Begin van de maand organiseerde Commvault een groot event in het Louwman Museum. Het idee was organisaties meer inzicht te bieden in het beveiligen van hun data, maar ook wat er allemaal komt kijken bij een cyberaanval. Wat als je getroffen bent door ransomware? Welke opties heb je dan nog? Met wie heb je te maken? Om dit vorm te geven had Commvault een groot aantal sprekers uitgenodigd.
De opzet van het event was een talkshowtafel waar gedurende de dag verschillende experts aanschuiven om te praten over hun expertise. De host van de dag was Amber Brantsen. Deze sessies werden afgewisseld met presentaties van experts uit de markt. Zo gaf Jeroen Jansen van Microsoft een presentatie, maar ook advocaat Jeroen van Helden van De Clercq en security specialist Martijn Hoogesteger van S-RM.
Security is key
De dag begon zoals op veel andere security events, de basis werd gelegd en de statements kwamen voorbij die iedereen al weleens eerder heeft gehoord. Het is niet de vraag of je te maken krijgt met een cyber indicent maar wanneer.
Het hebben van goede backups en het ontwikkelen en testen van een recoveryplan, konden uiteraard ook niet ontbreken. Net als dat je thuis de voordeur op slot draait, moet je ook je organisatie beveiligen met moderne en adequate security oplossingen.
Voor ons zat de belangrijkste informatie meer richting het einde, deels in de presentatie van Jeroen van Helden en Martijn Hoogesteger. Zij deelden hun ervaring over met wie je nu eigenlijk te maken hebt en hoe je kan onderhandelen met deze cybercriminelen om je data terug te krijgen en vaak ook een stuk minder te betalen.
Ransomware criminelen zijn goed georganiseerde organisaties
Als je als organisatie te maken krijgt met een bekende ransomware groepering, dan heb je in sommige gevallen misschien wel geluk. Dit zijn namelijk geen pubers die ergens in Oost-Europa op hun zolderkamer zitten. Dit zijn vaak goed gerunde organisaties, met hiërarchie, salarissen, managers en jawel, een complete klantenservice. Al kunnen we het beter een slachtofferservice noemen.
Deze organisaties claimen vaak niet eens crimineel te zijn, maar presenteren zich als security-onderzoekers. Ze hebben een beveiligingslek gevonden in je organisatie en daar moet je nu voor betalen, zo stellen ze. Dat betalen om je data terug te krijgen is weliswaar een vorm van afpersing, maar ze proberen dat op de een of andere manier te legitimeren. Er zijn zelfs voorbeelden van organisaties met enig moreel besef, die gratis decryptietools verschaffen als blijkt dat ze per ongeluk een ziekenhuis hebben aangevallen.
Cybercriminelen vertrouwen?
Dat deze criminele organisaties steeds beter georganiseerd zijn, is aan de ene kant misschien zorgelijk, maar aan de andere kant ook weer positief. Natuurlijk zijn criminele organisaties nog steeds niet wenselijk, maar als ze voorspelbaar zijn kan je daar beter op anticiperen. De bekende grote ransomware groeperingen zijn zich enorm bewust van hun imago en dat de acties die ze doen ook consequenties op hebben. Daarom zijn ze zo goed georganiseerd.
Zo snappen ze bijvoorbeeld dat als een organisatie ervoor kiest het losgeld te betalen, het ook belangrijk is om een tool te leveren waarmee organisatie hun data terugkrijgen. Als ze namelijk te boek staan als betrouwbaar is de kans groter dat het volgende bedrijf ook gaat betalen. Als je keer op keer incasseert maar niet levert, dan drogen de inkomsten vanzelf op.
Zo leren we tijdens de presentaties ook dat het mogelijk is om flink met ze te onderhandelen. Stel dat ze belangrijke bedrijfsdata hebben versleuteld en ze vragen 100.000 dollar in bitcoin om die terug te krijgen, dan valt er over die prijs nog wel te praten. Vaak is een forse korting nog zeker mogelijk. Wel is het belangrijk dat je hiervoor experts raadpleegt die weten hoe je dit moet aanpakken, maar belangrijker nog, die mogelijk weten of de organisatie waarmee je te maken hebt ook is te vertrouwen.
Cybercriminelen houden zelfs kantoor, maar aan bezoek doen ze niet
Een van de anekdotes die we hoorden tijdens Commvault Connections en die laat zien hoe goed ze georganiseerd zijn, is dat na een stevige onderhandeling het antwoord kwam: “Dat moet ik even met mijn manager overleggen”. Oftewel de hoeveelheid korting die men probeerde te krijgen was meer dan waar hij zelf over mocht beslissen.
“Dat moet ik even met mijn manager overleggen”
Een andere anekdote is dat sommige groeperingen gewoon kantoor houden. Uiteraard in landen waar weinig wordt gedaan aan cybercriminaliteit, maar mensen komen gewoon naar kantoor om te werken. Zo hebben ze een klantenservice die slachtoffers te woord staan die graag hun data terug willen. Vaak spreken ze ook uitstekend Engels en kunnen ze je overal meehelpen. Van hoe je ze kan betalen in bitcoin tot hoe je je bestanden moet ontsleutelen.
Ook hebben ze Intelligence Teams die op zoek zijn naar nieuwe beveiligingslekken waar men misbruik van kan maken, huren ze schoonmakers in om het kantoor te poetsen en wordt elke week of maand netjes de huur betaald van het kantoor en krijgt het personeel salaris. Het grootste verschil met een legitiem bedrijf is dat alles onder de radar gebeurt. Zo wordt er niet in euros of dollar betaald, maar in cryptovaluta.
