Wij zijn gehackt! Een terugkerend fenomeen. Is dit te voorkomen?

19 december 2020
Een gemeente wordt gehackt door ransomware, hoe werkt dit

door: Alexander Heijnen & Erik Jan Koedijk

Inclusief statement d.d. 18 december 2020 van gemeente Hof van Twente. Er duiken steeds vaker berichten op dat gemeenten worden gehackt door ransomware, ookwel gijzelsoftware genoemd. Is dit van de laatste tijd of is er al jaren sprake van een gevaar? Hoe is dit mogelijk en wat valt er tegen te doen? Wat is het verschil tussen de hacks van gemeenten tot en met 2018 en vanaf 2019? En is het te voorkomen?

Laten we incidenten van de afgelopen vijf jaar op een rij zetten.

Gemeente Vianen

Het is maandag 18 mei 2015. Gemeente Vianen is het slachtoffer geworden van cryptoware die bestanden had versleuteld op een van de computers van de medewerkers. De gemeente besloot de back-up van een paar dagen eerder terug te zetten en het probleem was daarmee opgelost.

Gemeente Dronten

Het is donderdag 29 september 2016. ‘Een medewerker heeft per ongeluk geklikt op een link in een spam-mailtje. Zo’n mail die iedereen wel eens krijgt”, legt een woordvoerder van de gemeente uit aan Omroep Flevoland. Het betrof hier het zakelijke e-mail adres van deze medewerker. Bij deze aanval op de gemeente Dronten zijn direct alle systemen platgelegd, waardoor er geen belangrijke bestanden zijn versleuteld.

Gemeente Almelo

In september 2016 komt ook in het nieuws dat gemeente Almelo slachtoffer is geworden van hackers. Het vermoeden was dat 20 GB aan data was gestolen door malware die geïnstalleerd zou zijn op een computer van een medewerker. Later dat jaar liet de politie weten dat er waarschijnlijk niet iets is gestolen of is ingebroken, maar dit bericht is inmiddels van de website van de politie af.

Gemeente Eemnes, Blaricum en Laren

Gemeente Eemnes laat 27 maart 2017 weten (staat niet meer op hun website maar is wel hier te vinden) dat men werd getroffen door, zoals de gemeente het noemt, een virusaanval hetgeen later ransomware bleek te zijn. De systemen werder uit voorzorg uit de lucht gehaald met als gevolg dat inwoners geen afspraken meer konden maken. Ook was het online niet meer mogelijk om publiekszaken met de gemeente regelen.

Binnen het forum van Tweakers liet iemand weten dat de oorzaak een mail bij de financiële administratie was. Er was door een medewerker waarschijnlijk een nepfactuur geopend. Een kwart van de virtuele servers zou zijn getroffen. Dit is niet door de gemeente bevestigd.

Gerichte hacks op gemeenten

Bovenstaande voorbeelden zijn waarschijnlijk allemaal voorbeelden van gemeenten die bij toeval zijn getroffen door ransomware. Geactiveerd door te klikken op een linkje of een bijlage van een mail. Denk daarbij aan bijvoorbeeld een nepfactuur, of een besmet office-document.

Gemeente Lochem

Gemeente Lochem ontdekte op 6 juni 2019 dat hackers het netwerk waren binnengedrongen. Later bleek dat er in totaal tientallen inlogsessies hadden plaatsgevonden, waarbij toegang is verkregen tot de thuiswerkserver middels een RDP-verbinding (extern bureaublad), een protocol dat bij het overnemen van een pc van op afstand wordt gebruikt.

