5 lessen die we hebben geleerd van onze ransomwareaanval
Het is goed gedocumenteerd dat ransomwareaanvallen toenemen en dat ze ernstige gevolgen kunnen hebben voor alle onderdelen van een bedrijf, waaronder klanten, activiteiten, het merk en zelfs raden van bestuur.
Het maakt deel uit van mijn rol bij DXC Technology dat ik toezicht houd op onze beveiligingsactiviteiten en ik regelmatig te maken krijg met aanvallen op onze klanten. Maar op zaterdag 4 juli 2020, toen ik uit de auto stapte om met mijn gezin aan onze vakantie te beginnen, werd ons eigen bedrijf het doelwit van een ransomwareaanval.
Bij het incident was Xchanging betrokken, een dochteronderneming in het Verenigd Koninkrijk, die op technologie gebaseerde zakelijke diensten levert aan de verzekeringssector. De aanvaller stuurde een vaak gebruikte afbeelding van een geliefd stripfiguur die een obsceen handgebaar maakt met het volgende bericht: “Wij hebben uw gegevens. Wij hebben uw bestanden versleuteld. Als u wilt onderhandelen, kunnen we praten via een beveiligde tool of een chatsessie.”
Hoewel het netwerk dat Xchanging gebruikt gescheiden was van de veel grotere IT-omgeving van DXC, waren we toch bezorgd of het incident operationele gevolgen zou hebben voor klanten van Xchanging toen de Londense verzekeringskantoren die maandag opengingen.
Tijd is van het grootste belang bij een ransomware-aanval, omdat downtime een van de ernstigste gevolgen is. Na een aanval liggen kritieke systemen gemiddeld 16 dagen lang stil, volgens Emsisoft, dat voorspelt dat de totale schade voor ransomware in 2020 wereldwijd $170 miljard kan bedragen.
In het geval van Xchanging had de hacker slechts twee dagen daarvoor toegang gekregen. Slechts een handvol systemen werd benaderd en wij konden de dreiging snel isoleren en neutraliseren. Er zijn geen gegevens gestolen en we hebben het losgeld niet betaald. We hebben onmiddellijk onze klanten en de autoriteiten ingelicht.
Tijd is van het grootste belang bij een ransomwareaanval, omdat downtime een van de ernstigste gevolgen is.
Op zondag 5 juli hebben we de getroffen omgeving schoongemaakt en hersteld. Maandagochtend kon Xchanging de verzekeringspolissen weer afhandelen.
Tips om veilig te blijven
Het strafrechtelijk onderzoek is in gang en we maken van elke gelegenheid gebruik om onze controles en procedures te herzien. Bijna alles werkte zoals gepland. Maar dat is voor veel organisaties helaas niet het geval.
We hebben geanalyseerd wat er goed is gegaan en wat niet, en wat we beter kunnen doen.
Hier zijn vijf belangrijke punten:
Ken uw infrastructuur. Concentreer u op basismaatregelen zoals het uitvoeren van softwarepatches en zorg ervoor dat alle netwerken en firewalls beschikken over bedrijfsbeveiligingstools om kwaadaardig gedrag te detecteren. De aanvallers begonnen met het gebruik van een openbaar beschikbare beveiligingstesttool die 'grayware' wordt genoemd. Grayware is op zichzelf niet kwaadaardig, maar werd in dit geval gebruikt om een achterdeur te creëren om Microsoft Windows te exploiteren en een nieuwe variant van coderingsmalware te implementeren. Hoewel we de aanval niet hadden kunnen voorkomen, werden we wel gewaarschuwd dat er iets niet helemaal klopte en konden we snel vaststellen waar het netwerk was gecompromitteerd toen de aanval bezig was.
Betrek het hogere management er vanaf het begin bij. Ons wereldwijde crisisteam is bijeengekomen om de situatie te beoordelen, wat voor ons van cruciaal belang was omdat we het hogere management er rechtstreeks bij betrokken hadden zodat er snel cruciale beslissingen konden worden genomen. We moesten bijvoorbeeld de externe toegang uitschakelen, dus nam ik de beslissing om alle verbindingen met de Xchanging-systemen te verbreken. Hoewel dat eenvoudig klinkt, was er dringend actie nodig van onze IT-teams in zowel het Verenigd Koninkrijk als India, en dankzij de betrokken leiding van die teams kon deze afsluiting snel en efficiënt plaatsvinden. Gedurende de hele respons waren leden van ons leiderschapsteam, onder wie onze CEO Mike Salvino, betrokken bij de evaluatie van de situatie en om belangrijke beslissingen te nemen. Goed management is in deze fase essentieel. Als de beslissingsbevoegdheid ontbreekt of als er geen duidelijkheid is over wie wat doet, verspilt u kostbare minuten die aanvallers zullen misbruiken.
