Hackers vallen softwareleverancier van vijf Limburgse gemeenten aan

Criminelen hebben een softwareleverancier van vijf Zuid-Limburgse gemeenten aangevallen. Door die aanval waren sommige systemen 'ongeveer een week' niet te gebruiken. De gemeenten zeggen dat er 'geen indicatie is' dat er data is gestolen.

De gemeenten noemen het in een gezamenlijke verklaring niet specifiek een ransomwareaanval, maar het lijkt er wel op dat de softwareleverancier daardoor is getroffen. De hackers vielen een administratiesysteem van het sociale domein aan. Het systeem wordt onder meer gebruikt voor de afhandeling van aanvragen voor bijstandsuitkeringen, energietoeslagen, wmo en jeugdzorg. De getroffen gemeenten zijn Eijsden-Margraten, Gulpen-Wittem, Kerkrade, Meerssen en Vaals.

Door de aanval werden bestanden vergrendeld. De gemeenten zeggen dat een cybersecuritybureau de aanval heeft onderzocht. Ze noemen niet de naam van de organisatie die het onderzoek heeft verricht, evenmin als de naam van de softwareleverancier. Op basis van dit onderzoek zeggen de gemeenten dat er 'geen indicatie is' voor datadiefstal. De gemeenten zeggen niet tot welke bestanden de hackers toegang hadden.

De aanval vond op 27 juli plaats. De dienstverlening zou nu weer zoals gebruikelijk verlopen. Tegen 1Limburg zegt een woordvoerder van de gemeente Eijsden-Margraten dat 'de interne bedrijfsvoering vertraging' heeft opgelopen 'doordat systemen ongeveer een week niet toegankelijk waren'.

Reacties (81)

redfoxert 17 augustus 2022 20:06

Zoals ik het zie betreft het een SaaS applicatie leverancier aangezien van minimaal 2 gemeenten de normale IT infrastructuur niet geraakt is. De andere drie weet ik niet, die worden door anderen beheerd.

Mopperman 17 augustus 2022 16:52

Bijzonder:

De gemeenten noemen het in een gezamenlijke verklaring geen ransomwareaanval,
….
Door de aanval werden bestanden vergrendeld.

Hoe wil je dat anders noemen?

Daarnaast - zijn deze gemeente geen onderdeel van Parkstad IT?

[Reactie gewijzigd door Mopperman op 23 juli 2024 01:53]

Abratanski @Mopperman • 17 augustus 2022 20:59

Goedenavond,

Parkstad IT levert de ICT dienstverlening voor diverse gemeenten in Zuid-Limburg.
Het artikel refereert aan een cyber aanval bij de SAAS cloud leverancier. De security voorzorgsmaatregelen bij Parkstad IT hebben voorkomen dat onze infra hinder heeft ondervonden.
Zoals gesteld is enkel de SAAS cloud leverancier getroffen.

Menig collega uit de regio heeft persoonlijk uit bezorgdheid geïnformeerd. Dank voor de regionale betrokkenheid en samenhorigheid.

Victor Abratanski, Hoofd ICT-Beheer Parkstad IT.

itsme @Abratanski • 17 augustus 2022 22:08

Zou het blinqt kunnen zijn? Op security.nl staat zoiets in de reacties op een zelfde artikel.

[Reactie gewijzigd door itsme op 23 juli 2024 01:53]

droba @itsme • 18 augustus 2022 08:11

ik weet welke partij het is, alleen de moeite om het geheim te houden vind ik niet meer bij de tijd passen

droba @Abratanski • 17 augustus 2022 21:19

Waarom word de SAAS aanbieder niet met naam genoemd?
Het gaat hier waarschijnlijk om persoonsgegevens en overheidsgeld, beetje vreemd dat de getroffen partij niet genoemd word.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@Mopperman • 17 augustus 2022 16:57

Dat is inderdaad opvallend net als dat men "geen indicatie" heeft dat er data is gestolen. Betekent dat dat men het niet weet of dat alles er op wijst dat er geen data gestolen is?

Ex-KPN-er @Bor • 17 augustus 2022 20:32

Dit is mooie 'newspeak'. Mooi toch die woordvoerders die het zo mooi als mogelijk brengen

Ze geven niet aan dat ze alle logfiles nog hebben (een beetje hacker wist die..) dus hebben ze geen indicatie van wel; maar ook niet een indicatie van niet; ze weten het gewoon niet - hebben GEEN indicatie dat er uberhaupt iets gebeurt is...

Dus liegen ze niet..

