11-03-2021
VPT organiseerde op 22 februari een Maandag Middag Meetup over Ransomware. Deze kwam tot stand naar aanleiding van een Ransomware aanval op Improve, het bedrijf van Antoinette Wijffels, bestuur VPT.
Ransomware aanval op Improve
Op een ochtend kwam Antoinette met haar personeel Improve binnen en stond de server uit. Ze vonden het vreemd maar dachten dat iets onschuldigs was gebeurd en probeerden de server weer aan te zetten. Op de printer lag een brief waar ze aanvankelijk niet veel aandacht aan gaven. Toen het niet mogelijk bleek om de server weer aan de praat te krijgen keken ze pas echt goed naar wat er op de brief stond. Het was een gijzelingsbrief met een link naar een website waar ze een handleiding konden ontvangen over hoe je losgeld kon gaan betalen.
Ze kwamen er al snel achter dat de politie niets voor ze kon doen. Die adviseerde om een bureau in te schakelen. Eén van Improve’s klanten was Fox-IT en aan dit bedrijf hebben ze hulp gevraagd. Die konden, vanwege drukte, niet meteen helpen maar adviseerden om al hun netwerk verbindingen eruit te gooien. Vervolgens begon de zoektocht bij Improve naar een oplossing. Als eerste moesten ze zich gaan verdiepen in wat Ransomware was want hoewel ze er van gehoord hadden was het veelal onbekend terrein.
Antoinette dacht dat de schuld bij hunzelf lag, mogelijk vanwege fouten die ze gemaakt hadden of omdat zij investeringen in IT uitgesteld hadden vanwege de crisis maar FOX-IT weerlegde dit gelijk. Het is namelijk vaak zo dat de hackers, lang voordat je het door hebt, al bij je binnen zijn via een mailtje. De avond voor de gijzeling had een medewerker van Antoinette iets opgemerkt, namelijk dat er heel even een andere gebruiker aanwezig leek te zijn, maar dat legde ze naast zich neer. Waarschijnlijk, hadden ze op dat moment alles losgekoppeld, dan was de server mogelijk gered geweest maar nu waren al hun bestanden en hun opslag versleuteld.
Ze stonden voor de vraag: Wat ga je doen? Gingen ze in op de eisen van deze gijzelaars? Doe je dat dan ben je feitelijk aan het onderhandelen met een criminele organisatie en kan niemand je meer helpen. Na een lastig weekend, heeft Antoinette samen met Rob van Koppen, mede eigenaar van Improve, besloten niet in te onderhandelen met de gijzelaars, en ook geen mail of link van de gijzelaars te openen. Ze hebben alles van het internet af gehaald en hebben besloten dat ze alle schade als gevolg van de ransomware aanval zouden accepteren. Ze zijn drie weken bezig geweest met alles opschonen en analyseren. Het meeste hebben ze terug maar dat is niet zonder slag of stoot gegaan. Fox-IT vertelde Antoinette dat één op de vier midden en klein bedrijf hierdoor geraakt worden. Daarom besloot Antoinette hiermee in het openbaar te treden zodat anderen zich hier tegen konden bewapenen.
Presentatie Gert Koopman, Fox-IT
Wie is Fox-IT
Fox-IT ondersteunt overheid en bedrijfsleven bij het verkrijgen van inzicht. Inzicht in wat er precies aan de hand is bij een hack, waarom dit gebeurt en hoe dit in de toekomst te voorkomen is. Fox-IT helpt het risico op een incident te verkleinen, en de schade te beperken als er zich desondanks toch een incident voordoet. Ze hebben een geïntegreerde cybersecuritystrategie: een strategie die zowel technische als menselijke en organisatorische aspecten bevat. Voor veel bedrijven betekent zo’n strategie een fundamentele aanpassing van hun puur op technologie gerichte opvattingen over cybersecurity. https://www.fox-it.com/nl/
Hoe werkt Ransomware
Hackers zijn heel erg brutal. De hacker van Improve was zo trots op zijn werk dat hij precies uitgelegd heeft in zijn brief hoe de hack heeft gedaan. De ransomware komt in verschillend vormen. Het systeem wordt gegijzeld of bestanden worden gegijzeld of er is een combinatie van beiden. Aanvallers gebruiken technieken als social-engineering door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken en gebruiken bewapende websites om te misleiden of te gebruiker dwingen om een druppelaar te downloaden die de infectie start. De druppelaar downloadt een uitvoerbaar bestand dat de ransomware zelf installeert. De ransomware zet zichzelf op, nestelt zichzelf in een systeem en zorgt dat het blijft bestaan na een herstart. De ransomware zoekt naar inhoud om te versleutelen, zowel op de lokale computer als op de via het netwerk toegankelijke bronnen. De gevonden bestanden worden dan versleuteld. Daarna is het betaaldag; er wordt een losgeldnota gegenereerd die aan het slachtoffer wordt getoond en de hacker wacht om het losgeld te innen.
Beperk de schade
De kans op besmetting kan worden verkleind door actuele software gebruiken. De fabrikanten van software brengen regelmatig updates uit om beveiligingslekken te dichten, zoals Microsoft Windows, Adobe Reader, Flash Player enz. Ga niet surfen op het internet als je ingelogd bent op een account met administratorrechten. Ga niet surfen op het internet zonder up-to-date antivirusprogramma. Gebruik een firewall. Open geen verdachte bijlages in e-mails. Download en installeer geen illegaal gehakte software. Geef voorlichting aan bedrijfspersoneel. Kom hier regelmatig op terug.
Besmetting is niet volledig te voorkomen. Soms raken computers besmet via een reguliere website, die door criminelen is gehackt. Ook hier kunnen bedrijven de schade beperken door voorzorgmaatregelingen te nemen. Maak gebruik van een geïsoleerde back-upserver en noodbedrijfsruimte, zodat de meeste essentiële en urgente taken toch nog kunnen worden uitgevoerd. Maak een calamiteitenplan dat rekening houdt met de mogelijkheid van een IT-crash. Verminderen de afhankelijkheid op computers, o.a. door essentiële informatie ook op papier vast te leggen. Het is bovendien mogelijk voor ondernemers en bedrijven zich voor schade door cybercriminaliteit te verzekeren.
Overige Aanbevelingen:
- Gescheiden back-up kopieën
- Systemen up-to-date houden
- Multifactorauthenticatie
- Verhoog de logboekregistratiemogelijkheden
- Implementeer of verbeter Netwerk – en logmonitoring
- Verbeter processen vulnerability and patch management
- Breng meer segmentatie aan binnen netwerk en gebruiksrechten
- Oefen met crisisscenario’s en verbeter plannen waar nodig, verbeter awareness.
Meer informatie:
https://www.fox-it.com/nl/diensten/academy
De VPT bedankt Gert Koopman en Antoinette Wijffels hartelijk voor de medewerking.
Bedankt, binnen enkele minuten ontvangt je een e-mail van ons met daarin een persoonlijke link. Klik op de link om een nieuw wachtwoord op te geven.