Wat gebeurt er als jij of je klant wordt getroffen door een ransomware-aanval? Welke scenario’s gaan dan lopen en wat moet je doen? En natuurlijk de hamvraag: kun je onder de betaling uitkomen? Een verslag van een real-life case.
We schrijven het vaak: het is niet de vraag óf je getroffen wordt door cybercriminelen, maar wanneer het gebeurt. En daarbij benadrukken we graag de rol die de ms(s)p kan spelen bij het beschermen van de klant. In dit artikel beschrijven we het verloop van een ransomware aanval op Bilthoven Biologicals. En de samenwerking met hun IT-partners bij het oplossen van het incident. Voor al deze partijen was het de eerste grote confrontatie met cybercriminelen.
Grote fabrikant van vaccins
De vestiging in Bilthoven werkt in zeer hoge mate zelfstandig, ook qua IT, maar is onderdeel van een groter concern met hoofdkantoor in India. Bilthoven Biologicals is de voortzetting van het voormalige Nationaal Vaccinatie Instituut en was lang onderdeel van het RIVM.
Dag één van de ransomware aanval
Op 20 september vorig jaar begon de ransomware aanval. “Dat wisten we toen nog niet,” blikt Paul Vries, IT Infrastructure Architect bij Bilthoven Biologicals terug, “maar naderhand bleek dat de aanvaller die dag na werktijd binnendrong.” Op dat moment was geen sprake van actieve monitoring, dus werd het incident niet direct geregistreerd.
Korte incubatietijd
Al op 21 september, dag twee nadat de indringers hun malware activeerden, was duidelijk dat er afwijkende patronen te zien waren op het netwerk. Die ‘incubatietijd’ is erg kort. “Klopt,” reageert Vries. “Soms zijn criminelen al maanden binnen voordat ze de ransomware activeren.” Uit forensisch onderzoek bleek al snel dat een medewerker op een privé-laptop onbewust het incident veroorzaakte. Simpel gezegd liepen qua wachtwoorden zakelijke en privé-activiteiten door elkaar heen. “Dat is meteen een eerste les die we nadrukkelijk leerden. Wees erg voorzichtig met werkapplicaties die je op een device installeert dat je ook privé gebruikt.” Dat dit sinds we massaal thuis- of hybride-werken een uitdaging is, is duidelijk. “We hadden geen monitoring op de privé-devices. Dat is ook lastig, maar we hebben ook daar stappen in gezet inmiddels.”
Vage klachten
Aanvankelijk was er op die 21e september eigenlijk, om in medische termen te blijven, sprake van ‘vage klachten’. Medewerkers konden niet meer bij het intranet of kwamen niet meer bij bestanden op hun homedrive. Het bleken allemaal zaken die gekoppeld waren aan de Active Directory van de onderneming.
In de loop van de ochtend zag je de, zoals dat in securitytermen heet, laterale verspreiding: steeds meer mensen ondervonden problemen. “Toen was duidelijk dat we werkelijk een probleem hadden.” Het duurde niet lang voordat de IT-afdeling een ransomware-note vond met verwijzing naar een TOR-adres om te betalen. “Het was dus overduidelijk een geslaagde ransomware aanval.”
Er werd een fors team bij elkaar geroepen. “Een groot voordeel was dat we sinds corona gewend waren aan het gebruik van Teams en dat werkte nog gewoon. Er was dus ruimte voor veilige communicatie.” Naast de eigen vaste medewerkers en gedetacheerden zoals Vries, kwamen ook medewerkers van KEMBIT, de msp van Bilthoven Biologicals erbij.” Ook de verantwoordelijken van de Operationele Techniek (OT), die verantwoordelijk zijn voor de automatisering van de productie-omgeving waren gealarmeerd. “Dat domein was gelukkig niet getroffen.”
Belangrijke productielijn stond stil
Het team besprak verschillende scenario’s. “Natuurlijk kun je alles uitzetten, maar dan stopt ook het productieproces. Je kunt het produceren en testen en vaccins niet zomaar onderbreken, dat weet iedereen hier in het bedrijf.” Gelukkig bleek het niet al te lastig het productiedomein te isoleren. “Waarbij we eerlijk moeten zeggen dat de grootste productielijn van ons juist die week stillag vanwege onderhoud.”
Een disaster recovery plan is essentieel om snel te herstellen na een ransomware-aanval.
Op 22 september, dag drie, kon IT starten met het herstellen van de domein controllers, DNS en andere cruciale infrastructuurcomponenten die geraakt waren. “Op die basis konden we ook het herstelplan dat onze partner AnyLinQ voor onze CommVault oplossing ontwikkeld had activeren.” Pas eind maart was de onderneming gestart met het verbeteren van de beveiliging van die CommVault oplossing. “We zaten eigenlijk nog vol in het verbeterproces. Gelukkig hadden we juist de belangrijkste onderdelen al beter beveiligd. Daardoor konden we vrijwel alle getroffen systemen vanuit CommVault terugzetten.”
Daardoor kwamen op die dag belangrijke systemen al terug. Op dat moment was ook duidelijk, dat door de totaal gescheiden back-up het niet nodig zou zijn werkelijk te onderhandelen met de criminelen. “Contact met hen is ook nooit de intentie geweest. De basis van onze IT was al veilig in de back-up. Dat heeft ons in zekere zin gered.”
Geen disaster recovery plan
Deze mijlpaal leidde ertoe, dat op 23 september, dag vier, de eerste bedrijfsprocessen al hersteld konden worden. “Vervolgens konden we dag na dag alle applicaties weer opstarten. Daar hadden we uiteindelijk nog vijf dagen voor nodig, ook omdat de optimale volgorde van herstel niet bepaald was.” De organisatie had toen nog niet echt een disaster recovery plan. “Dat hebben we nu wel, want je komt echt voor de vraag te staan welke processen je het eerst herstelt.”
Vries vertelt dat de afdeling HR al snel meldde niet bij CV’s van sollicitanten te kunnen, dat leek een dringend probleem. Maar het leek veel urgenter te zijn ervoor te zorgen dat Finance facturen kon opstellen. “Maar in beide gevallen merk je vervolgens pas dat de koppeling met een mailapplicatie wel essentieel is. En laten we eerlijk zijn: die mailserver stond wellicht niet heel hoog op onze prioriteitenlijst. Hier hebben we van geleerd dat het belangrijk is om alle relaties en afhankelijkheden tussen applicaties en processen in kaart te brengen.”
Het proces van vaccins maken had natuurlijk de hoogste prioriteit, sluit Vries af. “Maar een disaster recovery plan moet dus echt veel verder gaan. Elk bedrijf zal zijn kroonjuwelen kennen, maar die zijn weinig waard zonder een werkende en veilige omgeving.”