image

RDP-aanval kostte gemeente Lochem zo'n 200.000 euro

donderdag 26 september 2019, 11:29 door Redactie, 30 reacties
Laatst bijgewerkt: 26-09-2019, 12:13

Een aanval via het Remote Desktop Protocol (RDP) heeft de gemeente Lochem zo'n 200.000 euro gekost. Dat laat burgemeester van 't Erve tegenover BNR weten. Begin juni van dit jaar werd de gemeente ingelicht over een aanval waarbij er via RDP toegang tot een thuiswerkserver was verkregen.

Verder onderzoek wees uit dat de RDP-poort op 14 december 2018 was opengezet, waarna er via bruteforce-aanvallen toegang is verkregen. Nadat de aanvaller op de server was ingelogd installeerde die verschillende applicaties om inzicht in het netwerk en over de gebruikers te krijgen. Ook werd er ransomware uitgevoerd die een aantal niet operationele bestanden wist te versleutelen en op meerdere plaatsen een zogenoemde 'ransomnote' plaatste. Verder is er vanaf de thuiswerkserver toegang tot een testcomputer verkregen.

Op basis van de onderzochte sporen konden de onderzoekers niet met volledige zekerheid zeggen welke gegevens zijn ingezien, gekopieerd of gestolen. "Waarschijnlijk is de inhoud van de "Active Directory" gekopieerd en is deze kopie geëxtraheerd. Wel kan met redelijke zekerheid worden gezegd dat deze kopie gegevens over het netwerk, waaronder gebruikersnamen en e-mailadressen van medewerkers van de gemeente Lochem, bevatten", aldus een managementsamenvatting over het incident (pdf).

In een duidingsrapportage over de aanval staat vermeld dat de aanvaller meer soorten malware op het systeem heeft gezet en geprobeerd uit te voeren (pdf). De aanvaller had echter niet voldoende rechten voor het uitvoeren en in andere gevallen werd de malware door de antivirussoftware gestopt. "Het is belangrijk om te beseffen dat de aanval net niet ver genoeg is gekomen om tot daadwerkelijk het gijzeling van relevante data te komen", zo staat in de rapportage vermeld.

RDP-aanval

De duidingsrapportage geeft meer informatie over de RDP-aanval. Die was mogelijk door een "ongelukkig gekozen" gebruikersnaam en wachtwoord. Daarnaast kunnen de beheerders niet verklaren waarom het RDP-protocol stond ingeschakeld en de RDP-poort open stond. Ze vermoeden dat ze dit niet zelf hebben gedaan, maar er is ook geen bewijs dat de aanvallers hier achter zitten. "De omstandigheden rondom het openzetten van deze poort kan niet meer worden onderzocht door het inmiddels ontbreken van logbestanden", voegt de managementsamenvatting toe.

Overzicht

Het forensisch onderzoek naar het incident toont verder aan dat de gemeente Lochem geen overzicht had van alle it-systemen en de functionaliteiten die daarop draaien. "Door uit te zetten wat niet nodig is (RDP), kunnen aanvallers het ook niet misbruiken (hardening). En als het aanstaat, kan een goed updatebeleid ervoor zorgen dat zwakheden worden weggenomen door nieuwe updates (patchmanagement). Dit zijn veelvoorkomende fouten bij veel organisaties", aldus het rapport.

De opstellers van het rapport laten de gemeente Lochem weten dat een belangrijke oorzaak van het maken van fouten ligt in de werkdruk en het gebrek aan reflectie op de eigen omgeving. Zo moet de gemeente meer ruimte voor opleiding en verdieping bieden, zodat medewerkers up-to-date blijven en effectiever kunnen werken.

Sinds het incident is er een penetratietest bij de gemeente uitgevoerd en zijn er 64 problemen gevonden. De meest urgente zaken zijn inmiddels verholpen. De andere bevindingen wil de gemeente later aanpakken. De totale schade van de aanval, waaronder het herstel en onderzoek, is op bijna 200.000 euro vastgesteld.

Reacties (30)
26-09-2019, 12:09 door Anoniem
Is er nou 200.000 euro aan pentest kosten gemaakt, of is er "bijna" maar toch net niet een aanval geslaagd waar men om 200.000 euro losgeld vroeg welke sowieso betaald zou worden mits de aanval was gelukt?
26-09-2019, 12:10 door Anoniem
Is de gemeente nou bijna 200.000 krijt geraakt of is de gemeente bijna 200.000 kwijt geraakt?

Uit het artikel zou best mogen blijken, zonder alle links te moeten volgen, of de gemeente werkelijk 199.999,99 euro heeft betaald of dat de aanval succesvol afgeslagen is.
26-09-2019, 12:19 door MathFox
Uit de links blijkt dat de indringers maar op een beperkt aantal computers ingelogd zijn geweest; het herstel van die systemen zal niet meer dan een paar duizend euro gekost hebben. De rest van het bedrag lijkt aan onderzoek besteed.
26-09-2019, 13:20 door Anoniem
Dit zo lezende, zijn ze er nog goed vanaf gekomen denk ik.
26-09-2019, 13:27 door Anoniem
Misschien dat bij installatie van een nieuwe versie van het een of ander RDP weer geactiveerd is?
Alhoewel, als er een accountnaam/ww achter zat dan heeft toch iemand het een keer bewust aangezet.
26-09-2019, 15:14 door Anoniem
ho ho je kan RPD ook uitschakelen via sevice en op je moederboard geen binnen komen meer aan.
bij deze.
26-09-2019, 15:18 door Anoniem
ze zijn meerdere dagen bezig geweest om systemen te herstellen, backups terug te zetten enz.
ook medewerkers van andere gemeenten hebben geholpen.
26-09-2019, 15:20 door Anoniem
Door Anoniem: Is er nou 200.000 euro aan pentest kosten gemaakt, of is er "bijna" maar toch net niet een aanval geslaagd waar men om 200.000 euro losgeld vroeg welke sowieso betaald zou worden mits de aanval was gelukt?

Kwestie van lezen. Het is uiteindelijk niet zover gekomen dat er losgeld gevraagd kon worden omdat ze niet ver genoeg het systeem in konden komen.

Daarnaast staat er vrij duidelijk dat de gemeente bijna 200.000 aan kosten gemaakt heeft. Dit is niet alleen Pentest, maar ook de kosten voor onderzoek en herstel. Herstel zal de 64 punten uit het pentest rapport betreffen en de kosten voor onderzoek zijn de kosten die onze vriend Brenno de W gefactureerd heeft.
26-09-2019, 15:42 door Anoniem
Door Anoniem: Misschien dat bij installatie van een nieuwe versie van het een of ander RDP weer geactiveerd is?
Ik denk dat een belangrijkere vraag is, hoe kan het zijn dat "zomaar" RDP vanaf het Internet mogelijk was naar de server.
Een server hangt achter een firewall, en die firewall zou niet zomaar aangepast moeten kunnen worden.
26-09-2019, 16:12 door Anoniem
Door MathFox: Uit de links blijkt dat de indringers maar op een beperkt aantal computers ingelogd zijn geweest; het herstel van die systemen zal niet meer dan een paar duizend euro gekost hebben. De rest van het bedrag lijkt aan onderzoek besteed.

Altijd fijn als de redactie artikelen aanpast nadat er gereageerd is.


Sinds het incident is er een penetratietest bij de gemeente uitgevoerd en zijn er 64 problemen gevonden. De meest urgente zaken zijn inmiddels verholpen. De andere bevindingen wil de gemeente later aanpakken. De totale schade van de aanval, waaronder het herstel en onderzoek, is op bijna 200.000 euro vastgesteld.
26-09-2019, 16:28 door MathFox
Bij dit type inbraak moet je controleren hoe ver de inbrekers gekomen zijn... Dat kost tijd (en dus geld).
26-09-2019, 16:32 door Anoniem
RDP wordt niet ondersteund in Windows 10 Home Edition. Is er een goede reden dat gemeenteambtenaren een duurdere versie van Windows dan Home voor hun neus hebben? Dit is geen retorische vraag, ik kan me voorstellen dat ze bepaalde functionaliteit, die niet in Home zit, nodig hebben. Weet iemand dat?
26-09-2019, 16:48 door Anoniem
Door Anoniem: RDP wordt niet ondersteund in Windows 10 Home Edition. Is er een goede reden dat gemeenteambtenaren een duurdere versie van Windows dan Home voor hun neus hebben? Dit is geen retorische vraag, ik kan me voorstellen dat ze bepaalde functionaliteit, die niet in Home zit, nodig hebben. Weet iemand dat?
The Pro edition of Windows 10, in addition to all of Home edition's features, offers sophisticated connectivity and privacy tools such as Domain Join, Group Policy Management, Bitlocker, Enterprise Mode Internet Explorer (EMIE), Assigned Access 8.1, Remote Desktop, Client Hyper-V, and Direct Access.
https://gadgets.ndtv.com/laptops/features/windows-10-home-vs-windows-10-pro-differences-new-features-718532

