Digitalus host de naam van Foodlog. Dat zorgde vorige week maandag voor problemen. Vanavond legde Digitalus ons uit wat er gebeurd is. We ontvingen het volgende bericht.
Hostingbedrijf Digitalus, onderdeel van IT-Ernity Internet Services, is op 5 augustus 2013 slachtoffer geworden van cybercriminelen, die bezoekers van de op haar nameservers gehoste websites van klanten doorverwees naar malafide websites. Digitalus heeft daarop onmiddellijk actie ondernomen door de malware verspreidende site van de cybercriminelen offline te laten halen en de oorzaak te laten onderzoeken door het gespecialiseerde onderzoeksbureau Digital Investigation. Het onafhankelijke onderzoeksbureau Digital Investigation heeft forensisch onderzoek verricht en vastgesteld dat de problemen bij Digitalus zijn veroorzaakt door een hack op één werkstation binnen de interne kantoorautomatisering en niet op de productieomgeving.
Uit het onderzoek van Digital Investigation blijkt dat kwaadwillenden door middel van een e-mail met een nagenoeg identiek op een pdf-bijlage lijkende bijlage, op oneigenlijke wijze wachtwoorden en login-gegevens hebben weten te bemachtigen. Door het openen van de bijlage is er ongemerkt malware op het werkstation van een van de medewerkers geïnstalleerd.
De installatie van deze malware had niet voorkomen kunnen worden, omdat deze door vrijwel geen enkele moderne virus checker wordt onderschept op het moment van de besmetting. Na de installatie van de malware zijn wachtwoorden en login-gegevens verkregen, vanaf het besmette werkstation van een administratief medewerker, die gebruikt worden om bij domeinnaambeheerder SIDN als registrar zaken te regelen als onderdeel van de dagelijkse reguliere werkzaamheden. Vervolgens zijn met de onrechtmatig bemachtigde SIDN gebruikersgegevens de nameservers van een viertal domeinnamen, waaronder de core DNS domeinnaam, aangepast naar de door cybercriminelen ingestelde webadressen, waardoor bezoekers omgeleid werden naar een pagina die eveneens malware verspreidt.
Digitalus heeft onmiddellijk na de vaststelling van de problemen maatregelen getroffen. Om mogelijke herhaling van dit soort ongeautoriseerde wijzigingen op core domeinnamen te voorkomen zijn deze domeinnamen preventief opgenomen in een nieuwe afgescheiden SIDN-account waarvan toegang enkel op C-level mogelijk is. Daarnaast is Digitalus in gesprek met SIDN om dit soort problemen (het misbruik kunnen maken van wachtwoorden van SIDN) in de toekomst te voorkomen, door bijvoorbeeld uitgebreidere authenticatiemethodieken te introduceren die via een separaat medium lopen zoals bijvoorbeeld SMS.
Sebastiaan de Koning, Chief Executive Officer bij IT-Ernity Internet Services, waar Digitalus onderdeel van uitmaakt: “Het openen van de bijlage van deze e-mail had mij ook kunnen overkomen. De mail kwam binnen bij een afdeling die dagelijks talloze van dit type mailtjes ontvangt. Aan het bestand was niet direct zichtbaar dat het niet om een reguliere pdf ging. Een geschoolde IT-medewerker zou dit wellicht wel herkend hebben. We weten dat de daders zich in het buitenland bevinden, dus via de KLPD zijn de autoriteiten daar op de hoogte gesteld. Het rapport van Digital Investigation en onze ervaringen zullen we gecontroleerd delen met collega’s uit de branche om voor deze problemen in de toekomst gezamenlijk een oplossing te vinden en de continuïteit verder te borgen. Daarnaast maak ik graag van de gelegenheid gebruik om onze klanten en alsook hun klanten, ondanks de overmachtssituatie, onze welgemeende excuses over te brengen voor dit voorval en haar gevolgen.”
Dit artikel afdrukken
Hostingbedrijf Digitalus, onderdeel van IT-Ernity Internet Services, is op 5 augustus 2013 slachtoffer geworden van cybercriminelen, die bezoekers van de op haar nameservers gehoste websites van klanten doorverwees naar malafide websites. Digitalus heeft daarop onmiddellijk actie ondernomen door de malware verspreidende site van de cybercriminelen offline te laten halen en de oorzaak te laten onderzoeken door het gespecialiseerde onderzoeksbureau Digital Investigation. Het onafhankelijke onderzoeksbureau Digital Investigation heeft forensisch onderzoek verricht en vastgesteld dat de problemen bij Digitalus zijn veroorzaakt door een hack op één werkstation binnen de interne kantoorautomatisering en niet op de productieomgeving.
