Nederlands

Langdurige samenwerkingsrelatie met eerstelijnsmerken in binnen- en buitenland

Bekijk alle producten

Geavanceerde productietechnologie, uitstekende productkwaliteit en goede reputatie

Bekijk alle producten

Professioneel verkoopadviseurteam om u professionele oplossingen te bieden

Bekijk alle producten

Aanvaller gemeente Buren kreeg toegang via vpn-wachtwoord van 14 karakters - Security.NL

2022-09-19 08:24:25 By : Ms. Mikayla wang

De aanvaller die systemen van de gemeente Buren met ransomware infecteerde wist al in januari van dit jaar via een vpn-wachtwoord van veertien karakters toegang te krijgen. Dit wachtwoord was door wachtwoordmanager KeePass gegenereerd en bestond uit hoofdletters, kleine letters, cijfers en speciale karakters, zo blijkt uit het onderzoeksrapport naar de ransomware-aanval van securitybedrijf Hunt & Hackett dat vandaag openbaar is gemaakt.

Eerder meldde de gemeente Buren zelf dat de aanvaller gebruikmaakte van de inloggegevens van een niet nader genoemde leverancier. Er werd verder geen gebruikgemaakt van multifactorauthenticatie, waardoor de aanvaller alleen met het wachtwoord kon inloggen. Bij de aanval werd zeker 126 gigabyte aan data buitgemaakt en op internet gepubliceerd, waaronder identiteitsbewijzen.

Op de getroffen systemen stonden kopieën van ruim 1300 identiteitsbewijzen. Om misbruik te voorkomen geeft de gemeente getroffen inwoners de mogelijkheid om hun identiteitsbewijs kosteloos te vervangen. Op dit moment zijn er al ruim duizend inwoners aangeschreven met het aanbod hun identiteitsbewijs te laten vervangen.

Uit het onderzoek blijkt dat de aanvaller al in januari toegang tot de systemen van de gemeente kreeg. Hiervoor werd er vanaf een Russische ip-adres op een legitiem vpn-account ingelogd. "Het wachtwoord van dit account was willekeurig gegenereerd door KeePass, en bestond uit 14 karakters afwisselend hoofdletters, kleine letters, cijfers en speciale karakters. Dit is van voldoende complexiteit en lengte om een succesvolle uitkomst van een brute force aanval minder waarschijnlijk te maken", aldus de onderzoekers.

Die weten niet hoe de aanvaller het wachtwoord in handen heeft gekregen. "Het is een mogelijkheid dat dit wachtwoord is gelekt, of op een andere manier door een aanvaller is buitgemaakt op een systeem buiten de omgeving van de gemeente." De eerste keer dat de aanvaller weet in te loggen is op 18 januari. Vervolgens voert hij een bruteforce-aanval uit om toegang tot andere accounts te krijgen.

"Mogelijk is het wachtwoord [Geredigeerd] van het [GN1] account door middel van een (offline) brute force aanval buitgemaakt. Dit wachtwoord lijkt sterk, maar is dat in feite niet. Dat het is buitgemaakt, staat vast", zo laten de onderzoekers verder weten. Het "GN1-account" was van een domeinbeheerder. Daarmee kon de aanvaller zich lateraal door het net netwerk bewegen en de ransomware uitrollen.

De onderzoekers stellen dat met een hoger beveiligingsniveau de aanval aanzienlijk moeilijker was geweest om succesvol uit te voeren. "Echter, de ervaring leert ook dat gemotiveerde aanvallers bijna altijd wel een point-of-entry vinden waarmee de initial access kan worden verkregen. Wat er daarna gebeurt hangt in hoge mate af van de mate waarin een organisatie in staat is om de aanval vroegtijdig te detecteren", zo laten ze verder weten.

Uit het rapport blijkt dat de gemeente Buren verschillende maatregelen had kunnen nemen om zich beter te beschermen. Zo was het wachtwoord van het beheerdersaccount niet voldoende complex om een bruteforce-aanval te voorkomen. Ten tweede was het wachtwoordbeleid niet dusdanig ingericht dat dergelijke wachtwoorden met enige regelmatig werden gewijzigd. Als derde en laatste waren accounts met verhoogde rechten, en de vpn-accounts, niet beveiligd met een tweede factor.

Het inloggen door de aanvaller met het vpn-account genereerde wel voor meldingen binnen de antivirussoftware, maar hier werd geen opvolging aan gegeven. Eeen van de belangrijkste systemen die de aanvaller benaderde was de bestandsserver. "Omdat er geen proces is ingericht om adequaat om te gaan met meldingen uit detectiemechanismen zoals antivirus, is het mogelijk geweest voor de aanvaller om ongemerkt door het netwerk te bewegen en grote hoeveelheden informatie van de organisatie te kunnen exfiltreren", zo concluderen de onderzoekers.

Afsluitend doen de onderzoekers verschillende aanbevelingen, onder andere wat betreft de complexiteit en omgang met wachtwoorden, het gebruik van multifactorauthenticatie, systeembeheer, het uitschakelen van legacy protocollen zoals SMBv1 en het laten uitvoeren van een security assessment.

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Nationaal Cyber Security Centrum (NCSC)

Het NCSC heeft de afgelopen jaren een ontwikkeling doorgemaakt, maar zal ook de komende jaren flink moeten inzetten op de digitale veiligheid van Nederland. In deze dynamische werkomgeving is het aan de senior dreigingsanalist om digitale dreigingen te analyseren en te duiden, zodat voor Nederland vitale organisaties passende veiligheidsmaatregelen kunnen treffen.

Ben jij een ervaren pentester en wil je graag een team van pentesters/ red teamers gaan leiden? Wil je jouw kennis delen met collega’s en de gehele afdeling naar een volgend level leiden? Wij zijn op zoek naar een Teamleider voor de Hackers van Hoffmann, een enthousiaste club van ethical hackers die blijft groeien.

Juridische vraag: Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken ...

Nationaal Cyber Security Centrum (NCSC)

Door het snelgroeiende en veranderende cybersecurity domein en technologische mogelijkheden zet het NCSC flink in op een transitie naar een steeds innovatieve hybride gedreven dienstverlening. Jij neemt als tech-nisch geweten je collega's mee tijdens deze verandering, zorgt dat de juiste keuzes worden gemaakt en waarborgt dat het tech-nische platform en onderliggende infra-structuur op het juiste kwaliteitsniveau wordt geïmplementeerd.

Ziggo heeft de internetverbinding een tijdje geblokkeerd omdat een apparaat in ons netwerk is ingezet bij een Ddos aanval. Ik ...

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Bedankt! Je kunt nu inloggen op je account.

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Aanbevolen producten

Nieuwsblog