Hoe hackers dit autoverhuurbedrijf tot stilstand brachten

Voordat u verder leest willen wij u erop wijzen dat de namen en beelden in dit artikel zijn gefingeerd.

Op 9 juli 2021 gaat het mis. Het is vrijdag 9 juli, 16.10 uur. De telefoon van Claire Beeksma rinkelt. Bert Verberne van IT is aan de lijn en hij klinkt nerveus. Drie medewerkers hebben hem na elkaar gebeld, allemaal met hetzelfde probleem. Op hun scherm staat een rare melding: 'All your files are encrypted!'. Bert zwijgt. Claire ook. Ze beseft dat dit maar één ding kan betekenen. Ze zijn slachtoffer van een cyberaanval.

Claire heeft dit nog nooit meegemaakt. Haar hartslag schiet omhoog en ze springt op. Een rits vragen schiet haar te binnen. Waarom is hun bedrijf slachtoffer? Welke impact heeft dit? Wat moeten we nu doen? Hoe zit het met de reserveringen? Kunnen we onze klanten nog bedienen?

Het vermoeden van Bert wordt bevestigd, het gaat om een ransomware aanval. Bert legt uit aan Claire dat hackers het bedrijf zijn binnengedrongen en kwaadaardige software hebben geïnstalleerd. Alle data is versleuteld. Pas als er 5 Bitcoins losgeld wordt betaald aan de cybercriminelen zouden ze wellicht weer toegang tot hun gegevens hebben. Bert zegt dat hij – om erger te voorkomen – onmiddellijk de getroffen systemen van het netwerk wil isoleren door de netwerkverbinding te verbreken. De CEO vertrouwt haar IT-professional en stemt toe. Bovendien belt ze naar haar IT-leverancier en vraagt om hulp. De leverancier geeft aan snel een team te kunnen mobiliseren maar deze expertise is niet goedkoop.

19.15 uur – Twee specialisten bellen aan op het hoofdkantoor van Beeksma Autoverhuur. Het zijn de specialisten van de IT-leverancier. De één gaat zich richten op het beperken van de aanval en zal onderzoeken hoe de aanvallers binnengekomen zijn en wat ze precies gedaan hebben. De ander gaat de getroffen systemen herstellen. Helaas blijkt al snel dat het isoleren van de besmette systemen niet het beoogde effect gehad heeft. Vrijwel de gehele IT-infrastructuur is besmet geraakt; zelfs de zo recente back-ups zijn geïnfecteerd. Waren die gespaard gebleven dan hadden ze de systemen van Beeksma Autoverhuur opnieuw kunnen installeren. Wat nu?

De IT-leverancier geeft aan dat als laatste redmiddel het geëiste losgeld (Engels: ransom) kan worden betaald. “Dit biedt geen garanties, maar het is vaak mogelijk te onderhandelen met de criminelen”, zegt hij. Claire gaat akkoord.

Zaterdag 10 juli, 13.40 uur – De IT-leverancier schakelt een derde partij in die ervaring heeft met het onderhandelen met cybercriminelen. Met succes. Waar de criminelen eerst vijf bitcoins willen, gaan ze uiteindelijk akkoord met 80.000 US Dollar in bitcoin voor het ontsleutelen van alle besmette systemen.

Maandag 19 juli, 9.00 uur – Nu de IT weer naar behoren functioneert en Beeksma Autoverhuur zijn klanten weer de bekende producten en een uitstekende service kan bieden, spreekt Claire met een beetje afstand over die moeilijke uren van onzekerheid en over de oorzaken van het drama.

“Begin juli kregen we bericht van onze administratiesoftware-leverancier dat er nieuwe kritieke security-patches beschikbaar waren. Helaas was de verantwoordelijke voor deze software binnen ons bedrijf daarvan te laat op de hoogte, waardoor deze patches niet tijdig zijn doorgevoerd”.

Cybercriminelen waren er sneller bij en hebben van een kwetsbaarheid in de oude versie gebruik gemaakt. Via het update-mechanisme van de administratiesoftware installeerden ze malware – kwaadaardige software dus – op onze systemen. Nadat dat was gebeurd, konden de cybercriminelen een administrator account overnemen en zichzelf rechten geven om door ons netwerk te bewegen. Ze hadden toegang tot alle data, inloggegevens en systemen en hebben alle systemen geïnfecteerd.”

Helemaal veilig voelt Claire zich nog steeds niet. Ze legt uit: “We zijn gelukkig weer volledig up-and-running maar zitten nog steeds met veel vragen. Het forensische onderzoek heeft er geen uitsluitsel over kunnen geven of er data en klantdata gestolen is. En de kwetsbaarheden zijn dan wel gepatcht, maar we weten niet of de cybercriminelen stiekem nog een paar andere deurtjes open hebben gezet.”

De totale directe kosten voor het oplossen van de cyberaanval komen al snel uit op 138.400 euro. Dit zijn de kosten voor de specialisten en het betalen van het losgeld. Hoe hoog de indirecte kosten zijn, is nog niet duidelijk.

Claire vertelt: “We schatten dat er nog 150.000 euro aan indirecte kosten aan opgeteld gaan worden. Daarnaast weten we niet wat de langetermijngevolgen zijn en of we klanten kwijtgeraakt zijn. Kortom: reputatieschade, downtime en financieel verlies.”

Wie verantwoordelijk was voor de hack is nog onbekend. Beeksma Autoverhuur deed aangifte bij de politie. Helaas is de kans dat de cybercriminelen gepakt worden en ook voor de schade opdraaien minimaal.

De IT-leverancier informeerde Claire bovendien van het feit dat ransomware als datalek beschouwd moet worden zodra het bestanden heeft versleuteld die persoonsgegevens bevatten. Daarom moest Beeksma Autoverhuur het incident bij de Autoriteit Persoonsgegevens melden en moesten de klanten op de hoogte gebracht worden van de aanval en de mogelijke gevolgen.

Beeksma Autoverhuur dacht net als vele andere ondernemers niet interessant te zijn voor cybercriminelen maar de realiteit is dat bedrijven niet altijd een bewust gekozen doelwit zijn. Zorg dat het cyberrisico van uw onderneming wordt beperkt door het treffen van passende maatregelen.

1. Maak regelmatig back-ups, bewaar die op een veilige plek en test het terugplaatsen
2. Scan regelmatig uw netwerk op kwestbaarheden en los die op
3. Werk procedures uit hoe te handelen in tijden van cyberdreigingen
4. Sluit een contract voor specialistische hulp bij cyberincidenten af.
5. Overweeg een cyberverzekering voor de kosten van cyberaanvallen

Wij willen u er nogmaals op wijzen dat de namen en beelden in dit artikel zijn gefingeerd.

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

• Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
• Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
• Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.