Hoe ransomware een gemeente dagenlang lam legde


Een ransomware-aanval met ernstige gevolgen voor een stad stond centraal in het panel “Cyberafpersing tegen bedrijven – het kan iedereen raken!” op de 4e jaarlijkse cybersecurity-conferentie van Tijd. De deelnemers beschreven de cursus en de ernstige gevolgen en leerden de lessen voor toekomstige slachtoffers van een grootschalige aanslag.

Op 6 september 2019 merkte een IT-medewerker van het stadsbestuur van Nedersaksen Neustadt am Rübenberge op extreme serverbelasting in het stedelijke datacenter. De Trickbot-trojan had een half jaar eerder het IT-systeem al aangevallen en werkte zich geleidelijk op naar verschillende niveaus en stuurde signalen. Een ransomware versleuteld op alle niveaus, zodat de servers volledig werden benut.

“In de eerste fase was het nog relatief ontspannen nadat we hadden gecontroleerd of alle back-ups draaiden. Maar toen ontdekten we dat ook daar verschillende gebieden versleuteld waren. We besloten om alle accounts te blokkeren, alle externe om te informeren en de verbinding met de hele netwerk. Toen hebben we de cybercriminaliteitsspecialisten van het LKA gebeld, die er heel snel waren “, meldt Maic Schillack, eerste gemeenteraadslid en IT-manager van Neustadt.

“Het LKA adviseerde hoe forensische maatregelen moesten worden uitgevoerd. Het is zo uitgevoerd dat de exploitatie van de gemeentelijke nutsvoorzieningen niet verder op de knieën ging. Door in een vroeg stadium contact op te nemen met het LKA kon een snel overzicht van de situatie”, zegt Heiko Löhr, groepsleider Strategie en dienst bij de afdeling Cybercriminaliteit van de federale recherche.

Gemeenteraadslid Schillack beschreef de verdere stappen van het bestuur. Eerst controleerde ze of vitale systemen zoals riolering, rioolwaterzuiveringsinstallaties, verkeer en sluitsystemen, bijvoorbeeld voor scholen, werden aangetast. Dat was niet het geval. Daarna was het de vraag of de stad sociale uitkeringen en salarissen kon blijven betalen.

“We besloten al snel om het hele netwerk opnieuw op te bouwen. Dit is een enorm onderwerp waar veel personeel voor nodig is. We hadden hier nu tot 40 IT-specialisten die de hardware van het nieuwe netwerk en het opstarten van de individuele werkstations voor hun rekening nemen. hebben gezorgd”, zei hij.

Inmiddels zijn de administratieve werkplekken uitbesteed aan de buurgemeenten en aan het rekencentrum van de stad. “Er wordt veel gehost. Dat werkte best goed. Uiteindelijk waren we relatief snel weer terug met de basisactiviteiten. Dat duurde vijf dagen omdat, voor zover ik weet, zelfs specialisten deze tijd nodig hebben voor relatief nieuwe virussen om het virus te herkennen en de Tegenprogrammering initiëren. In mijn ervaring kan het niet sneller.’



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: