De cyberaanval op de gemeente Epe begon niet met een softwarelek, maar met een slimme ClickFix-social engineering aanval waarbij een medewerker zelf malware activeerde. De aanvaller wist vervolgens een wachtwoord van een beheerder te kraken en kreeg daarmee toegang tot een Kerberos-beheerticket. Daarna werd ook een noodaccount zonder MFA misbruikt, een account met vrijwel onbeperkte rechten binnen de omgeving.
Met deze privileges werd circa 871 GB aan data (550.000 bestanden) gekopieerd naar externe cloudopslag via AzCopy. Onder de buitgemaakte gegevens bevond zich een export van de BRP, inclusief namen, adressen, geboortedata en BSN-nummers van inwoners. Ook persoonsgegevens van medewerkers, financiële informatie, aanvragen voor gemeentelijke voorzieningen en circa 1.000 identiteitsbewijzen werden gestolen.
De getroffen bestanden stonden op een oude fileserver die eigenlijk al op de planning stond om te worden uitgefaseerd richting SharePoint en Teams.
Tot nu toe zijn de gegevens niet gepubliceerd, is geen losgeld geëist en zijn er geen aanwijzingen voor misbruik van de gestolen data.
De gemeente concludeert dat menselijk handelen en onvoldoende beveiligde noodaccounts de belangrijkste succesfactoren voor de aanvaller waren. Als maatregel worden onder meer het bewustwordingsprogramma vernieuwd, PowerShell- en Run-gebruik beperkt, gevoelige dataopslag verminderd en netwerksegmentatie aangescherpt.
