Lessen voor het MKB uit de hackaanval op gemeente Buren

Connections
19 juli 2022

Ongetwijfeld heeft u gehoord van de hackaanval op de gemeente Buren welke op 1 april 2022 plaatsvond. De onderzoekers van Hunt & Hackett hebben in overleg met de gemeente Buren een openbaar rapport gepubliceerd over deze aanval. Met als doel om de lessen die getrokken zijn, ook met u te delen. Hoe mooi is het als een organisatie over zijn eigen schaduw heenstapt. In dit artikel hebben wij een beknopte samenvatting voor u gemaakt. Hierbij hebben we geprobeerd om de “inhoudelijke techniek” zoveel mogelijk te vermijden.

Hackingproces
Om te begrijpen wat er gebeurde, is het goed om kort stil te staan bij het proces dat de hacker bij de gemeente Buren heeft doorlopen: 

Impact
De hacker had volledige toegang tot een groot deel van het netwerk. In totaal werden er 12 servers versleuteld en claimden de aanvallers dat er 5 TB aan data was gestolen, waarvan 126 GB werd gepubliceerd op het darkweb. In deze 5 TB zouden totaal 1300 kopieën van geldige identiteitsbewijzen zitten. Om misbruik te voorkomen, heeft gemeente Buren de betrokkenen aangeboden om kosteloos hun identiteitsbewijs te vervangen. De gemeente heeft geen losgeld betaald en kon de geraakte IT-systemen vanuit de backup herstellen. 

 

Wat ging er fout?

Zoals je zo vaak ziet, gaat het in het geval van crisissituaties niet op één punt fout. Vooral na het maken van de eerste fout worden vaak cruciale beslissingen genomen die het verschil kunnen maken. Zo zijn er ook in dit geval op meerdere momenten belangrijke signalen gemist en verkeerde beslissingen genomen. 

1. Er waren uitzonderingen in het beleid voor toegang tot het netwerk gemaakt
De aanvallersmaakten gebruik van een zogenaamd VPN-account van een leverancier om in te loggen op het netwerk. Dit account was niet beschermd met een zogenaamde twee-staps-verificatie.  

2. Een “oud” beheerdersaccount bevatte een zwak wachtwoord
Op een beheerdersaccount stond een wachtwoord welke vrij makkelijk was te kraken. Dit account werd gebruikt bij het doorbreken als hoofdbeheerder van het netwerk. 

3. De monitoring/detectie functioneerde niet
Al op de eerste dag nadat hackers binnen waren, werd door de antivirussoftware gedetecteerd dat er een ongewenst programma werd uitgevoerd. Deze meldingen werden echter niet opgemerkt of opgepakt. Later bleek dat ook andere “gebeurtenissen” (zoals het kopiëren van 5 TB aan data) in het netwerk niet werden gedetecteerd. 

4. Sporen werden door snel optreden “gewist”
Eén van de belangrijkste doelen van onderzoekers na een hackaanval, is het terugleiden van de aanval. In het geval van gemeente Buren is de eigen IT-afdeling snel in actie gekomen om systemen te herstellen en op te schonen. Twee dagen na de aanval werd een externe partij ingeschakeld voor het onderzoek. Helaas zijn er door het snelle herstel belangrijke sporen gewist waardoor niet alles meer tot op detail is te achterhalen wat er precies heeft plaatsgevonden. 

Lessons learnt (aanbevelingen)

Hunt & Hackett, de organisatie die gemeente Buren heeft geholpen met het bestrijden en het onderzoeken van het incident, heeft verschillende aanbevelingen gedaan. Ook voor het MKB (en haar ICT-dienstverleners) zitten er waardevolle tips in.  

1. Accountbeheer en uitzonderingen
De administratie rondom gebruikersaccounts is voor iedere organisatie wel een uitdaging. Na verloop van tijd is het vaak de vraag in hoeverre accounts überhaupt nog gebruikt worden. In het geval van gemeente Buren is bij de hack gebruik gemaakt van een account van een leverancier en een administrator account waarvan bleek dat het wachtwoord snel was te kraken. Daarnaast was er voor deze leverancier een uitzondering dat er geen twee-staps-verificatie gebruikt hoefde te worden:

  • Zorg ervoor dat er geen uitzonderingen worden gemaakt in het wachtwoordbeleid of het beleid voor twee-staps-verificatie. 

  • Zorg ervoor dat accounts die niet (actief) gebruikt worden, uitgeschakeld zijn. 