Lastige keuze: betalen om je data terug te krijgen of niet
Veel organisaties die getroffen worden door ransomware komen uiteindelijk voor de keuze te staan. Gaan we betalen om onze data terug te krijgen of niet? Alle overheidsinstanties en opsporingsdiensten zijn allemaal volmondig; niet betalen.
Op zich hebben ze daar een punt, want zolang deze cybercriminelen goed geld kunnen verdienen hiermee, zullen ze niet stoppen. Als iedereen echter stopt met betalen, dan gaan zij vanzelf wat anders doen. Dan is het niet meer lucratief. Op dit moment is het nog wel lucratief, hoewel bitcoin anoniem is, zijn geldstromen naar bepaalde wallets wel goed te volgen.
Hierdoor weten we dat in 2020 en 2021 de cybercriminelen nog minimaal 765 miljoen dollar hebben verdiend aan ransomware. In 2022 was dat met 457 miljoen dollar al een stuk minder. De beveiliging van veel bedrijven is flink verbeterd en de boodschap om niet te betalen komt langzaam door.
Toch is niet betalen wel heel makkelijk gesteld. Als een groot deel van je bedrijfsdata is versleuteld en je hebt ook geen backups meer, dan is betalen ineens erg interessant. Het kan het verschil zijn tussen overleven of failliet gaan. Als de bedrijfscontinuïteit in gevaar komt denkt men toch ineens anders. Of als belangrijke data dreigt verloren te gaan gelden er vaak ineens andere regels. Zo waren er ziekenhuizen in de Verenigde Staten die eerst betaald hebben om hun data terug te krijgen, voor de FBI te bellen. Simpelweg omdat ze wisten dat als ze eerst de FBI zouden bellen, ze nooit toestemming zouden krijgen om nog te betalen.
Onderhandelen, vertrouwen opbouwen, bewijs verzamelen en oorzaak achterhalen
Mocht je ooit in de situatie belanden dat je besmet bent met ransomware en moet onderhandelen, huur dan een expert in. Uiteindelijk zijn er flink wat valkuilen en weten de experts precies wat ze moeten vragen, hoe ze moeten handelen en hoeveel korting ze waarschijnlijk kunnen bedingen.
Je kan bijvoorbeeld gewoon bewijs vragen dat ze je bestanden ook daadwerkelijk kunnen ontsleutelen. Vaak kan je een versleuteld bestand opsturen en sturen zij deze weer in een normaal formaat terug. Als ze dat niet kunnen heeft betalen ook geen zin. Wat ook steeds populairder wordt, is dat ze dreigen je data te publiceren op het internet. Hierdoor kan de reputatie van je organisatie een forse deuk oplopen. Ook hier is het belangrijk om bewijs te vragen. Dat ze je systemen hebben versleuteld betekent niet automatisch dat ze je data ook in handen hebben.
Uiteindelijk is het belangrijk dat je iets van een relatie met de criminelen opbouwt, waaruit blijkt dat je ze kan vertrouwen. Vaak kunnen ze ook vertellen hoe ze zijn binnengekomen op je bedrijfsnetwerk. Hoelang geleden dat is en wat je moet patchen om weer veilig te zijn. Niet geheel onbelangrijk, want je wilt niet een week later weer slachtoffer zijn.
Ransomware voorkomen met recovery plan
Tijdens Commvault Connections was ook Paul Vries aanwezig van Bilthoven Biologicals. Zijn organisatie is getroffen door ransomware en hij kwam ervaringen delen. De belangrijkste les is toch wel het hebben van een goed recoveryplan. Waarbij het uitgangspunt is dat je complete bedrijfsnetwerk is versleuteld door ransomware.
Een van de dingen die nog weleens misgaat is dat de authenticatieserver ook is versleuteld. Hierdoor functioneert je Active Directory niet meer. Dat is niet enkel vervelend, dat kan catastrofaal zijn als je backups op servers zijn opgeslagen die ook gebruik maken van die Active Directory server. Je hebt dan mogelijk wel schone backups, maar je kan er niet meer bij.
Bij Biltoven Biologicals was dat gelukkig niet het geval. Wel waren ze zwaar getroffen, maar konden ze doordat ze een recoveryplan hadden ook redelijk snel weer recoveren. Bij Bilthoven Biologicals hadden ze uiteindelijk 9 dagen nodig om weer volledig up and running te zijn. Redelijk snel is daarmee een rekbaar begrip, voor de ene organisatie is dat snel voor de andere is dat een catastrofe. Het is goed om in je recoveryplan de cruciale en minder cruciale systemen van elkaar te scheiden. Op deze manier kan je focussen om de core-business processen en daarmee de algemene bedrijfsvoering weer zo snel mogelijk online te hebben. De minder belangrijke zaken volgen dan daarna. Als je alles in een keer moet doen gaat het veel langer duren. Tijd is geld, zeker als de productie plat ligt, klanten geen bestellingen kunnen plaatsen of de complete logistiek tot stilstand is gekomen.
Uit onderzoek weten we dat veel bedrijven vandaag de dag over het algemeen wel backupplannen hebben, maar geen recoveryplannen. Die zijn echter minstens zo belangrijk.
Conclusie
Al met al had Commvault een leuk event opgezet met Connections, waarbij tijdens de losse sessies verschillende invalshoeken werden besproken en men veel kon leren. Natuurlijk ging het hier en daar wel over Commvault, maar over het algemeen was het erg leerzaam en informatief. Mocht je een sessie terug willen kijken, dan kan dat hier.
2 uur geleden
