Ransomware slaat toe! En nu?
Auteur: Peter Oudman, ICT-consultant bij FlexVirtual
Het was een doodgewone maandagochtend. Het was half 9 en ik had net mijn eerste bak koffie op toen ik werd gebeld door een klant. Ik nam vrolijk op met: ‘Goedemorgen! Hoe gaat het met je?’. Maar die vrolijkheid was snel voorbij toen hij vertelde dat hij nergens meer kon inloggen. Eerst dacht hij nog dat hij zijn wachtwoord verkeerd had ingetypt, maar toen geen enkele server reageerde wist hij: dit is niet OK. We zijn gehackt!
Hoe pakken we dit aan?
Ik ben direct gaan bellen met collega’s om te overleggen hoe we dit het beste konden aanpakken. Ik moest er sowieso heen, dus ik heb snel wat overnachtingsspulletjes gepakt en ben die kant op gereden. Later bleek dat ik de helft was vergeten, maar dat maakt op zo’n moment niet uit. Ik heb nog snel een kop koffie gepakt voor onderweg en de hele rit met iedereen aan het bellen geweest. ‘Wat kan het zijn, waarom denk je dat? Wat kunnen we daaraan doen? Als alles stuk is, hoe komen we dan terug naar een werkende situatie?’ Je ontwikkelt allemaal hypotheses en scenario’s om snel aan de slag te kunnen.
Aan de slag!
Dan kom je aan bij de klant en wil je direct aan de slag! Het allereerste wat ik onderweg had vastgesteld: de back-up is erg belangrijk. Maar weten we zeker dat we daarvan de laatste versie hebben, en hebben ze die ook niet kapot kunnen maken? Op dat moment dacht ik nog dat dat het belangrijkste was en wilde dat direct onderzoeken. Maar dat kon nog helemaal niet…
Maar eerst…
Want als je slachtoffer bent van een hack of ransomware-aanval dan spelen er andere dingen. Om te beginnen heb je een meldingsplicht. Daarna moet er een forensisch onderzoek worden ingesteld door een externe partij die met hun consultants komt. Die moet je van informatie voorzien. En ze vertellen je dat je van alle systemen die gehackt en geraakt zijn, af moet blijven totdat zij klaar zijn met hun onderzoek.
Dus je kan echt niet meteen starten met het herstel… voor zover herstel al mogelijk is natuurlijk. Terwijl de forensisch onderzoekers bezig waren, zijn wij vast gaan kijken welke mogelijkheden we hadden om de ICT-omgeving weer de lucht in te krijgen. Want alles, letterlijk alle ICT lag op dat moment stil.
De emoties slaan toe
Terwijl je dan samen met de systeembeheerders hard aan het werk bent, krijgt iedereen ineens een gevoel van wantrouwen. Er staan machines te zoemen en er hangen camera’s, maar waar kijken de hackers mee? En ondertussen komt ook nog de schuldvraag: hoe komt het dat we zijn gegijzeld, via wiens systeem zijn ze binnengekomen? Psychologisch begint er dus ook van alles te spelen en dat is niet best.
Waar staan we?
Dan is de vraag: hoe gaan we weer terug naar normaal, welke stappen moeten we daarvoor zetten? We mochten nog steeds niet aan de besmette apparatuur komen, dus die konden we niet gebruiken. De klant gebruikt Pure Storage, die via Safe Mode immutable snapshots kan opslaan. Alleen die waren nog niet geactiveerd omdat de storage wat aan de volle kant was.
Voor de geplande bouw van een disaster recovery-systeem hadden we een extra storage-unit liggen die nog leeg was, plus een gloednieuwe server. Die mochten we formatteren en nieuw gebruiken. Maar waar was de data die we nodig hadden? Toen de onderzoekers vroegen ‘hoe staan jullie er voor?’ kwam het verlossende antwoord: we hadden een ExaGrid back-up staan. Dat is een immutable back-up device, waardoor de back-ups van de afgelopen dagen veilig was gesteld. Er ging een zucht van verlichting door het datacenter!
Stap voor stap opbouwen
Vervolgens konden we stap voor stap de omgeving weer gaan opbouwen. Dat verliep niet als de normale opbouw of migratie van een datacenter en het heeft lang geduurd om weer in de lucht te komen. We hadden dus één enkele server om te restoren, en de back-up van alle data. Er lagen netwerkkabels los over de vloer. We gebruikten een laptop die via een 5G telefoon was verbonden met het internet want de firewall was helemaal dicht gezet omdat de onderzoekers erachter kwamen dat de hackers nog meekeken. Alles wat je beetpakte moest je voorzien van een nieuw, moeilijk wachtwoord om herhaling te voorkomen.
Hoe restore je veilig?
Een essentiële vraag die zich aandient als je gaat restoren: hoe weten we dat de data niet geïnfecteerd is, zodat dat het weer kan gebeuren? Scanning van data heeft weinig zin, want je weet niet of het om een nog onbekend virus gaat. Je moet dus gaan zoeken naar anomalieën: welke applicatie gebruikt welke processen, en is dat logisch? Voor dat soort specifieke intelligentie heb je weer een ander, gespecialiseerd team nodig.
Hoe is het gebeurd?
We kwamen erachter dat de aanvallers waren binnengekomen via een kwetsbaarheid, er was een poort open blijven staan wat we niet wisten. Ze waren al een paar weken binnen zodat ze konden meekijken en wachtwoorden sniffen. De feitelijke aanval hebben ze in het weekend opgestart. Er draaide up-to-date antivirussoftware, maar die meldingen werden in het weekend door de beheerders niet opgemerkt. Ze hebben alles heel low profile gedaan tot het moment dat het zover was, een schoolvoorbeeld van ‘how to hack’.
Er waren achteraf gezien meerdere manieren om binnen te komen, en de aanvallers hebben een voor deze organisatie niet logische manier gebruikt. Dat bewijst twee dingen: je moet altijd alle poorten dicht zetten, ‘tenzij’. En: je kan nooit uitsluiten dat aanvallers toch binnen komen, dus je moet meerdere verdedigingslinies inbouwen om je data en applicaties te beschermen.
Impact bij de klant
Het heeft in totaal ongeveer een week geduurd voordat de systemen weer live waren. Als we die safe mode van Pure Storage hadden gehad, dan hadden we veel sneller terug gekund. Dan hadden de forensisch onderzoekers ons nog wel ‘in de weg gezeten’, maar dat hadden we met een tweede Pure Storage-systeem kunnen ondervangen.
Dat is ook ons advies in dit soort situaties: zorg snel voor heel veel capaciteit om nieuw op te bouwen en te restoren zodat je weer kan werken, terwijl de forensisch onderzoekers hun werk kunnen blijven doen. De serversystemen zijn daarbij niet zo belangrijk, het gaat om de data. Een database heeft geen nut als de tabellen beschadigd zijn, dan heb je feitelijk een grote emmer data waar je niets meer mee kan. En die kan in één weekend om zeep geholpen worden.
Zoals ik al eerder schreef: in zo’n situatie slaat de stress keihard toe. Mensen denken: ‘stel dat het mijn fout is? Heb ik dat gedaan? Wanneer heb ik een link aangeklikt?’. Een van de medewerkers bij de klant is er letterlijk ziek van geworden.
Bewustwording achteraf
Wat we nu zien is dat de klant veel bewuster met ICT omgaat. Van de meeste dingen deployen we nu direct de nieuwste versies. Dat was in het verleden nog wel eens een discussie, want soms werkte een applicatie niet met de nieuwste versie samen. En mensen beseffen zich nu dat daarmee gaten kunnen vallen in de beveiliging. Het gebruik van wachtwoorden, multifactor authenticatie… het gaat nu allemaal veel harder en sneller.
Voorkomen is beter dan genezen, omdat je niet in deze situatie terecht wilt komen. Als het mis gaat dan gaat het niet om een business case van ICT, dan gaat het om de continuïteit van de organisatie. Data immutable opslaan is essentieel en het aanschaffen van de juiste systemen van bijvoorbeeld Pure Storage en ExaGrid zorgen daarvoor.
Mijn ervaringen
Wat ik heel eng vond: we hadden maar 1 back-up appliance. Die ExaGrid, that’s it. Daar hing alles van af, van dat ene apparaat. Ik vond dat echt eng. Je staat zo strak van de spanning: dat device, daar mocht echt helemaal niets meer mee gebeuren. Ik had hem op een gegeven moment zo goed beveiligd dat ik er zelf bijna niet meer in kon komen. En nu? Als iemand me nu belt ‘ik kom niet in een systeem’ dan slaat mijn hart een slag over… dat zal nog wel slijten hoop ik!