Security Agency "

Der er mange steder man bør vende hele sin infrastruktur for at sikre sig mod malware på en enkelt klient rammer det hele. Og Privileged Access Management er en anden. Del roller op. Stop escalation chains.

Hvordan kan et firma, der omsætter for 8 millioner om dagen ikke prioritere at have styr på backup/restore og katastrofeplan? Har de heller ikke tyveri- og brandalarmer?

Ah ja ... det er så dejligt at sidde i lænestolen og se på slagets gang. Der er det rigtigt nemt at se alle de ting de skulle have gjort tidligere. Måske havde de gjort alle de rigtige ting men overset en enkelt. Måske var der en enkelt medarbejder der hverken var i Mercedes eller Rolls Royce klassen og sjoflede sin del. Måske var præmisserne gale. Desværre kan man ikke styre en virksomhed hvis man har blikket fast rettet mod bagspejlet.

Så opdager man at man har single points of failure, og selvom man vurderer at man har helt styr på det, og derfor fejlvurderer risikoen for at it-systemerne bryder ned, så vil det være katastrofalt.

Og alligevel ser vi at almindelige netværksændringer nogen gange hiver en virksomhed ned som ellers havde investeret mange ressourcer i at have et redundant netværk. Når tingene bliver store er det svært at bevare overblikket.

Når så det pludseligt ikke bare bliver tilfældige hændelser hvor man når man rigner med at der ikke sker to uafhængige fejl, men planlagte og onde hændelser hvor flere svagheder udnyttes på samme tid, så bliver det meget svært.

Eksempel: Lad os sige at en hacker grupper finder en fejl i Apache webserveren samt en fejl i XXX switche. Fejlen i Apache serveren tillader hackeren at overtage webserveren (og dermed dele af DMZ). Fejlen i XXX switche gør at han kan tvinge switche til at sende og modtager pakker på alle VLANs. Nu er hackeren nemt inde på hele netværket med mindre der er sekundære barrierer.

Er det sandsynligt? Tjaa ... en god ven i netværksbranchen fortalte mig for nogle år tilbage at den slags var ganske usandsynligt. Så hvor mange tager højde for den slags svagheder i deres analyse?

Eksempel: Hvis en hackergruppe finder en fejl i CPU'er der tillader en proces at se data for en anden proces, så er virtuelle servere i risikogruppen. Man skal pludseligt planlægge hvad er kører sammen på samme server. I cloud løsninger er det sjældent muligt.

Sandsynligt? Tjaa for 3 år siden ville folk have sagt meget usandsynligt. I dag kender vi den slags fejl.

Hvis man bliver fuldstændig paranoid omkring svagheder så bliver det domæne man skal håndtere meget stort. Det bliver ikke nemmere af at man omsætter for 8 mio. om dagen.

Jeg kan varmt anbefale alle at lave en systematisk risikoanalyse, f.eks med FMECA. Så opdager man at man har single points of failure, og selvom man vurderer at man har helt styr på det, og derfor fejlvurderer risikoen for at it-systemerne bryder ned, så vil det være katastrofalt.

Så kan man tage en kvalificeret beslutning om man vil løbe den risiko for et katastrofalt nedbrud eller mitigere det med katastrofeplan for backup/restore.

I givet fald laver man så same øvelse på katastrofeplanen og opdsger man bliver nød til at teste at backup er lavet korrekt og lave restore-test/øvelser, helt ligesom man nogen steder laver brandøvelser, fordi man ikke vil fare rundt som hovedløse høns hvis ulykken sker.

Det kunne være dejligt hvis journalisten borede mere teknisk i denne påstand. Hvad havde de gjort, som de syntes var så fantastisk? Det er jo nu klart for alle at de hverken havde tilstrækkeligt styr på IT-sikkerheden, katastrofeplaner eller restore processen.

Hvordan kan et firma, der omsætter for 8 millioner om dagen ikke prioritere at have styr på backup/restore og katastrofeplan? Har de heller ikke tyveri- og brandalarmer?

Efter det samme forløb kostede Mærsk milliarder for et par år siden kan man som IT-leder ikke længere være uvidende om at den slags katastrofale risici findes.

Definer venligst "har brug for"</p>
<p>Siger du at TDC ikke ville kunne ringe til et dansk (europæisk) center og bede dem om at slukke for overvågningen på celle X mens han udfører service på cellen? (Ja, teknikeren skal ringe og bede en inder om at slukke for overvågning og tage cellen offline som det er idag.)</p>
<p>Det eneste Indien kan i forhold til andre, er lavere pris.

Olie og gas kan man købe mange steder. Prisen er lav og efterhånden som vi skifter til andre kilder vil den falde endnu mere. Der kræves meget lidt for at hive olie og gas op af undergrunden. Det er stort set kun Venezuela der ikke kan finde ud af det. Ruslands økonomi er som et U-land ... bare med atom ubåde og missiler.

Indien leverer millioner af IT arbejdere som der er brug for i hele den vestlige verden. De levere support, operations, udvikling o.lign. Og ja, man har valgt Indien fordi det er billigt. Men også fordi det er til at få folk. Alas, hvis man ignorerer hvad ting koster så er næsten alt muligt. Men sådan er den virkelige verden ikke. Derfor har vi hverken måne- eller mars-baser, flyvende biler, fusions-energi, etc. ... endnu!

Såfremt Indien faldt af internettet så ville den vestlige verden gå i stå meget hurtigt. Vi kunne sikker få ops op og køre ved at spise en del udviklingsfolk men det ville ramme hårdt der så.

Måske er det bare bedst efterhånden at man dropper ideen om at det hele skal være online, og at alle systemer skal være forbundet til hinanden. Tydeligvis formår ikke engang de største og bedste virksomheder at dække sig ind, uanset hvad årsagen er.

Lad os se hvad der sker når hackerne finder ud af at der også er noget der hedder det offentlige; hvis store private virksomheder ikke kan gardere sig, så er der alle gode grunde til at tro at samtlige styrelser og ministeriet har en IT-sikkerhed svarende til Windows Firewall på Windows XP's tid.

Endnu en grund til, at enhver større virksomhed med lidt respekt for deres IT-sikkerhed har et reward program, som giver mening.

100.000 USD man kan sætte i banken er mere værd end 500.000 USD der skal stå i en shitcoin og som man ikke kan bruge.

Der var måske ikke styr på backup'en alligevel? Desværre er IT-sikkerhed og topledelse sjældent en god kombination.

Den store forskel på Indien og Rusland er at Indien leverer services (bl.a. over internettet) som resten af verden har brug for. Rusland har olie, gas og caviar ... og så våben til dem der ikke må købe vestlige våben. Ellers er der vist ikke mange produkter Rusland sælger til verden.

Definer venligst "har brug for"

Siger du at TDC ikke ville kunne ringe til et dansk (europæisk) center og bede dem om at slukke for overvågningen på celle X mens han udfører service på cellen? (Ja, teknikeren skal ringe og bede en inder om at slukke for overvågning og tage cellen offline som det er idag.)

Det eneste Indien kan i forhold til andre, er lavere pris.

jeg er bare nysgerrig efter at vide hvorfor pilen peger på russiske hackere? Jeg var af den opfattelse at de dygtigste hackere ikke kan spores, så nogen må have fundet et eller andet?

Forøvrigt så topper Kina, USA og Tyrkiet vel stadig listen over lande med flest hackere ikke?

Jeg har ikke set nogen liste siden denne.

Jeg ville påstå at bare det at man truede Indien med at lukke en ude fra resten af internettet, ville få myndighederne til at gøre noget "effektivt" ved de her banditter.

Den store forskel på Indien og Rusland er at Indien leverer services (bl.a. over internettet) som resten af verden har brug for. Rusland har olie, gas og caviar ... og så våben til dem der ikke må købe vestlige våben. Ellers er der vist ikke mange produkter Rusland sælger til verden.

Det er naturligvis Putins skyld fordi han brugte Ruslands oliemillioner på venners lystyachter, London-lejligheder, fodboldhold samt krige og våben Rusland fint kunne leve uden. I stedet kunne han have udviklet Rusland og integreret landet i den internationale økonomi. En tragedie.

Det vil være uendeligt meget nemmere at lukke Rusland ude, men at lukke nogen af dem ude vil ikke løse nogen problemer.

Kunne man ikke udelukke Rusland fra internettet? Det er øjensynligt der de fleste hackere kommer fra.

Det er jo det samme man siger om Indien fordi længde fleste "support scam" kald kommer derfra.

Ja og så at de indiske myndigheder ikke rigtigt gider gøre noget ved det.

Jeg ville påstå at bare det at man truede Indien med at lukke en ude fra resten af internettet, ville få myndighederne til at gøre noget "effektivt" ved de her banditter.

Det er jo ikke fordi det er så svært at finde dem, der findes adskillige YouTube re som sidder den halve klode væk og allor vel både finder adresser på call centrene og navne på dem som arbejder der.

Hvis Indien nu lavede drakoniske love som VIRKELIGT straffe de de her folk og lavede en indsats for at fange dem, så ville risikoen være høj og straffen ligeså og så ville det nok rimeligt hurtigt dø ud.

Det er et simpelt spørgsmål om vilje.

Nu har FBI for ganske nyligt bevist at man sagtens kan håndtere cryptocurrency.

Ja ... man skal ikke lave fejl når man roder med den slags. Men hvis man er forsiktig mener jeg man også godt kan undgå FBI. Under alle omstændigheder tror jeg ikke en meter på at det danske politi er i stand til at hjælpe Bauhaus med at få deres penge tilbage. Det samme gælder i øvrigt de fleste andre lande. Derfor er vejen frem stadigvæk at forbyde brug af cryptovalutaer i banker og virksomheder. På den måde dør ransomware hurtigt.

Nu har FBI for ganske nyligt bevist

Uden cryptocurrency er der i praksis ingen ransomware. For det er muligheden for (med lidt snilde) at rende afsted med pengene mens man sidder på stranden uden at nogen ved hvem man er der skaber ransomware.

Jeg får det indtryk at man mener jeg synes det er en god ide at betale hackerne.

Hvem er "man"? Pointen er at det i stort set alle tilfælde er en dårlig ide at betale hackere hvis man ser det ud fra en samfundsmæssig betragtning (jeg tror dog at det kunne betale sig at betale i sagen om Colonial Pipeline ... og ja, jeg ved godt man ikke fik så meget ud af det). Men hvis man ser det ud fra den enkelte virksomheds synspunkt så kan det give god mening. Lidt ligesom at hælde giftaffald ud i skoven. Af samme grund er der brug som samfundsregulering.

Alle systemer bør geinstalleres fra scratch, ligesom alle brugere skal slettes/genoprettes/have nyt password. Dette gælder specielt service og systembrugere, også dem der er hardcoded i diverse programmer.

Hvad nu hvis hackerne har ændret i BIOS på dine computere? Hvad hvis de har ændret i firmwaren til harddiske, keyboards, etc.? Eller i netværkskameraer, printere og andre devices på netværket som ikke lige kan reinstalleres.

Det bliver hurtigt meget meget dyrt og i princippet kan du ikke stole på nogen som helst der kan ændres. Men i øvrigt er jeg enig i at det er den eneste sikre vej frem.

Kunne man ikke udelukke Rusland fra internettet? Det er øjensynligt der de fleste hackere kommer fra.

En hacker kan blot bruge wifi på hotellet og starte sit angreb der. Løsningen er i første omgang at gøre cryptocurrency ulovligt. Uden cryptocurrency er der i praksis ingen ransomware. For det er muligheden for (med lidt snilde) at rende afsted med pengene mens man sidder på stranden uden at nogen ved hvem man er der skaber ransomware.

På længere sigt skal vi selvfølgeligt have hævet sikkerheden. Vi skal også væk fra ideen om at alt skal på internettet og at alt kan snakke med alt. Bunker af firewalls og VPN er bl.a. vejen fremad.

Kunne man ikke udelukke Rusland fra internettet?

Der er noget meget galt med internettet. Vi vil kunne alt muligt, vi vil kunne være incognito - der er jo faktisk gode grunde til det. Vi vil kunne opfinde noget nyt til nettet. Og det betyder, at vi ikke har og får svært ved at "få styr på nettet" (med et par lande som eksempler på nogen, der i den grad har styr på tingene).

Vi har gamle systemer, der har vist sig at have svage steder eller vidt åbne huller. Som vi ikke magter at lappe.

Mange nyere systemer synes at være banket sammen i alt for stor hast med andre prioriteringer end netop sikkerhed.

Vi har en stor liste af ting, vi også skal have udviklet, før vi (i teorien) får tid til at gøre noget ved det. Sandsynligheden peger på, at det går galt for andre først.

("Vi" er naturligvis ikke mig)

Jeg sidder og tænker på noget, som sikkert er opfundet. En backup, der ikke kan overskrives. Altså man kan altid tage en ny backup, men den gamle bliver liggende, uanset hvad. Når backup'en bliver angrebet og wipet, så er forrige generation af backup der stadig. Noget meget simplere og idiotsikrere end at gemme et bånd i boksen, et andet i banken og et tredje hos et andet firma. Det skal være noget, som man ikke kan finde ud af at slette, selv om man er chef. Sådan at de firmaer, der vil selv men ikke kan selv, ikke kan slå sikkerheden fra.

Men det er sent.

Kunne man ikke udelukke Rusland fra internettet? Det er øjensynligt der de fleste hackere kommer fra.

"Vi forhandler ikke med terrorister" (Hint-hint;-3)

En "hacker" var engang en IT-person, men før det blev ordet brugt om journalister. Vist pga lyden fra hakkebrættet (Skrivemaskinen).

The party line er altid: 'vfikmt', men hvis ikke man har en god backup? Der er utallife eksempler på fastholdelse af moralen 'udadtil', hvor man så har valgt at betale i stedet. Læste engang om en "social hacking", hvor man valgte at skrive sin software om. (Det var dog ikke et ransomware angreb.)

Det må da være strafbart at finansiere kriminel virksomhed? Selv om man så "kun" køber en dekrypteringsnøgle.

Bagdøre bør ikke være et problem. Hvis man har været ramt, så kan man kun stole på data.

Alle systemer bør geinstalleres fra scratch, ligesom alle brugere skal slettes/genoprettes/have nyt password. Dette gælder specielt service og systembrugere, også dem der er hardcoded i diverse programmer.

Da det tager meget tid og koster penge at gøre det rigtigt, så sker det nok sjældent. Så restorer man og håber. Det er vel en af grundene til at 80% rammes igen. Og ca. halvdelen af disse tror det er samme gruppe.

Jeg troede at terrorfinanciering var ulovlig, og dermed også ransombetalinger ?

Min pointe er at det er andre der kommer til at betale for den enkeltes efterladenhed,

Jeg tænker på, at rigtige hackere også har en business case. Og den bliver bedre og bedre.

Jeg får det indtryk at man mener jeg synes det er en god ide at betale hackerne. Det er ikke rigtigt. Der er nogen der har udtrykt sympati for dem som har følt sig tvunget til at betale, det synes jeg ikke der er nogen grund til. Min pointe er at det er andre der kommer til at betale for den enkeltes efterladenhed, og at liberalisme i denne sammenhæng er en dårlig ide.

Når man har vist sin villighed til at betale, så er man en god kunde der skal have besøg igen.

Cybereason har lavet en rapport. De siger at 46% af dem der betalte fik alle eller af dele af data tilbage, dog var der typisk noget der ikke virkede. 51% fik det hele tilbage. 3% fik intet.

80% af dem der betaler får besøg af Ransomware igen.

Eller hvis disse hackere ikke kommer igen, så gør andre nok. Hackere er ikke ærekære hædersmænd.

Her burde jeg skrive noget belærende, men jeg nøjes med at sukke. Kong Augias' stald var småting i sammenligning.

Nu laver du så den antagelse at hackerne ikke har lagt nogle snedige bagdøre ind i systemerne så det er endnu nemmere at lægge systemet ned igen - og igen.

Nu laver du så den antagelse, at man får sin data igen hvis man betaler hackerne.

Det er jo simpelthen et spørgsmål om penge: Hvis man tror man kan slippe billigere ved at betale hackerne end det koster at sikre sine systemer, så er det det man gør. At det så er ens konkurrenter som skal betale endnu mere næste gang fordi hackerne har fået flere ressourcer til at forberede det næste angreb er jo lige meget. Problemet er selvfølgelig hvis hackerne vælger at angribe den samme organisation igen, så ville det nok have været bedre at betale til sin egen IT organisation end til hackerne. Men det gør de nok ikke, det er vel grund til at tro at virksomheden umiddelbart efter et angreb har lidt mere fokus på sikkerhed, og dermed på den korte bane vil være et vanskeligere mål.

Global liberalisme for fuld udblæsning.