image

Computers gemeente Den Haag besmet via valse PostNL-mail

woensdag 22 oktober 2014, 14:30 door Redactie, 9 reacties

Vier computers van de gemeente Den Haag zijn gisteren via een valse PostNL-mail met de TorrentLocker-ransomware besmet geraakt, zo heeft een woordvoerder aan Security.NL laten weten. Vier werknemers die het bericht hadden ontvangen openden ook de link. In de e-mail werd gesteld dat er een pakket niet kon worden afgeleverd. Meer informatie zouden ontvangers in de meegestuurde link kunnen vinden.

De link wees naar een nagemaakte PostNL-website waar een zip-bestand werd aangeboden. Dit bestand bevatte de TorrentLocker-ransomware, die vervolgens de computers infecteerde. Een half uur nadat de werknemers de malware hadden gedownload en geopend werd de infectie door de afdeling systeembeheer aan de hand van het netwerkverkeer ontdekt.

Om verdere verspreiding binnen de gemeente te voorkomen werd vervolgens uit voorzorg besloten om het e-mailsysteem tijdelijk uit te schakelen. Daarnaast werden er aanvullende maatregelen genomen, zoals het blokkeren van de domeinen waarmee de malware verbinding maakte. Volgens de woordvoerder stonden er op de getroffen computers geen vertrouwelijke gegevens en waren er daarnaast recente back-ups van de machines.

Wat betreft het securitybewustzijn van de werknemers stelt de woordvoerder dat hier continu aan wordt gewerkt. "Het is wel zo dat we zo'n 7.000 werknemers hebben. Er kan altijd iemand zijn die zich vergist en dat is in dit geval gebeurd." Gisterenmiddag kwam het e-mailsysteem weer online en werden de computers hersteld. Ook werd gisteren bekend dat de criminelen achter de campagne wereldwijd meer dan 4.000 computers hebben besmet en zo'n 257.000 euro hebben opgehaald doordat mensen het gevraagde losgeld betaalden.

Reacties (9)
22-10-2014, 15:54 door Anoniem
"Vier computers van de gemeente Den Haag zijn gisteren via een valse PostNL-mail met de TorrentLocker-ransomware besmet geraakt, zo heeft een woordvoerder aan Security.NL laten weten. "

Wonderbaarlijk dat niemand de moeite heeft genomen om te zorgen dat verbindingen naar het betrokken netwerk bij het Russische Selectel, dat al dagenlang bekend was, preventief heeft geblokkeerd. Is er dan niemand bij het NCSC, bij betrokken instanties, of bij leveranciers, die nadenkt over preventieve maatregelen ?

Het is bedroevend om te zien hoe slecht onze overheid in staat is om haar IT infrastructuur te beveiligen, en hoe weinig lessen er getrokken worden uit incidenten, om herhaling te voorkomen.

"Wat betreft het securitybewustzijn van de werknemers stelt de woordvoerder dat hier continu aan wordt gewerkt. "Het is wel zo dat we zo'n 7.000 werknemers hebben. Er kan altijd iemand zijn die zich vergist en dat is in dit geval gebeurd." "

Tja, de oplossing ligt dan ook niet alleen in awareness, en ligt niet enkel bij de individuele medewerkers. De oplossing moet worden gezocht in preventieve maatregelen, waardoor je de kans dat een medewerker die zich vergist zijn computer kan besmetten kleiner kan maken.
22-10-2014, 16:02 door Britec09
het gaat steeds beter en beter ;)
22-10-2014, 16:17 door Anoniem
"Volgens de woordvoerder stonden er op de getroffen computers geen vertrouwelijke gegevens en waren er daarnaast recente back-ups van de machines."

De malware was ook niet gericht op het stelen van vertrouwelijke gegevens. Wat dat betreft is het helemaal niet boeiend hoe vertrouwelijk de gegevens waren als ze verder teruggehaald kunnen worden middels een backup.
22-10-2014, 16:24 door Anoniem
Wat een stelletje digibeten zeg daar. Maar wat kan je anders verwachten als get gros nog op Windows XP draait bij de gemeente. Stelletje blindgangers.
22-10-2014, 21:04 door burne101
Door Anoniem: Wat een stelletje digibeten zeg daar. Maar wat kan je anders verwachten als get gros nog op Windows XP draait bij de gemeente. Stelletje blindgangers.

Jullie hebben echt geen flauw benul waar je het over hebt, niet? Natuurlijk zijn het digibeten. De werkplanner van de afdeling plantsoenbeheer is apetrots dat 'ie via internet kunstmest kan bestellen. Vroeger faxte 'ie een formulier, dus hij is ver gekomen. Kun je jezelf hartstikke superieur voelen, maar jullie (en ik) hebben 'm dat aangedaan.

En met dat achterhaalde geleuter over XP moet je ook maar eens ophouden. Er zijn meer thuisgebruikers met XP dan zakelijke gebruikers. Ook voor gemeentes is het aanschaffen, afschrijven in drie jaar en vervangen. Dat stellen ze misschien een keer een of twee jaar uit als het gepeupel weer eens klaagt over belastingdruk maar niet meer dan dat. De enige overgebleven XP machine heeft geen netwerk-kaart en draait de beheerssoftware voor de 9 jaar (en nog niet afgeschreven) telefooncentrale van het gemeentehuis.
22-10-2014, 22:54 door [Account Verwijderd] - Bijgewerkt: 22-10-2014, 23:08
[Verwijderd]
23-10-2014, 01:26 door [Account Verwijderd]
[Verwijderd]
23-10-2014, 07:38 door Anoniem
Kan iemand aangeven of het gebruik van een normaal account (dus geen administrator) i.c.m. EMET 5 van Microsoft en natuurlijk anti-virus software) goede preventieve maatregelen zijn tegen ransomware? En is het dan voldoende om de standaard security instellingen van EMET te gebruiken of moet er nog iets aan ge-finetuned worden?
Of zijn er toch nog additionele maatregelen nodig (behalve dan het 'niet klikken op links in verdachte mailtjes' e.d.)?
23-10-2014, 19:22 door Anoniem
Door burne101:
Door Anoniem: Wat een stelletje digibeten zeg daar. Maar wat kan je anders verwachten als get gros nog op Windows XP draait bij de gemeente. Stelletje blindgangers.

Jullie hebben echt geen flauw benul waar je het over hebt, niet? Natuurlijk zijn het digibeten. De werkplanner van de afdeling plantsoenbeheer is apetrots dat 'ie via internet kunstmest kan bestellen. Vroeger faxte 'ie een formulier, dus hij is ver gekomen. Kun je jezelf hartstikke superieur voelen, maar jullie (en ik) hebben 'm dat aangedaan.

Het gaat er meer om dat de medewerkers van de gemeente kennelijk software per mail kunnen ontvangen en die
software dan uitvoeren. Dan zijn de beheerders wel erg incapabel. En ik neem dan nog even aan dat de computers
niet door plantsoenbeheer beheerd worden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.