image

Helmonds werkbedrijf Senzer via Citrix-server besmet met ransomware

donderdag 22 april 2021, 14:31 door Redactie, 12 reacties

Het Helmondse werkbedrijf Senzer dat begin maart meldde dat er een inbraak op het netwerk had plaatsgevonden is slachtoffer geworden van een aanval met de Ryuk-ransomware. De aanvallers wisten via een Citrix-server toegang tot de organisatie te krijgen. Dat blijkt uit het onderzoek dat het werkbedrijf liet uitvoeren en openbaar heeft gemaakt (pdf).

Als werkbedrijf voor de arbeidsmarktregio Helmond-De Peel voert Senzer de Participatiewet uit voor zeven gemeenten. Daarmee wordt een regio met 250.000 inwoners bediend. Via Senzer werken ruim tweeduizend mensen bij honderden bedrijven. Ook verzorgt de organisatie inkomensondersteuning voor duizenden bijstandscliënten en is het verantwoordelijk voor het betalen van uitkeringen in Helmond en De Peel.

Volgens de onderzoekers zijn de aanvallers op 27 februari via een bruteforce-aanval op de Citrix-server binnengekomen. Via Citrix kunnen medewerkers van het werkbedrijf op afstand toegang tot het netwerk krijgen. Senzer stelt dat de Citrix-server verouderd was en vervangen zou worden. Op de Citrix-server was geen multifactorauthenticatie (MFA) ingesteld, waardoor alleen een wachtwoord voldoende was om toegang te krijgen, aldus het werkbedrijf.

Vanwege de coronpandemie nam het thuiswerken vorig jaar een enorme vlucht. Senzer besloot toen om multifactorauthenticatie versneld in te voeren voor Microsoft 365-accounts. "Invoeren van MFA op de Citrix-applicatie is niet doorgezet, omdat dit technisch complex was en mogelijk negatieve gevolgen had voor thuiswerken en de dienstverlening van Senzer", zo laat het werkbedrijf in een verklaring weten.

De aanvallers konden zo via een bruteforce-aanval inloggen op de server en installeerden daar twee backdoors. Een aantal dagen later werd een lijst van alle systemen op het netwerk uit de Active Directory geëxporteerd. De volgende dag, op 9 maart, werd de ransomware door de aanvallers uitgerold. Tijdens de aanval probeerden de aanvallers om bewijsmateriaal te wissen door de logbestanden te verwijderen. De onderzoekers hebben geen bewijs gevonden dat de aanvallers ook data hebben buitgemaakt.

Na de aanval is de Citrix-server niet meer gebruikt en is versnel overgestapt op Windows Virtual Desktop (WVD) .Inmiddels hebben alle Senzer-medewerkers extern toegang tot het netwerk via WVD. Verder zijn alle wachtwoorden gereset, is voor alle applicaties die vanaf het internet toegankelijk zijn MFA ingesteld en wordt de netwerktoegang 24/7 gemonitord.

Volgens Senzer zijn de gevolgen van de aanval relatief beperkt gebleven voor zowel de externe relaties als de interne organisatie. Wel zijn bepaalde back-ups verloren gegaan met daarin mogelijk historische gegevens die niet meer in gebruik waren en een deel van de klantcontactgegevens van afnemers/ondernemers. Daarnaast moeten naast de productieomgeving ook weer testomgevingen en dergelijke worden opgebouwd. Het werkbedrijf heeft de aanvallers geen losgeld betaald.

Image

Reacties (12)
22-04-2021, 15:22 door Erik van Straten
Complimenten aan Senzer voor het openbaren van het fraaie en gedetailleerde rapport van Northwave! Met name de aanbevelingen achterin zijn een must-read voor elke zichzelf respecterende IT-er.

Jammer dat niet met zekerheid kon worden vastgesteld dat de aanvallers via een brute-force aanval op Citrix zijn binnengekomen. Hieruit blijkt weer het belang van het zoveel mogelijk loggen, in elk geval op kritische systemen, en het centraal verzamelen van die logs op een dichtgetimmerd systeem (waar remote aanvallers niks op kunnen wissen of wijzigen).
22-04-2021, 15:58 door Anoniem
Door Erik van Straten: Complimenten aan Senzer voor het openbaren van het fraaie en gedetailleerde rapport van Northwave! Met name de aanbevelingen achterin zijn een must-read voor elke zichzelf respecterende IT-er.

Jammer dat niet met zekerheid kon worden vastgesteld dat de aanvallers via een brute-force aanval op Citrix zijn binnengekomen. Hieruit blijkt weer het belang van het zoveel mogelijk loggen, in elk geval op kritische systemen, en het centraal verzamelen van die logs op een dichtgetimmerd systeem (waar remote aanvallers niks op kunnen wissen of wijzigen).
Inderdaad, hiervoor kan ik meer begrip en respect opbrengen dan voor organisaties die baggitaliseren en/of zaken onder het tapijt proberen te schuiven. Ik heb ook het idee dat deze organisatie er lering uit heeft getrokken en daar ook écht wat mee gedaan heeft.

Klasse!
22-04-2021, 17:45 door Anoniem
Door Erik van Straten: Complimenten aan Senzer voor het openbaren van het fraaie en gedetailleerde rapport van Northwave! Met name de aanbevelingen achterin zijn een must-read voor elke zichzelf respecterende IT-er.

Jammer dat niet met zekerheid kon worden vastgesteld dat de aanvallers via een brute-force aanval op Citrix zijn binnengekomen. Hieruit blijkt weer het belang van het zoveel mogelijk loggen, in elk geval op kritische systemen, en het centraal verzamelen van die logs op een dichtgetimmerd systeem (waar remote aanvallers niks op kunnen wissen of wijzigen).

Ik hoor weer een data-diode dicussie aankomen ... ;-)
22-04-2021, 21:43 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Hieruit blijkt weer het belang van het zoveel mogelijk loggen, in elk geval op kritische systemen, en het centraal verzamelen van die logs op een dichtgetimmerd systeem (waar remote aanvallers niks op kunnen wissen of wijzigen).

Ik hoor weer een data-diode dicussie aankomen ... ;-)
Mallerd, een data-diode is zóóó 2020! Tegenwoordig gebruiken we daar een datakluis-systeem voor (https://datakluis-systeem.nl/ - kennelijk was er zoveel belangstelling dat ze de verwachtingen op die site wat hebben moeten temperen ;-)

Maar alle gekheid op een stokje, aan logservers en online back-up systemen waarop aanvallers bestanden kunnen wissen of wijzigen, heb je niet zoveel in de beschreven omstandigheden.

Bijvoorbeeld deze site (security.nl) gebruikt ook geen data-diode. Immers, terwijl ik dit tik bestaat er een bidirectionele TLS verbinding tussen mijn browser en de server, maar toch kan ik alleen maar "appenden" (met de kanttekening dat ik tot ca. een half uur na posten mijn bijdrage nog kan wijzigen - maar dat is natuurlijk gewoon ergens een instelling die op nul gezet kan worden). De moderators van security.nl kunnen mijn bijdrage ook daarna nog wel gewoon verwijderen. Kwestie van privileges dus.

Kortom, zo'n logserver moet zoveel mogelijk stand-alone zijn en beheerders moeten er niet vanaf hun potentieel gecompromitteerde PC's op kunnen inloggen. De neiging om alles aan AD te hangen is wat je opbreekt zodra aanvallers domain admin zijn geworden.
23-04-2021, 09:16 door Anoniem
Door Erik van Straten: Kortom, zo'n logserver moet zoveel mogelijk stand-alone zijn en beheerders moeten er niet vanaf hun potentieel gecompromitteerde PC's op kunnen inloggen.
Ik heb een idee! De logserver achter een datadiode zetten! ;-)
23-04-2021, 10:35 door Anoniem
wat ik totaal niet begrijp is dat dit soort systemen geen fail2ban achtige tools hebben draaien.
voor €80 heb je rdpguard die naar x-keer foutief inloggen het ip adres in de block van de windows firewall zet.

goedkoop en effectief.
23-04-2021, 12:16 door Anoniem
Door Anoniem: wat ik totaal niet begrijp is dat dit soort systemen geen fail2ban achtige tools hebben draaien.
voor €80 heb je rdpguard die naar x-keer foutief inloggen het ip adres in de block van de windows firewall zet.

goedkoop en effectief.
wat ik totaal niet begrijp is dat dit soort oplossing bedacht worden door iemand die er totaal geen kaas van heeft gegeten, maar wel een oplossing denkt te hebben.

Als men al geen MFA wilt implementeren, zegt dit eigenlijk al het nodige over de volwassenheid.

Nu had men hier voor Azure MFA ook wel FAS (is een beetje eng als je er nog nooit mee hebt gewerkt), of een Azure NPS moeten gaan gebruiken.
23-04-2021, 14:23 door Erik van Straten
Door Anoniem:
Door Anoniem: wat ik totaal niet begrijp is dat dit soort systemen geen fail2ban achtige tools hebben draaien.
voor €80 heb je rdpguard die naar x-keer foutief inloggen het ip adres in de block van de windows firewall zet.

goedkoop en effectief.
wat ik totaal niet begrijp is dat dit soort oplossing bedacht worden door iemand die er totaal geen kaas van heeft gegeten, maar wel een oplossing denkt te hebben.
Zo jammer dit soort reacties.

Door Anoniem: Als men al geen MFA wilt implementeren, zegt dit eigenlijk al het nodige over de volwassenheid.
Het een sluit het ander toch niet uit?

Bovendien zijn MFA-implementaties ook niet feilloos (https://arstechnica.com/information-technology/2011/06/rsa-finally-comes-clean-securid-is-compromised/, https://en.wikipedia.org/wiki/YubiKey#Security_issues, https://www.androidpolice.com/2021/01/08/googles-2fa-titan-security-keys-are-vulnerable-to-an-attack-that-can-clone-them/, SMS-2FA is een gatenkaas - en smartphones met TOTP apps (Authy etc). kunnen malware bevatten, gestolen worden of zonder factory-reset aan kinderen, neefjes/nichtjes etc. worden doorgegeven). Bovendien is het uitrollen ervan veel werk, en na invoering krijg je te maken met helpdesk-calls van legitieme gebruikers en mogelijk van aanvallers die zeggen dat hun 2FA niet meer werkt.

Ten slotte beschermt MFA vaak niet tegen phishing (bijv. middels targeted watering hole attacks). Een fatsoenlijk wachtwoord helpt daar ook niet tegen, maar als MFA wordt ingezet bij wachtwoorden zoals "12345" of zelfs "1" (https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/), en je dat gedoogt omdat je MFA hebt, dan resteert Single Factor Authentication.
23-04-2021, 14:48 door Anoniem
Door Anoniem: wat ik totaal niet begrijp is dat dit soort systemen geen fail2ban achtige tools hebben draaien.
voor €80 heb je rdpguard die naar x-keer foutief inloggen het ip adres in de block van de windows firewall zet.

goedkoop en effectief.
Fail2ban is inderdaad zeer effectief tegen bruteforce attacks. Kost niets. Draait bij mij op elke Linux server.
Het eigenaardige van deze case dat niet is bewijzen hoe men is binnengekomen. Een zero day kwetsbaarheid behoort ook tot de mogelijkheden.
24-04-2021, 21:21 door Anoniem
Door Anoniem:
Door Erik van Straten: Kortom, zo'n logserver moet zoveel mogelijk stand-alone zijn en beheerders moeten er niet vanaf hun potentieel gecompromitteerde PC's op kunnen inloggen.
Ik heb een idee! De logserver achter een datadiode zetten! ;-)
Niet vergeten er een bordje 'verboden toegang' op te spijkeren. Een betere beveiliging is er niet.
24-04-2021, 21:26 door Anoniem
Door Anoniem: Het eigenaardige van deze case dat niet is bewijzen hoe men is binnengekomen.
Misschien een gelekt of gekocht of geraden of gefished wachtwoord van een medewerker?
25-04-2021, 20:52 door Anoniem
Jammer dat Citrix nu wordt geassocieerd als zijnde onveilig door de verkeerde kop. Feit is dat men gehakkel is dmv een brute force attack, welke toevallig op de Citrix omgeving is gebeurd. Dit had op elk willekeurig systeem kunnen gebeuren. Het is simpelweg prutswerk van deze club of de ICT toeleverancier dat er geen MFA is geconfigureerd. De overstap naar WVD verbaasd mij ook, want dat is zeker niet veiliger en nog veel complexer om te beheren. Als ze al geen MFAS konden configureren op de Citrix omgeving, dan acht ik de kans klein dat ze wel de WVD omgeving normaal kunnen beheren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.