Winkelmand

Geen producten in de winkelwagen.

Hoe hackers via jouw IT-leverancier je bedrijfsnetwerk kunnen platleggen

In samenwerking met SentinelOne - Je bedrijfsvoering plat door één enkele muisklik van een hacker, duizenden kilometers verderop. Dat het kan, werd begin deze maand maar weer eens duidelijk tijdens een van de grootste internationale cyberaanvallen in de geschiedenis. Sjoerd de Jong is cyberexpert van SentinelOne. Hij legt uit wat er is gebeurd en hoe je je bedrijf hiertegen kunt wapenen.

Wat was dat eigenlijk voor aanval?

“Het gaat om een grote ransomware-aanval, uitgevoerd door een groep die zich REvil noemt. Ze hebben dit niet via de klassieke weg gedaan, zoals het versturen van malafide phishing-mails of met een directe hack op eindgebruikers. De methode was zeer doordacht, via de leveranciersketen. De aanvallers vonden een zwakte bij Kaseya, dat is software die over de hele wereld wordt gebruikt om IT-beheer uit te voeren.”

“Via Kaseya worden honderdduizenden werkplekken en servers beheerd door zogeheten managed service providers. Dit was dan ook een heel effectieve manier om zo veel mogelijk slachtoffers te maken in een zo kort mogelijke tijd. Bij veel getroffen bedrijven kwam de hele productie stil te liggen, omdat bestanden en machines niet meer bruikbaar waren.”

Waarom doen hackers dit?

“Bij dit soort ransomware-aanvallen wordt vrijwel altijd losgeld geëist. Steeds meer zien we dat door de aanvallers zelfs een professionele ‘helpdesk’ wordt opgetuigd voor bedrijven die slachtoffer zijn geworden. Dat was ook hier het geval (zie screenshot). Je kunt dan letterlijk chatten met de criminelen, die vertellen wat het kost om met een codesleutel je bedrijfsnetwerk weer operationeel te krijgen. In sommige gevallen kun je hier zelfs onderhandelen over de prijs. Dat geeft wel aan hoe geraffineerd hackers tegenwoordig te werk gaan. In dit voorbeeld heeft de aanvalsgroep zelfs een wereldwijde som met geld genoemd waarvoor zij een decryptiesleutel vrijgeven van 50 miljoen dollar. Eerder was dat nog 70 miljoen.”

Bedrijven die netjes hun updates draaien, hebben toch niks te vrezen?

“Bij dit soort professionele aanvallen is dat helaas niet het geval. Cybersecurity ging lange tijd vooral over awareness, dat je niet op besmette linkjes moet klikken en – inderdaad – je updates moet draaien. Die aspecten blijven natuurlijk belangrijk. In het geval van Kaseya was de patch bijvoorbeeld net te laat. Dat is een update om het lek in de beveiliging te dichten.”

“Deze hackers richten zich alleen niet op eindgebruikers, maar in grotere mate op de managed service providers (MSP’s). Dat zijn partijen die de IT-huishouding voor bedrijven uit handen nemen. Via die kanalen bereiken hackers in één keer een veel grotere groep bedrijven en kunnen ze in korte tijd nog meer schade aanrichten. Als mkb’er sta je machteloos.”

Maar je mag er toch op vertrouwen dat deze MSP’s hun cybersecurity op orde hebben?

“Daar gaan veel klanten automatisch vanuit, maar in de praktijk blijkt dat lang niet altijd het geval. MSP’s richten zich vooral het beheren van software. Natuurlijk speelt beveiliging daarbij een rol, maar het is niet de specialiteit van deze partijen. Zij vertrouwen vaak nog op de ouderwetse antivirus-oplossingen. Die blijken alleen niet bestand tegen een type hack zoals die in het eerste weekend van juli werd uitgevoerd.”

“Dat die aanval op een vrijdag startte, was overigens geen toeval. De meeste IT’ers zijn dan naar huis en in dit specifieke geval vierde Amerika haar 4th of July weekend. De meeste kantoren zouden tot en met maandag leeg blijven. Het duurt hierdoor vaak langer om de juiste maatregelen te nemen. Zo’n hack gaat op machinesnelheid. Je hebt dan ook eigenlijk machinesnelheid nodig om het op te lossen. Onze tip? Treed hierover in contact met je MSP en vraag hoe zij met deze type dreigingen omgaan. Kies niet automatisch voor de makkelijkste of goedkoopste security-oplossing, omdat het jouw bedrijf niet zou kunnen overkomen. Zeker met dit soort aanvallen is iedere onderneming een potentieel doelwit. Ongeacht de grootte of sector waarin je actief bent.”

Wat adviseer je bedrijven die slachtoffer worden van zo’n hack?

“Er is niet één advies dat voor ieder bedrijf geldt. Stel dat je hele netwerk plat komt te liggen en je verliest daardoor tienduizenden euro’s per dag. Dan kan ik me goed voorstellen dat je overweegt om een bedrag aan de hackers over te maken om de schade te beperken. Je krijgt dan een sleutel waarmee versleutelde data weer beschikbaar gemaakt kan worden. Hopelijk, moet ik daarbij zeggen. Want er zijn ook voorbeelden van bedrijven die betaalden en daarvoor in ruil een nepcode ontvingen. Dan word je dus dubbel gepakt.”

“Investeer vooral in het optimaal beveiligen van je bedrijfsnetwerk. Dat is eigenlijk het beste advies dat we kunnen geven. Honderd procent zekerheid heb je nooit, maar je kunt het de hackers wel zo lastig mogelijk maken. Dat heeft altijd de voorkeur.”