Geen tweestapsverificatie oorzaak hack gemeente Buren

Gepubliceerd op 16 juni 2022 om 15:01

De gemeente Buren weet nu wat de oorzaak is van de ransomware-aanval. De aanvallers wisten toegang te krijgen tot de systemen van de Gelderse gemeente door inloggegevens van een leverancier te stelen. Omdat er geen tweefactorauthenticatie was ingesteld, konden ze kinderlijk eenvoudig de ICT-omgeving binnendringen. Dat schrijft de gemeente Buren in een update bericht over de aanval (pdf).

5 TB aan data

Het was begin april dat hackers het netwerk van de gemeente Buren wisten te infiltreren. Eenmaal binnen installeerden de daders ransomware: gijzelsoftware dat bestanden achter slot en grendel zet. Niemand kan dan nog deze gegevens raadplegen, openen of aanpassen. Daarvoor is een zogeheten decoderingssleutel nodig: een digitale sleutel om het slot van de bestanden te halen. Slachtoffers krijgen deze sleutel als ze losgeld betalen aan de aanvallers.

De daders zeggen bij de aanval in totaal 5 TB aan gevoelige en vertrouwelijke gegevens te hebben gestolen. Dat heeft de gemeente Buren nooit willen bevestigen. Wel heeft ze laten weten dat er 130 GB aan gegevens online is gezet op het darkweb. In totaal ging het om meer dan 730.000 bestanden.

Forensisch onderzoek

Queeny Rajkowski (VVD) stelde schriftelijke vragen over de kwestie. Het Kamerlid wilde onder meer weten wie er verantwoordelijk was voor de ransomware-aanval en hoe de gemeente op het incident had gereageerd. Staatssecretaris van Koninkrijksrelaties en Digitalisering Alexandra van Huffelen weigerde om de naam van de hackers te geven. Ze wilde wel kwijt dat het om een hackersgroep gaat die internationaal veel slachtoffers heeft gemaakt. Het gerucht gaat dat er SunCrypt-ransomware is gebruikt bij de aanval.

Van Huffelen meldde tevens dat de gemeente een onafhankelijk bureau had ingeschakeld om forensisch onderzoek uit te voeren. Daarbij proberen beveiligingsexperts in kaart te brengen hoe de hackers te werk zijn gegaan en welke data ze mogelijk hebben ingezien en gekopieerd. Afhankelijk van de uitkomsten van het onderzoek zegt de staatssecretaris eventueel aanvullende veiligheidsmaatregelen te treffen.

Zodra de hack aan het licht kwam, heeft de gemeente Buren aangifte gedaan bij het Openbaar Ministerie, de informatiebeveiligingsdienst van VNG en externe experts ingeschakeld, en melding gedaan bij de Autoriteit Persoonsgegevens.

Niet onderhandeld over losgeld

Twee-en-een-halve maand na de ransomware-aanval geeft de gemeente Buren meer openheid van zaken. Uit onderzoek van Hunt & Hackett, het cybersecuritybedrijf van beveiligingsexpert Ronald Prins, is gebleken dat de daders de inloggegevens van de Gelderse gemeente hadden verkregen via een leverancier. Doordat er geen tweestapsverificatie was ingesteld, waren een gebruikersnaam en wachtwoord voldoende om toegang te krijgen.

Op advies van het cybersecuritybedrijf heeft de gemeente Buren geen contact gezocht met de hackers. De kans was groot dat ze dan losgeld zouden eisen. Daarover is dan ook niet onderhandeld. Dat is in overeenstemming met het kabinetsstandpunt, dat zich nadrukkelijk heeft uitgesproken om geen losgeld te betalen bij een cyberaanval.

In totaal zijn er 1.331 kopieën van identiteitsbewijzen gemaakt. De slachtoffers zijn daarvan op de hoogte gebracht en mogen gratis hun identiteitsbewijs laten vervangen. Ruim duizend gedupeerden hebben al gebruik gemaakt van deze regeling.

Gegevens op het darkweb

Burgemeester Johan Meijers zegt blij te zijn dat de impact van de aanval beperkt is gebleven. “Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht.”

De daders hebben volgens Meijers 5 TB aan data gestolen. De burgemeester kan dan ook niet uitsluiten dat er de komende tijd nog meer gegevens zullen opduiken op het darkweb. “De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack”, zo zegt hij.

De gemeenteraad is dinsdag 14 juni op de hoogte gebracht van de bevindingen van Hunt & Hackett. De gemeente werkt momenteel aan een openbare versie van het onderzoeksrapport.

Oorzaak Ransomware Gemeente Buren
PDF – 70,8 KB 134 downloads

Bron: buren.nl, vpngids.nl

Belgie: Nu ook bedrijf in Tielt getroffen door ransomware

Opnieuw is een bedrijf getroffen door zogenoemde gijzelsoftware. Computers van Mitsubishi Chemical Advanced Materials in Tielt werden vorige week geïnfecteerd met ransomware. Volgens de directie komt de productie echter niet in het gedrang. Zo’n 15 à 20 werknemers van de administratieve dienst zijn momenteel wel technisch werkloos. 

Lees meer »

Belgie: 1.700 computers Atlas College Genk geblokkeerd

Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.

Lees meer »

Kamer vragen over losgeld na ransomware aanvallen

D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.

Lees meer »

Cybercriminelen beproeven hun geluk met Ransomware

Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.

Lees meer »

Criminele organisaties: Ransomware-as-a-Service verdienpotentieel vergroten

Cybercriminelen blijven het digitale aanvalsoppervlak afspeuren naar nieuwe aanvalsmogelijkheden, zoals internetinfrastructuren en protocollen voor netwerkcommunicatie. De reden hiervoor is dat steeds meer organisaties hun personeel beveiligingstraining en -voorlichting aanbieden, zodat populaire aanvalstechnieken zoals phishing minder succesvol zijn.

Lees meer »

Losgeld betalen aan cybercriminelen?!

De Universiteit Maastricht zou enkele tonnen betaald hebben aan cybercriminelen om de systemen weer draaiend te krijgen. Maar losgeld betalen is niet zonder risico: ‘Ze kunnen actief blijven op je netwerk'.

Lees meer »