Belgisch bedrijf voor productie weefgetouwen ligt stil door ransomware

[DarkV]

De Belgische weefgetouwenproducent Picanol is maandag getroffen door een aanval met ransomware. Het bedrijf bevestigt dat de systemen volledig plat liggen, wat naar eigen zeggen nogal problematisch voor de productieactiviteiten is.

Bron: https://tweakers.net/nieuws/162238/belg ... mware.html

[tien]

Het kan een probleem zijn bij de produktie #understatement
Ook bij het manueel invullen van de 1600-2300 papieren voor tijdelijke werkloosheid.

Hopelijk is de schrapping van het aandeel op de beurs enkel tijdelijk uit bescherming, is best wel interessant bedrijf

[Tomby]

Beetje oud nieuws, niet ? Zat gisteren in zowat alle nationale nieuws en kranten .
Ondertussen : https://www.standaard.be/cnt/dmf20200114_04804843

[DarkV]

Beetje oud nieuws, niet ?

Ik wou even het topic gebruiken om volgende bedenking... draaien al die kritieke processen dan op servers welke Fileserving enabled hebben en waar een gebruiker zomaar toegang heeft tot alles ?

Ik zou verwachten dat kritische servers niet zomaar voor iedereen toegankelijk zijn en gebruik maken van client-server protocollen (bv. database links)… of doet men bij Picanol nog alles met Notepad ?

[Joe de Mannen]

Tja, er moet toch iemand mee kunnen werken. Je kan nu éénmaal niet alles toetimmeren want dan kan je niet werken.

Het is toch altijd een balans zoeken tussen dichtgetimmerd en werkbaarheid...
J.

[tien]

machines heel veel 'het simpelste protocol mogelijk'
zou er niet van verschieten. Denk dat je achterover valt hoeveel telnet & ftp er nog intern gebeurd.

[tb0ne]

Ik vraag mij vooral af welke ransomware en wat was het point of entry?
In de media verscheen al iets over vpn, misschien nog een lekke PulseSecure?
Langs de andere kant zit Citrix ook met een redelijke exploit momenteel...

[boran_blok]

Bij een klant van ons is dit ook voorgevallen en ik kan niets zeggen of het nu bij picanol ook zo is, maar daar was het echt wel een getargette attack. Geen huis-tuin en keuken ransomware virusje, maar een intrusie waarschijnlijk al maandan vooraf, alles was grondig voorbereid en uitgevoerd vlak voor een periode van productie-rust zodat het bedrijf kans had om te betalen zonder bedrijfsimpact.

Een gewone backup strategie waarbij men mits domein admin rechten nog aan de backups kan is hierbij niet voldoende, je moet echt volledig afgesneden backup systemen hebben waarbij iemand met volledig toegang toch niet in staat is om deze te verwijderen.

Dus welke ransomware, kan waarschijnlijk beantwoorden worden als "iets custom op maat geschreven" het kan zelfs zijn dat ze gewone off the shelf encryptie software gebruiken. Het is de intrusie die het probleem is, op zich niet een ransomware virus.

En point of entry is heel breed, er moet maar één toegangspunt zijn en één privilige escalation en ze zitten binnen.

[heist_175]

Het is toch altijd een balans zoeken tussen dichtgetimmerd en werkbaarheid...

In principe heb je gelijk, maar dit grapje kost onnoemlijk veel geld.
Geld dat ze toch beter in IT en proces- en procedureoptimalisatie hadden gestoken.

[Joe de Mannen]

Tuurlijk kost dit veel geld, maar zonder details weet je niet of het 'te vermijden' geweest is of niet.

Ik werk in een sector waar beveiliging een hoofdzaak is, soms gaat het zover dat men wel support wenst maar niemand fysiek toegang wil geven tot een gebouw. Da's natuurlijk veilig maar niet werkbaar.

Da's als reclameren bij de poetsvrouw dat het niet gekuist is, terwijl ge angstvallig uw deur op slot houdt. Dat werkt niet.
En dan kan je dat oplossen op verschillende manieren, je kan zelf de deur opendoen en uw poetsvrouw binnenlaten, ze heel de tijd in 't oog houden en ze terug buiten laten, deur achter haar gat op slot doen (alles M/V/X uiteraard).
Of je kan ze een sleutel geven en zelf gaan werken.

