De cybercriminelen die systemen van de gemeente Hof van Twente met ransomware wisten te besmetten, konden binnendringen dankzij het eenvoudige wachtwoord ‘Welkom2020’.
Dat staat in het onderzoeksverslag dat afgelopen dinsdag is verschenen. Via een bruteforce-aanval konden de hackers het wachtwoord van een testadmin-account raden.
Hoogste rechten
Het wachtwoord was op 15 oktober vorig jaar ingesteld voor het testadmin-account. Dit account had de hoogste rechten binnen het netwerk van de gemeente. “Mede hierdoor konden de aanvallers zich direct vrij over het netwerk bewegen en malicieuze handelingen uitvoeren”, aldus de onderzoekers.
Ransomware-aanval
De criminelen gebruikten hun toegang in eerste instantie voor het installeren van software die spam verzendt. De firewall blokkeerde dit. Op 30 november 2020 rond 22:00 uur startten de hackers de ransomware-aanval. Ze versleutelden systemen en verwijderden 89 virtuele servers. Er werd circa 375 MB aan gegevens ontvreemd.
Wachtwoordbeleid
De gemeente had verscheidene maatregelen kunnen nemen om de aanval te voorkomen. “De FTP-server was toegankelijk vanaf het internet middels een open poort (RDP) – een aanvullende verificatie om in te kunnen loggen (tweefactorauthenticatie) was niet ingericht”, aldus de onderzoekers. De gemeente heeft laten weten dat het wachtwoord ‘Welkom2020’ voldeed aan haar wachtwoordbeleid. De onderzoekers spreken echter van een ongeschikt wachtwoord.
Klik hier voor de onderzoeksrapporten over de hack bij Hof van Twente.