Aanvaller gemeente Buren kreeg toegang via vpn-wachtwoord van 14 karakters

De aanvaller die systemen van de gemeente Buren met ransomware infecteerde wist al in januari van dit jaar via een vpn-wachtwoord van veertien karakters toegang te krijgen. Dit wachtwoord was door wachtwoordmanager KeePass gegenereerd en bestond uit hoofdletters, kleine letters, cijfers en speciale karakters, zo blijkt uit het onderzoeksrapport naar de ransomware-aanval van securitybedrijf Hunt & Hackett dat vandaag openbaar is gemaakt.

Eerder meldde de gemeente Buren zelf dat de aanvaller gebruikmaakte van de inloggegevens van een niet nader genoemde leverancier. Er werd verder geen gebruikgemaakt van multifactorauthenticatie, waardoor de aanvaller alleen met het wachtwoord kon inloggen. Bij de aanval werd zeker 126 gigabyte aan data buitgemaakt en op internet gepubliceerd, waaronder identiteitsbewijzen.

Op de getroffen systemen stonden kopie├źn van ruim 1300 identiteitsbewijzen. Om misbruik te voorkomen geeft de gemeente getroffen inwoners de mogelijkheid om hun identiteitsbewijs kosteloos te vervangen. Op dit moment zijn er al ruim duizend inwoners aangeschreven met het aanbod hun identiteitsbewijs te laten vervangen.

Vpn-wachtwoord

Uit het onderzoek blijkt dat de aanvaller al in januari toegang tot de systemen van de gemeente kreeg. Hiervoor werd er vanaf een Russische ip-adres op een legitiem vpn-account ingelogd. “Het wachtwoord van dit account was willekeurig gegenereerd door KeePass, en bestond uit 14 karakters afwisselend hoofdletters, kleine letters, cijfers en speciale karakters. Dit is van voldoende complexiteit en lengte om een succesvolle uitkomst van een brute force aanval minder waarschijnlijk te maken”, aldus de onderzoekers.

Die weten niet hoe de aanvaller het wachtwoord in handen heeft gekregen. “Het is een mogelijkheid dat dit
wachtwoord is gelekt, of op een andere manier door een aanvaller is buitgemaakt op een systeem buiten
de omgeving van de gemeente.” De eerste keer dat de aanvaller weet in te loggen is op 18 januari. Vervolgens voert hij een bruteforce-aanval uit om toegang tot andere accounts te krijgen.

“Mogelijk is het wachtwoord [Geredigeerd] van het [GN1] account door middel van een (offline) brute force aanval
buitgemaakt. Dit wachtwoord lijkt sterk, maar is dat in feite niet. Dat het is buitgemaakt, staat vast”, zo laten de onderzoekers verder weten. Het “GN1-account” was van een domeinbeheerder. Daarmee kon de aanvaller zich lateraal door het net netwerk bewegen en de ransomware uitrollen.

Beveiligingsniveau

De onderzoekers stellen dat met een hoger beveiligingsniveau de aanval aanzienlijk moeilijker was geweest om succesvol uit te voeren. “Echter, de ervaring leert ook dat gemotiveerde aanvallers bijna altijd wel een point-of-entry vinden waarmee de initial access kan worden verkregen. Wat er daarna gebeurt hangt in hoge mate af van de mate waarin een organisatie in staat is om de aanval vroegtijdig te detecteren”, zo laten ze verder weten.

Conclusie

Uit het rapport blijkt dat de gemeente Buren verschillende maatregelen had kunnen nemen om zich beter te beschermen. Zo was het wachtwoord van het beheerdersaccount niet voldoende complex om een bruteforce-aanval te voorkomen. Ten tweede was het wachtwoordbeleid niet dusdanig ingericht dat dergelijke wachtwoorden met enige regelmatig werden gewijzigd. Als derde en laatste waren accounts met verhoogde rechten, en de vpn-accounts, niet beveiligd met een tweede factor.

Het inloggen door de aanvaller met het vpn-account genereerde wel voor meldingen binnen de antivirussoftware, maar hier werd geen opvolging aan gegeven. Eeen van de belangrijkste systemen die de aanvaller benaderde was de bestandsserver. “Omdat er geen proces is ingericht om adequaat om te gaan met meldingen uit detectiemechanismen zoals antivirus, is het mogelijk geweest voor de aanvaller om ongemerkt door het
netwerk te bewegen en grote hoeveelheden informatie van de organisatie te kunnen exfiltreren”, zo concluderen de onderzoekers.

Afsluitend doen de onderzoekers verschillende aanbevelingen, onder andere wat betreft de complexiteit en omgang met wachtwoorden, het gebruik van multifactorauthenticatie, systeembeheer, het uitschakelen van legacy protocollen zoals SMBv1 en het laten uitvoeren van een security assessment.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl