Een aanval via het Remote Desktop Protocol (RDP) heeft de gemeente Lochem zo’n 200.000 euro gekost. Dat laat burgemeester van ’t Erve tegenover weten. Begin juni van dit jaar werd de gemeente ingelicht over een aanval waarbij er via RDP toegang tot een thuiswerkserver was verkregen.
Verder onderzoek wees uit dat de RDP-poort op 14 december 2018 was opengezet, waarna er via bruteforce-aanvallen toegang is verkregen. Nadat de aanvaller op de server was ingelogd installeerde die verschillende applicaties om inzicht in het netwerk en over de gebruikers te krijgen. Ook werd er ransomware uitgevoerd die een aantal niet operationele bestanden wist te versleutelen en op meerdere plaatsen een zogenoemde ‘ransomnote’ plaatste. Verder is er vanaf de thuiswerkserver toegang tot een testcomputer verkregen.
Op basis van de onderzochte sporen konden de onderzoekers niet met volledige zekerheid zeggen welke gegevens zijn ingezien, gekopieerd of gestolen. “Waarschijnlijk is de inhoud van de “Active Directory” gekopieerd en is deze kopie geëxtraheerd. Wel kan met redelijke zekerheid worden gezegd dat deze kopie gegevens over het netwerk, waaronder gebruikersnamen en e-mailadressen van medewerkers van de gemeente Lochem, bevatten”, aldus een managementsamenvatting over het incident.
In een duidingsrapportage over de aanval staat vermeld dat de aanvaller meer soorten malware op het systeem heeft gezet en geprobeerd uit te voeren. De aanvaller had echter niet voldoende rechten voor het uitvoeren en in andere gevallen werd de malware door de antivirussoftware gestopt. “Het is belangrijk om te beseffen dat de aanval net niet ver genoeg is gekomen om tot daadwerkelijk het gijzeling van relevante data te komen”, zo staat in de rapportage vermeld.
RDP-aanval
De duidingsrapportage geeft meer informatie over de RDP-aanval. Die was mogelijk door een “ongelukkig gekozen” gebruikersnaam en wachtwoord. Daarnaast kunnen de beheerders niet verklaren waarom het RDP-protocol stond ingeschakeld en de RDP-poort open stond. Ze vermoeden dat ze dit niet zelf hebben gedaan, maar er is ook geen bewijs dat de aanvallers hier achter zitten. “De omstandigheden rondom het openzetten van deze poort kan niet meer worden onderzocht door het inmiddels ontbreken van logbestanden”, voegt de managementsamenvatting toe.
Overzicht
Het forensisch onderzoek naar het incident toont verder aan dat de gemeente Lochem geen overzicht had van alle it-systemen en de functionaliteiten die daarop draaien. “Door uit te zetten wat niet nodig is (RDP), kunnen aanvallers het ook niet misbruiken (hardening). En als het aanstaat, kan een goed updatebeleid ervoor zorgen dat zwakheden worden weggenomen door nieuwe updates (patchmanagement). Dit zijn veelvoorkomende fouten bij veel organisaties”, aldus het rapport.
De opstellers van het rapport laten de gemeente Lochem weten dat een belangrijke oorzaak van het maken van fouten ligt in de werkdruk en het gebrek aan reflectie op de eigen omgeving. Zo moet de gemeente meer ruimte voor opleiding en verdieping bieden, zodat medewerkers up-to-date blijven en effectiever kunnen werken.
Sinds het incident is er een penetratietest bij de gemeente uitgevoerd en zijn er 64 problemen gevonden. De meest urgente zaken zijn inmiddels verholpen. De andere bevindingen wil de gemeente later aanpakken. De totale schade van de aanval, waaronder het herstel en onderzoek, is op bijna 200.000 euro vastgesteld.
Bron: Security.nl