Nieuws

Geen losgeld geëist bij cyberaanval op systemen Hof van Twente

vrijdag 4 december 2020, 15:26 door Redactie, 22 reacties

Bij de cyberaanval op de systemen van de gemeente Hof van Twente is geen losgeld geëist, zo laat burgemeester Ellen Nauta tegenover Tubantia weten. Volgens de Vereniging van Nederlandse Gemeenten (VNG) is een aanval met dergelijke gevolgen nog niet eerder bij een Nederlandse gemeente voorgekomen.

Exacte details over de aanval zijn nog niet bekendgemaakt. Wel liet de gemeente in een verklaring weten dat de aanvallers gegevens op de servers van de gemeente ontoegankelijk hebben gemaakt. Veel van de gegevens op de getroffen servers moeten ook als onbruikbaar worden beschouwd. "Ze zijn vernietigd, niet meer terug te halen", stelde Nauta.

Daardoor werd al snel gedacht aan een aanval met ransomware. De aanvallers hebben echter geen losgeld geëist voor het vrijgeven van bestanden. Een gespecialiseerd bedrijf onderzoekt of de ontoegankelijk gemaakte gegevens toch nog zijn te achterhalen. Tevens is er een onderzoek ingesteld hoe de aanval kon plaatsvinden.

Vanwege de aanval moet de gemeente een compleet nieuwe ict-infrastructuur aanleggen. Het kan dan ook nog weken of zelfs maanden duren voordat de dienstverlening aan burgers is hersteld. Zo is het nog altijd niet mogelijk om bijvoorbeeld een paspoort, rijbewijs of identiteitskaart aan te vragen of te verlengen. Ook het doorgeven van een verhuizing, het maken van afspraken of het aanvragen van een uittreksel uit het bevolkingsregister is op dit moment niet mogelijk.

Volgens de Vereniging Nederlandse Gemeenten is de aanval uitzonderlijk en is een Nederlandse gemeente niet eerder zo zwaar getroffen. "We zien heel veel incidenten in heel veel systemen, maar dit is ongekend", zegt woordvoerder Remco Groet tegenover Tubantia. De gemeente Hof van Twente telt 35.000 inwoners.

VMware verhelpt door NSA gevonden lek in Workspace ONE Access

Minister: nog geen overleg over technische oplossing voor encryptie

Reacties (22)

04-12-2020, 15:40 door Anoniem

Tubantia: De ict in Hof van Twente is in 2018 uitbesteed aan Switch IT, gevestigd in Enschede. Dat waakte over de kwaliteit, veiligheid en continuïteit van de ict-infrastructuur, en de gemeente kon haar aandacht richten op de digitale dienstverlening.

Een paar zaken verdienen aandacht:
- Switch heeft iets uit te leggen. (en een RFI is onvoldoende, dus ook onderzoek bij Switch)
- Wat is de rol van de IBD, en gaan zij het onderzoek leiden?
- Waar blijft het NCSC? Of laten zij dit aan IBD, of zelfs aan Switch over?
- Waarom doet de Burg. geheimzinnig over de bedrijven die eea uitvoeren? Wees hierover open, dan laat je ook zien dat je er serieus en professioneel mee omgaat
- Wat maakt dat men niet heeft geleerd van de Gem. Lochem? De burgemeester heeft er "álles" aan gedaan om iedereen te laten leren van zijn bevindingen, zelfs in een overheidsbrede cyberoefening!
- Cyber-pro's hebben natuurlijk wat last van paranoia en wantrouwen....maar...wordt hier iets verzwegen?

Het lijk gerechtvaardigd dit tot op hoogste niveau te beleggen en de beste specialisten ook van de overheid (ja, die zijn er!) bij te betrekken.

04-12-2020, 15:41 door Anoniem

Ben benieuwd hoeveel ransom notes ze nav dit bericht maandag in de brievenbus gaan vinden. Wie weet heeft handige Harry ook per ongeluk zijn ransom note versleuteld :-)

04-12-2020, 15:48 door Anoniem

Zou best nog kunnen dat de aanvallers later alsnog losgeld gaan eisen, tenzij puur hun doel was om de infrastructuur van de Gemeente plaat te leggen.

