De hack uitgelegd #2: MKB installatiebedrijf uit Helmond

Hoek en Blok.IT

In ‘de hack uitgelegd’ nemen wij je mee in recente, impactvolle hacks. Onze beveiligingsspecialisten hebben zich ingelezen in het dossier en geven hun analyse. Hoe heeft de hack plaats kunnen vinden? Wat was de impact ervan op het bedrijf? Hoe had dit voorkomen kunnen worden? De beantwoording op deze vragen geeft jou als klant van Hoek en Blok IT meer inzage in het onderwerp en kan helpen je te wapenen tegen cybercriminaliteit.

In deze editie gaan we in op de cyberaanval op het MKB installatiebedrijf uit Helmond. Tijdens deze cyberaanval werd het hele netwerk van het installatiebedrijf platgelegd.

Wat is er gebeurd?

Eind 2018 werd het installatiebedrijf van Adriaan uit Helmomd slachtoffer van een ransomware-aanval. Het bedrijf van Adriaan bestaat uit 12 medewerkers, eem MKB organisatie zoals er wel meer zijn. Hackers gijzelden de computers van het installatiebedrijf en vervolgens werd Adriaan gedwongen om de hackers te betalen.

Wat is ransomware?

Het Nationaal Cyber Security Centrum (NCSC) zegt hierover:

Ransomware is malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. In extreme gevallen blokkeert de ransomware de toegang tot het IT-systeem door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Gezien het destructieve karakter van ransomware-aanvallen is het vaak moeilijk om de logbestanden te herstellen en te achterhalen wat er daadwerkelijk is gebeurd. Hackers kunnen intellectueel eigendom of persoonsgegegevens hebben gestolen, waarbij zij ransomware inzetten om hun echte bedoelingen te verbergen“.

Oorzaak van de hack

Gevolgen van de hack

Een van de opties was dat het installatiebedrijf anderhalve maand kon wachten tot op internet een oplossing voor ransomware verscheen, maar dan ligt wel al die tijd het bedrijf plat. Medewerkers konden niet bij de administratie, bij facturen, bij bouwtekeningen. Dat zijn tekeningen die het bedrijf constant nodig heeft voor onderhoud. Als ze die opnieuw moesten maken, zou dat een veelvoud kosten van wat die hackers aan losgeld vroegen. Dit was dus geen optie.

Uiteindelijk heeft het installatiebedrijf besloten te betalen: 2680 dollar om precies te zijn. De digitale gijzeling heeft het bedrijf 4 dagen in zijn greep gehouden.

Nadat het losgeld is betaald, komt er een berichtje met een duimpje omhoog: ‘Thank you for the payment’. Daarna volgt de ‘sleutel’ die alle bestanden weer repareert. Meteen worden allerlei maatregelen genomen om herhaling te voorkomen, zoals meer en beter beveiligde back-ups. „Maar heel eerlijk”, zegt Michel. „Het zit allemaal zo complex in elkaar en die ransomware is zo inventief. Ik vraag me af of je je hier wel echt tegen kunt wapenen.”

Jouw bedrijf goed beveiligen?

Hallo, ik ben

jouw IT Security Manager


Ik regel je IT security,

het hele jaar door én betaalbaar

Had dit voorkomen kunnen worden?

Informatiebeveiliging kent drie factoren: mensen, processen en techniek. Cyberaanvallen kunnen plaatsvinden door een gebrek aan maatregelen in één of meerdere van deze gebieden. De cyberaanval op de universiteit had wellicht voorkomen kunnen worden of de gevolgen hadden kunnen worden beperkt. Enkele van de belangrijke maatregelen die niet optimaal gewerkt hebben:

  • Betere bewustwording van het personeel

Doordat (een deel van) het personeel van de universiteit niet voldoende op de hoogte was van het gevaar van phishing-mails, werd er op een kwaadaardige mail geklikt. Door deze actie konden de hackers het netwerk van de universiteit binnendringen. Betere bewustwording van het personeel had het openen van de phishing-mail kunnen voorkomen.

Naast het feit dat er op de phishing-mail is geklikt, is uit onderzoek gebleken dat het opvolgen van dit incident onvoldoende is geweest. Door onvoldoende opvolging van het cyberincident konden de hackers verder gaan met hun kwaadwillende werkzaamheden. Goede registratie en opvolging van dit incident had de omvang van de cyberaanval in kunnen dammen.

