Verslag Masterworkshop KBenP- Cyberaanvallen en ransomware
Bram de Graaff
Dit artikel is geschreven naar aanleiding van de Masterworkshop van KBenP "Cyberaanval en Ransomware". Deze workshop is de eerste in de serie ‘master workshops’ gericht op de meest actuele thema’s over digitale informatiehuishouding. Tijdens deze masterworkshop zijn Rutger van Oosten CEO van TKB en Arwi van der Sluijs, directeur NFIR, aan het woord over de dreiging van een Cyberaanval.
In Nederland alleen kosten cyberaanvallen het bedrijfsleven zo’n 10 miljard euro per jaar. Niet alleen de ‘big fish’ als Unilever of Shell, maar ook overheidsinstellingen, universiteiten, gemeenten en kleine tot middelgrote bedrijven zijn slachtoffer. Ondernemer Rutger van Oosten, CEO Credit en Managementorganisatie TKB, wordt op 21 december 2020 getroffen door een professionele hackaanval die het complete ICT-domein gijzelde. Je kunt je voorstellen dat er op zo’n moment paniek is en de eerste vragen die je hebt, zijn "Hoe los je de gijzeling op?" en "Hoe voorkom je er één?".
Hoe is de hack van TKB verlopen?
Voordat we antwoord geven op de twee hoofdvragen is het belangrijk dat je weet hoe een Hack verloopt. Het is 21 december 2020 half negen ’s ochtends. Rutger van Oosten wordt gebeld door zijn ICT-afdeling dat zij het systeem niet binnenkomen. Dit kan uiteraard weleens gebeuren en Rutger vraagt aan de afdeling ICT of ze hem op de hoogte houden en vertellen wanneer het probleem is opgelost. Een half uur later belt zijn IT-manager hem en krijgt hij te horen dat de systemen zijn gehackt. De eerste gedachte die bij Rutger opkomt is "Ik moet een partij zoeken die ons hierbij kan helpen". Rutger komt in contact met Arwi van der Sluijs directeur NFIR waaraan hij de vragen stelt "Valt er te onderhandelen met de hackers en zijn ze betrouwbaar?" en "Kun je de regie overnemen om ervoor te zorgen dat dit tot een goed einde komt?". Op beide vragen wordt met ja geantwoord. Na het akkoord komt het team van Arwi, met rolkoffers, aan op het kantoor van TKB.
NFIR gaat vervolgens pragmatisch aan de slag. Ze behandelen deze crisis in drie fases:
1. Triage fase – Zie het als een noodarts die naar de kritieke punten van een patiënt kijkt die binnenkomt op de intensive care.
2. Containment – Terugbrengen naar een fase waarin je weer zaken kan doen.
3. Digitaal forensisch onderzoek – NFIR onderzoekt wie de organisatie heeft gehackt, vanuit waar en wanneer de hack is begonnen
Tijdslijn incident TKB (Uit powerpoint presentatie NFIR)
Initial comprimise
In de case TKB is het ‘zaadje’ voor de hack (initial comprimise) al meer dan een jaar geleden geplant met een phishing mail en wacht zijn beurt af totdat de hacker het gebruikt om het netwerk te hacken. Phishingaanvallen komen in verschillende soorten en maten voor. Het zijn soms simpele verzoeken om persoons- en login-gegevens. Maar het kan ook een gerichte, goed doordachte en specifieke aanval zijn met als doel je organisatie binnen te dringen. Gerichte phishing is vaak lastig te herkennen omdat zulke aanvallen vaak van bekende personen af ‘lijken’ te komen, of noemen specifiek informatie en namen die zijn gericht op de ontvanger.
Zerologon exploit
Na een jaar te hebben stilgelegen komt de hacker op 18 december 2020 terug en voert hij de Zerologon exploit uit. Via deze Zerologon exploit wordt het administrator account door de hacker gereset en kan hij inloggen op het administrator account van het netwerk.
Cobalt strike installatie
Iets later op de dag wordt via het gehackte administrator account een cobalt strike Geïnstalleerd. Deze software wordt door hackers gebruikt voor het verder compromitteren van de organisatie. Met cobalt strike software is versleutelde communicatie met de servers van de hackers mogelijk. Hierdoor kan er aanvullende malware worden geïnstalleerd. De software zorgt er ook voor dat de hackers zich lateraal door het netwerk kunnen bewegen en deze verder in kaart kunnen brengen, waardoor het volledig kan worden overgenomen.
Cobalt strike software wordt twee dagen later geïnstalleerd op de belangrijkste server van TKB de FILE01 server.
Uitschakeling anti-virus software
Ook wordt de anti-virussoftware uitgeschakeld om eventuele alarmen te onderdrukken.
Ransomware download
’s Nachts wordt de ransomware gedownload en uitgevoerd op alle computers. De data wordt versleuteld en ontoegankelijk gemaakt.
Contact NFIR
TKB komt in contact met NFIR. NFIR komt naar locatie om mitigerende maatregelen te treffen en digitaal forensisch onderzoek te doen. In het kort ‘de gijzeling op te lossen’.
Hoe los je de gijzeling van je netwerkomgeving op?
Er zit haast bij het oplossen van de gijzeling, je wil niet dat de hacker zijn interesse verliest en gegevens van de organisatie openbaar online zet.
De eerste stap in het proces om het probleem op te lossen, is contact opnemen met de hackers via het dark web. Het dark web is een verzameling van anonieme en versleutelde websites waaronder ook anonieme maildiensten die gebruikt worden door de hackers.
De tweede stap is het onderhandelen. Door Arwi van der Sluijs wordt aangegeven dat er goed te onderhandelen is met hackers, omdat deze groep maar op één ding uit is: geld. Wanneer het bedrag in Bitcoin is overgemaakt, krijgt de gehackte organisatie 99,9% van de keren de sleutel tot de omgeving terug. Wanneer de hackers hun afspraak niet na komen krijgen andere organisaties dit te horen en is de motivatie voor de organisaties om te betalen uiteraard niet groot meer. Het gevolg is dat de hack-business voor hackers niet meer lucratief is.
De derde stap is om de borgsom die de hackers willen hebben wel of niet te betalen. Wanneer er niet betaald wordt, maakt de hacker de gestolen gegevens openbaar. Wanneer je wel betaalt, krijg je de sleutel tot je omgeving terug. Het nadeel van niet betalen is dat er gegevens van klanten openbaar gemaakt worden, waardoor je deze klanten verliest. De betrouwbaarheid van het bedrijf, en verdere veiligheid van gegevens staan daarbij ook op het spel. Ook is het opbouwen van een nieuw klantenbestand duur. Wanneer je wel betaalt, krijg je de sleutel tot je omgeving terug en kan er in kaart gebracht worden wat de schade is.
Business-wise is betalen vaak de beste oplossing, omdat je niet wilt dat gegevens van je bedrijf en van jouw klanten openbaar gemaakt worden. De opbouw van je ICT-omgeving en klantenbestand is kostbaar en vaak duurder dan de borgsom die betaald moet worden. Het nadeel van wel betalen is dat dit kan leiden tot een mening van aandeelhouders, klanten en opdrachtgevers dat je "in zee bent gegaan met criminelen".
Hoe voorkom je een hack?
Er zijn verschillende manieren om je organisatie te beschermen tegen hackers. Vaak zijn er bij bedrijven die gehackt worden updates niet uitgevoerd en weet de ICT-afdeling niet hoe ze de ‘zaadjes’ van de hackers kunnen opsporen. Toch zijn er verschillende manieren om de hackers in de beginstadia van de hack al te zien en ze uit het systeem te krijgen. De NFIR raadt drie methoden aan waarmee een hack voorkomen kan worden.
Penetratietest – Legale hackers proberen extern de systemen te hacken om inzicht te krijgen in de risico’s en kwetsbaarheden van de IT-omgeving.
Monitoren van het netwerk – Software die gebruikt wordt om het netwerk te scannen op eventuele interne en externe bedreigingen.
Vulnerabilityscanning – Geeft een algemeen beeld van hoe de IT-security intern is geregeld.
Bij vulnerabilityscanning wordt gebruikgemaakt van geautomatiseerde scans om kwetsbaarheden te ontdekken. Bij een penetratietest gaat de onderzoeker met een dosis creativiteit actief op zoek naar kwetsbaarheden.
Er is echter geen 100% beveiliging tegen hackers. "Zelfs wanneer de maatregelen getroffen worden, bestaat er een kans dat je netwerk gecomprimeerd wordt. Met het scannen en monitoren van je netwerk maak je het hackers wel lastig zegt Arwi van der Sluijs. "Hierdoor moeten de hackers meer moeite doen om je systeem binnen te dringen waardoor je niet meer de moeite waard bent."
Het is belangrijk dat je hordes op de weg plaatst, maar het helemaal dicht timmeren van je netwerk is, helaas, een onbegonnen taak.
Wanneer je als Zzp'er veilig online wil werken is het belangrijk om je te houden aan de basisregels. Lees deze basisregels nog eens goed door in het artikel Wees voorbereid op Phishing!
Delen
