LockBit dreigt gegevens van Belgische stad Geraardsbergen te openbaren

Hackers dreigen gestolen gegevens van de Belgische stad Geraardsbergen openbaar te maken. De stad werd in september vorig jaar al getroffen door de LockBit-ransomware, maar betaalde toen niet.

Het stadsbestuur heeft veertien dagen de tijd om te betalen. Daarna worden de documenten online gezet, zo is te zien op de darkweb-website van de LockBit-ransomwarebende. Daar staat dat er op 15 februari rond middernacht documenten openbaar worden gemaakt van Geraardsbergen in België, een stad met zo'n 34.000 inwoners. De criminelen hebben de gegevens op dinsdag geüpload.

Het is onbekend waar de gestolen data precies vandaan komt en zelfs om wat voor data het gaat. Dat is opvallend, want ransomwarebendes geven vaak samples vrij van data om te verifiëren dat die daadwerkelijk gestolen is. Ook geven ze vaak informatie over een recente hack en vertellen ze om wat voor type data het gaat. Mogelijk wordt die informatie niet gegeven omdat het stadsbestuur actief in gesprek is met de hackers, maar dat is niet bekend.

Geraardsbergen werd in september wel al door een ransomwareaanval getroffen, schrijft Het Laatste Nieuws. Destijds zei het stadsbestuur dat er geen gevaar was was voor burgers omdat er back-ups van de data zouden zijn gemaakt. Het is echter niet duidelijk of de hack van toen verband houdt met de bestanden die nu online zijn geplaatst. In dat geval is het bijvoorbeeld niet duidelijk waarom de criminelen zo lang hebben gewacht om de gegevens online te zetten. Dat kan te maken hebben met bijvoorbeeld een onderhandelingsproces dat is vastgelopen, maar ook dat is niet bekend.

Lockbit Geraardsbergen

Door Tijs Hofmans

Nieuwscoördinator

31-01-2023 • 11:59

45

Reacties (45)

Sorteer op:

Weergave:

Wat extra achtergrondinformatie over deze gebeurtenis:
Eerder zeiden ze dat "er geen indicaties waren dat er belangrijke info is ontvreemd":
Haha, dat is zo'n standaard politici antwoord. Wat een klungels.

Nu hebben ze zeker 'geen actieve herinnering van deze uitspraak'...
Verder is het natuurlijk allemaal geen probleem dat alle data is gelekt want transparante overheid, etc... :+
Destijds zei het stadsbestuur dat er geen gevaar was was voor burgers omdat er back-ups van de data zou zijn gemaakt.
lol, alsof data-diefstal vergelijkbaar is met fysieke diefstal. Geen idee welke politicus of ambtenaar die uitspraak gedaan heeft 8)7
Toch duidelijk dat diegene doelt op het risico van verdwenen data
Het punt is dat hij daarmee impliceert dat het probleem dan niet meer boeit; er is immers een back-up. Dat is niet het enige risico: omdat er daadwerkelijk data is gestolen van burgers, is het risico op identiteitsfraude groter per individu.
Voor de bedrijsvoering van de gemeente en dus de dienstverlening naar burgers is het duidelijkste risico dus afgeschermd. Identiteitsfraude gebeurt ook zonder gelekte data en is een veel theoretischer probleem dan een gemeente die haar taken niet meer kan uitvoeren.
Het verschil is dat een gemeente véél meer vertrouwelijke gegevens (e.g. BSN) heeft over een persoon, en wellicht ook bijzondere persoonsgegevens. Dat is heel wat anders dan het gemiddelde lek bij bedrijf X. Dus nee, identiteitsfraude gebeurt niet zomaar bij zo'n beetje elk datalek.
Het gevaar is natuurlijk wel dat die data sowieso al bij hackers is beland. Dus ook al zou de gemeente betalen en worden de gegevens niet 'gepubliceerd', dan wil dat niet zeggen dat de hackers die gegevens niet zouden kunnen verkopen aan criminelen die ze kunnen gebruiken voor identiteitsfraude.
BSN mag (in NL) al een tijdje niet meer gebruikt woren als ID. Deze is namelijk NIET UNIEK.
De overige gegevens zouden in de belgische variant van de WBP moeten zitten.
Dus op zich hoeft een gemeente niet veel bijzondere persoonsgegevens op te slaan omdat de landelijke overheid dit al doet.
Een RRN (Rijksregisternummer) is in België weldegelijk uniek maar is helaas niet enkel gekend bij overheidsdiensten.

