English | Français | Deutsche | Español | Meer talen
De gemeente Buren weet nu wat de oorzaak is van de ransomware-aanval. De aanvallers wisten toegang te krijgen tot de systemen van de Gelderse gemeente door inloggegevens van een leverancier te stelen. Omdat er geen tweefactorauthenticatie was ingesteld, konden ze kinderlijk eenvoudig de ICT-omgeving binnendringen. Dat schrijft de gemeente Buren in een update bericht over de aanval (pdf).
5 TB aan data
Het was begin april dat hackers het netwerk van de gemeente Buren wisten te infiltreren. Eenmaal binnen installeerden de daders ransomware: gijzelsoftware dat bestanden achter slot en grendel zet. Niemand kan dan nog deze gegevens raadplegen, openen of aanpassen. Daarvoor is een zogeheten decoderingssleutel nodig: een digitale sleutel om het slot van de bestanden te halen. Slachtoffers krijgen deze sleutel als ze losgeld betalen aan de aanvallers.
De daders zeggen bij de aanval in totaal 5 TB aan gevoelige en vertrouwelijke gegevens te hebben gestolen. Dat heeft de gemeente Buren nooit willen bevestigen. Wel heeft ze laten weten dat er 130 GB aan gegevens online is gezet op het darkweb. In totaal ging het om meer dan 730.000 bestanden.
Forensisch onderzoek
Queeny Rajkowski (VVD) stelde schriftelijke vragen over de kwestie. Het Kamerlid wilde onder meer weten wie er verantwoordelijk was voor de ransomware-aanval en hoe de gemeente op het incident had gereageerd. Staatssecretaris van Koninkrijksrelaties en Digitalisering Alexandra van Huffelen weigerde om de naam van de hackers te geven. Ze wilde wel kwijt dat het om een hackersgroep gaat die internationaal veel slachtoffers heeft gemaakt. Het gerucht gaat dat er SunCrypt-ransomware is gebruikt bij de aanval.
Van Huffelen meldde tevens dat de gemeente een onafhankelijk bureau had ingeschakeld om forensisch onderzoek uit te voeren. Daarbij proberen beveiligingsexperts in kaart te brengen hoe de hackers te werk zijn gegaan en welke data ze mogelijk hebben ingezien en gekopieerd. Afhankelijk van de uitkomsten van het onderzoek zegt de staatssecretaris eventueel aanvullende veiligheidsmaatregelen te treffen.
Zodra de hack aan het licht kwam, heeft de gemeente Buren aangifte gedaan bij het Openbaar Ministerie, de informatiebeveiligingsdienst van VNG en externe experts ingeschakeld, en melding gedaan bij de Autoriteit Persoonsgegevens.
Niet onderhandeld over losgeld
Twee-en-een-halve maand na de ransomware-aanval geeft de gemeente Buren meer openheid van zaken. Uit onderzoek van Hunt & Hackett, het cybersecuritybedrijf van beveiligingsexpert Ronald Prins, is gebleken dat de daders de inloggegevens van de Gelderse gemeente hadden verkregen via een leverancier. Doordat er geen tweestapsverificatie was ingesteld, waren een gebruikersnaam en wachtwoord voldoende om toegang te krijgen.
Op advies van het cybersecuritybedrijf heeft de gemeente Buren geen contact gezocht met de hackers. De kans was groot dat ze dan losgeld zouden eisen. Daarover is dan ook niet onderhandeld. Dat is in overeenstemming met het kabinetsstandpunt, dat zich nadrukkelijk heeft uitgesproken om geen losgeld te betalen bij een cyberaanval.
In totaal zijn er 1.331 kopieën van identiteitsbewijzen gemaakt. De slachtoffers zijn daarvan op de hoogte gebracht en mogen gratis hun identiteitsbewijs laten vervangen. Ruim duizend gedupeerden hebben al gebruik gemaakt van deze regeling.
