De hackers die de it-omgeving van Hof van Twente hebben geblokkeerd, eisen 750.000 euro om de bestanden weer vrij te geven. De gemeente zegt geen contact te hebben gehad met de hackers en op advies van de politie niet in te gaan op de eis. Dit meldt De Volkskrant. It-partner Switch IT Solutions hult zich in stilzwijgen.
Een criminele groepering brak vorige week in op de ict-omgeving van Hof van Twente. Volgens De Volkskrant, die zegt contact te hebben gehad met de hackers, zijn daarbij 24 virtuele servers met privacygevoelige data van de gemeente vernietigd en hebben zij de back-upsystemen overgenomen en versleuteld. De sleutel hiervoor krijgt Hof van Twente wanneer zij het geëiste losgeld van vijftig bitcoins ter waarde van 750.000 euro betaalt.
De krant stelt dat de criminelen een boodschap (‘Hello, need data back? Contact us fast’) hebben achtergelaten maar dat de gemeente noch de politie contact hebben opgenomen. Burgemeester Ellen Nauta zegt tegen de krant dat dit besluit is genomen op advies van de politie. Die wilde meer tijd om onderzoek te doen. Daarbij zouden politiemedewerkers zijn tegengewerkt door Switch IT Solutions, de it-partner van Hof van Twente. Die zouden niet de benodigde gebruikersnamen en wachtwoorden willen verstrekken, aldus De Volkskrant. De it-leverancier wil desgevraagd geen informatie verstrekken en verwijst naar de gemeente.
NFIR en Switch IT Solutions
Sinds vrijdagavond verricht de forensische cybersecurityspecialist NFIR onderzoek naar de cybergijzeling bij de Twentse gemeente, naast het lopende politieonderzoek. Een woordvoerster van de gemeente laat weten dat vanwege deze onderzoeken zij inhoudelijk geen verdere vragen kan beantwoorden. Wel wil zij kwijt dat ‘er met man en macht wordt gewerkt aan het zo goed ondersteunen van de inwoners van de Hof van Twente en dat de website gelukkig nog wel in de lucht is.’
In mei 2018 werd bekend dat na een aanbesteding Switch IT Solutions is geselecteerd om het systeembeheer voor de gemeente Hof van Twente te verzorgen. Ook voert de ict-dienstverlener uit Enschede sindsdien projectmatige werkzaamheden aan de ict-infrastructuur uit. Toen nog meldde de gemeente optimistisch hiermee ‘de kwaliteit en continuïteit van het systeembeheer te hebben geborgd én de beschikbaarheid van de server- en netwerkomgeving.’
Toch betalen?
Dat de gemeente nog geen contact heeft gelegd met de hackers wil niet zeggen dat er uiteindelijk geen losgeld wordt betaald. Het opnieuw inrichten van een it-omgeving is waarschijnlijk een stuk duurder. Niet voor niets betaalde de Universiteit Maastricht bijvoorbeeld begin dit jaar wel losgeld aan hackers om weer toegang te krijgen tot versleutelde bestanden.
Mededirecteur Kai Figge van ict-beveiliger G Data zei in een interview eerder dit jaar over incidenten met ransomware dat bedrijven en instanties in de regel niet wat ze in dit soort gevallen moeten doen. Zijn stelregel luidt: niet betalen. Maar klanten hebben geen keus als hun backups ook zijn geïnfecteerd. ‘Dan kan een bedrijf niet meer bij zijn data en dreigt er een lockdown. Dan onderhandelen wij op verzoek met de criminelen en moet er in bitcoins worden betaald. Het besef ontbreekt dat als een reservekopie deel van het netwerk is, moderne ransomware dat ook checkt én infecteert. Je hebt niet alleen een backup nodig, maar ook een fellow-backup, los van het netwerk.’
Ik vind het nog steeds een hele bijzondere situatie. Het lijkt er op dat de hackers ofwel heel lang rond hebben kunnen struinen in het netwerk, zonder gedetecteerd te worden, of dat men niet zo lang rond heeft kunnen struinen, maar dat toegang tot een beperkt aantal accounts (of misschien maar één account) genoeg was om bij alles te kunnen. De eerste mogelijkheid opent vragen rondom (security event) monitoring. De tweede opent dan weer vragen rondom scheiding van rollen en het gebruik van two-factor authenticatie op belangrijke accounts.
Hoe kan het, dat er toegang was tot de backups?
Was er geen offline backup, of waren de criminelen al zolang bezig, dat de backups ook besmet zijn?
Afgezien deze vragen, lijkt het mij duidelijk, dat er fouten zijn gemaakt.
Betalen is meewerken met criminelen……….
Er is helaas maar één soort slachtoffer: de belastingbetaler.
Ronduit verbijsterend.
Een volstrekt falend gemeentebestuur in een duur gemeentehuis.
Het zal niet bij dit ene geval blijven.
Volgens mij zie ik op het plaatje inderdaad de backdoor open staan
Geinfecteerde backups. Fascinerend.
En dat “politiemedewerkers zijn tegengewerkt” door de it-partner.
Zomaar gebruikersnamen en wachtwoorden verstrekken lijkt me ook niet niks.
En dan aan wie, die aardige meneer zei dat hij van politie is, IT afdeling en dat ik me nergens zorgen over hoefde te maken.
Misschien is die ransomware wel ooit op die manier geinstaleerd. Meneer had al zo’n raar accent en telefoonnummer.
En ook aan NIFR, een particulier onderzoeksburau met vergunning van jusitie.
Fellow backup ? typo of vaktaal ?
Klinkt toch allemaal als het niet naleven van de 3-2-1 regel
En wat zou borgen tegenwoordig betekenen ? Erg verwarrend.
De stelregel luidt “niet betalen” behalve als het meer kost dan het oplevert.
Dat klinkt weer als een gewone handel.
Maar vooral die geinfecteerde backups, hoe zou dat toch werken ..
Ff aangenomen dat op moment van de backup de data nog technisch als functioneel leesbaar was
en dat die backup gewoon technisch en functioneel restored kan worden.
Misschien is er wel maandenlang allerlei rottigheid de data gestopt die dan gewoon mee backed up wordt..
Zie dat er maar eens uit te halen en hoe weet je dan dat je klaar bent.
Gelukkig is de website nog in de lucht 😛
P.J. Westerhof
Helaas is e.e.a. verbijsterend want je zou verwachten dat gemeenten – hoe klein dan ook – na Dorifel wel geleerd hebben. Het hele idee van Baseline Informatiebeveiliging Nederlandse Gemeente (BIG) blijkt met Hof van Twente een papieren tijger. Want 3-2-1 strategie van Dino met off-line/off-site kopie geldt als normering maar wordt blijkbaar niet geïmplementeerd of niet werkend opgeleverd.
Wellicht snapshot technology verkocht als “backup” tool?
Hoe heeft Switch IT Solutions het netwerk gemonitord? Hebben ze de 3-2-1 regel in acht genomen? Doen ze wel regelmatig een off line back-up restore tests?
Wat had Switch IT Solutions volgens de service overeenkomt met de gemeente moeten doen?
Er zijn vele duizenden goed opgeleide fanatieke criminele it-ers die voor staten werken, al dan niet via p-p-p constructies. Je kan dus niet elke aanval en inbraak tegenhouden. Maar je kan problemen wel beperken. Als je de back-ups door ransomware laat versleutelen zonder dit door te hebben, dan heb je de boel niet op orde.
Hoe eerder iedereen stopt met betalen aan deze criminelen, hoe eerder deze criminelen zich op andere zaken gaan richten. Verder is het natuurlijk uiterst onachtzaam om geen echte “Offline backups” te hebben. Hier wordt eveneens blijk gegeven van een knullige administratie.