Welkom2020 was het wachtwoord dat zorgde dat hackers op 1 december vorig jaar makkelijk toegang kregen tot de systemen van Hof van Twente. Dat begon met de boodschap: Hello, need data back? Contact us fast.”
Dat blijkt uit een rapport van het NFIR dat in opdracht van de gemeente onderzoek deed. Tegelijkertijd publiceerde security-expert Brenno de Winter een duidingsrapportage over de hack dat de vinger op de zere plekken legt.
Welkom2020
Beide rapporten maken gehakt van het securitybeleid van de gemeente. De gemeente was in eerste instantie verrast door de hack en bleek, volgens de onderzoekers, te goed van vertrouwen. Zo wijzigde een systeembeheerder in oktober vorig jaar het wachtwoord van het beheerdersaccount maar ‘Welkom2020’.
Daar komt bij dat een jaar daarvoor ook de firewall werd verzwakt, waardoor iedereen op internet verbinding mocht zoeken met de FTP-server van de gemeente. Er was geen tweefactorauthenticatie aanwezig. Daarnaast bleek dat er geen goede scheiding was tussen de verschillende fysieke en virtuele servers van de gemeente. Eenmaal binnen konden de hackers dus vrijelijk hun gang gaan.
De samenloop van omstandigheden zorgde in eerste instantie voor een hausse aan brute force-aanvallen. Er vonden dagelijks 50.000 tot 100.000 hackpogingen plaats. En dat had op 9 november al succes. De gemeente gooide daarna negentig virtuele servers weg. Alle back-ups werden vernietigd.
Spam
Volgens de onderzoekers installeerden de aanvallers op verschillende momenten in de periode van 9 tot en met 19 november 2020 software op de FTP-server met als doel om spam te versturen. Deze pogingen werden wel geblokkeerd.
Op zowel 18 en 19 november werden vanaf vier verschillende servers verbindingen opgezet met een Command & Control server. Deze verbindingen werden de nieuwe toegangsweg voor de aanvallers. Het vormde de opmaat maar de grote aanval die de systemen uiteindelijk platlegde.
Op 30 november 2020 rond 22:00 uur begonnen de hackers met de grote ransomware-aanval door versleutelen van systemen en verwijderen van 89 virtuele servers. De aanvallers lieten meerdere geprinte ‘ransom notes’ achter op de printers en als bericht op versleutelde systemen, met als doel om de gemeente contact te laten zoeken met de aanvallers.
Niet alert
Behalve de nalatige systeembeheerder leggen de onderzoekers de schuld van de hack ook deels bij de gemeente zelf. Hof van Twente zou niet alert zijn geweest. Zij vertrouwden op de expertise van de systeembeheerders. Toen de gemeente het systeem vorig jaar wel liet testen zagen de testers de wijd open achterdeur over het hoofd.
Door de hack lag sinds begin december de dienstverlening van de gemeente plat. De gemeente schakelde een internationale datahersteller in die zorgde dat half januari een flink deel van de dienstverlening weer van start kon. Intussen helpt de gemeente Enschede Hof van Twente met de bouw van een nieuw en veiliger ICT-netwerk. De rapporten moeten zorgen dat de fouten niet meer worden herhaald.
Lees ook:
- Onderzoek Twitter-hack toont gebrek aan basis toegangscontrole
- Live hack Microsoft Exchange migratietool