Uit het onderzoek van Digital Investigation blijkt dat kwaadwillenden door middel van een e-mail met een nagenoeg identiek op een pdf-bijlage lijkende bijlage, op oneigenlijke wijze wachtwoorden en login-gegevens hebben weten te bemachtigen. Door het openen van de bijlage is er ongemerkt malware op het werkstation van een van de medewerkers geïnstalleerd.
De installatie van deze malware had niet voorkomen kunnen worden, omdat deze door vrijwel geen enkele moderne virus checker wordt onderschept op het moment van de besmetting. Na de installatie van de malware zijn wachtwoorden en login-gegevens verkregen, vanaf het besmette werkstation van een administratief medewerker, die gebruikt worden om bij domeinnaambeheerder SIDN als registrar zaken te regelen als onderdeel van de dagelijkse reguliere werkzaamheden. Vervolgens zijn met de onrechtmatig bemachtigde SIDN gebruikersgegevens de nameservers van een viertal domeinnamen, waaronder de core DNS domeinnaam, aangepast naar de door cybercriminelen ingestelde webadressen, waardoor bezoekers omgeleid werden naar een pagina die eveneens malware verspreidt.
Digitalus heeft onmiddellijk na de vaststelling van de problemen maatregelen getroffen. Om mogelijke herhaling van dit soort ongeautoriseerde wijzigingen op core domeinnamen te voorkomen zijn deze domeinnamen preventief opgenomen in een nieuwe afgescheiden SIDN-account waarvan toegang enkel op C-level mogelijk is. Daarnaast is Digitalus in gesprek met SIDN om dit soort problemen (het misbruik kunnen maken van wachtwoorden van SIDN) in de toekomst te voorkomen, door bijvoorbeeld uitgebreidere authenticatiemethodieken te introduceren die via een separaat medium lopen zoals bijvoorbeeld SMS.
Sebastiaan de Koning, Chief Executive Officer bij IT-Ernity Internet Services, waar Digitalus onderdeel van uitmaakt: “Het openen van de bijlage van deze e-mail had mij ook kunnen overkomen. De mail kwam binnen bij een afdeling die dagelijks talloze van dit type mailtjes ontvangt. Aan het bestand was niet direct zichtbaar dat het niet om een reguliere pdf ging. Een geschoolde IT-medewerker zou dit wellicht wel herkend hebben. We weten dat de daders zich in het buitenland bevinden, dus via de KLPD zijn de autoriteiten daar op de hoogte gesteld. Het rapport van Digital Investigation en onze ervaringen zullen we gecontroleerd delen met collega’s uit de branche om voor deze problemen in de toekomst gezamenlijk een oplossing te vinden en de continuïteit verder te borgen. Daarnaast maak ik graag van de gelegenheid gebruik om onze klanten en alsook hun klanten, ondanks de overmachtssituatie, onze welgemeende excuses over te brengen voor dit voorval en haar gevolgen.”
Nog 3
Je hebt 0 van de 3 kado-artikelen gelezen.
Op 5 mei krijg je nieuwe kado-artikelen.
Op 5 mei krijg je nieuwe kado-artikelen.
Als betalend lid lees je zoveel artikelen als je wilt, én je steunt Foodlog
Lees ook
Er staat met zoveel woorden dat het heel gemakkelijk is om een heel systeem over te nemen met nieuwe malware via de administratie.
Zeer opmerkelijk dat de CEO van zichzelf vindt dat hij geen geschoolde IT-er is en bijlagen van malware mailtjes opent. Lijkt op een brandweercommendant die geen flauw benul heeft van vuur.
Too little, too late.
Ik begrijp hier eigenlijk ook bar weinig van. Zou denken dat een professionele provider zijn kantooromgeving goed van zijn productieomgeving zou scheiden, en geschoolde IT-medewerkers zou hebben. Niet pas na uren problemen hebben geconstateerd. En klanten korter dan een week nadien zou vertellen hoe eventueel opgelopen trojans te verwijderen. Beetje al te makkelijk om je a la luchtvaartvertragingen op een overmachtsituatie te beroepen.