Je gaat het toch merken aan je beschikbare bandbreedte als iemand 40 terrabyte downloadt? Lijkt me dus gelogen. Sowieso geen geld richting criminelen, maar nu helemaal.

Lees ik een andere Volkskrant? In de versie van 4:00 uur staat bij mij 750 duizend euro.

Ik vraag me wel af hoezo de Volkskrant deze mensen weet te vinden, terwijl ze vanuit de gemeente geen aanwijzingen gehad hebben. En als ze al lang contact houden met deze hackers, is de Volkskrant dan niet ook medeplichtig aan computercriminaliteit door hun kennis over deze groep niet eerder met de opsporingsdiensten te delen?

Volgens Tweakers: 'De Volkskrant wist contact te leggen met de criminelen via het e-mailadres dat in de losgeldbrief stond.'

De politie kan onderzoeken wat ze willen maar als het de groep is welke ik denk dat het is dan gaat de versleuteling er zonder betalen echt niet af. Tevens lopen ze hiermee het risco dat de data openbaar wordt.

"Vanwege de aanval moet de gemeente een compleet nieuwe ict-infrastructuur aanleggen." Tja, vanwege de aanval of slecht beheer/management? Uiteraard is het niet netjes dat een crimineel dit doet maar met een betere inrichting was het wel moeilijker geworden of was de impact lager. Ik heb eens door een dfir website gebladerd welke diverse ransomware aanvallen onderzochten en daar zijn zeer stabiele/generieke IOCs te vinden. Dan moet je natuurlijk wel je eventlogs, netwerkverkeer en host monitoren + meldingen opvolgen. Bij een deel van de bedrijven wordt dit als "te duur" ervaren.

Er komt wel wat zorgelijke informatie boven door het graven van de Volkskrant. Van de burgemeester worden we niks wijzer die gaat liever zitten wachten op de politie.

Uit het artikel:
"Bronnen zeggen dat de criminelen toegang kregen via het Remote Desktop Protocol. Daarmee is het mogelijk om van afstand toegang te krijgen tot een andere computer. Ze zouden middels bruteforcen het wachtwoord hebben gekraakt."

Dus men heeft open en bloot RDP aan staan zonder bruteforce detectie of geo/ip-block.....

"De hackers claimen 40Tb aan informatie te bezitten. "

Dan heeft men dus een aardige upload (zelfs met compressie) naar buiten weten te krijgen zonder detectie...

"Digitale specialisten van de politie, die vanaf dinsdag waren ingelicht, konden dagenlang geen toegang krijgen tot de computersystemen. Tot frustratie van de politiemedewerkers wilde de it-leverancier van de gemeente, Switch IT Solutions uit Enschede, hen niet de gebruikersnamen en wachtwoorden verstrekken."

Fijne IT leverancier, je zou verwachten dat de gemeente in een contract of procedure iets over incident response/handling opneemt.

Nieuwsgaring is een groot goed dat wij moeten behouden.
Maar vraag mij serieus af of de Volkskrant er goed aan gedaan heeft om contact te zoeken met een anoniem mailadres.
Misschien kan iemand hier dat toe lichten?

"De Volkskrant zocht zelf contact met de criminelen."

Wat een armoede. Bij gebrek aan onderzoeksjournalistiek en overschot aan associetedpressknipsels -gelijk aan alle andere Belgische kranten in NL- dan maar sensatie creëren.
Zoals Briolet al aangeeft, maakt die krant zichzelf erg verdacht.

Ik denk dat je dat onderschat. Die 40TB zal niet in één of twee nachten gedownload zijn. Dat hebben ze vermoedelijk gespreid over meerdere weken/maanden. Op basis van alleen bandbreedte ga je een goed georganiseerde hack niet detecteren. Daar zijn andere maatregelen voor nodig.

De criminelen eisen 50 bitcoin, dat is nu 800.000 euro.

Ik vrees dat bij veel gemeente de ICT op een hoog hobbygehalte kent. Maar laten we wel wezen, de huidige malware aanvallen zijn heel geraffineerd. Zelfs als je ICT wel professioneel is ingericht, is het nog geen garantie dat het jou niet overkomt. Enkel getroffen zijn door malware wil nog niet zeggen dat je ICT huishouding een rommeltje was.