04-12-2020, 16:16 door -Peter-

Door Anoniem:- Waarom doet de Burg. geheimzinnig over de bedrijven die eea uitvoeren? Wees hierover open, dan laat je ook zien dat je er serieus en professioneel mee omgaat

Vaak willen dat soort bedrijven in het begin niet bekend raken. Daar zijn allerlei, en niet altijd logische, redenen voor. Maar voorlopig heeft de burgermeester zich er aan te houden. Anders stapt dat bedrijf op.

Peter

04-12-2020, 16:19 door Anoniem

Door Anoniem: Zou best nog kunnen dat de aanvallers later alsnog losgeld gaan eisen, tenzij puur hun doel was om de infrastructuur van de Gemeente plaat te leggen.

Die komt nog wel en zal gauw een bedrag zijn met 6 nullen en dat valt niet te onderhandelen

04-12-2020, 16:28 door User2048

- Waar blijft het NCSC? Of laten zij dit aan IBD, of zelfs aan Switch over?

Het NCSC is er voor de Rijksoverheid en vitale bedrijven, niet voor gemeenten. Voor gemeenten is er de IBD.

04-12-2020, 16:34 door Anoniem

Door Anoniem:

Door Anoniem: Zou best nog kunnen dat de aanvallers later alsnog losgeld gaan eisen, tenzij puur hun doel was om de infrastructuur van de Gemeente plaat te leggen.

Die komt nog wel en zal gauw een bedrag zijn met 6 nullen en dat valt niet te onderhandelen

Zou dat dan die Egregor Ransomware kunnen zijn?

04-12-2020, 16:36 door Anoniem

Door User2048:

- Waar blijft het NCSC? Of laten zij dit aan IBD, of zelfs aan Switch over?

Het NCSC is er voor de Rijksoverheid en vitale bedrijven, niet voor gemeenten. Voor gemeenten is er de IBD.

Dat klopt...maar NCSC is het oude Gov-CERT...en die "functie" hebben ze met de naamsverandering losgelaten. De IBD heeft niet de juiste mensen aan boord, en daarbij: heeft de IBD het Nationaal Respons Netwerk om hup gevraagd? Dat verteld het verhaal niet.
Als Switch de monitoring (SIEM/SOC en beheer van de ICT systemen) doet kun je je afvragen wat dáár fout is gegaan.
Er is m.i. zoveel "fout" in het hele verhaal...

04-12-2020, 17:49 door Anoniem

...an act of Internet terrorism where terrorist activities, including acts of deliberate, large-scale disruption of computer networks.

https://en.wikipedia.org/wiki/Cyberterrorism

Kort en bondig: Dit is veel ernstiger.
Hier speelt geld geen rol maar is de doelstelling enig en uitsluitend vernietiging van digitale gegevens met als belangrijkste vraag: Waarom? Voor wie of welke organisatie hebben gegevens van Hof van Twente een bedreigende inhoud, en wel zodanig dat zij vernietigd moesten worden?
Dit valt niet onder criminaliteit maar (cyber)terrorisme.

04-12-2020, 20:17 door [Account Verwijderd] - Bijgewerkt: 04-12-2020, 20:27

Ik heb (mogelijk) een veiligheidsbreuk gevonden bij de genoemde gemeente.
Ik weet niet of dit met de hack zelf te maken heeft, maar vervelend is wel dat er geen Responsible Disclosure mogelijk is om een encrypted mail te sturen en deze mensen van de details op de hoogte te stellen.

Dus voorlopig moet ik mijzelf het zwijgen opleggen.

04-12-2020, 22:20 door Anoniem

Door Anoniem:

...an act of Internet terrorism where terrorist activities, including acts of deliberate, large-scale disruption of computer networks.

Wellicht een oefening of demo van een partij of mogendheid om te kijken in hoeverre de veronderstelde capaciteiten daadwerkelijk bestaan. Het is bijvoorbeeld bekend dat de VS op kleine landen oefent om dat later in het echt te gaan doen.

Maar goed, dat de hele infrastructuur verdwenen is mag natuurlijk nooit gebeuren. Ook hier lijken de back-ups niet op orde. Die ouderwetse tape in een kluis blijkt juist in het cloudtijdperk toch van waarde te zijn.

05-12-2020, 03:43 door Anoniem

@anoniem 22:20 dat zou een oplossing kunnen zijn maar wel met de kanttekening dat backups op regelmatige momenten getest worden. Niks zo lullig als een encrypted backup terug proberen te zetten.

