NM4 Ransomware op Exchange

encryped schreef op woensdag 28 juni 2017 @ 00:46:
...Dus ben ik nu maar deze opnieuw aan het inrichten om morgen weer draaiende te zijn...

En om overmorgen weer geïnfecteerd te zijn?

Ja, een lullige opmerking, ik weet 't. Maar je vraagstelling en de terminologie die je gebruikt doen vermoeden dat je van het beheren van een Exchange server, geen kaas gegeten hebt.
Het beheren van een Exchange server is hedentendage een full-time job. 't Is niet meer economisch verantwoord om dat zelf te doen. Doe jezelf en je eindgebruikers een plezier en migreer het hele zooitje zo snel mogelijk naar Office365 (of een andere exchange hosting).

Brahiewahiewa schreef op woensdag 28 juni 2017 @ 01:46:
[...]

En om overmorgen weer geïnfecteerd te zijn?

Volgens mij is het doel van zijn vraag om dit te voorkomen.

Heb je misschien ook een idee hoe die infectie kan zijn ontstaan ?

Om op elke Exchange bak fulltime een gediplomeerd ITer te zetten is niet echt praktisch.
(En daarmee trap je elke discussie direct dood)

[ Voor 5% gewijzigd door crazyme2 op 28-06-2017 06:40 ]

encryped schreef op woensdag 28 juni 2017 @ 02:08:

Weet iemand bijvoorbeeld wat voor mechanisme NM4 gebruikt om binnen te komen.
Iets wat ik zelf helaas niet op het web heb kunnen vinden

uhuh.... Eerste zoekopdracht via Google:

PC security researchers received reports of a NM4 Ransomware attack, a variant of the R Ransomware and the NMoreira Ransomware, both ransomware Trojans that carry out a fairly typical variant of this hoax. The NM4 Ransomware is being distributed through the use of spam email attachments. Ransomware campaigns like the NM4 Ransomware and associated threats created by the same hacking group that developed the NM4 Ransomware are being delivered to victims by exploiting exposed Remote Desktop Protocol connections on the Internet directly. This method of delivery may be used to compromise computers belonging to small and medium businesses, as well as Web servers and corporate networks.

Gok, de Exchange-server van je heeft geen mooie oplossing zoals een firewall en DMZ maar hangt waarschijnlijk direct aan het internet?

Brahiewahiewa schreef op woensdag 28 juni 2017 @ 01:46:
Het beheren van een Exchange server is hedentendage een full-time job. 't Is niet meer economisch verantwoord om dat zelf te doen.

Onzin. Dat zou je haast gaan geloven als je luistert naar partijen die er financieel belang bij hebben om jou dat te laten geloven maar de praktijk is anders. Exchange is retestabiel, veilig en vraagt zelfs in zeer grote omgevingen geen dagelijks beheer. Het is gewoon een applicatie op een server, daarmee niets anders dan SQL of Apache.

encryped schreef op woensdag 28 juni 2017 @ 00:46:
Zou het kunnen zijn dat hier via RDP een ransomware is binnengekomen, of is er een exploit in exchange 2013 / windows server 2008 r2 dit mogelijk maakte ?

De vraag is of je het OS en de applicatie volledig gepatched had.

MAX3400 schreef op woensdag 28 juni 2017 @ 07:05:
[...]
Gok, de Exchange-server van je heeft geen mooie oplossing zoals een firewall en DMZ maar hangt waarschijnlijk direct aan het internet?

Exchange in een DMZ wordt niet ondersteund. Heeft sowieso weinig zin om een domain member server in de DMZ te zetten omdat je een hele zooi poorten open moet zetten richting je interne netwerk. Op welke manier zou dit deze besmetting hebben kunnen voorkomen?

[ Voor 42% gewijzigd door Jazzy op 28-06-2017 07:12 ]

Jazzy schreef op woensdag 28 juni 2017 @ 07:09:

Exchange in een DMZ wordt niet ondersteund. Heeft sowieso weinig zin om een domain member server in de DMZ te zetten omdat je een hele zooi poorten open moet zetten richting je interne netwerk. Op welke manier zou dit deze besmetting hebben kunnen voorkomen?

