Virus besmet wel multinationals maar geen MKB?

[TwaBla]

Hoe kan het zijn dat een Petya-virus (of Not-Petya) via een achterdeurtje in het obscure Oekraïense belastingsvoorbereidingsprogramma M.E.Doc terecht komt bij multinationals zoals Maersk, Fedex, Reckitt-Benckiser en Beiersdorff, maar amper doordringt in het MKB?

 

Wat moet je als kleine ondernemer doen wanneer een volgend virus wel toeslaat?

 

Computers aan laten staan, alle netwerkverbindingen verbreken en hulp inroepen, zag ik ergens op TV.

[shoptillyoudrop]

Vooral erg voorzichtig zijn met het klikken op allerlei links... Hé! Is de link in jouw post wel veilig...?

 

Grapje misschien, maar toch.

 

En een goedwerkende antivirusprogramma hebben natuurlijk (hoewel dat kennelijk ook niet al te best hielp).

[R.I.P. | Peter Bonjernoor]

Zorgen dat je de meest recente versie van je OS hebt, en verder hopen dat je mazzel hebt. Dit gat was in maart al gedicht, maar de besmette systemen waren niet gepatcht.

[Ron van der Kolk]

Hoe kan het zijn dat een Petya-virus (...) terecht komt bij multinationals (...), maar amper doordringt in het MKB?

Omdat het voor zover ik lees geen zichzelf verspreidend virus is, maar aan gerichte aanval. De pijlen zijn gericht op e-mailadressen van multinationals, waar een bijlage naar toe wordt gestuurd. Er hoeft maar een iemand de bijlage te openen, want Petya verspreid wel automatisch verder binnen een netwerk. Petya verspreid zich voor zover ik weet niet zelf verder via mail, zoals virussen dat "vroeger" deden.

[R.I.P. - Benm]

Het MKB draait meestal geen software verkregen van de oekrainse belastingdienst, dat scheelt alvast ;)

 

Maar er zijn ook wel technische redenen dat kleine bedrijven minder vatbaar zijn. Vaak werken die met vrij gewone edities van windows die normaal gepatched worden. Bij grotere bedrijven zie je enterprise edities die centraal gepatched worden voor alle workstations, maar dan liever wel buiten werktijd. Uiteraard wordt dat nog wel eens nagelaten.

 

Niet-enterprise edities blijven mauwen om een update als je het wegklikt, enterprise systemen kunnen zo worden ingesteld dat ze de gebruiker niet lastig vallen, en zolang er geen problemen zijn kan het zo gebeuren dat systemen maanden of jaren ongepatched blijven draaien.

 

En dan nog de systemen die 'vast zitten' op bijvoorbeeld XP. Gewoon omdat dat meegeleverd is met een apparaat, er geen drivers zijn voor nieuwe windows versies en dergelijke. Je hoeft bijvoorbeeld niet heel hard te zoeken naar een geldautomaat die op XP draait, als ie voor pakweg 2005 in de muur gezet is, is de kans vrijwel 100%.

 

Maar ook dingen als grote displays met bijvoorbeeld vertrektijden op vliegvelden draaien erop, soms te zien aan komische windows in beeld met foutmeldingen etc.

[R.I.P. | Peter Bonjernoor]

Omdat het voor zover ik lees geen zichzelf verspreidend virus is...

NotPetya juist wel, dat werd via een update van een boekhoudpakket bij bedrijven binnengesluisd waar het zich verder door het lokale netwerk kon verspreiden - zelfs naar computers die gepatcht waren.

 

[Ron van der Kolk]

NotPetya juist wel, dat werd via een update van een boekhoudpakket bij bedrijven binnengesluisd waar het zich verder door het lokale netwerk kon verspreiden - zelfs naar computers die gepatcht waren.

Dat schreef ik ook: wel binnen het netwerk, maar niet daarbuiten.

[R.I.P. | Peter Bonjernoor]

Inderdaad, excuses - doordat je na de eerste zin doorging met "De pijlen zijn gericht op e-mailadressen van multinationals, waar een bijlage naar toe wordt gestuurd." dacht ik dat je niet doorhad dat de verspreiding hier heel anders ging. ;)

[shoptillyoudrop]

Wat moet je als kleine ondernemer doen wanneer een volgend virus wel toeslaat?

 

Volgens mij is dit de (voor het MKB) misschien meest cruciale vraag.

 

 

[R.I.P. | Peter Bonjernoor]

Volgens mij is dit de (voor het MKB) misschien meest cruciale vraag.

Netwerkverbindingen ontkoppelen kan theoretisch verspreiding tegenhouden, maar daar ben je dan waarschijnlijk al te laat voor.

 

Voor meer detailinformatie over deze malware: https://tweakers.net/reviews/5539/internetaanval-treft-grote-bedrijven-wat-gebeurde-er-precies.html

 

De betere vraag voor MKB'ers is: hoe zorg ik er voor dat ik zo weinig mogelijk schade lijd als ik getroffen wordt door malware?

 

Ik kop punt 1 t/m 10 alvast in: zorg voor een goede off-site backup!

[Branko Collin]

Grote bedrijven mogen misschien beter in staat zijn te beveiligen, maar hebben ook veel meer aanvalsvectors.

zul je denk ik niet gauw bij EMZ-en tegenkomen.

[R.I.P. - Benm]

Als kleine ondernemer moet je het, denk ik, zien als het antwoord op:

 

"heb ik een serieus probleem als mn harddisk NU ontploft"

 

Als het antwoord daarop 'ja' is moet je toch echt wat aan backups gaan doen.

 

Sterker nog: besteed het weekend nuttig, maak ergens een account aan bij een offsite backup dienst (bijv stack van transip, gratis 1 TB storage) en laat de boel gedurende het weekend uploaden :D

 

 

Feitelijk is besmetting door ransomware niet fundamenteel anders dan het spontaan defect raken van een harddisk. Beide kunnen compleet onverwacht gebeuren, en het netto resultaat is dat je alle data op die schijf kwijt bent.

 

Zowel een locale als remote backup lijkt me verstandig: een backup naar een externe harddisk berschemt je wel tegen ransomware zolang je het ding maar ontkoppelt als je geen backups aan het maken bent. Je zou echter wel zowel je primaire systeem als de backup kunnen verliezen in geval van bijvoorbeeld een brand, blikseminslag, of domweg inbraak+diefstal.

 

Wat zou ik zelf kwijt zijn? Een beetje werk van hoogstens de afgelopen dagen (waarvan het merendeel ook nog op de server van de klant staat en/of op een offsite testomgeving). Vervolgens de tijd om nieuwe hardware te kopen, en de data van mn offsite locatie te downloaden mocht de lokale backup ook verdwenen zijn.