Ransomwarekartels en veiligheidsdiensten tegen kleine gemeenten

De webpagina is donker en simpel, maar netjes, en een tekst richt zich tot de gemeente Buren. De auteur beweert een enorme fan te zijn van onderhandelingen waarin beide partijen winnen en waarmee schade wordt beperkt. Het is de pagina waar de gehackte gemeente naartoe werd verwezen door de hackende organisatie. De tekst gaat verder: ‘Maar we zien ons gedwongen de data vrij te geven van organisaties die ervoor kiezen niet mee te werken.’

De afbeelding is te vinden in het rapport van Hunt & Hackett, dat de hack van Buren onderzocht. Het is niet de meest recente aanval op gemeenten: eerder deze maand werd de leverancier van vijf Zuid-Limburgse gemeenten getroffen, maar die lijken er goed van af te zijn gekomen – er zouden geen data zijn gestolen. Buren kwam er aanzienlijk minder goed van af, met minstens 130 gigabyte en mogelijk 5 terabyte aan gegevens die via het dark web te koop aan zijn geboden.

De hack kreeg niet heel veel aandacht. Toch is het belangrijk dat dit niet normaliseert, want het is duidelijk dat er van deze hack nog een hoop valt te leren.

Dubieuze software

De hackers drongen op 18 januari binnen bij het gemeentenetwerk. Vervolgens werd met een brute force-aanval de toegang uitgebreid naar ander account, met de hoogste administratieve rechten. De hackers gebruikten als gereedschap onder meer PCHunter, Cobalt Strike, MEGAsync en Total Network Inventory om de toegang uit te breiden. Op 1 april trad de ransomware in werking en begon de gemeente te mitigeren. De hackers probeerden Buren op drie manieren af te persen: door bestanden te vergrendelen en te vragen om losgeld, een DDoS-aanval te lanceren en die tegen betaling stop te zetten, en te dreigen met het lekken van data. De eerste twee methoden konden afdoende worden gemitigeerd, schrijft Hunt & Hackett, maar de derde methode helaas niet.

Interessant is het aanvalspad dat de onderzoekers toevoegen (gebruikmakende van de MITRE ATT&CK-database) met per stap de manieren waarop de aanval gedetecteerd had kunnen worden. Elf manieren worden genoemd, maar twee keren veel terug: de ongebruikelijke inloglocatie – Rusland – en het gebruikte gereedschap, dat bekendstaat als dubieuze software.

De aanbevelingen die Hunt & Hackett doet zijn tegelijkertijd terecht, typisch en teleurstellend – het lijkt een lijstje dat voor iedereen vindbaar is met licht Googelen naar minimale beveiligingseisen. Monitoring, multifactorauthenticatie, een degelijk wachtwoordbeleid, een veilig systeembeheer, hardening van de protocollen en een security assessment. De boodschap voor alle gemeenten is duidelijk: blijf hameren op die basismaatregelen.

Winst

Echter, het is natuurlijk niet gek dat er weer een kleine gemeente is geraakt. Kleine en middelgrote gemeenten zijn gewoon niet in staat zelf voor voldoende beveiliging te zorgen, benadrukte burgemeester Iris Meerts van Wijk bij Duurstede deze zomer nog. Vergelijk dat met de aanvallers, die claimen onderdeel te zijn van een ransomwarekartel waarbinnen tactieken en informatie worden uitgewisseld. De winst investeren ze in nieuwe projecten. Zo’n professionele organisatie kan zich volledig toeleggen op hacken en afpersen en hoeft zich geen zorgen te maken om democratie, participatie of parkbeleid.

Overheden verwachten – terecht – veel meer van het rijk in de strijd tegen deze actoren.

Met de toenemende dreiging is er sprake van scheefgroei, waarschuwde het Nationaal Cybersecurity Centrum in juli al op basis van het jaarlijkse cybersecuritybeeld. Cyberaanvallen door buitenlandse inlichtingen- en veiligheidsdiensten zijn geen zeldzaamheid meer en er zijn banden tussen staten en cybercriminelen. Zo’n scheefgroei vergroot het risico op ontwrichting van de samenleving. Te weinig organisaties in Nederland hebben hun basismaatregelen op orde, want het is niet zozeer de vraag óf ze worden aangevallen, maar wanneer. Erop vertrouwen dat de aanvallers buiten worden gehouden, is niet voldoende. Want, zoals Hunt & Hackett waarschuwt: gemotiveerde aanvallers komen toch wel binnen.