CivLord

@Ex-KPN-er • 18 augustus 2022 08:51

Zoiets als dat bij aankomst je huisdeur open staat, al je apparatuur uit de woonkamer verdwenen is, maar dat je geen enkele indicatie hebt dat je laptop uit je studeerkamer mist, zolang je daar het licht nog niet hebt aangedaan.

Alfa1970 @Ex-KPN-er • 18 augustus 2022 09:07

Laten we het alsjeblieft niet gaan impliceren dat hier een hacker actief heeft ingebroken op die systemen.
Dit is gewoon het gevolg van een zielige gebruiker die een trojan heeft geinstalleerd, dat kan de beste overkomen. Meestal is het gewoon domme pech, ff niet opgelet. De payload in ransomware trojans heeft over het algemeen geen functies om logs te wissen. Wat wel vrijwel altijd het geval is, is dat de ransomware zichzelf wist nadat het z'n werk heeft gedaan.

naaitsab @Bor • 17 augustus 2022 17:06

In deze context vat ik het op dat ze geen indicaties hebben dat er data is gestolen. Al zijn dit natuurlijk ook van die termen zoals 'wellicht of 'mogelijk' waar je van alles van kan maken maar toch vaak een negatieve ondertoon bij hebt. De woordkeuze uit de hele verklaring is dusdanig 'bijzonder' dat ik vermoed dat ze met wat woordspelingen proberen het kleiner te maken dan het daadwerkelijk is.

Zeker als het gaat om de publieke sector moet je gewoon duidelijk zijn. Het is nou eenmaal gebeurd, de hoe-wat--waarom vraag komt nog. Ga je bedrijf echter niet vooraf al besmeuren met dit soort "onhandige" uitingen. Dat krijg je vaak dubbel zo hard terug.

fgghhf @Mopperman • 17 augustus 2022 16:55

De bestanden kunnen bewust zijn vergrendeld als onderdeel van het beveiligingsprotocol.

joker1977 @fgghhf • 17 augustus 2022 17:51

Als je de mogelijkheid om indringers te detecteren en op basis daarvan actie te ondernemen dan versleutel je niet de bestanden zodat ze onbruikbaar zijn/worden. Dan stop je simpelweg de indringers.

fgghhf @joker1977 • 17 augustus 2022 17:59

Ik ken genoeg grote bedrijven die direct hun hele systeem versleutelen als iemand zich ongeoorloofd toegang verschaft.

Het bedrijf ligt dan plat maar hacker kan er ook niks mee, binnen een paar dagen is alles weer up and running.

Nergens staat dat de bestanden onbruikbaar zijn, slechts dat ze versleutelt zijn geweest.

[Reactie gewijzigd door fgghhf op 23 juli 2024 01:53]

joker1977 @fgghhf • 17 augustus 2022 18:05

Door die aanval waren sommige systemen 'ongeveer een week' niet te gebruiken.

Ja, dat kun je "ook" anders lezen - dat ze een week bezig zijn geweest om uit te zoeken waar ze zijn binnengekomen e.d. en dat de bestanden "altijd" veilig waren. Maar dat strookt dan weer niet met het feit dat ze niet stellig zijn in het feit of er wel of niet data is gelekt.

Nee, Occams Razor werkt hiet prima voor mij: "Gewoon" ransomware, en elke andere bewering is m.i. een kwestie van "extraordinary claims require extraordinary proof"

Black_Diamond768 @fgghhf • 17 augustus 2022 23:21

ik ken geen enkel groot bedrijf welke vrijwillig enkele dagen op non actief gaat.
versleutelen = toegang beperken voor kwaadwilligen, maar ook voor intern gebruik.

kan je voorstellen dagelijkse 1.000.000€ winst down the drain vanwege "security" ?
dit doe je enkel als last resort of in een paniekactie.

hard disconnect van je isp is meestal mogelijk met 1 , 2 of 3 toestellen uit te schakelen,
laat dan maar een security team onsite komen .
ibm is hier al op gesprongen alvast :-)
https://www.hbvl.be/cnt/dmf20191130_04744363

downtime @fgghhf • 18 augustus 2022 09:35

Ben benieuwd naar voorbeelden. Ik heb bij twee financials gewerkt en het enige wat in de buurt komt van wat jij noemt is de HSM (module waarin encryptiesleutels en andere secrets bewaard worden) die zichzelf wist als onbevoegden aan de HSM komen. En zonder HSM is reeds encrypted data niet meer toegankelijk. Maar er wordt niks versleuteld wat daarvoor niet versleuteld was.

joker1977 @Mopperman • 17 augustus 2022 16:55

inderdaad.