Autoriteiten raden ten zeerste af om losgeld te betalen. De Verenigde Staten en het Verenigd Koninkrijk zijn bezig om civiele en zelfs strafrechtelijke sancties op te leggen voor het betalen van losgeld.
Betrek autoriteiten en experts er in een vroeg stadium bij. Rechterlijke autoriteiten en beveiligingsexperts kunnen waardevolle inzichten verschaffen over hoe een aanval kan worden tegengegaan en maken een snelle juridische interventie mogelijk. De ransomware was bijvoorbeeld ingesteld om gegevens van Xchanging naar websitedomeinen in de Verenigde Staten te sturen, dus nam ik contact op met autoriteiten die in het weekend werkten. Die avond hebben we een rechterlijk bevel gekregen om de controle over de internetdomeinen van de aanvallers over te nemen.
Zorg dat je zoveel mogelijk invloed hebt – en betaal niet. Autoriteiten raden ten zeerste af om losgeld te betalen. De Verenigde Staten en het Verenigd Koninkrijk zijn bezig om civiele en zelfs strafrechtelijke sancties op te leggen voor het betalen van losgeld. In ons geval vroegen de aanvallers niet van tevoren om geld. Ze wilden onderhandelen. We wisten dat we de aanval hadden voorkomen, we wisten dat ze onze gegevens niet hadden en we wisten dat we back-ups hadden. We hadden een sterke positie, dus hoefden we niet te onderhandelen. Als u ervoor kiest om met cybercriminelen te onderhandelen, doe dat dan niet alleen. Zoek een ervaren onderhandelaar in losgeld – bij voorkeur als onderdeel van uw respons op incidenten, voordat u wordt aangevallen.
Wees transparant. U hoeft niet alle feiten bekend te maken, maar openheid is over het algemeen een goede gewoonte. We hebben de IOC's (Indicators of Compromise) van de aanvaller met honderden klanten gedeeld. Hoewel er zeker informatie kan zijn die u niet vrij kunt geven (bijv. wanneer deze onderworpen is aan beperkingen inzake de vertrouwelijkheid van klanten of zoals de wetgeving voorschrijft), helpt het delen van informatie, wanneer u dat kunt doen, om niet alleen anderen te beschermen, maar ook om u te helpen de hulp in te roepen van een groot aantal collega's, de autoriteiten en de beveiligingsgemeenschap. Wij hebben op zondag 5 juli een persbericht uitgegeven om de openbare markten op de hoogte te stellen en een paar weken later volgde er een nieuw bericht om te bevestigen dat de aanval was bedwongen.
De autoriteiten met wie ik dat weekend sprak, waren verrast dat onze aanval al onder controle was. De meeste oproepen die ze ontvangen, komen van de CEO, omdat de IT- en beveiligingsteams het dan razend druk hebben en het bedrijf meestal al voor de derde of vierde dag is afgesloten en het einde nog niet in zicht is.
Wij weten dat onze aanval van 4 juli veel erger had kunnen zijn. Wij profiteerden van een combinatie van een snelle respons op incidenten, beveiligingscontroles en governance, en het gebruik van technische tools en handelswijzen in de IT-sector.
Het 'nieuwe DXC' was sterk genoeg om de uitdaging aan te gaan en onze klanten te allen tijde voorop te stellen.
En dat was het begin van mijn zomervakantie.
Blijf op de hoogte van de nieuwste bedreigingen. Meld u aan voor het Security Threat Intelligence Report van DXC op www.dxc.technology/threats_HBR.
Over de auteur
Mark Hughes is senior vice-president oplossingen en strategische partners bij DXC Technology, verantwoordelijk voor de wereldwijde organisatie en het aanbod van DXC op het vlak van security, inclusief cyberverdediging, beveiligde infrastructuur, digitale identiteit en gegevensbescherming. Voorheen was hij actief als chief executive bij BT Security.