Volgens mij lezen we hetzelfde alleen verkeerd. Mijn vraag was of voor de Exchange-server een "zone" is waar een firewall hangt en eventueel of er zaken via een DMZ worden geregeld. Het was niet mijn vraag of de machine in de DMZ hangt. Dan nog; er zijn zat mensen die hun DMZ/beveiliging inrichten door een machine met 2 NIC's neer te zetten; eentje ingeprikt direct op de router en de ander direct op het private network.

Beetje hetzelfde als poortjes zoals 22 en 3389 direct openzetten naar de buitenwereld; ook zo'n recipe for disaster om zeker te weten dat er dagelijks extra verkeer bij je binnenkomt.

Anyhow, grote kans dat alles op 1 machine draait bij de topicstarter dus de discussie of/welk component van Exchange wel/niet correct geplaatst is, lijkt me mogelijk overbodig

[ Voor 8% gewijzigd door MAX3400 op 28-06-2017 07:20 ]

Jazzy schreef op woensdag 28 juni 2017 @ 07:09:
Exchange in een DMZ wordt niet ondersteund.

En de Edge dan?

Maar inderdaad na het lezen van @MAX3400's omschrijving lijkt het gewoon een bak waar direct rdp mogelijk is vanaf buiten (wel zo makkelijk toch?) Het is dan ook geen Exchange lek, maar een os-lek en dan eigenlijk meer van hoe de omgeving (als je daar van kan spreken) is ingericht.

encryped schreef op woensdag 28 juni 2017 @ 02:08:
En ja ik ga niet ontkennen dat ik een M$ gecertitificeerde systeembeheerder bent (iets wat ik trouwens ook nooit zou willen worden).

Met die instelling is het misschien beter om een andere oplossing te vinden, waar je bias tegen Microsoft je minder in de weg zit om je systeem veilig te houden.

encryped schreef op woensdag 28 juni 2017 @ 02:08:
Alleen is de cloud helaas niet echt een optie.
.....

(Ik vind t ook wel een leuk en leerzaam traject)

waarom is de cloud geen optie? voor 10 mailboxen kan de netwerk belasting nooit zo groot zijn, en de kosten ook niet.
"leuk" hoort meer in de hobbysfeer op je zolderkamer. moet de organisatie van wie die mailboxen zijn daar de dupe van worden? die is gebaat bij betrouwbaarheid, beschikbaarheid en tijdigheid. deze lijken me geen van alle op orde. wanneer heb je voor het laatst je restore getest?

encryped schreef op woensdag 28 juni 2017 @ 02:08:
M$

Zo 2005.

[ Voor 4% gewijzigd door P1nGu1n op 28-06-2017 08:39 ]

alias gemaakt in B&V naar dit topic.

encryped schreef op woensdag 28 juni 2017 @ 08:47:
[...]


Zover was ik ook nog gekomen dat het NM4 via mail verspreid is. Echter zou dan een gebruiker dus wellicht z'n virus geopend kunnen hebben. Maar in principe zou dan de verspreiding via de fileserver gegaan kunnen zijn, echter na controle blijkt deze schoon te zijn net zoals de desktops. Dus mijn voorbarige conclusie is dat alleen mijn emailserver geinfecteerd is geweest.

Als een gebruiker malware opent dan wordt deze uitgevoerd op de machine waar de gebruiker op werkt. Zelfs als deze via email verzonden is, is het niet logisch dat de Exchange-server geïnfecteerd is. Wat wel kan is dat de malware uitgevoerd is op een systeem dat niet vulnerable was maar zich via het netwerk kan verspreiden naar servers die wel kwetsbaar zijn.

De mailserver hangt achter een NAT waar de poorten 25 (SMTP), 443 (HTTPS voor OWA), 2883 (activesync) en 3389 (RDP) open waren gezet. De RDP poort was ook nog naar een andere public gemapped (ja poortscans kunnen deze natuurlijk nog vinden)

Poort 2883 is niet nodig voor ActiveSync, deze draait standaard gewoon op poort 443.

Voor de reinstall had ik nog even dubbel gechecked en ja exchange en windows waren volledig up to date.

Dan moeten we toch terug naar de originele vraag, van welke kwetsbaarheid de mailware gebruik maakt om zich uit te kunnen voeren. Ik heb dat in de reacties in dit topic nog niet teruggelezen. Heb even rondgezocht maar kan het zelf ook niet direct vinden.