In beide gevallen kan het mis lopen. Maar wat is meer werkbaar ?

J.

[DarkV]

Denk dat je achterover valt hoeveel telnet & ftp er nog intern gebeurd.

Maar over dergelijke protocollen kan je geen massale encryptie doen van bestanden.

Ik zou gewoon graag weten hoe het virus z'n werk doet... is het een gebruiker die op een onbekend attachment klikt waarbij het ding alle drive mappings meteen gaat encrypteren, of is het veel geavanceerder en gebruikt men bijvoorbeeld een buffer overflow met privelege escalation om code rechtstreeks op een server te draaien en daar massaal en encrypteren.

Het eerste kan je misschien nog vermijden (alhoewel users opvoeden niet eenvoudig is), het tweede al veel moeilijker (behalve continue patchen).

[ITnetadmin]

Productienetwerken airgappen zou een goed begin zijn, met dedicated workstations enzo.

[DarkV]

Uiteindelijk moeten die netwerken wel input krijgen vanuit bv. het order systeem... airgappen wordt dan moeilijk.

Voor pure process bewaking zijn er mogelijkheden denk ik maar zoiets moet je echt case by case bekijken.

[SpecialK]

Het is perfect mogelijk dat het productienetwerk niet geimpacteerd is, maar dat niemand nog op het ERP-systeem kan inloggen en men daardoor niet weet wat er geproduceerd moet worden. Die producten zijn zo klantspecifiek dat je niet kan zeggen: bouw zo maar wat en we passen het dan desnoods nadien nog wel aan.

Al vraag ik me ook wel af hoe bv een ERP-systeem kwetsbaar zou zijn door iets dat via file shares werkt...

[ITnetadmin]

Ik zou bijna durven zeggen: de airgap bridgen met een serial connection tussen twee programmas die enkel voorgeconfigde inputs en values accepteren.

[CCatalyst]

Tangentieel on topic, vandaag de laatste dag dat Microsoft nog ondersteuning biedt voor Windows 7. Vanaf morgen is het gedaan met security updates, tenzij je Microsoft betaalt en dan willen ze nog 3 jaar langer updates leveren.

Dat belooft weinig goeds als ik zie hoe vaak Windows 7 nog gebruikt wordt in de bedrijfswereld hier.

[Joe de Mannen]

En net nu komt win10 met een beveiligingslek...

[heist_175]

Dat belooft weinig goeds als ik zie hoe vaak Windows 7 nog gebruikt wordt in de bedrijfswereld hier.

En wat dacht je van de voorlopers van W7? Hoeveel beursgenoteerde bedrijven zouden er nog kritische toepassingen draaien op een pre W7 toestel? Ik denk dat je steil achterover zou vallen...

[CCatalyst]

En net nu komt win10 met een beveiligingslek...

Windows 7 ook.

Support for Windows 7 is nearing the end met Rachel Dolezal

[tien]

Heb nog voldoende collega's die vechten om windows 98 buiten te krijgen...
Dikwijls is dat dan 'gewoon terminal/controler' voor machine van paar duizenden euros die wel nog zijn werk doet, niet meer onderhouden wordt en waar er geen vervanging voor gepland is.
Sinumerik is dan weer linux gebaseerd maar twijfel of daar veel aan het os zelf gewerkt wordt. Voor de prijs van onderhoud zou er toch soms wel eens update mogen gebeuren. (moet niet eens aan internet gekoppeld zijn om malware binnen te krijgen, dat hebben ze bij Siemens toch al geleerd)

Eigenlijk hetzelfde probleem als iot (het zijn gewoon grote T's...), zeker buiten ICT is er enorm veel 'smerig' oud spul in produktie.

Hoop dat er met zo enkele zware problemen ogen open gaan.

[devilkin]

Zolang men beseft dat die oude windows machines er nog zijn, en deze ook volledig ontkoppeld gebruikt worden (lees: enkel aan het toestel waar ze moeten aanhangen voor sturing) hoeft dit niet perse een probleem te zijn. Maar men moet wel de nodige maatregelen nemen.

Ik vraag me ook af in hoeverre mate deze infectie (want dit is het uiteindelijk wel) niet de oorzaak kan zijn van iemand die op een linkje geklikt heeft?
Bij ons op't werk doen ze met regelmaat phishingmail testen, en er hangt ook wel degelijk iets aan vast als er teveel mensen op klikken.

[Doktor Avalanche]

Ik ken hier in de buurt ook een kmo, die dit heeft voorgehad. Was een email met daarin een bestelbon in word. Het openen van dit word document startte de encryptie. Kostprijs was 1 bitcoin om te decrypten. Ze hebben het kunnen oplossen met een backup.

[CCatalyst]

En wat dacht je van de voorlopers van W7? Hoeveel beursgenoteerde bedrijven zouden er nog kritische toepassingen draaien op een pre W7 toestel? Ik denk dat je steil achterover zou vallen...

Vista zie ik nergens meer daar deze versie nooit echt aangeslaan heeft in de bedrijfswereld. XP wel maar toch nooit meer verbonden met het internet. Pre-XP niets meer.

Dan al die Server varianten daarvan zou ik zelfs niet weten welke gevaarlijk is en welke niet, gelukkig dat dit niet mijn domein is en ik dus ook niet veel met deze zaken geconfronteerd wordt en van cryptolocker toestanden gespaard blijf. Wij kunnen wel nog klagen, maar de wereld van de IT-collega's die wel met dat Windows-gedoe bezig moeten zijn moet toch wel de grootste hel zijn van allemaal.

[DarkV]

Al vraag ik me ook wel af hoe bv een ERP-systeem kwetsbaar zou zijn door iets dat via file shares werkt...

Die vraag stel ik me dus ook constant... daarom dat men zou moeten verplichten getroffen bedrijven te communiceren over de attack vector.

Ik zou bijna durven zeggen: de airgap bridgen met een serial connection tussen twee programmas die enkel voorgeconfigde inputs en values accepteren.

Gewoon een firewall met beperking tot één protocol (bv. MQ) zou voldoende moeten zijn.

[ITnetadmin]

Ik zou bijna durven zeggen: de airgap bridgen met een serial connection tussen twee programmas die enkel voorgeconfigde inputs en values accepteren.

Gewoon een firewall met beperking tot één protocol (bv. MQ) zou voldoende moeten zijn.

Vertrouw ik niet genoeg in.
Ook firewalls hebben bugs die je kan uitbuiten.

Een volledig geisoleerd airgapped productienetwerk, desnoods met 1 serial of ander protocol kabel verbonden met een standalone workstation (die geen deel is van het airgapped netwerk maar apart staat), die orders verwerkt via een ingeplugde usb stick.
Een hacker gaat al goed moeten zijn om die standalone pc software zo te corrupten dat ie verkeerde orders doorgeeft via zijn serial link.
En zelfs dan is dat snel gefixed, gewoon een backup standalone bovenhalen en nieuwe orders doorvoeren en klaar.

[DarkV]

Ook firewalls hebben bugs die je kan uitbuiten.

Inderdaad maar dan zit je al op een gans ander niveau... voor kerncentrales en andere kritieke infrastructuur kan ik dit begrijpen, voor een standaard bedrijf is dergelijke manier van werken gelukkig nog niet aan de orde volgens mij.

via een ingeplugde usb stick.

Hopelijk begrijp ik je verkeerd want het gebruik van USB sticks is totaal NOT DONE in termen van security (zelfs niet als ze encrypted zijn).

Een hacker gaat al goed moeten zijn om die standalone pc software zo te corrupten dat ie verkeerde orders doorgeeft via zijn serial link.

Verkeerde orders is niet meteen een probleem... gans de productie die stil ligt is van een totaal andere orde.

[CCatalyst]

Gegevens uitwisselen via floppies is nog het beste.

[devilkin]

Zo newfangled. Steekkaarten!

[tien]

Zo newfangled. Steekkaarten!

Vooral voor weefgetouwen

[Joe de Mannen]

Een weefgetouw heeft toch geen IT nodig
J.

[tien]

maar is wel waar ponskaarten vandaan komen

Zelfs hobbymateriaal kan overigens pc gestuurd (is dat intussen niet bij elke hobby ).

