image

Ransomware-aanval gemeente Buren via gestolen inloggegevens leverancier

woensdag 15 juni 2022, 16:26 door Redactie, 11 reacties
Laatst bijgewerkt: 16-06-2022, 09:28

De ransomware-aanval op de gemeente Buren van afgelopen april waarbij gevoelige informatie van inwoners werd gestolen en gepubliceerd kon plaatsvinden doordat de aanvallers over de inloggegevens van een leverancier beschikten. Voor dit account was geen tweefactorauthenticatie (2FA) ingesteld, waardoor de aanvallers alleen aan een gebruikersnaam en wachtwoord voldoende hadden. Verdere details over het soort account en de leverancier in kwestie zijn niet gegeven.

Bij de aanval werd zeker honderddertig gigabyte aan data buitgemaakt. Het ging onder andere om identiteitsbewijzen. Op de getroffen systemen stonden kopieën van ruim 1300 identiteitsbewijzen. Om misbruik te voorkomen geeft de gemeente getroffen inwoners de mogelijkheid om hun identiteitsbewijs kosteloos te vervangen. Op dit moment zijn er al ruim duizend inwoners aangeschreven met het aanbod hun identiteitsbewijs te laten vervangen.

De gemeente Buren zegt dat het op advies van specialisten niet is ingegaan op verzoeken van de aanvallers tot contact. "Naar alle waarschijnlijkheid zou er om losgeld zijn gevraagd. Er is daarover niet met de hackers onderhandeld. Ook omdat de Rijksoverheid zich uitgesproken heeft tegen betaling van losgeld bij datadiefstal", zo laat de gemeente weten. De aanvallers claimen dat ze vijf terabyte aan data hebben buitgemaakt.

"Bij onze beveiliging volgen we de richtlijnen van de Baseline Informatiebeveiliging Overheid (BIO). De gemeente kon na de ransomware-aanval meteen doordraaien, omdat de back-upstrategie op juiste wijze is ingericht. Ten aanzien van de monitoring liep ten tijde van de hack nog een inkooptraject dat nog niet was afgerond. Samen met de experts hebben we inmiddels de monitoring van systemen ingericht", zegt burgemeester Josan Meijers.

De aanvallers publiceerden honderddertig gigabyte aan gestolen data op internet. "Helaas kunnen we niet uitsluiten dat meer gegevens opduiken op het darkweb. De gemeente is alert op signalen van schendingen van vertrouwelijkheid van gegevens als gevolg van de hack", zo laat Meijers verder weten. De gemeente werkt nog aan een openbare versie van het onderzoeksrapport naar de aanval.

Reacties (11)
15-06-2022, 16:47 door Anoniem
"Ook omdat de Rijksoverheid zich uitgesproken heeft tegen betaling van losgeld bij datadiefstal" Bij wat betalen ze wel? Ik vraag dit voor een vriend... ;-)

Ik denk niet dat de leverancier blij is met de uitkomsten van dit onderzoek. Dat kan een beste duit gaan kosten.
15-06-2022, 17:36 door Anoniem
Nog steeds is het niet duidelijk hoe uitgeven van nieuwe identiteitsbewijzen voorkomt dat er misbruik gemaakt wordt
van oude kopieen... hooguit maakt dit het juridisch iets eenvoudiger voor slachtoffers van dit misbruik om hun gelijk aan
te tonen, maar kwa rompslomp zal het niets uitmaken.
15-06-2022, 18:28 door Anoniem
Helaas is dit al het zoveelste incident waarbij de inloggegevens via derde bemachtigd worden.

Ik snap nog steeds niet dat de toegang tot een netwerk zo makkelijk wordt afgegeven aan derden als deze daarom vraagt.

Het zou me overigens verbazen dat er dan nog gedacht wordt aan het afbakenen van die verbinding zodat bijv. alleen die leverancier erbij kan en dan nog de noodzaak om te monitoren en regelmatig controles uit te voeren wordt ook snel vergeten.

Het valt me op dat er zeer lichtzinnig omgesprongen wordt aan het geven van remote toegang aan externe partijen, je geeft ten slotte je voordeursleutel toch ook niet zomaar aan derden als deze erom vraagt?
15-06-2022, 21:00 door Anoniem
Is het wellicht een idee voor een verplichte implementatie van 2fa voor overheidstakken zoals: Gemeente en ministeries
16-06-2022, 04:10 door Anoniem
2fa is niet een magic bullet maar helpt wel tegen pw bruteforce en hergebruik van gevonden credentials.

Het gaat inderdaad om bepalen van de noodzaak en vervolgens de meest beperkte toegang toe te kennen. Dus b.v. een tijdelijk enabled account met auditing enabled, NAC + segmentatie om alleen de host(s) in scope te benaderen vanaf een veilig systeem.

Personal rant: Schop dan ook gelijk alle software er uit welke verplicht als administrator moet draaien.
16-06-2022, 08:24 door Anoniem
Door Anoniem: Nog steeds is het niet duidelijk hoe uitgeven van nieuwe identiteitsbewijzen voorkomt dat er misbruik gemaakt wordt
van oude kopieen... hooguit maakt dit het juridisch iets eenvoudiger voor slachtoffers van dit misbruik om hun gelijk aan
te tonen, maar kwa rompslomp zal het niets uitmaken.

Ik denk dat je de oude ID’s kan flaggen als verlopen. Zo kunnen in ieder geval automatische ID checkers niet meer omzeild worden.
16-06-2022, 08:56 door Anoniem
2fa is niet voldoende. Een steppingstone c.q. jumpserver is beter. Dit biedt volledige controle over sessie, betere segmentatie van leveranciers/rechten/devices, inclusief logging en recording (audit trail), time based access etc.
16-06-2022, 09:43 door Anoniem
Door Anoniem: Is het wellicht een idee voor een verplichte implementatie van 2fa voor overheidstakken zoals: Gemeente en ministeries

Het is verplicht, maar omdat het geen wet is, is het volgens gemeentes enkel een advies.
16-06-2022, 09:43 door Anoniem
Door Anoniem: Is het wellicht een idee voor een verplichte implementatie van 2fa voor overheidstakken zoals: Gemeente en ministeries

Die is er al. Dit is als maatregel opgenomen in de BIO. En de BIO heeft de overheidssector (waaronder gemeenten) zichzelf als verplicht opgelegd. Het is echter geen wetgeving. Hierbij een paar punten uit de BIO:

Pagina 9:
De BIO is allereerst een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen) van de overheid. Daarnaast concretiseert de BIO een aantal normen tot verplichte overheidsmaatregelen

Pagina 30:
9.4.2.1: Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie.
16-06-2022, 09:50 door Anoniem
Ben ik de enige die (aangenaam) verrast is dat de backup het deed?
Was dit wel een echte ransomware aanval, immers, de eerste recon is de backup?
Ik niet snap...

Backup heel (wonder 1) , en functionerend (dat is al een wonder), up en running in korte tijd (3de wonder)...
Ik geloof niet zo in wonderen...
16-06-2022, 11:19 door Anoniem
We volgen de BIO richtlijnen maar de BIO zegt "Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie." Vragen vragen vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.