De volgende situatie is waargebeurd. Ter bescherming van de privacy van de klant zijn details van de aanval- en de klant, aangepast dan wel niet benoemd. Het incident kreeg de naam Operatie:VEXIS, door de sluwe en ‘slangachtige’ gedragingen van de aanvaller bij de klant.
Alarm aan het einde van de middag
Het is 6 oktober 2022 wanneer er tegen het einde van de middag alarmbellen afgaan bij Rootsec. Onze Endpoint Protection oplossing bij een klant in de huisvestingssector detecteert typische patronen van een ransomware-aanval. Omdat het einde van de werkdag nadert is het van belang dat er snel geschakeld wordt. Er wordt direct contact gezocht met onze contactpersoon bij de klant en wij schetsen de situatie in duidelijke taal. Wij delen alle informatie die we op dat moment hebben en samen bepalen we de vervolgstappen.
Omdat onze Endpoint Protection oplossing niet enkel malafide bestanden herkent maar vooral gedrag analyseert, zijn wij in staat om de aanvaller in een zeer vroeg stadium af te stoppen. Later in het onderzoek komt naar voren dat de server die aangevallen werd, een vitale rol speelt binnen de IT-infrastructuur van de klant. De potentiële financiële- en imagoschade had mogelijk onuitwisbare gevolgen gehad voor de klant.
‘Damage control’ op locatie
De volgende dag is een specialistisch team van Rootsec op locatie aanwezig om een onderzoek uit te voeren naar mogelijke andere kwetsbaarheden. Hieruit blijkt dat er enkele zwakke punt aanwezig zijn op andere elementen binnen de IT-infrastructuur. Deze worden snel in kaart gebracht en gecommuniceerd met de klant zodat deze gepatched en/of anderzijds gemitigeerd kunnen worden. Op deze wijze voorkomen wij een tweede aanvalspoging op korte termijn. De kans dat een aanvaller deze kwetsbaarheden ook al in kaart heeft is namelijk erg groot.
Terwijl de klant hiermee aan de slag gaat, voeren wij een forensisch onderzoek uit naar de aanval om de klant te voorzien van gedegen advies en inzicht in de werkwijze van de aanvaller. We maken een rapportage met daarin de tijdslijn van de aanval, de uitgebuite kwetsbaarheden en de noodzakelijke maatregelen voor de klant.
Een proactieve houding is goed voor imago en portemonnee
In dit (waargebeurde) voorbeeld kroop de klant door het oog van de naald en was het dankzij onze Endpoint Oplossing en adequaat handelen van beide kanten mogelijk om de aanval af te slaan. In veel (te veel) gevallen wordt een dergelijke aanval niet tijdig opgemerkt. Een aanvaller beweegt zich dan onder de radar over het netwerk heen en pas wanneer deze ‘herrie’ gaat maken, wordt dit gezien. Vaak is het dan al te laat. Vertrouw daarom niet blind op firewalls maar laat liever verdacht gedrag monitoren. Zo beschermt u zich tegen dreigingen van buitenaf én binnenuit.
De klant heeft inmiddels besloten om onze Endpoint Protection oplossing volledig uit te rollen en om twee penetratietesten uit te laten voeren. Waar wij natuurlijk blij zijn met deze houding t.a.v. security, zou een incident hier niet aan de grondslag voor moeten liggen. Daarom adviseren wij al onze klanten (en lezers) om proactief bezig te gaan- en blijven, met Cyber Security. Hoe u dat doet? Wij vertellen u er graag meer over.