  • Zorg ervoor dat er een absoluutminimum aantal accounts aanwezig is met de rechten van een hoofdbeheerder (domain administrator). Werk in plaats hiervan met accounts met gedelegeerd beheer welke alleen rechten hebben voor de benodigde taken en werkzaamheden.
     

2. Blokkeer toegang tot het netwerk vanaf landen waar vandaan niet hoeft worden ingelogd
In veel gevallen worden hackpogingen ondernomen vanaf zogenaamde “blocklist locaties”. U kunt dan denken aan China, Rusland of Afrika. Ook bij de hack op de gemeente Buren was dit het geval. Wanneer het voor uw organisatie gebruikelijk is dat er alleen vanaf Nederland, de Benelux of Europa wordt ingelogd op uw netwerk, kunt u ervoor kiezen om alleen vanuit die betreffende landen verkeer toe te staan. Ditzelfde is tegenwoordig ook mogelijk om in Microsoft 365 in te richten. Het aanvalsspectrum voor hackers wordt hierdoor enorm verkleind.  
 

3. Beperk de toegang tot beheerssystemen
Netwerken zijn vanuit het verleden (en zeker binnen het MKB) erg “plat” ingericht. Dit betekent dat systemen voor beheerdoeleinden vaak benaderbaar zijn vanaf het reguliere netwerk. Dit maakt het voor hackers vaak een stuk eenvoudiger om door te breken tot diep in het netwerk. Het is daarom aanbevolen om ervoor te zorgen dat er alleen op server- en andere beheersystemen kan worden ingelogd vanaf zogenaamde beheercomputers (jumphosts). 

4. Logging en veiligstellen van sporen
Standaard worden er tot op een beperkt niveau logbestanden bijgehouden. Deze logbestanden kunnen gebruikt worden voor het onderzoek in het geval van een beveiligingsincident. Het is echter aanbevolen om uitgebreide loggingin te schakelen. En wanneer er (mogelijk) op een later moment forensisch onderzoek moet plaatsvinden, is het van groot belang dat sporen worden veiliggesteld vóórdat een omgevingwordt hersteld. Ja, uw business moet weer zo snel als mogelijk doorgaan, maar het doet extra pijn als achteraf blijkt dat belangrijke sporen verloren zijn gegaan. Waardoor het vervolgens niet meer mogelijk is om vast te stellen hoe hackers toegang hebben verkregenofte achterhalen is welke informatie mogelijk is gestolen. 


5. Hackers houden geen rekening met het feit dat er aan verbeteringen “wordt gewerkt”
Bij de gemeente Buren liep ten tijde van de hackaanval een inkooptraject voor het inregelen van security monitoring. Dit was achteraf bezien een kwetsbaar onderdeel. Wanneer deze security monitoring wel reeds actief was, had de hack mogelijk eerder gedetecteerd kunnen worden en afgeslagen. We zien vaker dat organisaties op de hoogte zijn van zwaktes in hun ICT-omgeving. Het hebben van plannen of het doorlopen van trajecten houdt hackers echter niet buiten de deur. Zo zien we in dit voorbeeld dat men net te laat is geweest met het doorvoeren van deze verbetering.  

Bent u op de hoogte van zwaktes in uw ICT-omgeving? Wellicht is het goed om na te gaan hoe groot de kansen de impact is dat deze zwakte(s) nog niet zijn verholpen. En of er extra druk moet worden gezet om deze zwaktes op te lossen. Kunnen wij wat verduidelijken of u helpen? Een vrijblijvend bakje koffie drinken met elkaar verplicht u tot niets.   


Volledige rapport
Wilt u het volledige rapport van Hunt and Hackett lezen? Via de volgende link kunt u het rapport downloaden en lezen: https://www.huntandhackett.com/redmudnester.

Bronnen:
https://www.buren.nl/
https://www.security.nl
https://www.huntandhackett.com/

 

Neem contact met ons op

Het begint met een goed advies!

Heeft u vragen op het gebied van ICT? Of specifiek over cybersecurity? Ik, Rijk Prosman, help u graag verder!

Bezoek ons

De nieuwsbrief ontvangen?

Meld u dan aan voor onze maandelijkse nieuwsbrief en blijft op de hoogte van het ICT-nieuws!

{{ errors.first("field_24") }}
{{ errors.first("field_25") }}
{{ errors.first("privacy") }}
Connections