Een ransomware-aanval die mogelijk was door een niet geïnstalleerde beveiligingsupdate voor een kwetsbaarheid in Log4j kostte een Amerikaans county al miljoenen dollars, zo is deze week bekendgemaakt. Aanvallers hadden maandenlang toegang tot systemen van Suffolk County voordat ze de ransomware uitrolden. Bij de aanval werd ook vierhonderd gigabyte aan data buitgemaakt, waaronder social-securitynummers van inwoners. In totaal ging het om de persoonlijke informatie van 470.000 inwoners van het county en 26.000 huidige en voormalige medewerkers.

De aanvallers wisten op 19 december 2021 via een bekende kwetsbaarheid in Log4j toegang tot een systeem van de griffie te krijgen. Ruim een week eerder was er een patch voor het beveiligingslek verschenen, dat voor grote paniek in de securitygemeenschap zorgde. Vanwege de gedecentraliseerde securitystructuur in het county was de griffie grotendeels zelf verantwoordelijk voor het beheer van de eigen systemen en beveiliging.

Terwijl verschillende andere departementen in het county updates voor het Log4j-lek uitrolden, werd dit niet door de griffie gedaan. De kwetsbaarheid werd pas op 1 juli 2022 in de systemen van de griffie verholpen. Uit het onderzoek naar de aanval, waar deze week een update over werd gegeven, blijkt dat de aanvallers in maart 2022 een remote managementtool hadden geïnstalleerd om toegang te behouden en in april 2022 hun eigen beheerdersaccount hadden toegevoegd. In augustus 2022 installeerden ze een script waarmee ze de wachtwoorden van alle medewerkers van de griffie wisten te stelen.

Eind augustus lukte het de aanvallers om ook toegang tot andere belangrijke systemen in het county te krijgen. Op een systeem van de griffie vonden ze een onbeveiligde map met wachtwoorden voor deze systemen. Het lekken van deze wachtwoorden nekte het county, omdat het de aanvallers toegang gaf tot databasesystemen, telefoonsystemen, back-ups, netwerkapparaten, file shares, service-accounts, webhosting, antivirussoftware en monitoringsoftware.

Begin september werden eerst allerlei gegevens gestolen en een aantal dagen later de Alphv-ransomware uitgerold, ook bekend als BlackCat. Vanwege de aanval moesten allerlei systemen worden uitgeschakeld, waaronder e-mail, en werden medewerkers gedwongen om op pen en papier terug te vallen. De aanvallers eisten 2,4 miljoen dollar losgeld, wat het county weigerde te betalen. Sommige systemen waren vanwege de aanval weken offline. Eind december bedroegen de herstelkosten al 3,4 miljoen dollar en was er 2 miljoen dollar uitgegeven aan het forensisch onderzoek door securitybedrijf Palo Alto Networks, meldt de Wall Street Journal. Het county zou inmiddels bezig zijn om de eigen cybersecurity aan te scherpen.