BLACK FRIDAY? Denk na! Ransomware geleverd ipv schoenen
Je kent zeker en vast. Je zocht online wat naar een nieuw paar goed zittende schoenen, of een nieuwe tuintafel waar je met het ganse gezin van een online bestelde maaltijd-box kan genieten.
Als je daarna de online krant wil lezen word je duizelig van de schoenenreclame, tuintafels of maaltijdboxen. Alles om je die aankoop tóch te laten doen. En geef toe, ooit klikte je wel eens op zulks een advertentie…
Click-bait vergroten
Als je dit dan bovendien thuis deed wanneer je met je wifi verbonden was, worden je gezinsleden eveneens met die reclame bestookt. De Advertenties (Ads) gaan uit van het IP-Adres van waarop die zoekopdracht gebeurde en kunnen zich daarom op elk toestel in dat netwerk richten. Heel veel "click-bait" afgevuurd op jou en je gezin dus; die schoenen zullen gekocht worden!
Malvertising
Nu, die "Advertising" is niet altijd wat ze lijkt te zijn, en kan "Malvertising" zijn, via zogezegde betrouwbare accounts. Dat principe toont je eenzelfde advertentie van een gekend product, maar dan malafide. Je klikt op de Ad, want die ziet er helemaal legitiem uit, maar je wordt naar een valse pagina geleid, waar je bestelt net zoals je dat anders zou doen, alleen zal het tevergeefs wachten worden op een levering. Je gaat dus nog lang met die oude schoenen moeten blijven rondlopen, op die prachtige tuintafel zal je moeten blijven wachten tot je je laatste adem uitblaast, het enige wat je rijker bent is malware.
Het paard van Troje
Dus, je klikte op de Ad, de malware is geïnstalleerd zonder dat je er ook maar iets van merkt. Het weekend is voorbij, je start van thuis uit aan je werkweek. Vanuit je bedrijf willen ze het veiliger spelen als het over remote werken gaat. Ze verplichten je, terecht, om via een VPN (Virtual Private Tunnel, een mechanisme om veilige communicatie op te zetten tussen de servers op je werk en je PC) te connecteren.
Makkelijk zat; even Googelen naar de gekende en door IT opgedragen VPN software, downloaden en klaar is kees. Via een gesponsorde Ad klik je op het eerste zoekresultaat en download je de software.Maar niets is minder waar… Ondertussen is je PC geïnfecteerd met een "Trojan"; dat is software die je denkt te installeren maar die iets gans anders doet.
Niets merkend rijd je de volgende dag naar kantoor, en na de gebruikelijke koffieklets start je je PC. De Trojan brengt nu onopgemerkt "ransomware" op de ganse bedrijfsinfrastructuur terwijl iedereen nietsvermoedend kan verder werken.
Het bedrijf pakt het thans veilig aan zoals verteld. VPN opgezet, MFA (Multifactor Authenticatie; aan de hand van meerdere factoren kenbaar maken dat jij het echt wel bent) geactiveerd, dagelijkse worden back-ups genomen, een duidelijk gedefinieerde "Employee Internet Usage Policy" is in voege, toegang tot de gebouwen adhv biometric access (fingerprint, retinal scan...), medewerkers doen mee aan een security awareness programma. Dat is véél meer dan wat gemiddeld bijeen alle bedrijven doen op vlak van security beveiliging!
Telefoon op vrijdagavond
Maanden gaan voorbij, het bedrijf zit in volle expansie, alles loopt gesmeerd. Tot op die vrijdag avond 18u wanner de bedrijfsleider gebeld wordt door een van zijn verkopers. Die wilde nog snel een offerte de deur uit hebben maar hij vertelt niet meer aan het CRM systeem te kunnen, aan niets meer eigenlijk… Het enige wat hij te zien krijgt is de boodschap dat het bedrijf gehackt is, dat alle bestanden geëncrypteerd zijn, en dat er 250.000 euro moet betaald worden opdat de bestanden terug worden vrijgegeven. Encrypteren is trouwens een proces waarbij versleuteling gebeurt zodat bestanden niet door iemand anders kunnen gelezen worden, tenzij je over die sleutel beschikt. En dat is net wat die hackers hebben natuurlijk, de decryptie sleutel.
Alle hens aan dek. Het IT-departement wordt opgedragen onmiddellijk alles te isoleren, en met backup procedures te starten. Servers, laptopts, desktops, worden allemaal tot op het bot proper gemaakt, backups worden teruggezet. Maar dan zien ze dat ook de back-ups geïnfecteerd zijn, hoeveel maanden ze ook teruggaan.