05-12-2020, 07:41 door Anoniem

Het zou mij niet verbazen dat het hier gaat om een boze burger of medewerker.

05-12-2020, 15:11 door Anoniem

Echt waardeloos dit verhaal. Hoezo compleet nieuwe ICT infrastructuur aanleggen? Hopelijk gaat er nog iemand uitleggen waarom het ICT beheer van zo'n waardeloos niveau was daar.

05-12-2020, 17:37 door walmare

Het kan helaas iedereen overkomen

Met een windows backoffice oplossing. Dat feit wordt steeds vergeten.

Volgens de burgemeester is alles vernietigd https://www.youtube.com/watch?v=nGJ2JwvFeN0&feature=youtu.be, blijkbaar ook de backups. Ze gaan alles opnieuw opzetten. Dat wordt ongetwijfeld weer dezelfde oplossing. Zou de burgemeester ook weten dat er bedrijven zijn die meerdere keren tegen walmare aanlopen?

Ben wel benieuwd hoe ze denken te kunnen beweren dat er geen gegevens in verkeerde handen lijken te zijn gevallen.

05-12-2020, 17:47 door walmare - Bijgewerkt: 05-12-2020, 17:52

Het enige wat nog werkt is hun Linux webserver met Typo3 CMS. Die doet gelukkig geen windows AD authenticatie.
De win10 Managed Werkplek is vernietigd!

Switch neemt deze zorg uit handen. Onze IT-oplossingen helpen u met de realisatie van een toekomstbestendig platform, optimale dienstverlening en een effectieve organisatie.

lol

07-12-2020, 09:41 door Anoniem

Door walmare:

Het kan helaas iedereen overkomen

Denk je echt, dat dit te voorkomen was wanneer iedereen op Linux/Unix zou zitten? Dan gaat alle energie in het bestoken van die systemen. En aangezien alles mensenwerk is, zullen er beslist fouten in zitten. Bij voldoende resultaat zal er echt wel iemand de energie kunnen opbrengen om het te vinden en misbruiken.

07-12-2020, 10:16 door Anoniem

Door Security is Security: Ik heb (mogelijk) een veiligheidsbreuk gevonden bij de genoemde gemeente.
Ik weet niet of dit met de hack zelf te maken heeft, maar vervelend is wel dat er geen Responsible Disclosure mogelijk is om een encrypted mail te sturen en deze mensen van de details op de hoogte te stellen.

Dus voorlopig moet ik mijzelf het zwijgen opleggen.

Een responsible disclosure beleid zouden idd meer gemeenten moeten doen. Maar zolang dat er nog niet is kun je toch anoniem een berichtje sturen?

07-12-2020, 11:15 door walmare

Door Anoniem:

Door walmare:

Het kan helaas iedereen overkomen

Dan was het inderdaad voorkomen want Linux/Unix is 100% ongevoelig voor walmare. Dat is een feit en jouw bewering is een aanname waar geen enkel bewijs van is.

07-12-2020, 12:47 door hanspaint - Bijgewerkt: 07-12-2020, 12:48

Als je één ict systeem om zeep wil helpen begin je eerst met het onleesbaar maken van alle backup’s op het moment dat ze worden gemaakt als dat niet ontdekt wordt ga je na een tijdje afhankelijk van de backupcyclus alle gegevens onleesbaar maken. In een goed beveiligde omgeving lukt dat niet.

08-12-2020, 19:37 door Anoniem

Door hanspaint: Als je één ict systeem om zeep wil helpen begin je eerst met het onleesbaar maken van alle backup’s op het moment dat ze worden gemaakt als dat niet ontdekt wordt ga je na een tijdje afhankelijk van de backupcyclus alle gegevens onleesbaar maken. In een goed beveiligde omgeving lukt dat niet.

Het klinkt als een doelgerichte aanval waar eerst de back-ups getroffen worden. Voelt een beetje APT - level - ish.

- RAMLETHAL

08-12-2020, 19:56 door Anoniem

6 maanden terug:
- https://www.youtube.com/watch?v=nTiSS47PBxQ
- https://www.youtube.com/watch?v=U7JKifvBAbQ

nu:
- https://www.youtube.com/watch?v=nGJ2JwvFeN0

Mooi plaatsje, hopen dat alles goed komt.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer