De gemeente Hof van Twente wil de schade van de ransomware-aanval waar het eind 2020 door werd getroffen verhalen op de it-leverancier die de systemen beheerde. Het gaat om een bedrag van vier miljoen euro. Criminelen wisten dankzij het wachtwoord "Welkom2020" binnen te dringen en konden uiteindelijk de ransomware uitrollen.
Uit onderzoek naar de aanval bleek dat door een aanpassing van de gemeentelijk firewall sinds oktober 2019 de RDP-poort van een ftp-server naar het internet toe openstond. Zo kon er op afstand op de server worden ingelogd. Een gemeentemedewerker had op 15 oktober 2020 het wachtwoord van een beheerdersaccount naar het wachtwoord "Welkom2020" gewijzigd. De tweefactorauthenticatie was voor dit account uitgeschakeld.
Aanvallers wisten het wachtwoord via een bruteforce-aanval te achterhalen. Vanaf oktober 2019 ging het om tienduizenden inlogpogingen per dag op de servers van de gemeente die niet door de it-leverancier werden opgemerkt. Volgens de gemeente heeft het bedrijf een wanprestatie geleverd, zo meldt RTV Oost.
De advocaat van de it-leverancier stelde vandaag tegenover de rechter dat de aanvallers door het handelen van de gemeente, namelijk de aanpassing van het wachtwoord en firewall, toegang tot de systemen kregen. De gemeente zou deze aanpassingen ook niet hebben gemeld bij de leverancier. "De gemeente was bovendien zelf verantwoordelijk voor de beheerdersrechten en de veiligheid van de systemen", aldus de advocaat van de it-leverancier.
Security.NL meldde vorige maand dat de gemeente Hof van Twente al voor de ransomware-aanval was gewaarschuwd voor het wachtwoordbeleid. Ook de rechter had zijn twijfels over het beleid. "Als ik aan mijn neefje uitleg dat het wachtwoord 'Welkom2020' is, wat zou hij dan denken?", zei de rechter. De gemeente stelde dat de it-leverancier had moeten waarschuwen voor de wachtwoordwijziging. "Helemaal bij zo'n belangrijk account." De rechter heeft beide partijen gevraagd om tot een schikking te komen. Komt die er niet, dan behandelt de rechter de zaak op 27 december verder.
Deze posting is gelocked. Reageren is niet meer mogelijk.