Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.