Deze inlogsessies vonden gedurende een periode van een half jaar plaats via twee gebruikeraccounts. De RDP-poort is op 14 december 2018 opengezet, waarna de aanvallen plaatsvonden. NFIR heeft verder vastgesteld dat miljoenen verbindingen afkomstig van duizenden unieke IP-adressen waren vastgelegd door de firewall, waarbij poort 3389 op de thuiswerkserver is benaderd. Deze poort is de standaard toegangspoort van RDP. (bron: Managementsamenvatting Security Incident Lochem)

Burgemeester van ’t Erve over de hack in Lochem

In opdracht van Alert Online maakte Erik Jan op basis van verschillende gesprekken samen met burgemeester Sebastiaan van ’t Erve de volgende bijdrage. Het is bewonderenswaardig hoe deze burgemeester zich de afgelopen anderhalf jaar heeft ingezet voor het thema cyberweerbaarheid door zich kwetsbaar te durven opstellen over de ervaring binnen zijn gemeente.

Sebastiaan van 't Erve - Burgemeester van Lochem

Gemeente Lochem werd in 2015 al eerder slachtoffer van ransomware, maar dat had net als in de eerder beschreven voorbeelden te maken met het klikken op een bijlage van een e-mail die ervoor zorgde dat er bestanden werden versleuteld. Destijds kon de gemeente die aanval verhelpen dooreen back-up terug te zetten.

Gemeente Hof van Twente

Dinsdagmorgen 1 december 2020 kwamen medewerkers van de gemeente erachter dat zij niet meer in hun systemen konden inloggen. Waar de burgemeester aanvankelijk dacht dat de situatie meeviel en vertelde dat er geen losgeld werd geëist,  bleek al snel dat de getroffen servers zeer privacygevoelige gegevens van burgers bevatten en dat er maar liefst 800.000 euro losgeld wordt geëist. Deze gemeente heeft overigens wel geïnvesteerd in ICT blijkt uit de gunning van deze aanbesteding van ruim 400.000 euro en de extra investering van 600.000 afgelopen jaar.

Zo te zien is de gemeente slachtoffer van dezelfde criminele organisatie (Egregor-ransomware) die op 3 december Translink heeft gehackt. Daar lieten de criminelen de onderstaande brief uit de printers rollen (bron).

Er zijn al snel vooroordelen wanneer een organisatie wordt gehackt dat de ICT-zaken wel niet op orde zullen zijn. Wij denken echter dat deze gemeente wel bewust was dat ze externe expertise nodig hadden. Bij de gemeente Hof van Twente voerde men haar ICT-beleid in het verleden volledig in eigen beheer uit. Echter in 2018 heeft men zelfs een extern projectleider aangetrokken die de gemeente heeft begeleid in de keuze samenwerking met een buurtgemeente of uitbesteding aan een marktpartij. Er is toen op basis van de afweging kosten, kwaliteit en kansen voor het huidige personeel gekozen voor uitbesteding.

Werkwijze van criminele organisaties Maze en Egregor

Ransomware criminelen zijn steeds slimmer en beter georganiseerd. Er worden forse bedragen geïnvesteerd om burgers, overheidsorganisatie en bedrijven op te lichten. Via steeds meer creatieve en professionele methoden. Het gevraagde losgeld wordt hoger en zelfs bedrijven die zelf zijn gespecialiseerd in cybersecurity worden getroffen.

Begin november 2020 heeft Maze echter bekend gemaakt ‘ermee te stoppen’ en vlak ervoor was daar opeens de lancering van een nieuw crimineel platform Egregor. Toeval?? Egregor maakt gebruik van callcenter scripts om contact te leggen met bedrijven zoals:

“We are aware of a 3rd party IT company working on your network. We continue to monitor and know that you are installing SentinelOne antivirus on all your computers. But you should know that it will not help. If you want to stop wasting your time and recover your data this week, we recommend that you discuss this situation with us in the chat or the problems with your network will never end.” (Bron: zdnet).

Samen veiliger!

Is dit te voorkomen? Binnen Samen Veiliger is onze overtuiging dat niet alleen vanuit iedere gemeentelijke organisatie afzonderlijk stappen voorwaarts kunnen worden gemaakt. Juist door te investeren in ketensamenwerking investeren we in een duurzame aanpak van cyberweerbaarheid. Alleen samen kunnen we de boel veilig houden. Investeren in veilig leven en veilig ondernemen vraagt om een aanpak waarin sociale, fysieke en digitale veiligheid in elkaar overlopen.

Een aanpak die is gericht op enerzijds een partneractivatie strategie in de keten als op de individuele medewerker. Waar veel organisaties immers medewerkers als de zwakste schakel zien, zijn zij juist een belangrijk onderdeel van de oplossing. Eerst de ‘basis op orde’ krijgen is echter essentieel om aan aantoonbaar rendement en cyberweerbaarheid te kunnen werken. Wij helpen daar organisaties graag bij. Neem gerust contact op.

Steeds meer Twentenaren slachtoffer van cybercrime

In juni 2020 publiceerde Tubantia dat steeds meer mensen in Twente te maken krijgen met een vorm van cybercriminaliteit. In heel Overijssel werden sinds januari per 10.000 inwoners 2,3 cybermisdrijven geregistreerd bij de politie. Vooral in de Twentse gemeenten Hof van Twente (4 meldingen per 10.000 inwoners) en Hengelo (3,1 meldingen per 10.000 inwoners) ligt het aantal meldingen hoog. Kan het dat dit verband houdt met de hack, of is dit louter toeval?

Statement van de burgemeester gemeente Hof van Twente

Er is nog veel te doen rondom de hack van gemeente Hof van Twente. Er wordt nog volop in de media over geschreven. We hebben ervoor gekozen te wachten op een statement van de gemeente zelf. Op 18 december 2020 kwam de gemeente Hof van Twente met een statement dat hieronder te lezen is (bron: website gemeente hof van Twente). Speciaal voor december heeft het team van Samen Veiliger de (cyber)security adventskalender geïntroduceerd. Neem een kijkje en wie weet win je een prijs waarmee jij hackers buiten de deur houdt!

 


** start statement en tijdlijn **

‘We zijn gehackt!’

Op 1 december merkten we dat we onze eigen systemen niet in konden. Er werd duidelijk dat onbekende derden zich toegang hebben verschaft tot onze systemen en de gegevens op al onze servers voor ons ontoegankelijk hebben gemaakt.

(bron: website gemeente Hof van Twente)

Data op slot

Het bleek dat onze data op slot is gezet. Daar konden we niet meer bij. Alleen de data die we niet op server hebben, maar in de cloud, bleek nog toegankelijk. We hebben geen aanwijzingen gevonden dat er veel data door onze poorten naar buiten is gegaan. Ineens bevind je je als gemeente in een absurde situatie, waarbij je je werkwijze vanaf de grond opnieuw moet opbouwen. Een nachtmerrie.

Inwoners op de eerste plaats

Vanaf het eerste moment hebben wij gezegd dat de dienstverlening aan onze inwoners op de eerste plaats staat. Daar is de bulk van het werk tot nu toe op gericht geweest en dat zal zo blijven.

Niet opgelost, wel grip

Kern van de zaak is dat we nog veel te doen hebben, maar inmiddels belangrijke stappen hebben gezet. We hebben grip op de situatie.

Tijdlijn

Op deze tijdlijn schets ik de stappen die we vanaf 1 december tot het eind van het jaar zetten.

  • Toen duidelijk werd welk probleem we hadden, hebben we aangifte gedaan en alle instanties op de hoogte gebracht.
  • Op 4 december is NFIR betrokken. Zij doen onderzoek naar hoe dit heeft kunnen gebeuren.
  • Zoals gezegd: onze inwoner staat centraal. U ziet dat de meest cruciale en kwetsbare processen, zoals het uitbetalen van de uitkeringen aan onze inwoners, gelijk in gang zijn gezet. Op 4 december hebben we iedereen kunnen uitbetalen.
  • De afgelopen week zijn onze meest cruciale taken op het gebied van burgerzaken, zoals het kunnen aanvragen van paspoorten, ID-kaarten en rijbewijzen, weer mogelijk geworden.
  • Ook zijn de processen op het gebied van Werk en Inkomen weer in de lucht.
  • En we hebben ons ten doel gesteld om de facturen die bij ons binnen zijn allemaal voor 31 december te betalen. Dat is erg belangrijk voor een aantal bedrijven dat diensten aan ons levert.