Zo moet je je RRN soms opgeven als je (als vrijwilliger) op een festival gaat werken (verplicht sinds 2022, denk ik). Elke VZW (non-profit organisatie) kan die gegevens dus verzamelen. Verder laat je dat ook achter bij banken, hotels in binnen- en buitenland, OV-bedrijven, etc.

Daarom dat je met enkel een RRN ook niks kan in Belgiè, daar heb je alsnog een echt document voor nodig (per definitie identiteitsbewijs). Weet niet hoe dat met een BSN zat in Nederland.
Het gebruik van het RRN is nochtans aan zeer strikte regels onderheven... niet iedereen mag het dus zomaar gebruiken voor identificatie van een persoon (ook al laat je het achter bij hen - daarom mag men het nog niet opslaan).
Als je iemands geboortedatum en geslacht kent, heb je al 3 kwart van het RRN in handen. Geboortedatum is het eerste deel, de rest is een oplopend nummer (even of oneven volgens geslacht) en een checksum.
Die theorie is mooi. De praktijk is anders, en al helemaal in het buitenland.
In Nederlands is dat in principe ook zo geregeld. In de praktijk wijken ze soms van de principes af.
Huh? Is een BSN-nummer niet uniek? Dacht het wel.

Er is een github discussie waarin gesteld werd dat een BSN niet uniek was (als mogelijk testcriterium), maar dat werd snel ontkracht. Een BSN is uniek.

[Reactie gewijzigd door pa2ra op 22 juli 2024 23:46]

Een BSN zou unique moeten zijn maar is dat niet. Er zijn in het verleden duplicaat nummers uitgegeven waardoor het systeem kapot is. BSN mag niet gebruikt worden als Primary key.

[Reactie gewijzigd door Antitech op 22 juli 2024 23:46]

Graag een bron. Want de overheid zegt dat dit niet klopt.
Heb jaren voor binnenlandse zaken en ICTU gewerkt.
Heel mooi. Bron graag.
Jaren geleden was er een stel tweelingen die na elkaar bij ons vakantiewerk kwamen doen.
Het viel al snel op dat ze beide het zelfde BSN nummer hadden op de ID-kaart....
Was hun nog niet eerder opgevallen.
Maar dat was gewoon een foutje en zal wel hersteld zijn.
Dat is natuurlijk niet met alle ransomware het geval. Genoeg ransomware die de data versleutelt en als je niet betaalt is de data effectief vernietigd -- er wordt dan geen kopie naar de hackers gestuurd.

Dan is zeggen "Puh, bluf, we betalen toch niet" en terugzetten van de backups voldoende omdat het effectief hetzelfde is als een schijfcrash.
Waar staat dat dit het geval is met alle ransomware? Het gaat in dit artikel over Lockbit. Van Lockbit is dit eenmaal bekend, dat de data buitgemaakt wordt en eventueel geopenbaard wordt.
Waar staat dat dit het geval is met alle ransomware? Het gaat in dit artikel over Lockbit. Van Lockbit is dit eenmaal bekend, dat de data buitgemaakt wordt en eventueel geopenbaard wordt.
Is er al een eerder geval bekend van werkelijke openbaarmaking? Want anders kan het natuurlijk een bluf-poging zijn van Lockbit.