Er staat letterlijk in de persverklaring dat bestanden niet toegankelijk meer waren en versleuteld/vergrendeld waren. Dan lijkt het me evident dat het om ransomware gaat.

Klinkt als een typische CYA (Cover Your Ass)-tactiek van het IT-bedrijf. Neeeee, we zijn niet getroffen door ransomware, want dat suggereert onkunde en gepruts. Noem het maar een 'cyberaanval' - dat klinkt toch minder belastend voor ons.

segil @joker1977 • 17 augustus 2022 17:05

Er staat niet in de verklaring dat het geen ransomware aanval is. Er wordt juist niet gesproken over ransomware. Daar zit wel een verschil in interpretatie.

De gemeenten noemen het in een gezamenlijke verklaring geen ransomwareaanval

vs

De gemeente gebruikt de term ransomwareaanval niet in een gezamenlijke verklaring

joker1977 @segil • 17 augustus 2022 17:42

Goed punt, daar heb je gelijk in.

TijsZonderH Nieuwscoördinator @Mopperman • 17 augustus 2022 22:04

Dit valt me de laatste tijd ook vaker op, bedrijven noemen een ransomwareaanval liever een cyberincident en geven er ook minder openheid over. Ik heb laatst ergens gelezen dat dat mogelijk met de verzekering te maken heeft en wanneer die wel en niet betaald, maar ik weet niet precies hoe dat zit.

Een andere reden is dat ransomware steeds vaker een secundair probleem is bij dit soort incidenten. Bendes gaan vooral achter datadiefstal aan en dreigen die openbaar te maken en zetten dat als primaire pressiemiddel in. Het versleutelen is (bv door de aanwezigheid van backups) steeds vaker een secundaire dreiging. Daarom behandelen veel bedrijven ransomware ook vaker als een datalek of ander cyberincident dan echt als ransomware.

CivLord

@TijsZonderH • 18 augustus 2022 09:19

Het is ook van hoe ver je publiekelijk met je broek op je enkels staat.

Cyberincident wordt tegenwoordig vaak genoemd in combinatie met aanvallen van hackers die in het nieuws als staatshackers worden aangeduid. Het beeld is dat je als normale ICT-afdeling van een bedrijf of organisatie niet bent opgewassen tegen cuber-specialisten van de Russische FSB of hun Chinese of Noord-Koreaanse tegenhangers.
Ransomware wordt in het nieuws echter steeds meer geassocieerd met phishing, waarbij iemand niet goed oplette en op een verkeerde link in een email klikte.
Welk beeld wil jij over je organisatie naar buiten brengen?

MischaBoender @Mopperman • 17 augustus 2022 16:56

Op zich niet heel bijzonder, denk dat ze geprobeerd hebben om het zoveel mogelijk in het Nederlands te houden:

Door de cyberaanval waren databestanden vergrendeld en niet meer toegankelijk.

well0549 @MischaBoender • 18 augustus 2022 08:19

Rianne

MischaBoender @well0549 • 18 augustus 2022 08:47

Ik zie nergens smart cyber blockchain staan...

vinkjb @Mopperman • 17 augustus 2022 17:10

Er staat dan ook wel bij "het lijkt er wel op"

D_Jeff @Mopperman • 17 augustus 2022 17:45

Zover ik weet maakt alleen Kerkrade (van dit rijtje) deel uit van de "Parkstad IT" organisatie

xenn99 17 augustus 2022 17:33

Wel erg karig qua informatie, er wordt niets vermeld over welke ransomware of softwareleverancier het gaat en of er betaald is.
Lijkt er een beetje op of ze het onder het tapijt proberen te vegen met een in mijn ogen erg nonchalant persbericht.
Is er sowieso geen meldplicht voor datalekken?

Ik sta altijd weer met verbazing te kijken dat blijkbaar grote bedrijven en overheden hun backups niet testen. Anders hadden ze al lang geweten dat er iets niet pluis was.

Oon

@xenn99 • 17 augustus 2022 18:54

Is of ze betaald hebben relevant? Uiteindelijk is het in 9/10 van deze gevallen gewoon zo dat ze zeggen niet betaald te hebben, maar ze hebben dan wel een verzekering of derde partij die gewoon betaalt om het opgelost te krijgen.

Vooralsnog is het, tenzij er een decryptietool beschikbaar is, vele malen goedkoper om gewoon te betalen inclusief evt. reputatieschade dan om het proberen op een andere manier op te lossen

blorf @Oon • 17 augustus 2022 18:58

Goedkoper dan een backup-oplossing die alleen met het systeem wordt verbonden als er een backup gemaakt wordt?

Die hele ransomware-trend wordt mogelijk gemaakt door amateurs.

Oon

@blorf • 17 augustus 2022 18:59

Zelfs met back-ups ben je er niet, want moderne ransomware zit maandenlang in je back-ups voor het actief wordt.
Tenzij je dus ieder bestandje los gaat controleren en goedkeuren is het vrijwel onmogelijk om het tegen te houden

blorf @Oon • 17 augustus 2022 19:04

Maandenlang? Het is ook wel handig om af en toe te kijken of je systeemdata nog hetzelfde is als toen het werd geinstalleerd.

Oon

@blorf • 17 augustus 2022 19:07

Maandenlang ja.

Niet alle inhoud waar ransomware in kan zitten is te checken t.o.v. een schone versie. Alles dat uit je exact Windows 10 image komt misschien wel, maar ook dan heb je na een update al verschillen. Nogmaals, tenzij je ieder bestandje dat in je back-ups komt handmatig wil checken en goedkeuren kun je er weinig tegen doen.
Automatische controles dekken hooguit onverwachte wijzigingen, maar dan nog zul je bij een update duizenden aanpassingen moeten controleren en de hashes daarvan moeten goedkeuren, dus dan als Windows een keer een update uitvoert liggen de back-ups van het hele gebouw eruit tot je dat hebt gedaan.

blorf @Oon • 17 augustus 2022 19:11

Een heel opslagvolume snel fingerprinten is geen probleem. Automatische updates uitzetten is denk ik ook wel een goed idee.

Oon

@blorf • 17 augustus 2022 19:13

Fingerprinten niet, maar als je alleen maar gaat bijhouden wat erop staat en niet een handmatige controle uitvoert heb je alleen extra overhead aan het proces toegevoegd zonder dat het iets uithaalt.
En er zomaar vanuit gaan dat je één systeem hebt dat 'schoon' is lijkt me ook niet slim, tenzij die airgapped is, maar dan worden updates ook weer lastig.

Vandaar dus dat er zoveel organisaties geraakt worden door ransomware. Die hebben mensen die hier vele malen meer verstand van hebben dan jij of ik of iedere willekeurige andere Tweaker, en zelfs die krijgen het niet afgedekt. Is gewoon niet te doen tenzij je een whitelist van processen gaat bijhouden, maar zelfs dan mag bijv. Word of Excel al niet want daarin zit de mogelijkheid om scripts uit te voeren.

mrmrmr @Oon • 18 augustus 2022 01:06

Fingerprinten wordt wel degelijk op grote schaal gebruikt door bedrijven die een goede security specialist aan het werk hebben. Er zijn beveiligingstools die periodiek nagaan wat er gewijzigd is.

Daarnaast zijn uitvoerbare bestanden zijn doorgaans gesigneerd, die zijn onafhankelijk te controleren. Databestanden die een andere inhoud hebben moeten worden gecontroleerd. Het aantal wijzigingen ligt vaak laag ten opzichte van het aantal databestanden zoals documenten. Bij databases moet er wel in de bestanden worden gekeken en journalling kan daarbij helpen.

Het is niet zo erg als jij je voorstelt. Het vergt wel een zorgvuldig gesegmenteerde inrichting. Backup moet bijvoorbeeld kan van het write once type zijn. Zodoende kunnen aanvallers er niet bij.

souplost @Oon • 17 augustus 2022 23:38

Systemen worden versleuteld door ransomware als gehackte services admin rechten hebben (zoals veel in windows). Vroeger had je tripwire (inderdaad veel te arbeidsintensief) om veranderingen van bestanden bij te houden. Onder Linux gebruik ik https://aide.github.io/ maar goed moderne malware speelt zich alleen in RAM af en toucht niks. Dus wijzigingen bijhouden is niet genoeg. SELinux levert meer op (windows variant weet ik niet). We zullen het uiteindelijk moeten gaan hebben van een containerized OS denk ik. Dat is ook andere manier van applicatie ontwikkeling. Zoals outlook met word communiceert kan niet meer (zie word macro ransomware infecties). De interproces communicatie moet dus heel anders. Als dat goed in lagen is gestandaardiseerd kan je de communicatie veel beter inspecteren. Denk aan het osi referentie model maar dan anders. Nu is het zo, gat in schip, boot zinkt.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 18 augustus 2022 15:02

Systemen worden versleuteld door ransomware als gehackte services admin rechten hebben (zoals veel in windows).

Dat is natuurlijk maar een van de methoden.

Zoals outlook met word communiceert kan niet meer (zie word macro ransomware infecties)

Bij communicatie tussen Outlook en Word komt default geen macro aan te pas en ook voor Macro's zijn gewoon beveiligingsopties aanwezig mocht je ze echt moeten gebruiken.

