Antwerpen verwacht dat herstel ransomware-aanval tot eind januari duurt
Burgemeester Bart De Wever van Antwerpen verwacht dat de stad pas eind januari volledig van de recente ransomware-aanval hersteld zal zijn. Door de aanval is de dienstverlening aan burgers op allerlei vlakken beperkt en ontregelt. De gemeente werd in de nacht van 5 op 6 december getroffen door een ransomware-aanval.
De aanvallers claimen dat ze persoonlijke informatie, paspoorten, identiteitskaarten, financiële documenten en andere gegevens in bezit hebben. Het zou om 557 gigabyte aan data gaan die de aanvallers naar eigen zeggen vandaag zouden publiceren als de gemeente het gevraagde losgeld niet betaalt. De stad liet vanaf het begin weten niet met de criminelen te zullen onderhandelen of het losgeld te betalen.
Tijdens een persconferentie verklaarde De Wever dat er wel gegevens gestolen zijn, maar dat die niet nadelig zijn voor de inwoners van de stad. "Uit wat onze experten hebben kunnen opmaken, zijn er momenteel geen aanwijzingen dat er persoonsgegevens zijn buitgemaakt waarmee particuliere burgers ernstig benadeeld kunnen worden. We gaan ook niet onderhandelen met deze mensen en we gaan ook niet betalen." Volgens de burgemeester is er namelijk geen garantie dat de gestolen gegevens na betaling niet alsnog worden verspreid.
Vanwege de aanval is de stad in een "digitale lockdown" gegaan, aldus De Wever. Het herstel kan nog wel enkele weken duren. "Het allerlaatste gevolg van de cyberaanval zal nog weken kosten om weg te werken. Het kan tot eind januari vooraleer alles 100 procent functioneert. Tot slot wil ik mij verontschuldigen voor het ongemak door deze zaak. We zullen er alles aan doen om het op te lossen."
De aanvallers achter de aanval hebben op 24 november toegang tot de systemen gekregen. Hoe is niet bekendgemaakt. Vervolgens zijn er gegevens gekopieerd, waarna de ransomware-aanval werd uitgerold. De Wever noemde het "ironisch" dat in dezelfde zaal in het gemeentehuis een maand geleden nog een campagne gestart werd over de gevaren van phishing en hacking.
Het Europees Agentschap voor cyberbeveiliging (ENISA) liet vorige maand weten dat phishing de meestgebruikte manier is om ransomware te verspreiden. Daarnaast maken aanvallers misbruik van bekende kwetsbaarheden waarvoor organisaties hebben nagelaten beschikbare beveiligingsupdates te installeren of weten ze via gestolen of zwakke wachtwoorden binnen te komen die organisaties bijvoorbeeld voor RDP (remote desktop protocol) hebben ingesteld.
Ik ga er vanuit dat dit weer een gevalletje monocultuur is.
Cybersecurity bedrijf cloned de gehele infra voor het onderzoek vervolgens herstel je de data tot een punt waar hun zeker zijn dat er geen ongein actief is wat je redelijk eenvoudig kan vinden door te kijken naar traffic afwijkingen. Daarna patch je alles offline gooit de data in een gelimiteerd en gemonitored netwerk hangend aan een seperaat SOC en bij geen afwijkingen gooi je het systeem weer zichtbaar voor alle groepen.
Later tijdstip voeg je enige schoonverklaarde data toe terug aan de huidige productie die in de eerste ronde er niet door kwam. Die wijze heb je tijdelijk verlies van maximaal 14 dagen aan data en als het goed is heb je een prioriteiten schema van supply chains, stakeholders wat als eerste hersteld moet worden als onderdeel van je crisismanagement protocol.
566GB herstel vanaf een reputabele service, software van back-ups ben je niet langer dan een paar dagen mee bezig max. Ze weten de datum wanneer hackers collectief Play ging neuzen (24 november) Ze weten welke malware gebruikt is en dus ook alle mogelijke aanvalsvectors. Play opereert de laatste tijd via Fortinet OS kwetsbaarheden die *al lang* hadden moeten worden gepatched https://nvd.nist.gov/vuln/detail/CVE-2020-12812 https://nvd.nist.gov/vuln/detail/CVE-2018-13379
Grote kans dat ze via een van die zijn binnegekomen.
Maar ben veel meer benieuwd naar de uitleg hoe de transfer van 566GB uberhaubt niet opvalt in je SOC.
Ik ga er vanuit dat dit weer een gevalletje monocultuur is.
Backups die niet off-line gearchiveerd worden, zijn geen backups.
Een reservekopie is iets anders...
Ik ga er vanuit dat dit weer een gevalletje monocultuur is.
Backups die niet off-line gearchiveerd worden, zijn geen backups.
Een reservekopie is iets anders...
Waarschijnlijk komt daar ook de aap uit de mouw, heel vaak is er nauwelijks sprake van een fatsoenlijke backup.
En ja dan val je door de mand als er ransomware op je systemen staat.
Zelf met een aantal klanten meegemaakt waarbij we de backups strak op orde hadden.
Resultaat, binnen een halve werkdag alles weer operationeel met ongeveer 4 uur aan data verlies (keuze klant geweest)
Het helpt ook enorm als niet elke halve debiel admin rechten heeft waardoor de verspreiding minimaal is.
Het langzaam encrypten van data is wel heel gemeen (en effectief) maar relatief eenvoudig te detecteren door op changes te scannen, in 't specifiek op bestanden die al heel lang niet veranderd zijn.
Al met al hoeft het helemaal niet zo 'n probleem te zijn.
De stad in naar schatting al zo'n 1,2 miljoen euro aan boetes misgelopen
https://nos.nl/artikel/2458647-door-hack-kan-antwerpen-al-een-maand-geen-parkeerboetes-innen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