Als er geen terabytes aan data over het internet zijn verstuurd, valt er ook weinig te publiceren. Dat zou in de systeemlogs terug te vinden moeten zijn.
Is er al een eerder geval bekend van werkelijke openbaarmaking? Want anders kan het natuurlijk een bluf-poging zijn van Lockbit.
https://www.bankinfosecur...%20government%20officials. Zie ook: https://www.google.com/search?q=lockbit+publishes+data :)

Ik zeg niet dat het hier ook het geval is, maar het is dus een reëel probleem.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 23:46]

de data verdwijnt niet in het geval van een publicatiedreiging. Het hebben van een backup is dan ook niet relevant, omdat de data niet weg is. Misschien ben je teveel gefocused op het gebruik van de term ransomware in het artikel, waar het in dit geval NIET om gaat. Het gaat er om dat er een kopie van is die je niet meer in beheer hebt en dat gevoelige gegevens worden vrijgegeven.
Die back-ups zijn leuk, maar als jouw persoonlijke gegevens zoals BSN, NAW, IBAN, telefoonnummer en emailadressen zijn gestolen, heb je een hele grote kans dat er identiteitsfraude gepleegd kan worden. Met alleen een emailadres kunnen ze phishing mails sturen. Maar zodra zij jouw echte gegevens hebben, kunnen ze alle kanten op. Ben wel benieuwd welke soort gegevens ze nou hebben en waarom ze specifiek een stad hebben gekozen met weinig inwoners? Hoogstwaarschijnlijk omdat de security van hun er niet zo best was.

Back-ups is handig voor als de server ermee stopt of als er door een stroomstoring de data verwerking niet goed is gegaan.
Maar in het geval van ransomware weet je nooit hoe lang de ransomware in je netwerk "actief" is. Het kan soms maanden duren totdat het echt actief wordt en dan zijn je back-ups niets meer waard.
Je hebt dan 2 opties; losgeld betalen en hopen dat je de decryptiesleutel krijgt of je verlies nemen en alles opnieuw opbouwen incl. nieuwe servers en disks. Want sommige ransomware / malware infecties gaan zich nestelen in bijvoorbeeld de ROM / EEPROM van de moederboord, waardoor het zichzelf installeert bij elke schone installatie.

Ongeacht hoeveel of hoe vaak je mensen bewust probeert te maken, ze openen wel elk bestand dat binnenkomt, waardoor ransomware de netwerk binnenkomt.
Security en gebruiksvriendelijkheid gaan nooit met elkaar samen.
Ik speel hier advocaat van de duivel, maar je kan echt wel zonder een diefstal veel gegevens vinden over een persoon. Als je kijkt naar social media, bedrijfs pagina´s, maar ook overheidswebsites waar je nationaal nummer en adres wordt vermeld

Het is wel zo dat je in die gevallen moeite moet doen om eea samen te brengen en je dient misschien meer gericht op zoek te gaan. Met deze dataload zou je makkelijker ¨targets¨ kunnen gaan identificeren aan kenmerken waar je op kan filteren. Maar de data stelen en ze nadien ook actief (en met succes) gaan gebruiken is volgens mij toch nog een ander paar mouwen. Verder is een deel van deze data (afhankelijk welke data men heeft) ¨nu¨ al verouderd.

Dient men hier uit te leren: zeker. Kan dit niet door de beugel: nee zeker niet. Maar moeten we hier nu echt van wakker liggen? Volgens mij niet.
Ik speel hier advocaat van de duivel, maar je kan echt wel zonder een diefstal veel gegevens vinden over een persoon. Als je kijkt naar social media, bedrijfs pagina´s, maar ook overheidswebsites waar je nationaal nummer en adres wordt vermeld
Ik doelde meer op de gegevens die de gemeente heeft en niet zo zeer OSINT (Open Source Intelligence) en ja, daarvan kan je héél veel informatie vinden. Met Maltego kan je bijvoorbeeld niet alleen contactgegevens vinden, maar ook zelfs privé gegevens (handig dat social media alles bewaart en archiveert). Daarnaast kan je in meeste gevallen ook de netwerk infrastructuur in kaart brengen en dus een gerichte aanval uitvoeren op bijvoorbeeld de DNS server om een DNS cache poisoning te doen.
Dient men hier uit te leren: zeker. Kan dit niet door de beugel: nee zeker niet. Maar moeten we hier nu echt van wakker liggen? Volgens mij niet.
Ligt er maar net aan hoe lang het duurt totdat medische gegevens van een ziekenhuis op straat komen te liggen, dan liggen er wel meer mensen wakker van. Helaas door dit soort dingen blijft het een realiteit dat de overheid en IT niet met elkaar samen gaan.
Misschien een idee dat er een onderdeel binnen de overheid is die voor de IT zorgt en dat het breed wordt uitgerold? Dan hoeft het niet dat elk gemeente / ziekenhuis / overheidsinstelling zijn eigen systemen bouwt en je dus meer kan focussen op de security.
Ik vind dit inderdaad wel een beetje het: "Er is ingebroken, maar gelukkig heb ik een reservesleutel" commentaar. Volgens mij ligt het grote probleem dat er bij bedrijven, gemeenten politiek te weinig kennis is over de impact van identiteitsfraude.

Vaak klinkt het voor hun als een ver van mijn bed show, en persoonlijke gegevens hebben geen harde waarde. Was er 30 jaar geleden een toenemend aantal aan inbraken geweest bij gemeentelijke bedrijven waar elke keer alle dossiers waren meegenomen dan hadden ze er vast meer achter gezocht dan nu.

Het is nu alsof de politiek, maar ook grote bedrijven doen alsof het er bij hoort.

"Ach er is weer eens een gemeente gehacked, en ze hebben alle persoonsgegevens buit gemaakt. Maar ja dat hoort bij het het online zijn van tegenwoordig, die donderstralen weten ons altijd goed in de maling te nemen".

De echte urgentie die mist, omdat er in de politiek nooit iemand verantwoordelijk is. Zie de hack laatst in nederland, de gemeente geeft het ICT bedrijf de schuld. het ICT bedrijf geeft aan dat zij helemaal niet verantwoordelijk zijn voor de beveiliging van de server. En dat een medewerker welkom2020 als wachtwoord heeft.

Volgens mij een erg slechte ontwikkeling, een eentje die nog lang niet op zijn hoogste punt is. Hackers worden alleen maar slimmer en efficiënter. Ik weet niet of die zelfde vertaalslag ook in onze politiek wordt gemaakt.
Wat er waarschijnlijk bedoeld werd is dat de data nog beschikbaar was en dat het probleem binnen de overheid dus wel mee viel. Dat staat los van de impact van het lekken van de data volgens mij. Dat gezegd hebbende is het een raar statement van de gemeente..
Als het in eerste instantie ging om ransomware is dat niet een vreemde statement. Vergeet niet dat veel aanvallen gaan om het encrypted van data.en dat juist lockbit in dat veld meedoet. Een goede backup is op zich wel een mitigerende maatregel.

Dat er nu sprake is van data diefstal verandert het, maar de reactie is minder vreemd als dat mensen denken.

[Reactie gewijzigd door roffeltjes op 22 juli 2024 23:46]

De hackers maakten eerst een backup. Een politieker die de waarheid spreekt. Nothing to see, move along! :+
Exact, dit is ook waarom piraterij niet vergelijkbaar is met diefstal. Right? :+

Zonder gekkigheid, ja het is nog al een stomme uitspraak :9
Nee, het is voor een "normale" lockbit aanval wel degelijk een goede mitigatie. Immers dat gaat om encrypted van jouw data, niet om het stelen. Dat lockbit daarom dan maar op een andere manier gaat chanteren is natuurlijk klote, maar dat is nu opeens maanden later.
Dan is de vraag... Welke data is er ontvreemd en is dit niveau'tje "telefoonboek jaren 90" of zéér persoonlijke data?
Welke data heeft de gemeente kunnen en mogen verzamelen? Dat kan de gemeente toch ondertussen wel bekend maken? Dan weten mensen ook waarop voor te bereiden.

