Ransomware op het werk

Een bijzondere dag vandaag op het werk. Ik kreeg een telefoontje of ik even kon kijken waarom er een bestand op de fileserver niet meer geopend kon worden. Laat ik vooraf zeggen dat ik -geen- IT'er ben. Ik heb er geen opleiding in gehad, het is mijn professie niet maar ik ben zo'n type dat net iets meer weet dan de gemiddelde gebruiker en dan komen collegas als snel naar je toe. Ik zag al snel dat ons interne netwerk blijkbaar besmet was geraakt met ransome-ware. In afwezigheid van de IT Manager werd ik aangekeken deze situatie te behandelen.

Alle bestanden hadden een .micro extensie gekregen en er waren overal .html, .jpg en .txt bestanden aangemaakt waarin uitleg gegeven werd hoe de betaling moest verlopen.

Zover Google mij kon helpen heb ik dus een TeslaCrypt infectie te pakken

Nu werk ik bij een multinational waar een 24/7 helpdesk beschikbaar is en gelukkig kon ik dus contact met hun opnemen. Helaas zijn deze support-agents voornamelijk getraind in het herstellen van locked user accounts en vergeten wachtwoorden want ik werd zeer teleurstellend te woord gestaan. Ze hadden een remote connection gemaakt en konden zo meekijken op mijn scherm. Ik liet ze zien dat alle bestanden op onze fileserver gehijackt waren. Hun antwoord: "Yeah I see..... Probably you have saved the file in the wrong format". Ja mensen. Deze IT support agent had visual proof van de situatie en dacht dat ik een Word bestand probeerde op te slaan als .micro. Nu is dit topic niet bedoelt om mijn eigen support team aan te vallen maar dit is de situatie waarin ik me bevond. Het management keek naar mij om de zaak op te pakken en mijn enige hulp lijn moest via Google uitgelegd worden wat Ransome-ware is. I died a little....

Ik zit met een paar vragen waar de support desk mij geen antwoord op kon geven. Ik geef hieronder een situatie schets waarvan ik denk dat het belangirjk is voor jullie om mijn vragen te kunnen beantwoorden.

Ik weet nu dat de infectie hoogst waarschijnlijk is gekomen omdat collega's geprobeerd hebben een stream voor voetbal te kijken. Daarvoor moesten ze o.a. Silverlight installeren en kregen ze allerlei errors, reclame, pop-ups en andere rotzooi. Dit hebben ze allemaal gesloten. Maar ik vermoed dat ze in eerste instantie natuurlijk wel toestemming hebben gegeven om een viewer te installeren ofzo en daarmee ons systeem hebben besmet. Ik baseer dit vermoeden op 2 dingen.

1) Alle bestanden die aangemaakt zijn met uitleg over de ransome betaling, hebben als 'owner' de user op wiens computer de stream gekeken werd.
2) De "Last modified"-eigenschappen van de eerste gehijackte files komen overeen met de tijd dat ze geprobeerd hebben de stream te kijken.

Ik noem de user op wiens account de infectie heeft plaatsgevonden even X.

(nog) Niet alle bestanden op de server zijn gelockt, alleen de files waar X toegang tot had. X maakt gebruik van een workstation waar ook andere users op inloggen.

Van de fileserver wordt dagelijks een back-up gemaakt. Hiervoor worden twee HDDs gebruikt, de ene dag de een, de andere dag de andere. Elke nacht om 00:30 wisselt het beveiligingspersoneel de schijf en rond een uurtje of 04:00 draait de backup op naar de schijf.

Op het moment dat de server geinfecteerd raakte, was externe back-up schijf1 verbonden met de server (gewoon een externe USB HDD). Schijf 2 lag in een kluis. As we speak zijn beide schijven losgekoppeld (heb ik gedaan ruim voordat de backup draait) en liggen met een -do not touch- sticker in de kluis. Er hangt geen schijf aan de server voor de backup van deze nacht.

We zijn een bedrijf in de gastvrijheidsindustrie en hebben een openbaar netwerk voor onze gasten. Ik kan helaas geen enkele informatie geven over de structuur en infra van ons netwerk; geeen idee hoe dit zit. Onlangs hebben we echter tientallen duizenden euros geinvesteerd in een complete remake van dit gasten netwerk (alle hard en software is van begin tot eind volledig op de schop gegaan) dus ik mag er vanuit gaan dat deze twee netwerken volledig geïsoleerd zijn.

Ik wil voornamelijk verdere besmetting voorkomen. Dit zijn "maar" bestanden op een file/printserver, ik ben bang dat er infectie plaatsvind naar een van de andere servers of (oracle)databases. De vragen waar IT support geen antwoord op kon geven en waarvan ik jullie zou willen vragen om advies:

- Hoe groot is het risico op infectie voor mijn gasten die verbonden zijn met het openbaar wifi?
- Hoe groot is de kans dat de back-up schijf die aan de server hing ook besmet is geraakt?
- Moeten we het workstation waar de besmetting (vermoedelijk) op binnengekomen is loskoppelen van het netwerk?
- Als er andere users (met andere rechten) nu inloggen op dit workstation, is er dan risico dat bestanden waar deze user toegang tot heeft ook gelockt raken?
- Wat moeten we vooral NIET doen?!

Ik heb aangegeven dat de PC waar vermoedelijk de besmetting op is ontstaan niet meer gebruikt mag worden totdat we meer horen.

Met bovenstaande info weten jullie nu vrijwel evenveel als ik van de situatie. Wat raden jullie mij nog aan om te doen voordat we meer horen van IT support? (ow; ze gaven aan dat followup komt tussen de 24 en 72 uur.....)


(owja; ik ben rete nieuwsgierig naar wat er op die onion-sites staat aan info maar ik ben zeer huiverig om op mijn eigen PC daar naar te surfen. Ik heb een VM draaien hier thuis op m'n laptop. Kan ik zorgeloos TORbrowser downloaden in de VM en de sites bezoeken zonder bang te zijn voor mijnlaptop?)

De besmetting en de encryption heeft 16 uur geleden plaats gevonden. De backup van 48uur geleden moet dan toch schoon zijn?

Overigens maak ik me totaal geen zorgen dat ik straks verantwoordelijk gesteld wordt. De directie weet heel goed dat dit niet mijn vakgebied is en ik heb hun volledige steun. Ik ga geen rare dingen doen en raak de backup schijven of server pas verder aan op advies van support of onze in-house IT (die er net ff vakantie heefts deze twee weken.....)

Ik wil voornamelijk verdere besmetting voorkomen en zekerheid dat mijn gasten geen risico lopen.

Duidelijk antwoord; dank je wel. Ik ga dadelijk weer naar de zaak en de situatie met directie bespreken. Ik ga mijn directeur vragen zijn gewicht in de strijd te gooien bij onze support op HQ om zo maar te zeggen en eisen dat ze de situatie hogere prioriteit geven dan 24-72uur, belachelijk.

Komt daar te weinig uit voort zal ik doorzoeken naar overige hulp.

[ Voor 10% gewijzigd door Ducksy88 op 08-02-2016 08:53 ]

Heel erg bedankt voor het meedenken allemaal.

@Erwin; dat we twee schijven hebben Is geen geluk, dat Is precies om deze reden zo gedaan Ik begreep dat dit virus zich lokaal op het workstation heeft geëxecuteerd en vanaf daar vrij toegankelijke bestanden ge-encrypt. Het virus zelf lijkt -niet- uitgevoerd te zijn op de server. Edit: ja dus, dat wordt hierboven bevestigd.

Toen de case vanmorgen uiteindelijk bij het juiste team lag Was er van mijn kant gelukkig geen input meer nodig.

Laatste update vanuit hen heeft wel aangetoond dat er mogelijk updates in het verleden niet gedraaid hebben voor onze virus definities.... Dat gaat nog een staartje krijgen. Huidige scan heeft meer dan 1 threat gevonden, is over een uurtje of wat klaar...