Kan me voorstellen dat sommige van die functionaliteiten nuttig kunnen zijn.
26-09-2019, 17:20 door Anoniem
Door Anoniem: RDP wordt niet ondersteund in Windows 10 Home Edition. Is er een goede reden dat gemeenteambtenaren een duurdere versie van Windows dan Home voor hun neus hebben? Dit is geen retorische vraag, ik kan me voorstellen dat ze bepaalde functionaliteit, die niet in Home zit, nodig hebben. Weet iemand dat?

https://peakup.org/blog/windows-10-edition-comparison/

Bekijk vervolgens in de eerste kolom van de tabel welke functionaliteit een volwassen organisatie nodig heeft, zoals AD lidmaatschap, ingebouwde beveiligingsmaatregelen etc. De Home Edition is precies dat: voor thuisgebruik, niet voor een omgeving die centraal gemanaged moet worden.
26-09-2019, 18:13 door Anoniem
Dit ruikt naar Bluekeep of DejaBlue
26-09-2019, 19:23 door souplost
Microsoft zet alles weer terug na een update. Het is al vaker gebleken dat settings niet worden gerespecteerd.
Hoe lang gaan we nog met deze malware door?
26-09-2019, 19:34 door Anoniem
Door souplost: Microsoft zet alles weer terug na een update. Het is al vaker gebleken dat settings niet worden gerespecteerd.
Hoe lang gaan we nog met deze malware door?
Ga nu geen onzin verkondigen, wat helemaal niets te maken heeft met dit probleem.

RDP wordt niet zomaar even aangezet door een Microsoft Update.
RDP wordt niet zomaar op firewalls vanaf het Internet aangezet.

Ofwel Microsoft heeft er helemaal niets mee te maken.
26-09-2019, 19:58 door karma4
Door souplost: Microsoft zet alles weer terug na een update. Het is al vaker gebleken dat settings niet worden gerespecteerd.
Hoe lang gaan we nog met deze malware door?
De grootste malware … Linux OSS gezien het gedrag van Google Amazon Facebook. IOT notoir onveilig net als routers en dat met het gebrek aan security awareness. Dat terugzetten je hebt het over Apple...
Wanneer stopt het evangelisme?
26-09-2019, 20:02 door karma4
Door Anoniem:
Sinds het incident is er een penetratietest bij de gemeente uitgevoerd en zijn er 64 problemen gevonden. De meest urgente zaken zijn inmiddels verholpen. De andere bevindingen wil de gemeente later aanpakken. De totale schade van de aanval, waaronder het herstel en onderzoek, is op bijna 200.000 euro vastgesteld.
64 problemen en dat voor maar 2k aan inhuur en advies en herstel. Dat is echt een koopje.
Enkele tientallen mensen zijn daar maanden mee bezig geweest.

Ik krijg altijd een wat vreemd gevoel als gebrekkig onderhoud herstellen als schade bestempeld wordt.
Eerder heef ment grote bedrage ingeboekt als winst van bezuinigingen.
26-09-2019, 21:47 door Anoniem
Klinkt als scriptkiddie die een speeltuinngevonden heeft. En vervolgens een ambtenaar die een kans ziet om de helft van 200.000 euro te scoren door een vriendje in te huren die voor de waan van de dag effe wat freeware tooling op zijn medion laptop heeft gezet en vervolgens met een niets zeggend rapportje komt
27-09-2019, 07:14 door Power2All
En dit was de reden sowieso dat ik mijn Windows machines alleen direct kan benaderen als ik op mijn SoftEther VPN ben ingelogged. Alle andere activiteiten worden geblokkeerd.
Al die RDP exploits hadden me al gewaarschuwd, ondanks dat MS ze dicht timmered.
Beter voorkomen dan later oplossen.
27-09-2019, 09:20 door MathFox
Door Anoniem: Klinkt als scriptkiddie die een speeltuinngevonden heeft. En vervolgens een ambtenaar die een kans ziet om de helft van 200.000 euro te scoren door een vriendje in te huren die voor de waan van de dag effe wat freeware tooling op zijn medion laptop heeft gezet en vervolgens met een niets zeggend rapportje komt
Dat klinkt als iemand die de rapporten niet gelezen heeft. Men gaat hier uit van een professionele ransomware-installateur die niet ver genoeg binnengekomen is om serieus schade aangericht te hebben.
27-09-2019, 09:46 door Anoniem
Door karma4: Wanneer stopt het evangelisme?
Dat zou leuk zijn...
27-09-2019, 09:54 door Tha Cleaner
Door karma4:
Door souplost: Microsoft zet alles weer terug na een update. Het is al vaker gebleken dat settings niet worden gerespecteerd.
Hoe lang gaan we nog met deze malware door?
De grootste malware … Linux OSS gezien het gedrag van Google Amazon Facebook. IOT notoir onveilig net als routers en dat met het gebrek aan security awareness. Dat terugzetten je hebt het over Apple...
Wanneer stopt het evangelisme?
Verbeter de wereld begin bij je zelf?
27-09-2019, 09:58 door Tha Cleaner
Door Anoniem: Klinkt als scriptkiddie die een speeltuinngevonden heeft. En vervolgens een ambtenaar die een kans ziet om de helft van 200.000 euro te scoren door een vriendje in te huren die voor de waan van de dag effe wat freeware tooling op zijn medion laptop heeft gezet en vervolgens met een niets zeggend rapportje komt
Klinkt als iemand die niet eens de moeite heeft gehad om het rapport te lezen.
Dan had je namelijk meteen gezien, dat je nu totale onzin post.

Lees dit document even door en komt dan nog eens terug op je post, als je wilt?
Het is niet een technisch document, dus precies op het niveau waarop jij het zou kunnen begrijpen (hoop ik).
https://www.lochem.nl/fileadmin/internet-doc/Bestuur-Organisatie-Nieuws/Nieuws/2019/hack/Duidingsrapportage_Lochem-WHITE.pdf
27-09-2019, 13:22 door karma4
Door Tha Cleaner:
Verbeter de wereld begin bij je zelf?
Ik ben anti evangelist. Heb je mij ooit zien schrijven dat dit OS veel en veel beter is dan dat OS. OS bashing en flaming is wat evangelisten doen, hoe wil je dat afstoppen als tegen die houding bent. Hun geloof aanvallen is een methode.
27-09-2019, 19:35 door Anoniem
Door karma4:
Door Tha Cleaner:
Verbeter de wereld begin bij je zelf?
Ik ben anti evangelist. Heb je mij ooit zien schrijven dat dit OS veel en veel beter is dan dat OS. OS bashing en flaming is wat evangelisten doen, hoe wil je dat afstoppen als tegen die houding bent. Hun geloof aanvallen is een methode.
Lees je eigen posts eens door. Je doet namelijk exact het zelfde. Je bashed namelijk ook gewoon.
29-09-2019, 14:14 door Anoniem
Door karma4: Ik ben anti evangelist. Heb je mij ooit zien schrijven dat dit OS veel en veel beter is dan dat OS. OS bashing en flaming is wat evangelisten doen, hoe wil je dat afstoppen als tegen die houding bent. Hun geloof aanvallen is een methode.
Toch apart dat het eerste dat je onder dit artikel bij te dragen had begon met: "De grootste malware … Linux OSS". Daarmee lijk je toch te zeggen dat Linux als OS veel slechter is. Als iets veel slechter is dan is iets anders onvermijdelijk veel beter.

Verder getuigt je gekanker op wat je OS-evangelisten en privacyactivisten noemt van hetzelfde fanatisme dat je bij anderen meent te moeten bestrijden. Sterker nog, je begint vaak met dat bestrijden nog voordat iemand anders zijn mond open heeft gedaan.

Je bent inderdaad een anti-evangelist. Niet in de zin dat je tegen evangelisme bent, maar dat je anti, anti, anti loopt uit te dragen alsof het een religie is.
29-09-2019, 22:26 door ph-cofi - Bijgewerkt: 29-09-2019, 22:28
Never mind.
03-10-2019, 11:51 door Anoniem
Multi Factor Authentication op je externe diensten implementeren...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.