Qwerty-273 schreef op woensdag 28 juni 2017 @ 07:44:
[...]
Het is dan ook geen Exchange lek, maar een os-lek en dan eigenlijk meer van hoe de omgeving (als je daar van kan spreken) is ingericht.

Wat bedoel je hiermee, kun je eens precies uitleggen hoe dit systeem besmet geraakt is en waar dat door komt?

[ Voor 10% gewijzigd door Jazzy op 28-06-2017 10:15 ]

Jazzy schreef op woensdag 28 juni 2017 @ 07:09:
[...]

Onzin. Dat zou je haast gaan geloven als je luistert naar partijen die er financieel belang bij hebben om jou dat te laten geloven maar de praktijk is anders. Exchange is retestabiel, veilig en vraagt zelfs in zeer grote omgevingen geen dagelijks beheer. Het is gewoon een applicatie op een server, daarmee niets anders dan SQL of Apache.

Als je weet wat je doet en configureert wel ja.

-------
Wat betreft dit probleem, kun je in de eventviewer terugvinden welke accounts zijn ingelogt op de exchange machine? Of heb je die niet veiliggesteld?

Gebruiker met een zwak wachtwoord en je bent t bokje.

encryped schreef op woensdag 28 juni 2017 @ 10:26:
https://technet.microsoft...bb124075(v=exchg.65).aspx
Exchange ActiveSync (IIS Admin Service) UDP 2883 on the front-end serve

Dat is een artikel uit 2006 en gaat niet over Exchange 2013. Geloof me, Exchange is toevallig het enige waar ik echt verstand van heb.

Wat die ASP.ISS gebruiker betreft, dat is inderdaad een goed punt om verder uit te zoeken. Ik vond alleen dit lijstje met bekend gemaakte RDP-accounts: https://bitbin.it/6A2eNLb0/ Kan dus zijn dat dit legitieme accounts zijn maar ook heel goed dat malware deze accounts heeft aangemaakt. Ik heb nog even verder gezocht en het lijkt er inderdaad op dat NMoreira zich verspreid via RDP. Daar zou dan toch een vulnerability moeten zitten.

encryped schreef op woensdag 28 juni 2017 @ 10:26:
https://technet.microsoft...bb124075(v=exchg.65).aspx
Exchange ActiveSync (IIS Admin Service) UDP 2883 on the front-end serve

Je realiseert je dat dat artikel gaat over Exchange 2003? En dat er dus gegarandeerd dingen gewijzigd zijn in de tussentijd? Daarbij, poort 3389 voor de buitenwereld openzetten is gewoon absoluut not-done. Alsjeblieft, draag de verantwoordelijkheid voor die omgeving gewoon over aan iemand die zich er wel echt voor wil inzetten.

encryped schreef op woensdag 28 juni 2017 @ 10:49:
[...]
Echter had ik verwacht dat windows RDP wellicht net zo veilig zou kunnen als SSH blijkbaar is dat dus niet het geval.

Wat bedoel je precies met net zo veilig als SSH? https://www.google.co.in/...&sourceid=chrome&ie=UTF-8

Er is geen software die geen vulnerabilities kent, was het maar zo simpel. In algemene zin helpt het natuurlijk wel om moderne software te gebruiken, met een oud OS zoals Windows Server 2008 R2 loop je natuurlijk een grotere kans op ellende dan met Server 2016 of zelfs 2012 R2. Maar het blijft zaak om te updaten, malware scanners gebruiken en zo min mogelijk ontsluiten naar het internet.

Voor remote beheer is een VPN een goed hulpmiddel, vaak kan dat direct naar je router of desnoods een Raspberry Pi.

[ Voor 38% gewijzigd door Jazzy op 28-06-2017 11:57 ]

Goed punt! Wat ik vooral wil zeggen, met alleen de keuze voor een ander software pakket (ssh ipv. RDP) ben je er niet. Het gaat om het totale plaatje.

Het zou me serieus niet verwonderen als ze gewoon die rdp-connectie gebruteforced hebben.
Staat daar een protectie op dat ie automatisch bant na zoveel pogingen?

Mijn eigen server wordt dagelijks! aangevallen op ssh.
Maar sowieso nooit RDP exposen naar het internet.
Hang een VPN-box in het netwerk als je er van buitenaf aan moet kunnen.

