De aanvaller die de gemeente Epe wist te hacken lukte het onder andere om het wachtwoord van een beheerder te kraken en toegang tot een noodaccount te krijgen. Bij de aanval werd 871 gigabyte aan data buitgemaakt, waaronder een export uit de Basisregistratie Personen (BRP) met persoonsgegevens van inwoners, zoals naam, adres, geslacht, woonplaats, geboortedatum en BSN. Dat meldt de gemeente in een evaluatie van het datalek (pdf). Vanwege de aanval gaat de gemeente onder andere het bewustwordingsprogramma voor medewerkers vernieuwen.
Op 12 maart dit jaar ontdekte de it-dienstverlener van Epe ongeautoriseerde toegang tot de ict-omgeving van de gemeente. Verder onderzoek wees uit dat de aanvaller op 10 maart door middel van Clickfix-aanval toegang tot het systeem van een gemeentemedewerker had gekregen. Bij een ClickFix-aanval worden slachtoffers verleid tot het uitvoeren van een bepaald commando op hun computer, wat tot de installatie van malware leidt.
Vaak maken aanvallers gebruik van zogenaamde CAPTCHA's die stellen dat een aantal handelingen moeten worden uitgevoerd om de CAPTCHA op te lossen. De zogenaamde CAPTCHA-pagina kopieert een malafide PowerShell-commando naar het clipboard. Vervolgens wordt het slachtoffer geïnstrueerd om het commando, vaak in het Uitvoervenster of de Windows Terminal uit te voeren.
Nadat de aanvaller toegang tot het systeem van de gemeentemedewerker had verkregen ging die op zoek naar andere ingelogde gebruikers. "Die hebben voor een bepaalde tijd een toegangsticket voor het systeem (een kerberosticket) en dat ticket is te ontsleutelen met het wachtwoord. Het lukte de aanvaller om een wachtwoord van een ingelogde beheerder te kraken en zo op het ticket van de beheerder binnen te komen", zo staat in de evaluatie.
Vervolgens kreeg de aanvaller ook toegang tot een noodaccount met ruime toegangsrechten op het systeem. De gemeente stelt in de evaluatie dat het noodaccount kan worden gezien als een loper die op alle sloten van het systeem past. "Een dergelijk account heeft in de regel geen MFA omdat deze wordt gebruikt als noodtoegang voor het geval een normale toegang niet meer mogelijk is." Volgens de gemeente waren voor het noodaccount onvoldoende aanvullende beveiligingsmaatregelen genomen, waardoor de aanvaller hiermee vergaande rechten kon verkrijgen.
Verder wist de aanvaller persoonsgegevens van medewerkers te stelen, waaronder namen, e-mailadressen, zakelijke telefoonnummers, datum indiensttreding en profielfoto’s. Ook werden financiële gegevens van de gemeente en haar relaties buitgemaakt, aanvragen voor gemeentelijke voorzieningen, meldingen van overlast of verstoring van de openbare orde en kopieën van zo'n duizend identiteitsbewijzen. De gemeente Epe stelt dat de gestolen gegevens op het moment van schrijven niet zijn gepubliceerd op bekende leksites of marktplaatsen. "Het datalek is niet opgeëist en er is geen losgeld geëist. Er zijn tot op heden geen indicaties van misbruik van de data."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
TISO Cyber Security Officer
Wil jij bijdragen aan een veilige & veerkrachtige leeromgeving voor studenten, medewerkers & partners binnen de #1 Hospitality Business school van Nederland? En werken in een team van toegewijde professionals en dagelijks kunnen genieten van een heerlijke & gezonde lunch? Lees dan hier verder!
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
