Een Wake-Up Call voor informatiebeveiliging: Een Ransomware-incident uit de echte wereld

door | jul 5, 2024 | Datalekken en hacks, Europa, Managers van ICT-services, Nederland, Nieuws, Partners, Products

Inhoud

  1. Kent u de leverancier van uw leverancier?
  2. Impact
  3. Preventie
  4. Proteon schiet te hulp

Kent u de leverancier van uw leverancier?

Het is een verontrustende maar reële gedachte: niemand is online volledig veilig. Elk bedrijf kan een doelwit worden, ook wijzelf of onze leveranciers. En dat is precies wat er is gebeurd!

In de tweede week van juni 2024 liet onze accountant ons weten dat een van hun leveranciers (een Nederlands bedrijf dat Microsoft 365-oplossingen biedt voor bedrijven), ten prooi was gevallen aan een ransomware aanval. Dit is een aanval waarbij kwaadaardige software zich toegang verschaft tot een applicatie, haar gegevens versleutelt en losgeld eist om deze weer te ontsleutelen. Sommige bedrijven houden hun gegevens veilig door middel van backups die zich fysiek elders bevinden. Dit is een goede manier om te voorkomen dat naast de broninformatie ook de backups worden versleuteld tijdens een aanval.

Om de mogelijke impact voor ons te bepalen, hebben we de hack in meer detail bekeken. En lazen we nogmaals de e-mail van de accountant. Eén alinea trok onze aandacht:

“…Het is op dit moment niet duidelijk welke gegevens op deze netwerkschijf aanwezig waren. In the unlikely event that the investigation reveals that, for example, your organisation’s personal data was present on the disk, we will of course inform you of this without delay (in accordance with the Processor Agreement) via a separate notice..”

Oorspronkelijke bron

Onze accountant zegt niet te weten welke gegevens op de netwerkshare waren opgeslagen. Verder zeiden ze dat als zou blijken dat er persoonlijke informatie zou zijn buit gemaakt, zij dit de betreffende personen/organisaties zouden laten weten.

We vroegen ons af hoe ze dit ooit duidelijk zouden krijgen. Ze hebben externe specialisten ingehuurd voor verder onderzoek, wat uiteraard verstandig is. Maar het eerste bericht van het getroffen bedrijf over de aanval deed ons beseffen dat ze geen hoge verwachtingen moesten hebben. Ze zeiden dat de ransomware “alle back-ups en veel van hun grote servers” versleutelde.

“<COMPANY NAME> en het datacenter is op dit moment ernstig aangevallen door de allernieuwste LockBit 3.0 encryptie op alle backups en veel grote servers.

Alle servers in het datacenter met data staan nu tijdelijk op pauze en zijn dus niet bereikbaar.

We zijn dus op dit moment NIET bereikbaar en zullen eerst goed in kaart brengen wat de schade is en hoe we dit kunnen beperken en acties uitzetten. Omdat de impact enorm is, zullen we dit ook hier op onze hoofdpagina melden.”

Bron - Bedrijfswebsite op 2024/06/14, 07:30h CEST Oorspronkelijke bron

De eerste en tweede update over de hack maakten alles nog duidelijker. Ze meldden dat backups ontoegankelijk of zelfs overschreven waren. De experts die ze inhuurden vertelden hen dat deze backups “niet meer te herstellen” zouden zijn..

“…De backups (zie SLA) werden ontoegankelijk gemaakt of overschreven…. Specifiek werden alle backups van veel klanten ontoegankelijk gemaakt… Herstel kan daarom ook zeker niet worden gegarandeerd…“

Bron - Bedrijfswebsite op 2024/06/14, 13:00h CEST Oorspronkelijke bron

“… Zo zijn bijv. backups helemaal niet ‘standaard toegankelijk’ maar zijn eerdere versies weggehaald, of helemaal niet meer toegankelijk. Dat maakt de vraag naar herstel dus ook een lastige. Is het mogelijk? Aldus alle experts is het harde antwoord hierop keihard: NEE…“

Bron - Bedrijfswebsite op 2024/06/14, 15:45h CEST. Oorspronkelijk bron

Tot slot lijkt de vierde update erop te wijzen dat er een grote kans is dat de netwerkschijf van onze accountant deel is van de hack:

“…Zijn alle klanten geraakt? – Nee, het betreft een groep klanten waarbij er wel veel data op fileservers en oude omgevingen staat te draaien (met name financiële instellingen) en betreft in concrete zin ca. 25 klanten van de honderden die<COMPANY NAME> . …“

Bron - Bedrijfswebsite op 2024/06/14, 17:15h CEST

Impact

Op Proteon

Op basis van de informatie die momenteel beschikbaar is, is het voor ons onmogelijk om de impact op onze organisatie te bepalen. Onze beveiligingsmedewerker heeft meer informatie opgevraagd bij onze accountant om te weten te komen of zij een van de vijfentwintig financiële bedrijven zijn die onder deze hack vallen en om beter te begrijpen of er informatie over ons bedrijf, werknemers of klanten is buitgemaakt.

Op het getroffen bedrijf – Reputatieschade

Deze hack kan gevolgen hebben voor het getroffen bedrijf. Hoewel ze in hun communicatie vermelden dat ‘ongeveer 25 servers van de honderden die ze beheren’ werden getroffen, is de negatieve publiciteit die hierdoor ontstond een slechte afspiegeling van het bedrijf.

Voor de klanten van het getroffen bedrijf – onbeschikbaarheid en verlies van gegevens

Uit de artikelen van het bedrijf blijkt dat klanten dagenlang geen toegang hadden tot hun gegevens. Het is mogelijk dat de gegevens verloren zijn gegaan.

Preventie

Elk bedrijf is een potentieel doelwit

Laten we duidelijk zijn: als de hackers toegang to de systemen van het bedrijf hebben verkregen via nog niet bekende exploits, dan kan het bedrijf daar niet veel aan doen. Forensisch onderzoek moet uitwijzen wanneer de hackers voor het eerst zijn binnengedrongen en of het bedrijf dit in een eerder stadium had kunnen/moeten opmerken. Elk bedrijf is een potentieel doelwit voor hackers en uiteindelijk zal een keer iets misgaan.

Zero trust

Hoe moeten we onszelf hiertegen beschermen? Het is het beste om niemand te vertrouwen.

Principe Zero Trust
Pas een strategie toe van ‘vertrouw nooit, controleer altijd’. Ook al lijkt een bedrijf op het eerste gezicht betrouwbaar en biedt het ogenschijnlijk veilige oplossingen, neem dit niet zomaar voor waarheid aan en test hun beweringen.

Risico’s beoordelen en spreiden

Volg de best practices:

  1. lees de gebruiksvoorwaarden en de serviceovereenkomsten van al uw leveranciers;
  2. schrijf alle beweringen die ze doen op,
  3. Beoordeel deze en;
  4. deze verifiëren

Uiteraard is dit wel tijdroved, derhalve een alternatief: stel u zelf een aantal risicogebaseerde vragen. Wat zou er bijvoorbeeld gebeuren als een bepaalde online dienst die u gebruikt niet beschikbaar was? En wat als u de informatie verliest die in die dienst is opgeslagen? Zo leert u in hoeverre u een verkoper kunt vertrouwen en welke extra voorzorgsmaatregelen u moet nemen.

Als we terugkijken naar het bovenstaande geval, waarbij een leverancier netwerkschijven aanbood aan klanten om hun bestanden en documenten op te slaan, dan hadden deze klanten beter kunnen kiezen voor twee gescheiden leveranciers. Eén voor de opslag van en het dagelijks werken met de bestanden en documenten en de ander voor het maken en opslag van backups van alle data.

Proteon schiet te hulp

Bij ons draait alles om het stellen van de juiste vragen. We helpen u bij het maken van een risicoanalyse om ervoor te zorgen dat u alleen die diensten afneemt die u echt nodig hebt om weerbaar te worden. En als u nog een stapje verder wilt gaan, bekijken en testen we graag de ToS en SLA’s van uw leveranciers om er zeker van te zijn dat u krijgt waarvoor u hebt betaald.

Even een heads-up: de informatie en het verhaal hierboven zijn gebaseerd op wat we hebben vernomen van onze account en wat het getroffen bedrijf zelf heeft gepubliceerd op hun website. We hebben niet rechtstreeks met het getroffen bedrijf gesproken.

Leer hoe u uzelf tegen anderen kunt beschermen
Leer hoe u vertrouwen kunt opbouwen in uw toeleveringsketen
Cookieconsent met Real Cookie Banner