Gegevens op het darkweb
Burgemeester Johan Meijers zegt blij te zijn dat de impact van de aanval beperkt is gebleven. “Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht.”
De daders hebben volgens Meijers 5 TB aan data gestolen. De burgemeester kan dan ook niet uitsluiten dat er de komende tijd nog meer gegevens zullen opduiken op het darkweb. “De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack”, zo zegt hij.
De gemeenteraad is dinsdag 14 juni op de hoogte gebracht van de bevindingen van Hunt & Hackett. De gemeente werkt momenteel aan een openbare versie van het onderzoeksrapport.
Bron: buren.nl, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
Cybercriminelen blijven op het netwerk van slachtoffers actief
Cybercriminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan.
Universiteit Maastricht was niet goed voorbereid, maar wel adequaat in handelen op Cyberaanval
De Universiteit Maastricht was niet goed voorbereid op de aanval met ransomware, eind vorig jaar. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Inspectie van het Onderwijs na een onderzoek naar de toedracht.
Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s
De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval.
Ransomware legt autoproductie Honda wereldwijd plat
Autofabrikant Honda heeft wereldwijd verschillende producties stilgezet. Het bedrijf lijkt getroffen te zijn door een cyberaanval. De aard daarvan is niet duidelijk; er zijn geruchten dat het om ransomware gaat.
IT bedrijf moet ransomware schade door zwakke beveiliging betalen
Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.
6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware
De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.
"Ik heb Darkweb Ransomware gebruikt om mijn baas te saboteren"
Eenvoudige, schaalbare en laag-risico ransomware zorgt voor een bijzonder nette cybercriminaliteit. Tegenwoordig hoeven potentiële aanvallers niet eens hun eigen ransomware te maken; ze kunnen het gewoon op het darkweb kopen. Drake Bennett, verslaggever van Bloomberg-onderzoeken, schafte wat malware aan om te zien hoe gemakkelijk het was om een aanval uit te voeren.
REvil cyberaanval treft advocatenkantoor Hollywoodsterren
Het Amerikaanse advocatenkantoor 'Grubman Shire Meiselas & Sacks' dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en tal van andere sterren vertegenwoordigt is afgeperst nadat aanvallers data van cliënten wisten te stelen en systemen versleutelden.
Ransomware kosten "verdubbelen" bij betaling aan cybercriminelen
Als een organisatie losgeld betaalt na een aanval met gijzelsoftware (ransomware), dan bedragen de herstelkosten gemiddeld 1,3 miljoen euro. Wordt er niet betaald, dan kost de aanval een bedrijf 'slechts' 675.000 euro. Dit blijkt uit een internationaal onderzoek van cybersecurity-specialist 'Sophos'.
Schade door ransomware bij it-dienstverlener tussen 50 tot 70 miljoen dollar
De Amerikaanse it-dienstverlener Cognizant die in april door de Maze-ransomware werd getroffen schat dat de schade door de aanval 50 tot 70 miljoen dollar zal bedragen. Dat liet het bedrijf bij de presentatie van de cijfers over het eerste kwartaal van dit jaar weten (zie hier onder). Waar de schade precies uit bestaat is nog niet bekendgemaakt. Mogelijk wordt dit in de cijfers over het tweede kwartaal vermeld.
LockBit-ransomware automatiseert zoektocht voor cybercriminelen
Aanvallen met ransomware gaan in 2020 onverminderd door. Hetzelfde geldt voor de ontwikkelingen in deze lucratieve vorm van malware. Daarmee maken deze het slachtoffers bovendien steeds moeilijker om géén losgeld te betalen. Alle nieuwste mogelijkheden op dit gebied lijken terug te komen in de 'LockBit-ransomware'.
Cyberaanval treft tapijtproducent
Het Dendermondse bedrijf Desso is onderdeel van de Franse vloerbekledingsgroep Tarkett, die sinds vorige week getroffen is door een aanval op zijn IT-systemen.