Het Helmondse werkbedrijf Senzer dat begin maart meldde dat er een inbraak op het netwerk had plaatsgevonden is slachtoffer geworden van een aanval met de Ryuk-ransomware. De aanvallers wisten via een Citrix-server toegang tot de organisatie te krijgen. Dat blijkt uit het onderzoek dat het werkbedrijf liet uitvoeren en openbaar heeft gemaakt (pdf).
Als werkbedrijf voor de arbeidsmarktregio Helmond-De Peel voert Senzer de Participatiewet uit voor zeven gemeenten. Daarmee wordt een regio met 250.000 inwoners bediend. Via Senzer werken ruim tweeduizend mensen bij honderden bedrijven. Ook verzorgt de organisatie inkomensondersteuning voor duizenden bijstandscliënten en is het verantwoordelijk voor het betalen van uitkeringen in Helmond en De Peel.
Volgens de onderzoekers zijn de aanvallers op 27 februari via een bruteforce-aanval op de Citrix-server binnengekomen. Via Citrix kunnen medewerkers van het werkbedrijf op afstand toegang tot het netwerk krijgen. Senzer stelt dat de Citrix-server verouderd was en vervangen zou worden. Op de Citrix-server was geen multifactorauthenticatie (MFA) ingesteld, waardoor alleen een wachtwoord voldoende was om toegang te krijgen, aldus het werkbedrijf.
Vanwege de coronpandemie nam het thuiswerken vorig jaar een enorme vlucht. Senzer besloot toen om multifactorauthenticatie versneld in te voeren voor Microsoft 365-accounts. "Invoeren van MFA op de Citrix-applicatie is niet doorgezet, omdat dit technisch complex was en mogelijk negatieve gevolgen had voor thuiswerken en de dienstverlening van Senzer", zo laat het werkbedrijf in een verklaring weten.
De aanvallers konden zo via een bruteforce-aanval inloggen op de server en installeerden daar twee backdoors. Een aantal dagen later werd een lijst van alle systemen op het netwerk uit de Active Directory geëxporteerd. De volgende dag, op 9 maart, werd de ransomware door de aanvallers uitgerold. Tijdens de aanval probeerden de aanvallers om bewijsmateriaal te wissen door de logbestanden te verwijderen. De onderzoekers hebben geen bewijs gevonden dat de aanvallers ook data hebben buitgemaakt.
Na de aanval is de Citrix-server niet meer gebruikt en is versnel overgestapt op Windows Virtual Desktop (WVD) .Inmiddels hebben alle Senzer-medewerkers extern toegang tot het netwerk via WVD. Verder zijn alle wachtwoorden gereset, is voor alle applicaties die vanaf het internet toegankelijk zijn MFA ingesteld en wordt de netwerktoegang 24/7 gemonitord.
Volgens Senzer zijn de gevolgen van de aanval relatief beperkt gebleven voor zowel de externe relaties als de interne organisatie. Wel zijn bepaalde back-ups verloren gegaan met daarin mogelijk historische gegevens die niet meer in gebruik waren en een deel van de klantcontactgegevens van afnemers/ondernemers. Daarnaast moeten naast de productieomgeving ook weer testomgevingen en dergelijke worden opgebouwd. Het werkbedrijf heeft de aanvallers geen losgeld betaald.
Deze posting is gelocked. Reageren is niet meer mogelijk.