Dat voor de korte termijn. Ik verwacht dat we zeker nog wel een half jaar bezig zijn om alle systemen en data weer up and running te krijgen. Dat zal in sommige gevallen tot overlast leiden.

Onderzoek voorjaar 2021

Het bureau NFIR doet op ons verzoek onderzoek naar hoe dit heeft kunnen gebeuren en zal ons aanbevelingen doen over hoe we dit in de toekomst kunnen voorkomen. Dat hoop ik u in het voorjaar van 2021 te presenteren, met als doel om organisaties als de onze te laten leren van de lessen die wij nu leren.

Onderzoek OM en Politie moet zijn loop hebben

Verder doen OM en politie ook onderzoek naar de zaak. Dat moet zijn loop hebben. Daar kan ik, in het belang van het slagen ervan, nu geen uitspraken over doen.

Statement Dennis Lacroix, gemeentesecretaris

Vanaf begin opgeschaald naar crisisorganisatie en tegelijkertijd zo goed mogelijk continueren en opstarten dienstverlening.

Per direct is het Bedrijfscontinuïteitsplan in werking getreden en vanaf het eerste moment werken we in een crisisorganisatie. We hebben opgeschaald met externe partijen als collega gemeenten, Veiligheidsregio Twente en diverse externe deskundigen. De organisatie beweegt continu mee met de actuele stand van zaken. Zo zijn we snel gaan werken met drie ‘tafels’:

  • ICT
  • Communicatie
  • Kritische bedrijfsprocessen

Momenteel wordt gewerkt in een structuur die volledig is gebaseerd op de crisisorganisatie van de Veiligheidsregio Twente (GRIP 3, grote ramp) en waar we in Twente veelvuldig mee hebben geoefend. Dus met een Beleids- en een Operationeel team en een Operationeel Leider.

Vanaf het begin af ligt onze hoogste prioriteit aan het zo goed mogelijk voortzetten en weer op gang brengen van onze dienstverlening. Overigens heeft een deel van onze dienstverlening die we in the cloud georganiseerd hebben, al die tijd kunnen doordraaien, denk bijvoorbeeld aan ons zaaksysteem en het programma voor het aanvragen van vergunningen.

Vanaf het begin hebben onze medewerkers met man en macht, met creativiteit, improvisatievermogen en in saamhorigheid de dienstverlening weer opgestart en uitgebreid. Vanaf de tweede week van december zijn we gestart met de opbouw van een nieuwe ICT-infrastructuur en interne processen. Daarbij willen onze dank uitspreken aan de collega-gemeenten Enschede, Lochem, Oldenzaal, de Veiligheidsregio Twente en een ieder die ons met raad en daad bijstaat.

Statement Brenno de Winter, cybersecurityspecialist

In het begin was er een gemeente in verwarring. Wat is hier aan de hand? Een crisis in de fysieke wereld daar is een gemeente mee bekend, een digitale crisis is een ander verhaalt. De dreun die werd uitgedeeld is enorm. Overal zit een processor. We zijn kwetsbaar. Een gemeente als ‘Hof van Twente’ krijgt te maken met problematiek van formaat. Ik zag een organisatie groeien in het incident. De regie en controle groeiden. Ik zie een burgemeester die de problematiek naar haarzelf trekt en zelf keuzes maakt. Waar een andere gemeente zoals Lochem zelf worstelde met het probleem, kwamen hier andere gemeenten helpen. De communicatielijnen voor hulp ging goed. Er lag een mooie schakelrol bij de Informatiebeveiligingsdienst voor gemeenten.

** einde statement en tijdlijn **


 

Copyright© samenveiliger.nl | Burg. Stramanweg 63, 1191 CX Ouderkerk aan de Amstel | Alle rechten voorbehouden