Ingeniørforeningen ramt af angreb med ransomware

Der virker ikke rigtigt som breaking news, at Ingeniørforeningen har spildt 3 timer arbejde...

Måske skulle overskriften være.:
"Blær: Ingeniørforeningen ramt af angreb med ransomware og var tilbage efter kun 3 timer." :-)

WTF? Der er næppe tale om held...

der var styr på backup :)

Så er det næste at sætte js/jse til notepad.exe

Er der nogen der kan forklare mig hvorledes ét klik på en hyperlænke i en e-mail kan forårsage en låsning af et "drev"?

Hvis man ikke normalt tager backup, så er det "held" at der lige var en.

fordi du downloaden zip fil fra dropbox åbner den og klikker på det java script der ligger i

skulle den omtalte email forestille at komme fra ?

Det er måske lidt naivt at tro på:
»Vi har valgt at politianmelde det og har også planer om at oplyse det til relevante myndigheder, så vi kan finde frem til bagmændene,«

Det sker næppe.

Så vi taler om en serie af klik - ikke et enkelt.

Men I øvrigt savner jeg stadig en forklaring på hvorledes man kan lykkes med at låse et "drev" med et javascript - eller hvad det nu var.

Hvis det er den samme som ramte mange i går så Ja.

javascript henter en exe fil som så kører og kryptere hvad den kan se

så "lås" == krypteret

Ikke nødvendigvis:
https://blog.knowbe4.com/alert-new-ransomware-spearphish-uses-one-click-...

Artiklen er 2 år gammel.

"Ej heller har bagmændene haft adgang til oplysninger om medlemmerne."

Okay har de analyseret hvad malwaren rent faktisk gjorde???

Jeg tænkte det samme!
De får nok beskeden fra politiet, at når der ingen skade er sket, ingen anmeldelse....

Jeg glæder mig til den artikel, hvor de proklamerer at nu har de fundet bagmændene og dansk politi spillede en afgørende rolle i optrevlingen.....

De ved nok, at deres medlemsdata ligger i en database, og ikke på at administrativt fællesdrev.

Ransomware kan sagtens "låse" et helt drev eller flere. De scanner typisk alle drev forbundet til din windowsmaskine og krypterer de filer den finder. Typisk vil offeret så få en besked om at de kan blive dekrypteret ved at betale en løsesum. Se fx

https://en.wikipedia.org/wiki/CryptoLocker

Næ men når ejeren af et medie presser en pressemeddelelse igennem et mediet ser det sådan ud.

»Vi har valgt at politianmelde det og har også planer om at oplyse det til relevante myndigheder, så vi kan finde frem til bagmændene,«

Nu bliver bagmændene bange, meeeget bange. Er det mon Kim Aarenstrup, der banker? Har han fulgt bitcoin-sporet? Jorden kalder, Thomas Dumkjær Petersen. Du skal bestikke dem med to ipads og tre samsung 50" inden nc3 glemmer deres bijob og laver noget politifagligt relevant.

Og hvorfor skal Javascript have lov til det?

Jeg er fuldstændig enig med Anders S. Johansen.

De eneste, der har dummet sig her, er de tumpenakker, som har åbnet op for, at en tilfældig og ukendt hjemmeside kan hente, installere og køre kode på computeren uden brugerens tilladelse - og så de offentligt ansatte, det køber IT udstyr for milliarder af kr. om året, uden at stille de mindste krav om selv den mest basale sikkerhed. Hr. og fru Danmark kan ikke gøre noget, for dem er Microsoft, Apple m.fl. fuldstændig ligeglade med. Take it or leave it.

Programmørerne har for længst giver op og lader det nu være op til 3. part i form af antivirussoftware at lappe på deres fejltagelser og manglende evner til at overskue egne systemer, og går det galt, skylder de bare skylden på brugeren, som burde vide, hvad vedkommende endelig ikke må klikke på - på en hjemmeside, brugeren ikke kender. Det er jo fuldstændig grotesk!

Enhver moderne PC har rigelig RAM til udelukkende at køre hjemmesider og vise e-mail i det, så hvorfor i alverden skal en browser eller en e-mail klient have adgang til harddisken uden tilladelse bortset fra at gemme cookies og filtyper, som har en helt sikker og ikke-eksekverbar extension (.jpg etc.), som burde forhindre filen i nogensinde at blive opfattet og fortolket som andet end det, man tror, den er, som f.eks. et billede ved .jpg? Microsoft startede vanviddet ved at indføre macroer i Word dokumenter, så ikke engang et tekstdokument længere var sikkert, og de og andre har så sandelig videreført den linje. I gamle dage var der også en write-protect knap på harddiske og en tilsvarende slot eller skyder på disketter. Nu er der fri adgang for alt for alle, og man kan ikke engang spærre af ned mod roden i et filsystem og dermed begrænse en evt. skade til en enkelt gren.

Hvornår vågner leverandørerne af sikkerhedsoperativsystemer op og laver noget, der er sikkert? Det må da være milliarder at hente på den totalt virus- og hackerfrie computer, og den burde være overkommelig at lave, hvis den baseres på et sikkerhedsoperativsystem, hvor man bl.a. har 100% garanti for, at en task aldrig nogensinde kan destruere eller blokere andre eller få adgang til ressourder, som den ikke har tilladelse til. Installation af programmer, kryptering af diske og lignende kan så udelukkende udføres af en sikkerhedstask med en let genkendelig brugergrænseflade, som ikke kan efterlignes (f.eks. vha. et write-only baggrundsbillede/vandmærke i videosystemet).

Jeg synes det er godt at IDA viser åbenhed og melder det ud. Der er så en masse 'almindelige' mennesker ser at dette er et reelt problem, også for en teknisk organisation. Vi kan som "nørder" nemt være frelste. Vi bør være med til at sikre at man flere steder i samfundet begynder at tage dette alvorligt og sørger for nogle fornuftige opsætninger at systemerne. Det andet bliver for dyrt for samfundet i længden.

Der er vist mange virksomheder der bruger AppLocker / Application Whitelisting / Folder blacklsting eller lignende som vaccine mod Crypto locker. Det skulle virke forbavsende effektivt. Og overgå ethvert købeprodukt i effektivitet.

Men det kræver selvfølgelig at der er ansat IT folk som sørger for at implementere det.

Du har fuldstændig ret i at software leverandøren har ansvaret her.

Uheldigvis er leverandøren i denne sammenhæng Microsoft, en virksomhed som
har opdaget at der er noget de kalder sikkerhed en gang i 90'erne, og siden da
har deres måde at håndtere problemet antaget to former:

1. tilføje forskellige prompts, som skal gøre det klart at det er brugerens skyld hvis
   det går galt (som Carsten nævner)

2. Tilføje forskellige andre ændringer som gør livet mere besværligt for bruger og supportafdelinger, men ikke væsentligt mere besværligt for angriberne. Måden de gør det på, er at lukke alle mulige små huller og lade ladeporten stå åben.

Erfaringen viser at det ikke nytter noget at opfordre Microsoft til at forbedre sikkerheden, det vil bare blive værre. Den eneste vej frem, hvis man vil bruge windows, er at tage en længere IT uddannelse og købe en kaninfod.

exe fil??

Jeg synes det er fint at IDA offentliggør at de er blevet hacket. Mere af dette.

Det kunne også nyhedsmæssigt være en god idé for V2 at beskrive nærmere hvad der var sket, og skrive hvad IDAs overvejelser er om at forbedre sikkerheden. Det tror jeg mange læsere kunne have udbytte af.

Jeg tror at miseren er at en bruger med et klik har aktiveret et program i en mail-klient. Programmet har så kigget hele filsystemet igennem og set hvad den kunne kryptere. Hvis brugeren har haft administratorrettigheder, er det en del:-( Her må man sige at almindelige brugere ikke skal køre med administratorretigheder.

Hvis ikke, så har brugeren måske rettigheder til at rette i sine egne filer på et fællesdrev, og måske også kollegaernes. Det er vel ganske fornuftigt. Så må man kunne forhindre mail-klienten i at starte programmer op, der kan ændre på filer, eller kun starte specifikke programmer op, der er sikrede mod at kunne ændre i filer på uautoriseret måde. Det må kunne stoppe eksekveringen af et uautoriseret program.

Som sagt vil jeg opfordre V2 til at beskrive hændelsen nøjere.

Jeg tror ikke der er ikke tale om en menneskelig fejl. Jeg tror der er tale om en ledelse der ikke har identificeret at dette var en reel risiko og har taget de nødvendige beslutninger om mitigerende foranstaltninger.