  • Technische maatregelen

Technische maatregelen hadden de omvang van de cyberaanval kunnen beperken of zelfs kunnen voorkomen. Enkele essentiële maatregelen:

    • Tijdig doorvoeren van software-updates

IT-landschappen zien we steeds complexer worden. De kans op fouten in de software is daarom ook toegenomen. Leveranciers ontdekken deze fouten en brengen vervolgens software-updates uit om de fouten te herstellen. Zo krijgt de universiteit jaarlijks ongeveer 100.000 updates binnen om de ruim 1600 servers en ruim 7300 werkstations up-to-date te houden. Uit onderzoek is gebleken dat niet alle updates waren uitgevoerd en dat de hackers daarom via een ‘achterdeurtje’ konden binnendringen. Het volledig updaten van de software had dus kunnen helpen bij het voorkomen van de cyberaanval.

    • Periodieke security test

Door periodiek een analyse uit te voeren van de technische beveiliging van het computernetwerk en de systemen kunnen ontbrekende maatregelen worden ontdekt en alsnog worden ingericht. Denk bijvoorbeeld aan het afschermen van belangrijke servers, het identificeren van bekende beveiligingslekken in systemen en applicaties en het beperken van inlogmogelijkheden voor beheerders. Ook is het belangrijk om maatregelen te treffen tegen de ongewenste uitvoering van software code, bijvoorbeeld door macro’s uit te schakelen en alleen geautoriseerde software te gebruiken.

    • Inrichten van netwerkmonitoring

Dagelijks worden duizenden inbraakpogingen en malware-aanvallen van buitenaf gestopt. Bij de universiteit werden echter belangrijke signalen niet opgemerkt door het gebrek aan goede monitoring-software. Een zogeheten SIEM (Security Information and Event Management) had belangrijke signalen aan het licht kunnen brengen. Hierdoor had er eerder gereageerd kunnen worden op de cyberaanval waardoor ook de gevolgen ingedamd hadden kunnen worden.

    • Inregelen van dubbele back-ups

Als de hackers eenmaal de macht hebben over bepaalde servers, moet er altijd nog een plan B zijn om de gegevens terug te krijgen. De universiteit had er tot aan het moment van de cyberaanval voor gekozen om gebruik te maken van online back-ups. Echter hadden de hackers de online back-ups weten te versleutelen. Hierdoor konden de back-ups niet teruggezet worden. Een offline back-up had ervoor kunnen zorgen dat de gegevens alsnog teruggezet hadden kunnen worden. Het hebben van offline back-ups had de gegevens van de universiteit namelijk wel terug kunnen zetten, ook al kost dit veel tijd. Het bezit van offline back-ups had de ‘verplichte’ betaling aan de hackers mogelijk kunnen voorkomen.

Tot slot

Wij adviseren onze klanten om meer aandacht te besteden aan de beveiliging van informatie en IT. We sluiten ons dan ook aan bij de zienswijze van het Nationaal Cyber Security Centrum (NCSC):

“Zolang organisaties niet voldoende aandacht besteden aan cybersecurity, blijft malware zoals ransomware bestaan. Het verdienmodel is gebaseerd op de gedachte dat een organisatie noodgedwongen moet betalen. Door een ransomware-aanval te voorkomen helpt u niet alleen uw eigen organisatie, maar draagt u bij aan het verstoren van deze criminele activiteit.

Tegelijkertijd kunnen niet alle ransomware aanvallen voorkomen worden. Zorg daarom dat u ook voorbereid bent op de mogelijke impact van een ransomware-aanval.”

Dit blog is opgesteld op basis van eigen onderzoek van de auteur. Aan dit blog kunnen geen rechten worden ontleend, daarnaast zijn wij niet aansprakelijk voor onjuistheden die onverhoopt in dit blog kunnen zijn vermeld. Volledigheid in dit blog is niet beoogd, iedere casus vereist een maatwerkoplossing. Voor vragen kunt u contact opnemen via onderstaand formulier.

Bronnen

1 – Onderzoeksrapport Fox-IT Ransomware aanval Universiteit Maastricht

2 – Nationaal Cyber Security Centrum – Ransomware factsheet

Zet uw IT security manager aan het werk

Neem contact op met Hoek en Blok IT en u krijgt uw eigen IT security manager aangewezen. Deze gaat voor u aan de slag en zorgt er samen met u voor dat uw bedrijf goed beveiligd wordt.

  • Uw eigen IT security specialist

  • Periodieke controle en bijsturing

  • Geen hoge eenmalige advieskosten

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.



    Gerelateerde blogs

    Informatieveiligheid