image

Herstel ransomware-aanval kostte Amerikaans county al 26 miljoen dollar

maandag 22 juli 2024, 10:53 door Redactie, 7 reacties

Het herstel van een ransomware-aanval heeft het Amerikaanse Suffolk County al bijna 26 miljoen dollar gekost. Eerder werd nog een bedrag van 5,4 miljoen dollar genoemd. Aanvallers hadden maandenlang toegang tot systemen van Suffolk County voordat ze de ransomware uitrolden. Bij de aanval werd ook vierhonderd gigabyte aan data buitgemaakt, waaronder social-securitynummers van inwoners. In totaal ging het om de persoonlijke informatie van 470.000 inwoners van het county en 26.000 huidige en voormalige medewerkers.

De aanvallers wisten op 19 december 2021 via een bekende kwetsbaarheid in Log4j toegang tot een systeem van de griffie te krijgen. Ruim een week eerder was er een patch voor het beveiligingslek verschenen, dat voor grote paniek in de securitygemeenschap zorgde. Vanwege de gedecentraliseerde securitystructuur in het county was de griffie grotendeels zelf verantwoordelijk voor het beheer van de eigen systemen en beveiliging.

Terwijl verschillende andere departementen in het county updates voor het Log4j-lek uitrolden, werd dit niet door de griffie gedaan. De kwetsbaarheid werd pas op 1 juli 2022 in de systemen van de griffie verholpen. Uit het onderzoek naar de aanval, waar deze week een update over werd gegeven, blijkt dat de aanvallers in maart 2022 een remote managementtool hadden geïnstalleerd om toegang te behouden en in april 2022 hun eigen beheerdersaccount hadden toegevoegd. In augustus 2022 installeerden ze een script waarmee ze de wachtwoorden van alle medewerkers van de griffie wisten te stelen.

Eind augustus lukte het de aanvallers om ook toegang tot andere belangrijke systemen in het county te krijgen. Op een systeem van de griffie vonden ze een onbeveiligde map met wachtwoorden voor deze systemen. Het lekken van deze wachtwoorden nekte het county, omdat het de aanvallers toegang gaf tot databasesystemen, telefoonsystemen, back-ups, netwerkapparaten, file shares, service-accounts, webhosting, antivirussoftware en monitoringsoftware.

Begin september 2022 werden eerst allerlei gegevens gestolen en een aantal dagen later de Alphv-ransomware uitgerold, ook bekend als BlackCat. Vanwege de aanval moesten allerlei systemen worden uitgeschakeld, waaronder e-mail, en werden medewerkers gedwongen om op pen en papier terug te vallen. De aanvallers eisten 2,4 miljoen dollar losgeld, wat het county weigerde te betalen.

Het county noemde herhaaldelijk dat het 5,4 miljoen dollar kwijt was aan herstelkosten, maar Newsday meldt op basis van officiële documenten dat de kosten inmiddels de 25,7 miljoen dollar gepasseerd zijn en dit is nog niet het definitieve bedrag. Zo zijn de duizenden overuren van ambtenaren niet meegeteld, alsmede 'niet-technologie' gebaseerde kosten, zoals de juridische uitgaven die meer dan 1 miljoen dollar bedragen. Van de 25,7 miljoen dollar is 8,1 miljoen naar securitybedrijf Palo Alto Networks gegaan.

Reacties (7)
22-07-2024, 11:15 door Anoniem
De aanvallers wisten op 19 december 2021 via een bekende kwetsbaarheid in Log4j toegang tot een systeem van de griffie te krijgen. Ruim een week eerder was er een patch voor het beveiligingslek verschenen
Het probleem met de log4j kwetsbaarheid was vooral dat het door de krakkemikkige manier waarop java applicaties gedistribueerd worden niet een kwestie was van "let op dat je je log4j geupdate hebt, run even java updates".

Is daar eigenlijk al van geleerd? Een apart copietje van een shared library met iedere applicatie meeleveren zonder dat er een mechanisme is om alles uptodate te houden dat kan echt niet meer...
22-07-2024, 13:09 door Anoniem
Misschien wordt het tijd dat ze betere beveiliging aanleggen.
22-07-2024, 13:10 door Anoniem
Al dat gejank van bedrijven, vreselijk om aan te horen.
Gewoon beter je boel beveiligen, al die laksheid in beveiliging veroorzaakt dit vaak.
22-07-2024, 15:00 door Anoniem
Op een systeem van de griffie vonden ze een onbeveiligde map met wachtwoorden voor deze systemen
Dan houdt het toch op en is het geen nieuws meer.
22-07-2024, 15:23 door Anoniem
Door Anoniem:
Op een systeem van de griffie vonden ze een onbeveiligde map met wachtwoorden voor deze systemen
Dan houdt het toch op en is het geen nieuws meer.
Het is zelden een enkele fout die gemaakt wordt die tot grote problemen leidt....
22-07-2024, 15:28 door Briolet
Dit zijn ook interessante berekeningen voor verspreiders van ransomeware. Voor grote slachtoffers kunnen ze de prijs nog eens flink opschroeven van 2,4 tot 10 miljoen. Dat bedrag aan losgeld is dan nog steeds een koopje voor de slachtoffers.

En met die extra winst kunnen ze nog betere programmeurs aantrekken om nog betere en/of meer aanvallen te kunnen doen.
23-07-2024, 12:10 door Anoniem
Door Anoniem: Al dat gejank van bedrijven, vreselijk om aan te horen.
Gewoon beter je boel beveiligen, al die laksheid in beveiliging veroorzaakt dit vaak.

Wat bazel jij nou. Juist de bedrijven die alles netjes op orde hadden qua beveiliging zijn getroffen
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.