Drie Friese gemeenten werden afgelopen dinsdag platgelegd door ransomware. Een medewerker had in een phishingmail op een malafide link geklikt, waardoor de ransomware zich in het systeem nestelde. Het betreft de gemeenten Ooststellingwerf, Weststellingwerf en Opsterland. In totaal konden zo’n zeshonderd medewerkers ongeveer drie uur lang niet werken.
Een medewerker van de gemeente Opsterland ontving een phishingmail en heeft op de onbetrouwbare link geklikt. Hiermee heeft de ransomware zich in het systeem van de gemeentes Ooststellingwerf, Weststellingwerf en Opsterland genesteld. De gezamenlijke afdeling informatisering & automatisering stuurde daarom om tien uur een pop-up-melding naar zo’n zeshonderd medewerkers met de mededeling dat de computers per direct uitgeschakeld moesten worden.
Drie uur computerloos
De informatisering & automatisering-afdeling heeft de ransomware-aanval een halt toegeroepen door de systemen te isoleren en een back-up van de avond ervoor terug te zetten. Alleen de bestanden van die ochtend zijn verloren gegaan. Bij de gemeenten Ooststellingwerf en Weststellingwerf gingen de computers om één uur ’s middags weer aan. De medewerkers van gemeente Opsterland startten hun computer om drie uur ’s middags op. In de tijd dat de computers uit stonden konden de ambtenaren hun kasten met oud papier opruimen. Normaliter wordt er in twee weken zo’n 250 kilo papier weggegooid. Nu is er 650 kilo op één dag weggegooid.
De gemeentes geven al veel voorlichting over cybercrime. Zo worden er via het intranet mails verstuurd over mogelijke gevaren zoals phishing. Hiermee hopen ze dat de medewerkers scherp met de bedreigingen omgaan. Ook worden er voorlichtingen gehouden over de gevaren van het internet. Voor nu worden er geen extra maatregelen getroffen.
Toename ransomware
In het eerste kwartaal van 2015 was er een toename van 165 procent in het aantal nieuwe ransomware varianten, zo blijkt uit het McAfee Labs Threats Report van Intel Security. Deze toename is volgens de onderzoekers grotendeels toe te wijzen aan de nieuwe CTB-Locker ransomware-familie. Deze groep omzeilt beveiligingssoftware met slimme technieken.
Pluim voor de gemeenten, hebben ze knap opgelost en leuk dat het ook nog iets goeds gebracht heeft.
Als ze nu nog een filmpje maken over de getroffen medewerker kan dat ook weer leerzaam zijn voor andere overheidsinstellingen.
Reken maar dat je je rot voelt als het net jou gebeurd, en dat besef kan anderen helpen.
Gewoon in je firewall _alle_ mails met links blokkeren danwel de mails aangepast afleveren zodanig dat de links tekstueel zijn geworden (of evt. veranderd naar een standaard-tekst dat de link is verwijderd).
Moet volgens mij kunnen?
Verder had deze persoon blijkbaar teveel rechten; want hoe kan ’t aanvallen van één (normale) werknemer ’t effect hebben dat 600 PC’s niet meer werken? Een gelijk profiel voor elke werknemer is wellicht niet verstandig – tenminste als dat geen read-only profiel is (in de praktijk: dat je bij elke inlog een nieuw, default profiel krijgt).