Heren bedankt ik ga weer met een redelijk gerust hart naar huis.

[ Voor 8% gewijzigd door Ducksy88 op 08-02-2016 19:16 . Reden: updates okay ]

Heej; das raar. Ik heb mijn vorige post niet daadwerkelijk verzonden; alleen getypt.....Hier nog een keer. Ik kom later in deze post terug op het IT-support/CISO/CIRT verhaal.

Vraag:
In mijn uitleg naar leden van het management wat er gebeurd was kreeg ik, natuurlijk, regelmatig de vraag "Hoe is het uberhaupt mogelijk dat deze user iets mag installeren?". Ik heb ze gezegd dat ik dat niet 100% zeker weet; maar dat het mogelijk is omdat de gebruiker SilverLight probeerde te installeren; een browser addin, en niet een stand-alone programma. En dat de rechten/elevation die daarvoor nodig is, anders in de policy staat.

Is het mogelijk dat policy/rechten inderdaad een user wel kan toestaan Silverlight te instaleren maar andere programmas niet? Of zal deze user blijkbaar "te hoge" rechten hebben gehad?

Terugkomend op het verhaal van helpdesk en support.

Inderdaad is er een verschil tussen een IT Support desk, en het CISO/CIRT-team (bedankt voor uitleg van de afkortingen). Wij hebben inderdaad beide. Ik had gebeld met de IT Support desk; deze dame had geeeen idee. Ik heb haar moeten uitleggen wat Ransomeware was en zij had intern een case aangemaakt met Priority: LOW, Impact: Medium, Importance: LOW. Iets in die richting.

Gelukkig had ik daarvoor al een voicemail achtergelaten bij wereldwijde Risk Management Team. Zoals het aan ons personeel getraind wordt is dit team echt alleen in ZEER risicovolle situaties te gebruiken; denk aan de aanwezigheid van een bom, een gijzelingssituatie, terreuraanslag; dat is het niveau waarmee dit risk team zich bezig houd.

Op de dag van infectie waarbij ik het als eerste ontdekte; kon ik geen telefoon verbinding krijgen met de normale, low-level IT-Support (telefoon lijn was dood ?!). Ik heb toen besloten gewoon te bellen naar RiskManagement, en daar een voicemail achtergelaten. Een collega van me keek me aan zo van; moet je dat nou wel doen, is het zo serieus; ik had schijt. Gewoon gebeld.

En maar goed ook, want toen zij eenmaal dat bericht hadden ontvangen ging het snel. Mijn directeur liet me mee kijken in haar mailbox toen ik binnen kwam en vanuit het hoogste global IT & Security werden er Engineers aangestuurd om onze property als de wiedeweerga te scannen en actie te ondernemen.

Het is dus niet zo dat onze organisatie geen support heeft; het duurde helaas even wat langer dan ik had gehoopt.

Ik had een kleine conference call gehad met mijn directe manager, de directeur en de grote baas Global IT waarin ik uitleg heb gegeven van mijn bevindingen bij infectie en ik ben best een beetje trots; iedereen was heel erg tevreden met mijn handelen

Directeur en ik hebben handen geschud op een nieuw training- en ontwikkelingtraject en de eerste ideeën gewisseld over mijn volgende stap in de organisatie. Met vanuit haar de nadrukkelijk toevoeging; daar zit ook een aantrekkelijker arbeidsvoorwaardepakket bij

Ik wil namelijk best doorgroeien/omscholen in een IT richting, maar het bredere Risk Management (hou ik me nu op property niveau al eenbeejte mee bezig) dat lijkt me echt interessant. Nieuwe paden zijn geopend!

Shinoki schreef op dinsdag 09 februari 2016 @ 11:53:
Een probleem als een cryptolocker zal bij een IT servicedesk meteen herkend moeten worden.

100% waar. Ik was ook écht met stomheid geslagen toen ík moest uitleggen aan haar wat er aan de hand was. Toen ik het case ticket kreeg en er LOW/LOW/MEDIUM als prio aan hing werd ik echt gek.

Zorgde er ook voor dat ik me redelijk 'hopeloos' voelde; mijn enige echte supportlijn die me zo behandelde. Dat was een van de redenen dat ik dit topic gemaakt had, dan maar advies via Tweakers.

Gelukkig was de situatie de volgende ochtend bij de juiste partij aangekomen en is de situatie nu onder controle.

Servers hebben een full scan gekregen die inmiddels 12uur geleden klaar was (zou moeten zijn). De engineers die de zaak nu behandelen zijn competente IT'ers en dus is dat deel in goede handen maar nu is de communicatie terug naar ons weer wat minder; moet steeds zelf om info vragen. Gisteren ook 4uur op de zaak (op mn vrije dag) gezeten om vervolgens te horen dat ik niet nodig was..... Maargoed; its all part of the job Vandaag wel gewoon thuis

[ Voor 5% gewijzigd door Ducksy88 op 09-02-2016 12:09 ]

@HellBeast
Het 'point of infection' is bekend; in dit geval zag ik dat alle door het virus aangemaakte bestanden (die met uitleg over de betaling) als 'Owner' dezelfde username hadden. Bij navraag bij desbetreffende gebruiker bleek al snel dat daar op vage sites geprobeerd was een illegale voetbal stream te kijken en daarvoor SilverLight geïnstalleerd waarna er allerlei errors/popups etc verschenen.

Toen besloten ze alles te sluiten en niet via die site te kijken. Het kwaad was al geschied...

Vandaag zijn de laatste scans op de Fileserver uitgevoerd, updates gecontroleerd etc. Daar zijn wellicht enkel nog een paar reboots voor nodig en als het goed is zijn onze systemen dan 'officieel' schoon.

Echter moeten de gelockte bestanden wél nog terug gezet worden naar hun originele staat voor de infectie.

=vraag over back-ups schijven=

We hebben 2 externe HDDs waar backups op staan. Schijf A en schijf B.

Ten tijden van infectie was Schijf-A verbonden met de Fileserver.
Ten tijden van infectie was Schijf-B veilig opgeborgen in een kluis.

Schijf-A hing aan de server, maar er is -geen- backup naartoe geschreven. (Draaien v/d backup staat in de nacht gescheduled en voor die tijd heb ik 'm los gehaald)
Schijf-B heeft na de infectie -nooit- aan de server, of andere PC, gehangen. Schijf-B is compleet airgapped gebleven tijdens dit verhaal.

Schijf-A bevat ons meest recente backup data
Schijf-B is 24 uur ouder dan A.

Nu weet ik dat dit virus zélf zich hoogst waarschijnlijk niet heeft verspreid van het geïnfecteerde workstation naar de server zelf. Het heeft enkel de bestanden gelockt. Echter was de HDD backup drive-A wel verbonden met de server en is er een theoretische mogelijkheid van besmetting.

Ik ben daarom huiverig om Schijf-A te gebruiken voor de back-up. Echter is dat natuurlijk wel het meest praktische gezien deze backup tot minder data verlies leidt.

Helaas zijn onze global support ITers niet heel communicatief en zijn mijn vragen omtrent deze back-ups tot op nu onbeantwoord gebleven. Ik kan ze wel bereiken, daar niet van, maar ik gebruik ook graag jullie expertise als een soort van 'second opinion'.

Als ik Schijf-A wil gebruiken, zal ik deze eerst willen scannen op een standalone computer. Dan moet de gebruikte scan software natuurlijk wel in staat zijn om dit specifieke virus te herkennen; hoe verifieer ik dat? Mag ik dit zelf doen of moet dit ook behandeld worden door een getraind persoon?

Schijf-B was "airgapped" en zou onmogelijk besmet kunnen zijn geraakt; toch scannen alvorens te gebruiken?

Weer een dagje verder en ik kan jullie het volgende vertellen hoe de zaak nu verder is verlopen.

Gelukkig heb ik gisteravond een mail naar het voltallige personeel kunnen sturen dat ze weer gebruik kunnen maken zoals tevoren van de fileserver. Het daadwerkelijk dataverlies valt voor de meeste te overzien (en voor sommige is er zelfs helemaal niets verloren), behalve voor sommige uit de usergroup waar de infectie is gestart; daar is het e.e.a. verdwenen, waarover later meer.

Ik ben uiteindelijk niet zelf met de back-ups in de weer geweest, dit heeft een andere collega gedaan onder telefonische begeleiding van onze eigen IT manager (die nu gelukkig weer bereikbaar was (hij gaat nu op vakantie dus we moeten hem nog wel ruim een week missen)). Inderdaad zijn eerst beide schijven gescand op een losstaande machine en daarna is besloten om de meest recente schijf te gebruiken en de andere (de 'airgapped' schijf) ligt nog altijd opgeborgen. Komende tijd draaien we de back-ups enkel op de huidige schijf en pas na een aantal dagen gaan we weer rouleren. Een overweging wordt nu gemaakt om een schijfje of 2 erbij te kopen; voor een schamele 200 euro hebben we dan toch wat meer zekerheid. You never know.

DJMaze schreef op donderdag 11 februari 2016 @ 10:37:
Ik zie dat het volgende nog niet is beantwoord.
Ja en nee
Om SilverLight te installeren moet er een ".exe" worden uitgevoerd voor de installatie. Dat kan je blokkeren door gebruikers geen admin rechten te geven.
*knip*

Deze gebruiker zou zeker geen admin rechten moeten hebben; nergens voor nodig. Dit is wel een medewerker die hier lang werkt en wiens account aangemaakt is door een andere IT manager. In een periode zonder IT manager is er ook e.e.a. aan de AD/rechten gewerkt door iemand die het er tijdelijk bij nam; grote kans dat er ergens een keer iemand in een verkeerde groep heeft gehangen. Dat zullen we moeten uitzoeken...

Maar als deze infectie niet via de .exe van SilverLight maar Flash/Java plugins, had het dan ook gebeurd als de user lagere rechten had?

Wat gebeurd er gisteravond. Er komt een andere medewerker naar mij toe die normaal werkt op het workstation dat besmet is geraakt. Hij slaat zijn werk op het bureaublad op.
Als hij nu op een andere workstation inlogt, is hij al zijn werk van pakweg 12maanden kwijt. Dit alles stond op het bureaublad (zeg maar niets... I told him...)

Echter lijkt mij dit eerder een probleem met zijn roaming profile dan door het virus veroorzaakt, niet? (ons bedrijf heeft een historie met roaming-profile issues).

Enige echt gevoelige wat nog open staat is de geïnfecteerde PC behandelen... (ging al bijna fout gisteren nadat ik had gemaild dat de server weer up and running was. Stuurt een ander naar de afdeling van de geinfectie dat die PC ook weer ingeplugd kon worden. Wat ben ik blij dat ik die PC fysiek uit hun kantoor heb weggehaald!)

GerardVanAfoort schreef op donderdag 11 februari 2016 @ 11:08:[...]Het blokkeert niet de AD user maar voorkomt wel een uitbraak/verspreiding: http://www.surfright.nl/nl/alert Die 11,54 per user per jaar is natuurlijk peanuts tov een recovery op tig werkplekken.

Als je kijkt naar hoeveel manuren er bij ons ingestoken zijn is 11,54 per jaar inderdaad peanuts! Niet alleen on-site maar ook vanuit het global support team... Duur grapje dit hoor. De verloren productiviteit omdat sommige niet bij hun bestanden konden daarbij opgeteld....

Ik weet dat het niet nodig is maar bij deze een bedankje aan alle reagerende Tweakers Much appreciated!
De zaak is zo goed als rond, dringende zaken zijn afgehandeld dus dit boekwerk van een topic wordt hierna met rust gelaten