En is dit niet een hele goede inhaker op het laatste artikel met dat Gemeentes in Nederland zometeen 'eigen burgers' mogen bespioneren? Verre van alle gemeentes in Nederland hebben hun IT systemen goed op orde. Dus de risico's op datadiefstal die jij liever niet 'op straat' ziet liggen wordt dan alleen maar groter.
Betalen is chantage en diefstal belonen. Een team oprichten om schade te voorkomen en af te handelen lijkt me logischer, dit kan op landelijk niveau opgericht worden waarbij mensen ook geholpen kunnen worden aan een 'schone' identiteit/BSN etc. Makkelijk gezegd en achteraf is mooi wonen maar als je die knuppels betaalt houden ze er niet mee op en verschuif je het slachtofferschap.
Hoe minder data de overheid over burgers bijhoudt, hoe minder er kan lekken. Daarom altijd terughoudend zijn met het registreren van data. En nooit betalen. Criminaliteit mag niet lonen. Wat mij betreft mag het strafbaar worden om ook maar één euro aan losgeld te betalen aan criminelen.
Misschien tijd dat er landelijk 1 platform is dat gebruikt kan (of moet) worden voor beheer en opslagen van gegevens van burgers.
Zodat er een dedicated team is om dit te beheren en beveiligen volgens een bepaalde standaard.
Nu is dit waarschijnlijk een lokaal iemand die het netwerk beheerd, met grote kans nog aangenomen omdat hij familie is van één van de medewerkers.
En dat je 1 groot doel hebt voor hackers zodat wanneer ze er uiteindelijk in geraken je direct alle data van iedereen netjes bij elkaar hebt. Lekker zo.

Ik hou ook niet zo van die aannames. IT is vaak echt wel net iets beter geregeld de dag van vandaag en meestal gewoon uitbesteed aan een bedrijf waarvan je verwacht dat ze de nodige kennis mogen hebben.
IT is vaak echt wel net iets beter geregeld de dag van vandaag en meestal gewoon uitbesteed aan een bedrijf waarvan je verwacht dat ze de nodige kennis mogen hebben.

Haha, dat is een mooie uitspraak van iemand die niet van aannames houdt ;)
Maar ik kan je garanderen dat die uitbestede IT echt het minimale omvat (dus enkel wat op papier staat wordt uitgevoerd).
dat willen ze nu in NL gaan invoeren maar de Authoriteit persoonsgegevens(AP) riep meteen dat dat geen goed idee was en dat het een hack daarvan een HEEL grote impact zou hebben
Ai ... klik net op die darkweb link, krijg ik direct security op mijn nek. CrowdStrike was afgegaan.
Misschien toch niet zo handig zo'n link in een artikel zonder kleine waarschuwing :)

Security werkt iig ;)
Waarom ai? Security doet ook maar zijn werk en zolang je netjes aangeeft wat en waarom is er niets aan de hand. Eigenlijk positief dat ze zo snel reageren. Heb eens gehad dat ik mij na 2 maanden mocht gaan verantwoorden voor iets. Moest ik verdorie zelf al weer gaan nadenken wat het was en dacht ik ook: als jullie zo traag reageren is het eigenlijk wel slecht gesteld met de opvolging.
hmm, daarvoor namen ze nog nooit contact op met mij. Je klikte in een gewone browser ofzo? zoiets open je toch met TOR?
een BSN of telefoonnummer kun je nog vervangen, maar je woonadres of geboortedatum niet, daarom horen die dingen ook nooit gebruikt te worden bij een ID, dat zijn gegevens die je in eigen handen moet houden of versleuteld moet kunnen aanbieden, dan is het een kwestie van die ongeldig maken en een nieuwe key ervoor aanmaken, maar dat kost geld en tijd.

Op dit item kan niet meer gereageerd worden.