Ik krijg een klok / klepel gevoel bij meerdere reacties.

Het OSI model heeft an sich niets met inspectie te maken.

[Reactie gewijzigd door Bor op 23 juli 2024 01:53]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 19 augustus 2022 09:49

en waarom als je applicaties streamt microsoft office producten in 1 bubble moet zetten.

Dat is toch compleet irrelevant? Je haalt er weer van alles bij..

[Reactie gewijzigd door Bor op 23 juli 2024 01:53]

souplost @Bor • 19 augustus 2022 10:05

Klok en klepel is geen argument maar een frustratie uiting van Bor zelf.
Je begrijpt niet wat er wordt bedoeld. Een container is niet alleen om applicaties meer portable te maken maar ook om security te verhogen en als applicaties in een container zitten kunnen ze niet zo makkelijk meer met elkaar kletsen (bv via function calls). Ik ga het niet uitloggen ook.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Ransomware
Cybercrime

@souplost • 19 augustus 2022 10:20

Ik begrijp prima waar het over gaat. Deze materie is mij niet vreemd. Het heeft alleen niet direct met het onderwerp te maken waar je mee begon. Je geeft er nu een andere wending aan. Je had het over hoe office componenten onderling communiceren waarbij je een link naar Macro's legde. Nu heb je het opeens over applicatie virtualisatie en streaming zo te zien. Ja dat kan je als security layer en container / bubble gebruiken maar dat is niet waar je het over had.

Ik ga het niet uitloggen ook.

Typo?

[Reactie gewijzigd door Bor op 23 juli 2024 01:53]

souplost @Bor • 21 augustus 2022 23:46

Natuurlijk heeft het met elkaar te maken. Applicatie security was namelijk mijn punt. Onder windows kan een applicatie (malware) , gedownload via een browser, automatisch worden opgestart terwijl er bijna niks van security tussen zit. Dat is waarom beheerders o.a antivirus installeren wat onder LInux bv geheel niet nodig (is meer een probleem dan een oplossing lees je) is want alles komt read only binnen en is niet op te starten, zelfs niet opstartbaar te maken met mount option noexec op een home folder. Desalniettemin is het nog niet genoeg. Er zal meer security tussen applicaties zelf moeten komen. Zie hiervoor ook de Wayland grafische display server voor Linux. Er is geen windows display server alternatief hiervoor. De GUI zit in de kernel verweven (door sommigen spaghetti code genoemd). Als deze hangt, hangt je systeem en is een reboot nodig.

[Reactie gewijzigd door souplost op 23 juli 2024 01:53]

Oon

@blorf • 17 augustus 2022 19:16

Oké, dan niet he. Ik heb m'n best gedaan om je uit te leggen hoe het werkelijk zit

blorf @Oon • 17 augustus 2022 19:20

Je legt helemaal niks uit. Je ontkent de feiten alleen maar.
En je geeft min of meer te kennen dat je beperkte controle over je eigen systeem normaal vindt. Zoals dat met die updates. Really? Je weet zeg maar niet precies welke versies je systeembestanden hebben, dus die kun je nergens voor houden en een verschil constateren. Sja, als bepaalde figuren daar lucht van krijgen heb je al gauw een rootkit te pakken...

[Reactie gewijzigd door blorf op 23 juli 2024 01:53]

ETH0.1 @blorf • 17 augustus 2022 20:29

Toen wij doelbewust werden aangevallen hebben de aanvallers meerdere aanvalstechnieken tegelijkertijd gebruikt. Als ze iets minder gehaast aan het werk waren geweest was de kans op schade en een zeer moeizaam herstel veel groter geweest.
Op vrijdag kwamen ze binnen, op zaterdag was het domain gehacked en waren ze admin en op zondag zijn ze begonnen met het corrupt maken van servers zowel de windows servers werden aangevallen maar ook in vmware zijn de VMs geencrypt. als ze enkel VMware hadden aangevallen dan hadden wij dit waarschijnlijk niet heel snel opgemerkt.

De reden dat wij het niet hebben opgemerkt is dat je op de datastore moest kijken om daar files hernoemd te zien en er was overal een readme.txt file te zien met decrypt informatie en waar we konden betalen. De VMs zelf bleven gewoon draaien, een reboot had ook gewoon gewerkt. Enkel het uitzetten van de servers, een vMotion of reboot in vmWare zelf had het probleem zichtbaar gemaakt. Maar hoe vaak doe je dat nou?

Als ze die files niet hadden hernoemt en de readme.txt er niet was geweest, dan hadden we misschien wel weken of maanden door gedraaid waarbij de VMs encrypted waren zonder het te weten en dus alle backups waardeloos na verloop van tijd.

blorf @ETH0.1 • 17 augustus 2022 20:48

Idee voor bij de invoering van het systeem: schrijf een scriptje dat periodiek steekproefsgewijs een aantal systeembestanden vergelijkt met wat ze zouden moeten zijn. Dat hoor je te weten. En als er verschil is hoor je te weten welk proces daarvoor heeft gezorgd. Als dat niet het geval is heb je een geldige reden om de netwerklijn eruit te trekken.

ETH0.1 @blorf • 17 augustus 2022 20:53

heb je mijn stuk wel gelezen? de systeembestanden waren niet beschadigd als ze de windows attack niet hadden uitgevoerd, als ze het enkel bij VMWare hadden gehouden was er in de VM zelf helemaal niets te merken totdat je in VMWare een actie uitvoert zoals een vMotion of een echte reboot, een reboot in windows had gewoon gewerkt.

blorf @ETH0.1 • 17 augustus 2022 20:54

Of het systeem dat je publiek beschikbaar maakt virtueel is of niet, is niet relevant. De veiligheid zou hetzelfde gewicht moeten hebben.

kw_nl

@Oon • 17 augustus 2022 19:24

Als ze er maanden lang inzitten dan kan een backup alsnog je redding zijn. Een cryptolocker moet worden geactiveerd. Dat kan via een signaal van buitenaf of door een timer. In beide gevallen heb je de mogelijkheid om uit te zoeken waar de besmetting zit en die onschadelijk te maken. Moet je nog wel daarna de boel weer dicht timmeren.

Tijd is dan wel je grootste vijand.

blorf @kw_nl • 17 augustus 2022 21:20

Het ligt aan de methode. Als alles al versleuteld is en ze zorgen dat verbinding naar de indringer wordt vereist voor het decrypten en bruikbaar maken doe je niks meer. Die details vertellen ze helaas nooit. Eigenlijk moesten ze gewoon verplichten om de gebruikte methode openbaar te maken...

Oon

@kw_nl • 17 augustus 2022 22:32

Dan moet je wel kunnen vinden waar hij in zit, waarvoor je 'm moet kunnen herkennen. In veel gevallen gaat het om een 'onschuldig' bestand, niet zozeer notepad.exe die vervangen wordt, of juist wel een binary waar je moeilijk informatie uit kunt halen zonder duur onderzoek van een derde partij.

Dat laatste is een van de opties die je hebt als je dus wel back-ups hebt die nog niet encrypted zijn, maar afhankelijk van de eis van de aanvallers kan dat vele malen duurder zijn dan gewoon betalen.

Al met al dus een probleem waar nog gewoon geen echte oplossing voor is.

kw_nl

@Oon • 17 augustus 2022 23:51

Je hebt inderdaad wel een forensisch IT specialist nodig die je helpt. Ik heb meegemaakt dat een verzekering betaalde.

Erik1337 @xenn99 • 17 augustus 2022 18:57

Ja, de gemeenten zullen dit -als verwerkersverantwoordelijke- moeten melden bij de AP aangezien dit een reële risico voor betrokkenen met zich meebrengt.

Ik sta altijd weer met verbazing te kijken dat blijkbaar grote bedrijven en overheden hun backups niet testen. Anders hadden ze al lang geweten dat er iets niet pluis was.

Zo raar is het niet, dit zijn hele kleine gemeenten met een klein IT afdeling en zijn sterk afhankelijk van externe leveranciers. Backups zijn daarnaast waardeloos als de ransomware al een tijd lang onzichtbaar in de backups zit. Zelf met het testen van die backups is dat niet per se zichtbaar.

Ben het eens dat het artikel en nieuwsbericht weinig details geeft. Op basis van deze informatie kunnen we enkel gissen.

daredevil__2000 @Erik1337 • 18 augustus 2022 10:19

Ben het eens dat het artikel en nieuwsbericht weinig details geeft. Op basis van deze informatie kunnen we enkel gissen.

Zou weinig mogelijk informatie geven kan ook gewoon vanuit strategisch oogpunt zijn. Om de rest van je infrastructuur te beschermen of misschien wel om ook anderen te beschermen die nog kwetsbaar zijn.

daredevil__2000 @xenn99 • 18 augustus 2022 10:16

Is er sowieso geen meldplicht voor datalekken?

