image

Wachtwoord 'kiosk' leidde tot ransomware-aanval Londens stadsdeel

donderdag 18 juli 2024, 11:07 door Redactie, 4 reacties

Het Londense stadsdeel Hackney werd in 2020 slachtoffer van een ransomware-aanval omdat er een account met een zwak wachtwoord actief was en beveiligingsupdates niet waren geïnstalleerd. Dat blijkt uit onderzoek van de Britse privacytoezichthouder ICO dat een onderzoek naar de aanval instelde. Bij de aanval, die 280.000 inwoners van het stadsdeel raakte, werden 440.000 bestanden versleuteld. Een deel van de data werd ook gestolen en openbaar gemaakt.

Vanwege de aanval waren belangrijke diensten niet voor inwoners toegankelijk. Daarnaast kon het stadsdeel bepaalde betalingen niet ontvangen en uitvoeren, waaronder het uitkeren van huursubsidie. Hierdoor zouden duizenden huurders op straat kunnen belanden, zo beweerde Sky News destijds. Naast het versleutelen van de bestanden wisten de aanvallers ook tien procent van de beschikbare back-up te verwijderen. De aanval vond in oktober 2020 plaats. Sommige van de diensten waren pas in 2022 helemaal hersteld.

De aanvaller bleek op 22 september 2020 toegang tot het netwerk te hebben gekregen via een open Remote Desktop Protocol (RDP) poort. Een netwerk-engineer had de RDP-poort op de firewall geopend. Vervolgens wist de aanvaller vermoedelijk via credential stuffing op een bestaand account in te loggen. Het ging om een account met de gebruikersnaam en wachtwoord 'kiosk', dat in 2005 voor een kioskapparaat was aangemaakt.

Het account werd sinds 2012 niet meer gebruikt en had uitgeschakeld moeten zijn, maar voor onbekende redenen was dat niet het geval. Tevens was het account ten onrechte aangemerkt als 'service account' en uitgezonderd van automatisch uitschakelen. Het wachtwoord voldeed ook niet aan de eisen van het wachtwoordbeleid dat sinds 2012 van kracht was. Doordat er sinds 2012 niet op het account was ingelogd werd ook nooit de beleidsmelding getoond dat het wachtwoord moest worden aangepast aan de nieuwe regels.

Nadat de aanvaller toegang tot het account had gekregen maakte hij op 2 oktober 2020 gebruik van een bekende Windows-kwetsbaarheid (CVE2020-0787) om zijn rechten op het systeem te verhogen. Microsoft had op 10 maart 2020 een update voor dit beveiligingslek beschikbaar gemaakt, maar de patch was niet geïnstalleerd omdat het betreffende systeem niet aan het gebruikte patchmanagementsysteem was toegevoegd.

"Was de relevante patch op het systeem geïnstalleerd had het voorkomen dat de aanvaller via deze manier verhoogde rechten had gekregen en uiteindelijk de data kon benaderen, versleutelen en stelen", aldus de Britse privacytoezichthouder. Die hekelt het systeembeheer bij het stadsdeel. "Iedereen die verantwoordelijk is voor het beschermen van persoonlijke gegevens moet niet dit soort eenvoudige fouten maken, zoals slapende accounts waar gebruikersnaam en wachtwoord hetzelfde zijn. Keer op keer zien we datalekken die niet hadden plaatsgevonden als dit soort fouten waren voorkomen."

Sinds de ransomware-aanval heeft het stadsdeel allerlei maatregelen genomen. Daarnaast hanteert de ICO beleid waarbij het zeer terughoudend is met het opleggen van boetes aan de publieke sector. Het idee hierachter is dat dergelijke boetes met gemeenschapsgeld worden betaald en ervoor zorgen dat de instantie in kwestie minder geld voor het uitvoeren van publieke taken beschikbaar heeft. Als hier geen rekening mee was gehouden had het stadsdeel een boete van omgerekend 1,6 miljoen euro gekregen.

Image

Reacties (4)
18-07-2024, 11:21 door Anoniem
En dan te bedenken dat sommige bedrijven na dit soort domme fouten ook nog ransomware betalen aan de criminelen om de ransomculture in stand te houden...
Bedrijven zouden hiervoor bestraft moeten worden.
Incompetente ellendelingen.
18-07-2024, 15:10 door Anoniem
Misschien dachten ze dat ze met de wijknaam "Hackney" niet gehackt werden?
18-07-2024, 16:51 door Anoniem
Wachtwoord 'kiosk' leidde tot ransomware-aanval Londens stadsdeel
Als je een wachtwoord bedenkt, check het dan even eerst bij Have I been Pwned of het wachtwoord niet al bekend is...
https://haveibeenpwned.com/Passwords
18-07-2024, 19:22 door Anoniem
Als ik dit zo lees dan is daar veel meer aan de hand en zou het wat mij betreft exit zijn voor alle verantwoordelijken.

Iedere slimme (netwerk-) beheerder en netwerk-engineer had in 2012 al moeten weten dat een RDP poort openzetten niet wenselijk is.

En dan een RDP poort open en onbeheerd op een firewall sinds 2012 en in al die jaren is deze firewall nooit vervangen of gecontroleerd, geupdate.......???

Hoe kan het toch dat er zoveel gehackt wordt, nou zie het bovenstaande en je weet het en dit scenario gebeurt dus regelmatig.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.