Eind 2021 werd Gloucester City Council [1] slachtoffer van ransomware. Afgelopen december is er een m.i. lezenswaardig rapport over die aanval, aanpak en "lessons learnt" geschreven, te vinden in [2] (mijn bron: [3]).

[1] https://www.gloucester.gov.uk/

[2] https://www.local.gov.uk/case-studies/gloucester-city-council-managing-cyber-attack

[3] https://infosec.exchange/@Haggisnwhisky/111719531216926642

Summiere samenvatting (aangevuld met mijn mening):

Context
Gloucester City is een gemeente met ruim 130.000 inwoners.

Initiële aanval
"Supply chain attack": leverancier van spullen voor mensen met beperkingen bleek gehacked. Criminelen sturen op 24-11-2021 vanuit die leverancier een spear phishing mail met een link naar malware die wordt gestart door de ontvanger, wiens laptop gecompromiteerd raakt.

Escalatie naar beheerprivileges
Enkele weken later had de medewerker remote support nodig (voor iets ongerelateerd aan de malware). Hierdoor kon de malware via het netwerk verspreiden. Ik (Erik) sluit niet uit dat een beheerder met Domain Admin privileges op de laptop heeft ingelogd (Doe Dat Nooit; hoe doet men dat in uw organisatie?).

Exfiltratie gevolgd door versleuteling
Vervolgens hebben de aanvallers toegang tot servers verkregen en bestanden geëxfiltreerd. In het weekend van 18/19 december 2021 werden servers versleuteld.

Geen losgeld betaald
Naar verluidt is er niet onderhandeld met de criminelen, noch zou er losgeld zijn betaald. De gejopiejatte vertrouwelijke informatie zou nog niet verder zijn verspreid.

Cloud
Uit het rapport maak ik niet op of er ook vertouwelijke informatie uit de deels gebruikte clouddiensten is geëxfiltreerd, noch of er signalen zijn dat daarin wijzigingen zijn aangebracht. Ik proef een "pro-cloud" sentiment. Reken je niet rijk: naarmate er lokaal "minder te scoren valt" zullen cybercriminelen hun werkwijze aanpassen, en vooral bij de minder prijzige cloudoplossingen heb je veel minder zicht op wat er met "jouw" data gebeurt. En als jouw medewerkers daarbij kunnen, kunnen indringers dat ook. Bovendien kan "Cloud" ertoe leiden dat lokale ICT kennis afneemt en lokale monitoring "te duur" gevonden wordt.

Risico externe beheerders
Bij deels uitbesteed systeembeheer is m.i. het risico op misverstanden, te weinig overzicht, lokale doe-het-zelvers (schaduw-IT [4]) en desinteresse groot (vooral indien contracten mogelijk of zeker niet worden verlengd).

[4] Bij de gemeente Hof van Twente had een ambtenaar een server toegankelijk gemaakt vanaf internet met wachtwoord Welkom2020: https://www.security.nl/posting/796121/Hof+van+Twente+kan+schade+ransomware-aanval+niet+op+it-leverancier+verhalen