Die is er maar dat betekent niet dat ze hier ook uitspraken over gaan doen in de media. Wanneer je als bedrijf het met behulp van logging en bijvoorbeeld zoals in dit geval met ondersteuning van een security bedrijf kan aantonen dat er geen gegevens buitgemaakt zijn dan kan mogelijk volstaan worden met alleen een melding bij de autoriteit persoonsgegevens.

Ik sta altijd weer met verbazing te kijken dat blijkbaar grote bedrijven en overheden hun backups niet testen. Anders hadden ze al lang geweten dat er iets niet pluis was.

Dat is natuurlijk alleen in het geval dat de bestanden al langer versleuteld waren maar nog toegankelijk waren doordat de ransomware dat toe liet. Wij hebben diverse technieken actief draaien binnen onze infrastructuur welke actief alerts uit gaan sturen op het moment dat er verdachte activiteiten gedetecteerd worden. Als zoiets af gaat ga je als bedrijf ook aan de slag om systemen te beschermen tegen verdere besmetting. En daarna zal je ook druk bezig zijn om na te gaan hoe ze binnen gekomen zijn en wat je moet doen om dit te tegen te gaan.

Wel erg karig qua informatie, er wordt niets vermeld over welke ransomware of softwareleverancier het gaat en of er betaald is.

Bedrijven zijn helemaal niets verplicht om naar de media te communiceren tenzij je persoonsgegevens buit gemaakt zijn. En dan nog zijn ze alleen verplicht om degene te informeren die geraakt zijn. De informatie zo minimaal mogelijk houden is ook om zichzelf te beschermen. Door openlijk te communiceren over hoe ze binnen gekomen zijn breng je mogelijk anderen ook in gevaar of geef je mogelijk te veel informatie over de opbouw van jouw infrastructuur.

vinkjb 17 augustus 2022 16:41

ook wel belangrijk..is er betaald?

downtime @vinkjb • 17 augustus 2022 17:42

Als ze er niets over zeggen dan is er meestal betaald. Als ze niet betalen dan laten ze dat maar al te graag weten.

CivLord

@downtime • 18 augustus 2022 08:45

En dan wil het softwarebedrijf dat de boel weer aan de praat heeft gekregen ook graag publiekelijk een veer in de reet gestoken krijgen.

Soldaatje @vinkjb • 17 augustus 2022 17:14

Dat brengen de getroffenen zelf niet graag naar buiten, dat moet dan van anonieme bronnen komen.
Net als die tandartsen-club, die schijnen toch ook twee miljoen euro betaald hebben.

Keesdegrote 17 augustus 2022 19:11

Volgens mij zitten deze gemeenten bij softwareleverancier Blinqt. Laatst ook al gemeente Noordenveld die gebruik maakt van deze leverancier en slachtoffer geworden is van een dergelijke aanval.

Verwijderd @Keesdegrote • 17 augustus 2022 23:51

In dit geval is het geen Blinqt naar wat ik heb gehoord zou het gaan om Roxit.

Noxious @Verwijderd • 18 augustus 2022 00:38

Die hebben volgens mij helemaal geen software voor bijstandsuitkeringen, energietoeslagen, wmo en jeugdzorg.

Pianist1985 17 augustus 2022 17:26

Dit soort misdaad is doelbewust en planmatig en wordt gepleegd na een welbewuste afweging van mogelijke kosten en baten.

Voor dit type misdaad (anders dan de impulsieve daad van een of andere junk die een winkel overvalt of een ouwe oma berooft omdat hij drugs wil kopen) geldt dat er een duidelijke afschrikwekkende werking uit gaat van straf.

En die afschrikwekkende werking is een functie van pakkans x zwaarte van de straf indien gepakt.

De pakkans verhogen is duur en omslachtig. We moeten dus véél zwaarder gaan straffen. Dit werkt niet om impulsmisdaad tegen te gaan (die daders denken immers van tevoren niet na) maar wél voor dit soort criminaliteit.

CivLord

@Pianist1985 • 18 augustus 2022 09:34

Ik denk dat het doelbewust en welbewust wel meevalt.

Er wordt vooraf een inschatting gemaakt dat de pakkans minimaal is, omdat ze veilig een paar landsgrenzen verderop zitten. Daarmee is de mogelijke straf irrelevant geworden.

Daarna worden er willekeurige slachtoffers gekozen die toevallig een systeem gebruiken waar een kwetsbaarheid in zit die de hackers kunnen misbruiken om binnen te komen. Er wordt niet doelbewust een specifiek slachtoffer uitgezocht, waarna er een plan wordt gemaakt om naar binnen te dringen.
Wanneer ze een slachtoffer hebben gevonden zullen ze een afweging maken hoeveel er aan verdiend kan worden. Misschien maken ze nog een afweging of ze de ransomware inzetten bij een gevonden slachtoffer. Bij een gemeente zullen ze weinig twijfels hebben, maar niet iedereen heeft de ballen om een groot vliegveld of kerncentrale te gijzelen.