[ Voor 23% gewijzigd door hackerhater op 28-06-2017 12:12 ]

crazyme2 schreef op woensdag 28 juni 2017 @ 06:38:
[...]
Om op elke Exchange bak fulltime een gediplomeerd ITer te zetten is niet echt praktisch.
(En daarmee trap je elke discussie direct dood)

Kom op: we hebben het hier over 10 mailboxen. Zo'n hosted Exchange kost iets van 5 tot 10 €uro per maand per mailbox. Wat kun jij doen voor 100 €uro per maand? Het mannetje dat dagelijks de backup-tapes vervangt is al duurder

Je weet dat er meer redenen kunnen zijn om geen 365 te willen?

• De data staat in Ierland. Dat heeft gevolgen voor de snelheid van Outlook, al helemaal met grote mailboxen.
• Sync issues. Vooral leuk met (gedeelde) agenda's.
• Geen vertrouwen hebben in de veiligheid van je data in 365 (of dit nou terecht is of niet..)
• Als je al een eigen server en alle licenties al hebt en personeel in dienst hebt die dit kan onderhouden dan is het duurder.. het enige is dat je niet constant op de nieuwste versies draait maar maximaal gebruik moet maken van de tijd dat het ondersteund wordt.
• Microsoft garandeert niet dat ze je mailbox uit een back-up kunnen restoren bij problemen. Dus, dan heb je een cloud dienst waarvan je alsnog zelf backups moet gaan zitten trekken
• Password sync vind ik ook altijd een dingetje.. bij kleine organisaties zie je vaak dat ze de password sync tussen AD en 365 niet inrichten. Dat is een stap terug in de tijd
• Open voor discussie (maar niet hier) maar ik zie meer issues met 365 dan met lokale Exchange installaties. Ken eigenlijk weinig mensen die écht tevreden zijn met hun 365 box. Het is goedkoop..dat wel.

Maar eigenlijk is al het geratel over 365 gewoon offtopic

hackerhater schreef op woensdag 28 juni 2017 @ 12:08:
Het zou me serieus niet verwonderen als ze gewoon die rdp-connectie gebruteforced hebben.
Staat daar een protectie op dat ie automatisch bant na zoveel pogingen?

Mijn eigen server wordt dagelijks! aangevallen op ssh.
Maar sowieso nooit RDP exposen naar het internet.
Hang een VPN-box in het netwerk als je er van buitenaf aan moet kunnen.

Ergens is het wel grappig dat je enerzijds het advies geeft om RDP nooit open te zetten, maar wel blijk geeft van het feit dat je zelf gewoon SSH open hebt staan.. terwijl dat laatste protocol ook genoeg (serieuze) CVE's gekend heeft

SSH zonder lock-out policy (of sterke wachtwoorden) is ook gewoon vragen om problemen. Dat is met RDP niet anders .

[ Voor 24% gewijzigd door Glashelder op 28-06-2017 15:18 ]

Glashelder schreef op woensdag 28 juni 2017 @ 15:16:
Ergens is het wel grappig dat je enerzijds het advies geeft om RDP nooit open te zetten, maar wel blijk geeft van het feit dat je zelf gewoon SSH open hebt staan.. terwijl dat laatste protocol ook genoeg (serieuze) CVE's gekend heeft

SSH zonder lock-out policy (of sterke wachtwoorden) is ook gewoon vragen om problemen. Dat is met RDP niet anders .

Remote webservers, geen intern netwerk
Maar SSH is gehardened. Wachtwoord login wordt niet toegestaan (public key only) en fail2ban loopt mee.
En uiteraard alles netjes up to date

[ Voor 3% gewijzigd door hackerhater op 28-06-2017 15:23 ]

hackerhater schreef op woensdag 28 juni 2017 @ 12:08:
Het zou me serieus niet verwonderen als ze gewoon die rdp-connectie gebruteforced hebben.

Dat is mijn gok ook, zo heeft een ex-collega ooit op een Terminal Server van een nieuwe klant (RDP rechtstreeks van buiten benaderbaar) een compleet Russisch casino uit de lucht gehaald.
Die waren ook via brute-force binnengekomen.