[ITnetadmin]

via een ingeplugde usb stick.

Hopelijk begrijp ik je verkeerd want het gebruik van USB sticks is totaal NOT DONE in termen van security (zelfs niet als ze encrypted zijn).

Tja, ik zie liever full airgaps, maar men zit hier te zagen dat het erp systeem de productie moet kunnen accessen.
Dan zie ik dat liever via een isolated workstation met een usb stick gebeuren dan networked.
Die isolated workstation kan je dan ook snel wegzetten en vervangen als ie besmet raakt.
En de link met het productienet als serial doen zorgt ervoor dat zelfs besmet die workstation weinig schade kan aanrichten.

Een hacker gaat al goed moeten zijn om die standalone pc software zo te corrupten dat ie verkeerde orders doorgeeft via zijn serial link.

Verkeerde orders is niet meteen een probleem... gans de productie die stil ligt is van een totaal andere orde.

Wat dus niet gaat gebeuren wanneer je enkel pre arranged commands via serial aanvaardt.


Ik vat het nog ns samen:
Een volledig airgapped productienetwerk, dat gerund wordt vanop een server.
Volledig = geen vlans, maar fysiek gescheiden switchen en apparatuur.
Die server aanvaardt orders via een serial link, en enkel prearranged values.
Die serial link aansturen vanop een volledig geisoleerde workstation.
Die workstation orders geven via usb.
Zelfs als de usb en dus de workstation compromised raken, kan het virus zich niet over de serial link naar het productienetwerk verspreiden.

[DarkV]

Die serial link aansturen vanop een volledig geisoleerde workstation.
Die workstation orders geven via usb.

Dan heb je al een dubbele GAP... ik zie niet in waarom die stap nodig is (in de meeste normale bedrijven).

Als je workstation enkel een seriele link heeft met een productie server dan zal deze nooit besmet kunnen geraken (tenzij je serieel protocol dat je hebt bedacht toelaat binaire files over te sturen).

Nu dat serieel protocol is wat mij betreft een synoniem voor eender welk beperkt protocol (MQ, database link, sockets connectie, …). In theorie zijn deze nog steeds vatbaar maar dan moet je als externe kennis hebben van het gebruikte protocol en hierin buffer overflows gaan produceren om toch code te laten draaien op de target (wat je in theorie ook bij die seriele connectie kan).

In ieder geval... beperk de attack surface tussen je end-user en productie netwerk maximaal... ik kan me moeilijk van de indruk ontdoen dat dit hier het geval was. Tevens ben ik blij nog altijd in het "grotere" segment te zitten van systemen en niet in het Windows gebeuren waar dit dagelijkse kost is wat je niet kan zeggen van het grotere segment (maar dat vinden de meeste managers maar oudbollig ).

[devilkin]

Wat is voor jou het grotere segment?

[DarkV]

IBM Power systemen

[axs]

Ik denk dat jullie versteld zouden staan hoeveel systemen er nog op XP (embedded) - Windows 7 draaien in de medical devices sector.... en nog meer van hoeveel er gekoppeld zijn op 1 of ander netwerk met oa direct access tot patiënt gegevens.

[Fatsie]

Ik hunker terug naar "mijn" DEC/Compaq bakken met OpenVMS ...

(en zou HEEL graag eens met IBM z systemen kennis maken)

[mailracer]

Gegevens uitwisselen via floppies is nog het beste.

Via een sneakernet

https://nl.m.wikipedia.org/wiki/Sneakernet

[silencer]

Dat belooft weinig goeds als ik zie hoe vaak Windows 7 nog gebruikt wordt in de bedrijfswereld hier.

En wat dacht je van de voorlopers van W7? Hoeveel beursgenoteerde bedrijven zouden er nog kritische toepassingen draaien op een pre W7 toestel? Ik denk dat je steil achterover zou vallen...

Nog +500 Windows 2000 toestellen en +500 Win XP hierzo (en domein controllers van 2003) met firewall domain af (gpo), gelukkig afgeschermd van internet (op een paar uitzonderingen na ).

[joriz]

Wat is best practices dan om dergelijke machines te blocken van het net? Via IP op de firewall?