Het bedrijf ligt nu al 5 dagen volledig plat, niemand kan nog werken, daar waar het manueel kan gebeurt het, maar dat zijn niet de business kritische zaken. Ondertussen zijn er externe IT-experten ingeschakeld want dit ging het petje van het IT-departement te boven. Dat kon helaas pas vanaf maandag want in het weekend konden ze niemand bereiken. De bedrijfs-advocaat verdiept zich in het ganse verhaal maar vraagt zich eigenlijk vooral af wat te doen in dit geval, ook hij zoekt meer gespecialiseerde hulp. Uiteindelijk wordt er na veel overleg contact opgenomen met de hackers, kan er nog wat onderhandelt worden over het bedrag, en wordt na ontvangst van het losgeld de decryptie sleutel doorgegeven waarmee men aan de slag kan alles terug te zetten. Dat zet het bedrijf samen met de externe IT-partner nog eens 3 dagen verder…
Schoenen, het einde van een levenswerk...
De eindfactuur is heel zwaar :
- Bedrijf 8 dagen inactief
- Alle medewerkers inactief
- Reputatieschade
- Verloren winst
- Hoge kosten externe IT firma onderzoek
- Hoge kosten externe IT firma terugzetten van data
- Hoge kosten juridische diensten
- Rechtszaak van een klant die vindt dat hij onherstelbare schade heeft geleden door het niet tijdig leveren van de bestelde goederen
De kosten liepen zo hoog op, het vertrouwen van klanten en leveranciers was weg dus een daling in orders en geen leveranciers meer waar ze hun materialen konden bestellen, waardoor het goed beveiligde bedrijf na 6 maanden failliet werd verklaard.
Een meer dan dramatische afloop, het einde van een levenswerk... En dat allemaal door schoenen...
Wat als...?
Stel dat het bedrijf verzekerd was voor cyberincidenten met de Cybercontract polis, wat zou de eindfactuur dan zijn?
- Men had onmiddellijk de 24/7 CyberContract hotline kunnen bellen
- Die hotline zet de IT-experten onmiddellijk aan het werk die ter plaatse komen, forensische diensten uitvoeren, het probleem benoemen en een plan van aanpak voorstellen.
- Diezelfde hotline activeert in parallel de juridische diensten die bekijken of ze in gesprek moeten gaan met de afpersers, of dit verhaal aan de overheid moet kenbaar gemaakt worden en welke communicatie er met de buitenwereld moet gevoerd worden teneinde klanten en leveranciers gerust te stellen.
- Het bedrag van de ransomware had sneller betaald geworden owv de sluitende conclusie van de IT-diensten die constateerden dat er geen andere mogelijkheid was.
- Het bedrijf had geen 8 dagen buiten werking geweest maar 2 waarna het de meest business kritische zaken kon hervatten.
- Zowel de kosten van de IT-diensten als die van de juridische diensten hadden gedekt geweest door de polis; zowel het onderzoekswerk, als het onderhandelen met de afpersers, als herstel van reputatieschade, als de wedersamenstelling van de data.
- Het betalen van de ransom-claim had niet uit de portemonnee van het bedrijf moeten komen
- De rechtszaak die een klant aanspande had wellicht vermeden geweest omdat de case veel sneller was opgelost, maar moest dat alsnog gebeurd zijn had de rechtsbijstand meer dan zijn nut bewezen.
- Bovendien werd het winstverlies in dit verhaal ook gedekt!
Willen we hiermee zeggen dat je een cyberverzekering moet afsluiten om makkelijk losgeld te betalen aan afpersers? Neen, integendeel, dat zijn de uitzonderingen. Maar wat wel duidelijk is:
- is dat er vanaf de melding optimaal gestreefd zou worden naar bedrijfscontinuïteit om verdere drama's te vermijden
- dat experten ter zake veel sneller de juiste beslissingen hadden kunnen nemen
- dat het bedrijf niet failliet was gegaan
Wat je als bedrijsfleider in zo een situatie wil is vooral weten waar naartoe. Dit soort situaties vuren namelijk vragen af vanuit alle richtingen waar je zelf geen antwoord op hebt. Dan wil je geholpen worden.
De vraag is dus: jouw bedrijfswagen wordt zonder vragen vanaf dag 1 verzekerd. Waarom zou je dat niet willen doen voor je bedrijfscontinuïteit
Conclusie
De boodschap is dat je moet blijven inzetten op security awareness, de mens is en blijft de zwakste schakel in de veiligheid van je bedrijf.
Wees paranoïde wanneer je op een link klikt, denk na voor je iets installeert, wees altijd alert. Ook al denk je veilig bezig te zijn, 100% veilig bestaat niet. En ben jij wel veilig, dan zijn er anderen dat niet.
Denk aan hoe je in de auto stapt; als eerste je doe je je gordel aan. Doe je dat omdat je denkt “vandaag ga ik eens niet veilig rijden”? Neen, je beveiligt je voor mogelijke onverwachte fouten van jezelf of die van anderen. En net daarom is het zo belangrijk te verzekeren.
Bronnen
- Valse Facebook Ads
- Valse Google Ads
- Malvertising