@Anoniem: 37297
Grote kans dat ze dit hebben gedaan als je verder niks kan vinden : https://en.wikipedia.org/wiki/Brute-force_attack

Voor als de rust is wedergekeerd; kijk eens of je een oplossing als scrollout (of als je de centen & tijd hebt ironport) tussen je Exchange server en je internet kunt zetten. Zelf gebruik ik naast scrollout op een VM ook nog een batch-smtp service op het internet waar mijn mx records naar toe wijzen, elke klein bedrijf kan dit betalen, en het geeft wat meer rust aan de beheerder (want als je mail down is, vangt de externe service het een poos voor je op, en cleant ook vaak nog wat van de grootste shit).

Op welke manier had dit deze infectie via RDP voorkomen?

Edit: ik zit hier nog even verder over te lezen, en vond o.a. deze site die het mechanisme beschrijft waar NMoreira op gebaseerd zou zijn. Om via RDP in te breken wordt brute force gebruikt maar ook deze vulnerabilities:
https://technet.microsoft...ry/security/ms15-067.aspx
https://technet.microsoft.com/library/security/MS15-030

[ Voor 78% gewijzigd door Jazzy op 28-06-2017 17:15 ]

@ Jazzy: waarschijnlijk niet de vulnerability in de eerste link want die veroorzaakt alleen een Denial of Service conditie. Indien alles gepatched was gok ik op een RDP account met zwak wachtwoord en/of geen account lockout.

Zorg er voor dat je Exchange achter een goed geconfigureerde firewall hangt anders zijn de verschillende Windows exploits van shadowbrokers ook een manier om binnen te komen.
https://www.theregister.c...shadow_brokers_data_dump/

Verder is het mogelijk om via de virus-scanner een mail-server te infecteren mocht je alles dicht hebben zitten en toch een infectie vinden. Dit heb ik echter nog niet actief gebruikt zien worden.

Brahiewahiewa schreef op woensdag 28 juni 2017 @ 01:46:
[...]

En om overmorgen weer geïnfecteerd te zijn?

Ja, een lullige opmerking, ik weet 't. Maar je vraagstelling en de terminologie die je gebruikt doen vermoeden dat je van het beheren van een Exchange server, geen kaas gegeten hebt.
Het beheren van een Exchange server is hedentendage een full-time job. 't Is niet meer economisch verantwoord om dat zelf te doen. Doe jezelf en je eindgebruikers een plezier en migreer het hele zooitje zo snel mogelijk naar Office365 (of een andere exchange hosting).

Dit is wel heel erg generaliserend, Exchange in een MKB situatie is makkelijk te beheren met minimale beheersdruk na de inrichting (up-to-date houden, certificaten op to date houden, zo nu en dan een mailboxje aanmaken / verwijderen en dat is het in de regel binnen het MKB wel). Praat je over multinationals met Exchange servers geclusterd over de hele wereld en gebruikmakend van alle geavanceerde functionaliteit die je krijgt met exchange enterprise cals en bijv. geïntegreerd met zaken als Skype for business, ja, dan praat je inderdaad over een fulltime job (waarschijnlijk meerdere).

Kijk bijv, naar een redelijk gemiddelde MKB situatie met 50 users, het goedkoopste Ofice 365 platform kost je 12.600 euro over 5 jaar, licentie technisch heb je Exchange 2016 x2 (voor een DAG) + 50 Cals voor 5800 euro over dezelfde 5 jaar, als je eigen beheerders hebt en een je niet specifiek voor Exchange ijzer moet aanschaffen kun je heel wat uurtjes enkel in Exchange stoppen voordat Office 365 goedkoper wordt. Zelfs als je het dagelijkse beheer uitbesteed zijn dat nog aardig wat uren (bij veel van mijn klanten in dit segment besteed ik echt geen 100+ uur puur aan exchange qua tijd over een periode van 5 jaar).

Neem daarnaast ook nog eens de issues die nog steeds spelen met Office 365, gemiddeld genomen zien wij bijv. meer downtime / performance issues met Office 365 bij klanten die op Office 365 zitten met hun E-mail dan bij klanten die Office 365 on-premise hebben draaien en lang niet in alle gevallen is Office 365 interessant op dit moment. Dit kan uiteraard in de toekomst gaan veranderen als MS office 365 nog verder verbeterd (vooral in situaties waar bijv. cached mode geen optie is, dit is nog steeds echt een drama of in situaties waar enkel "trage" verbindingen beschikbaar zijn). Er zijn bij ons bijv. al een aantal klanten weer over gestapt van Office 365 terug naar On-premise omdat het gewoonweg niet werkbaar was, die hebben flink wat geld weggegooid door tegen ons advies in te migreren naar Office 365, maar toch doorgedrukt omdat ze dachten dat het zoveel goedkoper en beter zou zijn.

Begrijp me verder niet verkeerd, Office 365 is in bepaalde scenario's veruit de geprefereerde optie maar om kort door de bocht te stellen dat iedereen maar moet overstappen naar Office 365 of andere hosting is zeker niet logisch.

[ Voor 5% gewijzigd door Dennism op 29-06-2017 12:17 ]

Dennism schreef op donderdag 29 juni 2017 @ 12:14:
[...]
Praat je over multinationals met Exchange servers geclusterd over de hele wereld en gebruikmakend van alle geavanceerde functionaliteit die je krijgt met exchange enterprise cals en bijv. geïntegreerd met zaken als Skype for business, ja, dan praat je inderdaad over een fulltime job (waarschijnlijk meerdere).

Eén van mijn klanten valt in die categorie (80k mailboxen, 50+ servers) en veel meer dan dagelijks beheer is het echt niet. SCOM meldt wel eens wat maar meestal zijn dat nog false postives ook. Ironisch genoeg hebben we veel meer incidenten en verstoringen sinds de migratie naar Exchange Online.

Je berekening is trouwens spot-on. En dan heb je het nog niet eens over de controle die je uit handen geeft waardoor je bijna wekelijks geconfronteerd wordt met nieuwe of aangepaste features, met alle overlast van dien.

Jazzy schreef op donderdag 29 juni 2017 @ 12:36:
[...]
Eén van mijn klanten valt in die categorie (80k mailboxen, 50+ servers) ...

Je hebt het niet toevallig over Maersk? ;o)

Anyway, we hebben de TS nu aan twee tips geholpen: port 2883 dichtzetten en de erg algemene aanwijzing om "iets" aan z'n backup te doen. Ik heb niet het idee dat dit afdoende is in zijn situatie, dus ik blijf bij m'n standpunt dat een migratie naar O365 zijn directe omgeving happier maakt.

Brahiewahiewa schreef op donderdag 29 juni 2017 @ 13:22:
[...]

Je hebt het niet toevallig over Maersk? ;o)

Anyway, we hebben de TS nu aan twee tips geholpen: port 2883 dichtzetten en de erg algemene aanwijzing om "iets" aan z'n backup te doen. Ik heb niet het idee dat dit afdoende is in zijn situatie, dus ik blijf bij m'n standpunt dat een migratie naar O365 zijn directe omgeving happier maakt.

In een geval als deze met 10 users, een mogelijk onervaren beheerder, er geen bezwaar tegen is het uit handen geven van de controle / data aan een 3de partij en er performance technisch geen te verwachten issues zijn (bijv alleen traag ADSL beschikbaar, heb al situaties gezien waarbij Office 365 performance over een 8/2 lijn met 5 man al niet te harden was, of situaties waarbij cached mode niet mogelijk c.q. wenselijk zijn ben ik het in deze niet met je oneens. O.a. het niet hebben van een correcte backup is natuurlijk al een groot issue in zijn omgeving, maar ook het direct mappen van bepaalde poorten naar het internet is natuurlijk niet handig.

[ Voor 5% gewijzigd door Dennism op 29-06-2017 15:43 ]

Ik heb al bij een aantal klanten gezien dat ze gewoon via een rechtstreekse RDP zijn binnengekomen op servers.
Windows Security logboek stond ook helemaal vol met inlogpogingen met vreemde gebruikersnamen, zoals admin, administrator, administrador, administrateur, ze proberen van alles.

Ze stonden eigenlijk al voor de deur, ze moesten alleen nog (brute force) het wachtwoord zien te achterhalen.
Vervolgens was alles besmet, van Windows systeembestanden tot heel veel bedrijfsdata.

Rechtstreekse RDP moet je gewoon dichtzetten, ook niet op een andere poort zoals 3390 of bijv. 6000, ze doen gewoon een port scan en ze maken verbinding.

Suggereer je nu dat al die besmettingen van de laatste tijd zijn ontstaan door zwakke wachtwoorden?
Welkom2017

Brahiewahiewa schreef op donderdag 29 juni 2017 @ 13:22:
[...]

Je hebt het niet toevallig over Maersk? ;o)

Nee.