English | Français | Deutsche | Español | Meer talen
De gemeente Buren weet nu wat de oorzaak is van de ransomware-aanval. De aanvallers wisten toegang te krijgen tot de systemen van de Gelderse gemeente door inloggegevens van een leverancier te stelen. Omdat er geen tweefactorauthenticatie was ingesteld, konden ze kinderlijk eenvoudig de ICT-omgeving binnendringen. Dat schrijft de gemeente Buren in een update bericht over de aanval (pdf).
5 TB aan data
Het was begin april dat hackers het netwerk van de gemeente Buren wisten te infiltreren. Eenmaal binnen installeerden de daders ransomware: gijzelsoftware dat bestanden achter slot en grendel zet. Niemand kan dan nog deze gegevens raadplegen, openen of aanpassen. Daarvoor is een zogeheten decoderingssleutel nodig: een digitale sleutel om het slot van de bestanden te halen. Slachtoffers krijgen deze sleutel als ze losgeld betalen aan de aanvallers.
De daders zeggen bij de aanval in totaal 5 TB aan gevoelige en vertrouwelijke gegevens te hebben gestolen. Dat heeft de gemeente Buren nooit willen bevestigen. Wel heeft ze laten weten dat er 130 GB aan gegevens online is gezet op het darkweb. In totaal ging het om meer dan 730.000 bestanden.
Forensisch onderzoek
Queeny Rajkowski (VVD) stelde schriftelijke vragen over de kwestie. Het Kamerlid wilde onder meer weten wie er verantwoordelijk was voor de ransomware-aanval en hoe de gemeente op het incident had gereageerd. Staatssecretaris van Koninkrijksrelaties en Digitalisering Alexandra van Huffelen weigerde om de naam van de hackers te geven. Ze wilde wel kwijt dat het om een hackersgroep gaat die internationaal veel slachtoffers heeft gemaakt. Het gerucht gaat dat er SunCrypt-ransomware is gebruikt bij de aanval.
Van Huffelen meldde tevens dat de gemeente een onafhankelijk bureau had ingeschakeld om forensisch onderzoek uit te voeren. Daarbij proberen beveiligingsexperts in kaart te brengen hoe de hackers te werk zijn gegaan en welke data ze mogelijk hebben ingezien en gekopieerd. Afhankelijk van de uitkomsten van het onderzoek zegt de staatssecretaris eventueel aanvullende veiligheidsmaatregelen te treffen.
Zodra de hack aan het licht kwam, heeft de gemeente Buren aangifte gedaan bij het Openbaar Ministerie, de informatiebeveiligingsdienst van VNG en externe experts ingeschakeld, en melding gedaan bij de Autoriteit Persoonsgegevens.
Niet onderhandeld over losgeld
Twee-en-een-halve maand na de ransomware-aanval geeft de gemeente Buren meer openheid van zaken. Uit onderzoek van Hunt & Hackett, het cybersecuritybedrijf van beveiligingsexpert Ronald Prins, is gebleken dat de daders de inloggegevens van de Gelderse gemeente hadden verkregen via een leverancier. Doordat er geen tweestapsverificatie was ingesteld, waren een gebruikersnaam en wachtwoord voldoende om toegang te krijgen.
Op advies van het cybersecuritybedrijf heeft de gemeente Buren geen contact gezocht met de hackers. De kans was groot dat ze dan losgeld zouden eisen. Daarover is dan ook niet onderhandeld. Dat is in overeenstemming met het kabinetsstandpunt, dat zich nadrukkelijk heeft uitgesproken om geen losgeld te betalen bij een cyberaanval.
In totaal zijn er 1.331 kopieën van identiteitsbewijzen gemaakt. De slachtoffers zijn daarvan op de hoogte gebracht en mogen gratis hun identiteitsbewijs laten vervangen. Ruim duizend gedupeerden hebben al gebruik gemaakt van deze regeling.
Gegevens op het darkweb
Burgemeester Johan Meijers zegt blij te zijn dat de impact van de aanval beperkt is gebleven. “Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht.”
De daders hebben volgens Meijers 5 TB aan data gestolen. De burgemeester kan dan ook niet uitsluiten dat er de komende tijd nog meer gegevens zullen opduiken op het darkweb. “De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack”, zo zegt hij.
De gemeenteraad is dinsdag 14 juni op de hoogte gebracht van de bevindingen van Hunt & Hackett. De gemeente werkt momenteel aan een openbare versie van het onderzoeksrapport.
Bron: buren.nl, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
"Om de zaken nog erger te maken werden de proof-of-concept geautomatiseerde aanvalsscripts openbaar gemaakt"
Ruim een week nadat Microsoft de 'mitigatietool met één muisklik' heeft uitgebracht om cyberaanvallen op lokale Exchange-servers te beperken maakte het bedrijf bekend dat de patches reeds zijn uitgevoerd op 92% van alle internet-gerichte servers die zijn getroffen door de 'ProxyLogon-kwetsbaarheden'.
Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld
Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd.
Losgeld: "Het besluit dat we hebben genomen gaat in tegen al onze principes, het voelt heel slecht"
Het 'Staring College' is deze week getroffen door een grote ransomware-aanval. De middelbare school, met vestigingen in Lochem en Borculo, heeft na wikken en wegen besloten om losgeld te betalen aan de aanvallers. Dat was enige manier om er zeker van te zijn dat het onderwijs geen gevaar liep.
Twee derde van organisatie kreeg te maken met ransomware in 2020
Uit onderzoek van Proofpoint blijkt dat ransomware-aanvallen een enorm groot probleem zijn. Zo geeft 66 procent van respondenten aan het slachtoffer te zijn geweest van ransomware.
Piek in cyberaanvallen op zorgsector in Europa
Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.
Zijn er nieuwelingen die gebruik maken van 'open ransomware-as-a-service diensten' die onbedoeld gegevens vernietigen?
Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.
Hackers hebben maar twee uur nodig om het hele bedrijfsnetwerk over te nemen
》Choose your language
Het topje van de ijsberg: 550 aangiften/meldingen Ransomware in Nederland afgelopen drie jaar
》Choose your language
Tachtig servers versleuteld van Belgisch ziekenhuis door ransomware
》Choose your language
Hoe meer in het bezit van gevoelige informatie, hoe beter de onderhandelingspositie voor de cybercrimineel
》Choose your language
Belgisch corona test laboratorium gegijzeld
》Choose your language
''Vooral de tactiek waarbij cybercriminelen een dubbelslag slaan, dreigt in 2021 een echte 'trend' te worden''
Het voorbije jaar stond bol met aanvallen van ransomware, maar dit was slechts een voorbode van wat bedrijven en thuiswerkers in 2021 te wachten staat. Cybercriminelen zullen nóg agressiever, doelgerichter en vooral innovatiever te werk gaan, zo luidt de verwachting bij experts.