De hacker die verantwoordelijk is voor de diefstal van vertrouwelijke en privacygevoelige data bij de gemeente Buren, wist het systeem binnen te dringen via een VPN-account. Het wachtwoord was gecreëerd met passwordmanager KeePass en voldeed aan alle veiligheidseisen. Hoe de dader het wachtwoord in handen heeft gekregen is onbekend.
Dat schrijft cybersecuritybedrijf Hunt & Hackett in het incidentrapport.
Hacker had in januari al toegang tot netwerk gemeente Buren
Begin april werd de gemeente Buren getroffen door een ransomware-aanval. De aanvaller gooide bestanden met de gijzelsoftware achter slot en grendel en stal naar eigen zeggen 5 TB aan gegevens. De Gelderse gemeente heeft dat nooit bevestigd, wel dat er 130 GB aan gegevens online is gezet. Het zou gaan om ruim 730.000 bestanden. Ruim 1.300 kopieën van identiteitsbewijzen werden er gestolen. De gedupeerden zijn daarvan op de hoogte gebracht en mogen hun identiteitsbewijs gratis laten vervangen.
Hunt & Hackett, het cybersecuritybedrijf van Ronald Prins, heeft de zaak onderzocht. Maandag maakte het bedrijf het onderzoeksrapport openbaar. Volgens beveiligingsonderzoekers gaan de eerste sporen van de aanval terug naar 18 januari 2022. De dader bleek toen via een legitiem VPN-account toegang te verkrijgen tot het netwerk van de gemeente Buren. Dat deed hij vanaf een Russisch IP-adres.
Wachtwoord VPN-account waarschijnlijk gelekt
“Het wachtwoord van dit account was willekeurig gegenereerd door KeePass, en bestond uit 14 karakters afwisselend hoofdletters, kleine letters, cijfers en speciale karakters. Dit is van voldoende complexiteit en lengte om een succesvolle uitkomst van een brute force aanval minder waarschijnlijk te maken”, aldus Hunt & Hackett.
Hoe de hacker het wachtwoord heeft weten te bemachtigen, is een raadsel. “Het is een mogelijkheid dat dit wachtwoord is gelekt, of op een andere manier door een aanvaller is buitgemaakt op een systeem buiten de omgeving van de gemeente”, denken de beveiligingsonderzoekers.
Eerder zei de gemeente Buren dat inloggegevens waren gestolen van een externe leverancier.
Kritiek op wachtwoordbeleid
Toen de hacker eenmaal toegang had tot het IT-systeem van de Gelderse gemeente, verkende hij het netwerk via het Remote Desktop Protocol (RDP). Met de tool Total Network Inventory verzamelde hij informatie over de netwerkinfrastructuur. Eind februari installeerde de aanvaller de software MEGAsync op de bestandserver en sluisde hij gegevens door naar een extern IP-adres. Daarna versleutelde hij via een Domain Controller 12 systemen. Half april publiceerde de dader 126 GB aan data op het dark web.
De hacker heeft zich hoogstwaarschijnlijk via een administrator account door het netwerk van de gemeente kunnen voortbewegen. De beveiligingsonderzoekers hebben het een en ander aan te merken op het wachtwoordbeleid van de beheerder.
“Ten eerste was wachtwoord van dit administrator account niet voldoende complex om een dergelijke aanval onmogelijk te maken. Ten tweede was het wachtwoordbeleid niet dusdanig ingericht dat dergelijke wachtwoorden met enige regelmatig werden gewijzigd. Als derde en laatste waren accounts met verhoogde rechten, en de VPN-accounts niet beveiligd met een tweede factor.”
Deze maatregelen beveelt Hunt & Hackett aan
Met een hoger beveiligingsniveau was de cyberaanval aanzienlijk moeilijker geweest, zo concluderen de onderzoekers. Zo genereerde de digitale inbraak een melding in het antivirusprogramma, maar daar werd geen opvolging aan gegeven. “Omdat er geen proces is ingericht om adequaat om te gaan met meldingen uit detectiemechanismen zoals antivirus, is het mogelijk geweest voor de aanvaller om ongemerkt door het netwerk te bewegen en grote hoeveelheden informatie van de organisatie te kunnen exfiltreren”, concluderen de onderzoekers van Hunt & Hackett.
Het cybersecuritybedrijf heeft een aantal maatregelen op een rij gezet om herhaling in de toekomst te voorkomen. Het instellen van tweefactorauthenticatie voor VPN-, e-mail- en beheeraccounts is een eerste stap. Verder dient de gemeente Buren detectie en response mechanismen te implementeren, de weerbaarheid van de netwerkinfrastructuur te verhogen, en het wachtwoordbeleid en de processen rondom veilig systeem te verbeteren.
De gemeente Buren heeft nog niet gereageerd op het rapport. Wel laat de gemeente weten het rapport te hebben gedeeld met de informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten (VNG) en het Nationaal Cybersecurity Centrum (NCSC) “zodat alle sectoren in Nederland kunnen leren van dit incident”.
Mis niets! Meld je aan voor onze nieuwsbrief
Altijd op de hoogte van het laatste nieuws, acties en reviews.
Wij respecteren je privacy. Je informatie is veilig en je kunt je altijd gemakkelijk afmelden.
Anton Mous
Privacy en securityredacteur
Politicoloog, historicus, webredacteur, copywriter: Anton is van vele markten thuis. Hij zet zijn schrijftalenten in voor VPNgids.nl om lezers op de hoogte te brengen van de laatste ontwikkelingen op het gebied van cybersecurity en privacy.
Meer artikelen uit de sectie Nieuws
Kijk de 4 x 400 meter gemengde estafette (Olympische Spelen 2024)
3 augustus 2024
Kijk de Olympische wegwedstrijd wielrennen mannen 2024
2 augustus 2024
Olympische Spelen 2024 voetbal Marokko – VS kijken
2 augustus 2024