Pianist1985 @CivLord • 18 augustus 2022 09:47

Ze zoeken wél doelbewust een specifiek slachtoffer.

Dat moet namelijk te hacken zijn, dus ze zoeken bewust bedrijven en overheden op waar de IT niet op orde is.

Bovendien moet er genoeg geld voor handen zijn om een afkoopsom te kunnen bekostigen.

En het doelwit moet ook nog eens gevestigd zijn in een land waar het betalen van losgeld legaal is, zeker indien je een overheidsinstantie aanvalt. In de VS bijvoorbeeld is het betalen van losgeld, zelfs bij gijzelingen van personen, een federaal delict.

CivLord

@Pianist1985 • 18 augustus 2022 09:55

Ze zoeken wél doelbewust een specifiek slachtoffer.

Dat moet namelijk te hacken zijn, dus ze zoeken bewust bedrijven en overheden op waar de IT niet op orde is.

Dat doen ze niet door eerst een potentieel slachtoffer te kiezen en dan te kijken of ze binnen kunnen komen. Het is een shotgun-approach, waarbij ze in wilde weg IP-adressen scannen op zoek naar een interessante respons of honderden, duizenden of meer bedrijven phishing-mails sturen. Uit de respons die ze daaruit krijgen zoeken ze potentiële slachtoffers waar ze een leuk bedrag van kunnen vragen. Dat kan enkele tienduizenden euro's zijn voor een MKB-bedrijf of een paar miljoen voor een groot bedrijf of een gemeente.

Dat is verre van doelbewust zoeken.

Wanneer er wél doelbewust een slachtoffer wordt gekozen, dan gaat het meestal niet om afpersing, maar om het achterhalen van specifieke informatie.

Pianist1985 @CivLord • 18 augustus 2022 10:04

Dat is wél doelbewust zoeken. Men schrijft een script waarmee geautomatiseerd wordt gezocht naar makkelijke slachtoffers.

Dat is geen impulsdaad, het is berekenend optreden, en doelwitten worden niet random geselecteerd maar op basis van hele specifieke, in de gedraaide code aangegeven, criteria.
Dat men dat doet zonder aanzien des persoons, en het voorbereidende werk aan een server uitbesteedt die wat scripts draait, wil niet zeggen dat ze zich niet van elke stap in het proces bewust zijn en wéten wat ze doen. Het zijn 'professionals' om het zo maar eens te zeggen. Lui die in staat zijn tot rationeel handelen, en die over normale verstandelijke vermogens beschikken. Géén impulsieve debielen - zoals de doorsnee crimineel is.

Nogmaals, dit gaat niet om een of ander stuk afval dat met een balletjespistool de plaatselijke vetbak overvalt omdat-ie geen geld heeft voor heroïne.

[Reactie gewijzigd door Pianist1985 op 23 juli 2024 01:53]

downtime @Pianist1985 • 18 augustus 2022 10:17

En die afschrikwekkende werking is een functie van pakkans x zwaarte van de straf indien gepakt.

Laten we in jouw formule de pakkans eens op nul zetten. Wat is de uitkomst dan? Zonder pakkans is er geen enkel afschrikwekkend effect. En er is geen pakkans omdat de meeste van die criminelen opereren vanuit landen waar de overheid de andere kant uitkijkt.

Pianist1985 @downtime • 18 augustus 2022 10:21

Die pakkans is niet nul. Next!

Oyxl 17 augustus 2022 17:30

Dan hoop ik maar dat het echt om software gaat welke uniek is voor deze gemeenten, want ik weet wel zeker dat verschillende software pakketten die gebruikt worden bij diverse andere gemeenten, voor die specifieke domeinen, universeel door de meeste gemeenten gebruikt worden.

Statix 17 augustus 2022 17:32

Jammer dat er nog bedrijven en gemeenten zijn die bewust geen openheid van zaken geven of oppervlakkig blijven na een cyberaanval. De overheid zou hier voor de betrokkenen/burgers eisen moeten stellen en handhaven.

mlohnen

17 augustus 2022 17:33

Misschien moeten de journalisten is doorvragen bij Parkstad-IT de ICT dienst gezamenlijk opgezet door de gemeentes. Alle websites worden daar ook technisch door beheerd.

Verwijderd 17 augustus 2022 21:57

De website www.parkstad-it.nl is verdwenen, raar toch?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (81)

Sorteer op:

Weergave: