Het herstel van een ransomware-aanval die zich eind 2021 voordeed kost de Engelse stad Gloucester omgerekend 1,3 miljoen euro (pdf). De stad is door de Britse privacytoezichthouder ICO berispt omdat het niet over de juiste logging- en monitoringssystemen beschikte. De aanval vond plaats via een malafide e-mail, waarbij de aanvallers een e-mail verstuurden die onderdeel leek te zijn van een bestaande e-mailconversatie met een leverancier van de stad.

Het bericht was voorzien van een link die naar malware wees. Een medewerker opende het malafide bestand waar een eerste systeem besmet raakte. Vervolgens wisten de aanvallers de rest van het netwerk te compromitteren. Voordat de aanvallers eind 2021 de ransomware uitrolden, maakten ze 240.000 bestanden, 230 gigabyte in totaal, buit. Uit onderzoek van de ICO bleek dat een security information and event management (SIEM) systeem ontbrak.

"Dit had kunnen helpen bij het detecteren van de aanval en mogelijk verdere verspreiding naar de systemen van de stad kunnen voorkomen", aldus de toezichthouder. Tevens bleek dat de stad over documentatie en processen beschikte, maar waren die alleen geschikt voor kleine datalekken, en niet voor incidenten van deze omvang. Wel bevestigde de ICO dat de aanval plaatsvond door middel van een phishingaanval en niet door misbruik van een bekende kwetsbaarheid.

Het stadsbestuur was omgerekend 1,3 miljoen euro kwijt aan het herstel van de aanval. Het grootste deel daarvan ging naar externe consultants, software en support om bij het herstel te helpen. 162.000 euro werd uitgegeven aan het vervangen van servers, firewalls, laptops en andere apparatuur. Voor de migratie van systemen naar de cloud, als onderdeel van de 'building back better strategy', was de stad omgerekend 314.000 euro kwijt.