Als blijkt dat RDP inderdaad gewoon publiek toegankelijk was, dan val je bij mij wel onder 'hobbyclub'

Ik vraag me af of de politie hier niet te ver buiten haar taakstelling gaat. Is de politie hier bezig met opsporing, of zijn ze consultancy diensten aan de gemeente aan het leveren om systemen operationeel te krijgen? Dat laatste is helemaal geen taak van de politie.

Voor wat betreft inlog, als politie daar van rechtswege recht op heeft, kan ze die gewoon vorderen. Aangezien ik hier lees 'tot frustratie van...' heeft de politie vermoedelijk helemaal geen rechtsgrond op deze gegevens. Dit sterkt mijn beeld dat de politie hier meer met consultancy bezig is dan met opsporing.

Als de gemeente aangifte doet, moeten ze het voor politie ook mogelijk maken onderzoek te doen. En de gemeente heeft een contract met de ICT leverancier, dus gemeente moet dat met zijn leverancier uitvechten, niet de politie.

Een backup hoort niet 24/7 aangesloten te zijn, hoe kan de backup nu onbruikbaar zijn?
Daar gaat toch iets fout in de organisatie, lijkt mij.

Maakt wel weer duidelijk hoe kwetsbaar men is in tijden van cyber-oorlog, mocht die al niet uitgebroken zijn.
Hoe veilig zijn we achter de digi-dijken eigenlijk?

Als men niet echt aan een veiligheids-overhaul begint, zitten we nog wel een poosje met het ransomware debakel
(al ruim vijf jaar nu op deze schaal).

Oh, wacht eens even, uiteindelijk betaalt de burger het gelag, want de schade wordt gewoon doorgegeven.
Vandaar dat de aandeelhouders er niet happig op zijn echt maatregelen te nemen.
Kosten op het sterfhuis zogenaamd. Security as a last resort issue. Pas op de plaats laten maken.

Doe eens onderzoek hoe lang de daders aan voorbereiding hebben genomen om zo'n ransomware aanval te plannen.
Of was het gewoon een kwestie van de gelegenheid en het lage fruit zoekt de dief en brute-forcen het resultaat.

luntrus

Wat is er mis met Microsoft technologie dan? Is SMB2/3 nu ook al lek dan? en kunnen we alleen nog maar SSH gebruiken.

Dit is een leuke reputatieschade voor deze It-leverancier:
- RDP-poort stond open voor de buitenwereld
- (Offline) Backups onbruikbaar
- Niet/slecht mee willen werken aan een politie-onderzoek (opdracht van de gemeente om de gebruikersnamen en wachtwoorden te vertsrekken had voldoende moeten zijn)

Hoe gaan hun andere klanten hier op reageren?

Je bedoelt zeker dat ze Windows gebruiken?
Want anders dan dat lijkt me dat dit zeker bij zo'n relatief kleine gemeente niet in-huis gedaan wordt en dus gewoon
valt onder "als je het uitbesteedt dan is het prima voor elkaar, want uitbesteed bij deskundigen".

Ik denk dat het eerder andersom is. Maar even daar gelaten, ik zou wel graag bewijs willen zien dat er met de juiste groep is gecommuniceerd. Iedereen kan namelijk zeggen ingebroken te hebben bij Hof van Twente.

En wie zijn dan die bronnen? Ik vind dit een redelijk vaag verhaal overigens.

En hebben ze die brief ook gepubliceerd zodat we dit verhaal kunnen controleren? Als iemand een link heeft, dan graag.

Elke gemeente in Nederland is gehackt, daar is geen RDP voor nodig.
Zo lang er een internetverbinding naar buiten mogelijk is kan een crimineel met remote portforwarding naar binnen terwijl de firewall naar binnen toe alle poorten dicht heeft staan.
De enige eis is vanaf een werkplek deze remote portforwarding open zetten. Dat gaat op een windowswerkplek schier eenvoudig via een officemacro of een drive-by incident. Vervolgens kan er met een beperkte bandbreedte van alles worden ge-upload door een ge-encrypte tunnel waar een firewall deep packet inspection niks mee kan. Ondertussen wordt het hele netwerk in kaart gebracht en is het wachten op de kritieke vulnerabilities die elke maand beschikbaar komen en niet direct worden gepatcht. De malware heeft een tijdslot van maar 5 min nodig.
Het faillissement van de windowswerkplek is pijnlijk zichtbaar. Het is niet te onderhouden in de boze buitenwereld.

Dat hangt er maar helemaal vanaf. Als die port forwarding inderdaad is geconfigureerd, en een aanvaller achter die instellingen komt, dan heb je inderdaad een heel groot probleem ja. Maar als portforwarding is uitgeschakeld, dan kan een aanvaller hier niets mee.

Dat is niet echt een conclusie die ik zou trekken. Als een journalist brute-force gebruikt, wil dat vaak zeggen dat misbruik van de credentials niet door phishing is gedaan. Iedere andere manier, inclusief credential-stuffing, wordt door een journalist als brute-force gezien. Waarbij credential-stuffing best over enkele dagen of weken plaats heeft kunnen vinden.

Analyse van die aanvallen is dan bijna niet mogelijk. Uit het feit dat over RDP wordt gesproken, meen ik op te kunnen maken dat ze gebruik maken van Microsoft producten. Systemen loggen daarbij zo vaak in (voor iedere directory listing, file access en nog meer) dat je enkele GB's per dag aan data hebt. Als iemand een wachtwoord heeft gewijzigd, heb je enkele uren (en soms dagen) een storm aan foute inlogpogingen, totdat die persoon dat wachtwoord op al zijn devices heeft gewijzigd.

Ik ken gevallen waarbij dat maanden duurt, omdat personeel thuis zit en hun kantoorwerkplekkennog aanstaan en al die tijd met het verkeerde wachtwoord proberen in te loggen.


Ik weet niet wat voor een aansluiting de gemeente heeft, maar als je hier enkele weken of maanden de tijd voor hebt, dan is dat kwa bandbreedte niet zo veel.

Ik kan me voorstellen dat een gemeente ook regelmatig grote hoeveelheden data uitwisselt met een centrale database. Of misschien hebben ze wel veel in de cloud staan. Als dat bijvoorbeeld naar een database in de AWS of Microsoft cloud is, kun je ook geen controle doen op vreemde IP adressen. Als aanvaller zou ik bij dezelfde cloud provider mijn dumpsite inrichten om detectie lastiger te maken.


Dit is niet zo onverwacht. Switch heeft ook een taak. Ook zij zullen zich aan de wet moeten houden.
Hoogstwaarschijnlijk zullen juristen eerst hebben willen/moeten onderzoeken wat het betekent voor de privacy van alle inwoners en het personeel van de gemeente (en misschien zelfs Switch) als beheersaccounts worden verstrekt aan derden. Waarschijnlijk zal de politie er eerst naar gevraagd hebben. Dan moet je uitkijken, want dan ben jij verantwoordelijk als er data gelekt wordt. Dan kun je soms beter wachten op een vordering.

Enja, een politieagent kan gefrustreerd raken als hij een vordering moet regelen.

Als er een inbraak in mijn huis is geweest, dan zal ik ook aarzelen om maar gelijk mijn hele sleutelbos te geven. Ik zal zeker overleggen met mijn werkgever en mijn (schoon)ouders. Hun sleutels zitten er ook aan.


Ik hoop toch echt dat een gemeente niet een simpel huis-tuin-en-keuken routertje heeft waarbij dit mogelijk is.
Ik weet niet bij wat voor een organisatie jij werkt, maar het is gebruikelijk om bij een organisatie met meer dan een paar mensen professionele routers in te zetten. In dat opzicht vertrouw ik Switch IT wel.

Peter

Uh das niet waar. Het komt vaak genoeg voor dat de politie de dader hacked en achter de ransomware sleutel komt waardoor data ontsleuteld kan worden. Daarbij is betalen net zo min een garantie.

Door walmare: Elke gemeente in Nederland is gehackt

<<< En tot die conclusie kom je omdat? Ik vind wel dat security een beetje harder kan maar een moeilijk complexe en onbegonnen zaak is soms. Maar dit soort dingen roepen gaat niemand helpen tot je met concrete punten komt.

- RAMLETHAL

Ik vraag mij af of het niet praktisch zou zijn dat alle Nederlandse gemeentes de ICT ondersteuning gezamenlijk regelen. Een IT leverancier kan dan maatwerk in bulk leveren, ervan uitgaande dat de meeste gemeenten qua ICT behoefte op elkaar lijken. De schaal is dan ook groot genoeg om een eigen IT bedrijf in te richten, als men dat zou willen.

Wees gerust werkt ook met een professionele checkpoint firewall
Je moet iets aan de werkplek zelf doen! Bestudeer ook eens Sarwent als starter. Het echte beest vertel ik later.

Ja goed idee. Misschien Centric. Kan Rian de security doen. :-)

De leverancier van deze gemeente heeft al eerder het nieuws gehaald. Gemeente Lochem is ook klant van Switch. Ook daar kwam de ransomware aanval initieel vanuit RDP.

Lol

dit komt omdat er niet op het bericht is gereageerd vanuit de gemeente en hebben de hackers ook een beticht na volkskant gestuurd

sure RDP,, daar zal iemand zich wel achter de computer gezet hebben,want 40TB ,daamn..
dat duurt we effe.

Wie zegt dat de gemeente die opdracht heeft gegeven? Grote kans dat de leverancier zonder officieel verzoek de politie niets wilde geven, en terecht.

Dat kan niet anders dan één grote puinbende worden. Niet alleen richten verschillende gemeentes hun processen heel anders in, ook zal het enthousiasme voor samenwerking onder nul liggen. Dat iemand anders iets te zeggen heeft over jouw gemeente wordt echt niet geaccepteerd.

Dan hebben we (weer) een vendor-lock-in, iets waar we juist vanaf willen.
Daarnaast hebben een aantal gemeenten al een gezamenlijk ICT bedrijf.

Wie heeft er nou (NAT)routing naar internet vanaf het LAN... dan moet je wel ERG naief zijn!

Je werkt vast bij zo'n gemeente. Ik wens je veel succes...
https://risksense.com/blog/rdp-exposures/

Er is iemand verantwoordelijk voor die uitbesteding. Je mag er niet klakkeloos van uitgaan dat het met de deskundigheid van de leveracier wel goed zit.

Hier en daar doen men dat wel, maar de moeilijkheid is.....koninkrijkjes.
Kijk maar eens hoeveel samenwerkingsverbanden (Shared Services) tussen gemeentes moeizaam lopen of zelfs helemaal mislukken. Een willekeurig voorbeeld: https://www.computable.nl/artikel/nieuws/overheid/6870604/250449/gemeenten-trekken-stekker-uit-ssc-zuid-limburg.html

Met als gevolg dat als ze bij 1 gemeente binnen zijn (ambtenaren zijn ook niet immuun tegen phishing) ze gelijk alle gemeenten te pakken hebben. Voor weinig extra moeite 100 keer zo veel opbrengst.

Peter

Dit krijg je van decentraal beheer, dan kunnen ICT afdelingen aanprutsen.

Een paar voorbeelden:


- De grootste verzekeraar: Geen backups of antivirus

- Een stadsdeel van een grote gemeente: SNMP community naam "appel" wat ook het administrator wachtwoord voor alle Windows servers en workstations was. Geen NAC.

Volgens mij is het grote probleem dat iedereen maar outsourced om ontzorgt te worden en vervolgens zelf niet meer nadenkt over IT

Als je een leverancier niet verteld hoe je iets wilt hebben, welke eisen je hebt over security of de adviezen die je terug krijgt niet begrijpt dan gaat het allemaal mis......

Achteraf dan ook niet zeuren over de externe partij. Je bent zelf verantwoordelijk voor eisen, design en controle erop

Helaas een trend die je steeds meer ziet.

Iets van: "Not our core business", dus uitbesteden. "Ontzorgen" (tot de stront tegen het plafond aan zit)