'We weten uiteindelijk niet precies hoe ze zijn binnengeraakt', zegt Marc Colman. 'Waarschijnlijk via een phishingmail.' Colman is infrastructure manager bij de weefgetouwenfabrikant van Picanol (een grotere groep met departementen voor industriële machines en agro-industrie). Aan een publiek van gelijkgestemden op een Orange Cyberdefense-event legt hij uit hoe het is om in het midden van een ransomware-aanval te staan, en wat zijn bedrijf eruit geleerd heeft.

Phishing of iets anders, de aanvallers kregen toegang tot het netwerk. 'Het eerste wat we zagen, toen we door de logs teruggingen, was een laterale beweging in de serveromgeving van België naar Roemenië op 12 december 2019. Dan was het even stil, maar zagen we weer powershell-activiteiten op 24 december, en op 6 januari.' De eigenlijke aanval gebeurde op 13 januari, de dag waarop alle virtuele servers van het bedrijf in veilige modus heropstartten, met een tekstbestand dat als powershell-opdracht werd uitgevoerd. De productie-omgeving ging plat.

Colman wijst erop dat allerlei best practices erger wisten te voorkomen. 'Door netwerksegmentatie was er alleen impact in onze productiesystemen', zegt hij. 'De machines, de onderzoeksafdeling, enzovoort bleven gespaard. Ook onze klanten hadden geen impact. Daarom hebben we al onze locaties afgesloten en iedereen op een 'eiland' gezet. Die isolatie betekent dat je de productie een tijdje stopzet, maar we wilden zo vooral de impact van de aanval minimaliseren.'

In volle crisis

Gemiddeld is een bedrijf 21 dagen offline na een ransomware-aanval. Een veelvoud daarvan voordat (250-300 dagen) alle systemen weer opgeschoond en hersteld zijn. Bij Picanol bleef het bij twee weken, voor de productie terug kon hervatten. 'We hebben nooit betaald', benadrukt Colman. 'Onze back-ups waren niet gecompromitteerd. Als ook je back-upbestanden versleuteld zijn, dan ben je verloren. Zonder back-up ga je gewoon moeten kijken hoe je kan betalen. Maar dat was bij ons niet het geval.'

Picanol gebruikt een back-up in drie stadia: lokale back-ups, die vervolgens op een centrale server worden gerepliceerd en dan nog eens manueel offline worden gehaald. 'We zetten alles op disc, want als je moet herstellen van tape ben je lang bezig.' Dat systeem is ook een van de redenen waarom Picanol op eigen houtje kon terugkomen, denkt Colman. De meeste bedrijven bewaren een back-up dertig dagen. 'We zagen de eerste tekenen op 12 december 2019, en de hackers hebben vandaar dertig dagen gewacht om aan te vallen.'

Maar de back-ups waren er, dus kon Picanol proberen om de aanval zelf te verhelpen. Het IT-team onderzocht, met input van beveiliger Cynet en het CERT, de eigen servers en vond er onder meer de ransomware MedusaLocker, en software van de bende EmpireMonkey. Met analysetool Darktrace speurde het team vervolgens het hele netwerk af.

Communicatie

Maar tijdens het hele onderzoek moest dat netwerk wel plat om verspreiding te voorkomen. 'We hebben na de aanval onze mailadressen allemaal afgesloten, op enkele belangrijke na, zodat we nog konden blijven communiceren', zegt Colman. 'En dan ga je servers opnieuw opbouwen. En bij elke server die je terugzet, onderzoeken of ze wel safe zijn, voor je ze op het netwerk plaatst. We hebben daarbij veel extra patching gedaan, servers van vroegere snapshots teruggezet, en ze meteen op malware gescand.' Een werk van lange adem, legt Colman uit: 'Laat je mensen ook af en toe slapen, want je gaat hen nog enkele weken nodig hebben'.

Met het ergste achter de rug, kon ook de business weer wat opstarten. Zo ging er bijvoorbeeld een vijftigtal VIP-mailboxen open voor externe mail, bovenop die paar voor crisiscommunicatie. 'Nog geen uur later kregen we al een eerste spearphishingaanval,' lacht hij. 'Je wordt duidelijk in het oog gehouden eens je terug opstart.' Uiteindelijk zou het maanden duren voor de meeste medewerkers hun toegang tot het internet op het werk terugkregen.

'Never waste a good crisis'

De aanval ha(c)kte er dus duidelijk in, maar zorgde ook voor bewustwording. Om herhaling hopelijk te voorkomen werd meteen een reeks maatregelen getroffen die zich vooral richten op het netwerk. 'Gebruikerstoestellen die niet de juiste beveiliging hebben, kunnen niet op het netwerk', aldus Colman. 'Dat geldt voor alle unmanaged apparaten, waaronder dus bijvoorbeeld ook oudere industriële toestellen. Ons IT-team ging fysiek naar al die machines, en als ze er geen security op konden zetten, werden ze van het netwerk afgesloten.'

Daarnaast speelt het bedrijf in op de awareness van gebruikers, die getraind worden in het herkennen van phishingmails. 'Ze moesten die cursus volgen voordat ze hun mailbox terugkregen', legt Colman uit. 'We hebben ook strengere wachtwoordregels geïntegreerd. De business was daar niet echt gelukkig mee, want we wilden een zin, geen woord.' Ook tweestapsverificatie komt eraan. 'Via een authenticatie-app, niet via mail', zegt Colman. Internetverbindingen tussen de sites zelf worden ondertussen strenger gecontroleerd, en een tijd na de aanval was bovendien het aantal VPN-verbindingen sterk gereduceerd. Die werden later weer terug aangezet. Wegens covid.

Next steps

Sinds de aanval kreeg de infrastructuur een strenge doorlichting. Onder meer elevated accounts en service-accounts werden aan banden gelegd, externe partners op de site krijgen een aparte gemonitorde omgeving op het netwerk, enzovoort. 'We zijn nu bezig met het verminderen van onze legacy-systemen. We hadden bijvoorbeeld nog enkele systemen met Windows Server 2003. We hebben ook onze patches versneld, al is het probleem daar voor een industriële omgeving altijd dat je dan downtime krijgt.'

Al bij al is de security roadmap stevig herzien, en wordt ze nog constant bijgewerkt, zegt Colman. 'We hebben een dedicated intern beveiligingsteam. Bij ons zijn dat drie mensen. En dat is nodig. Security mag niet de taak zijn van iemand die nog iets anders doet. Die moeten snel reageren, want de hackers gaan nog sneller. Bij ons volgt het securityteam dagelijks de alerts op en wekelijks zitten we samen om te zien wat er moet veranderen.' Meerdere externe SOC's verzorgen verder het automatische beheer. 'Als zij iets zien, blokkeren ze dat. Dat geeft ons tijd om te zien wat er moet aangepast worden. Je hebt ook die automatische follow-up en remediation nodig. Je vindt de mensen niet om het te doen, dus je moet automatiseren.'

Op lange termijn

Het is nu twee jaar later. Wat blijft er van al die veranderingen over? 'Never spoil a good crisis', zegt Colman. 'Maar je moet je werk wel kunnen doen. Er is een dunne lijn tussen gebruiksgemak en veiligheid. Dat is een moeilijke oefening.'

Ook het bewustzijn rond veiligheid zakt na verloop van tijd weer weg, zegt hij. 'Je ziet dat mensen gaandeweg weer rustiger worden rond bijvoorbeeld phishing. Dat is niet meer top of mind. Iedereen heeft securitytraining gevolgd, maar bij een recente test zagen we toch weer dat enkelen op zo'n testphishingmail klikken, een paar dozijn medewerkers geven zelfs hun login-details. Een uur training is dus goed, maar niet genoeg. Je moet phishingtests doen, en herhalen.'

'We weten uiteindelijk niet precies hoe ze zijn binnengeraakt', zegt Marc Colman. 'Waarschijnlijk via een phishingmail.' Colman is infrastructure manager bij de weefgetouwenfabrikant van Picanol (een grotere groep met departementen voor industriële machines en agro-industrie). Aan een publiek van gelijkgestemden op een Orange Cyberdefense-event legt hij uit hoe het is om in het midden van een ransomware-aanval te staan, en wat zijn bedrijf eruit geleerd heeft.Phishing of iets anders, de aanvallers kregen toegang tot het netwerk. 'Het eerste wat we zagen, toen we door de logs teruggingen, was een laterale beweging in de serveromgeving van België naar Roemenië op 12 december 2019. Dan was het even stil, maar zagen we weer powershell-activiteiten op 24 december, en op 6 januari.' De eigenlijke aanval gebeurde op 13 januari, de dag waarop alle virtuele servers van het bedrijf in veilige modus heropstartten, met een tekstbestand dat als powershell-opdracht werd uitgevoerd. De productie-omgeving ging plat.Colman wijst erop dat allerlei best practices erger wisten te voorkomen. 'Door netwerksegmentatie was er alleen impact in onze productiesystemen', zegt hij. 'De machines, de onderzoeksafdeling, enzovoort bleven gespaard. Ook onze klanten hadden geen impact. Daarom hebben we al onze locaties afgesloten en iedereen op een 'eiland' gezet. Die isolatie betekent dat je de productie een tijdje stopzet, maar we wilden zo vooral de impact van de aanval minimaliseren.'Gemiddeld is een bedrijf 21 dagen offline na een ransomware-aanval. Een veelvoud daarvan voordat (250-300 dagen) alle systemen weer opgeschoond en hersteld zijn. Bij Picanol bleef het bij twee weken, voor de productie terug kon hervatten. 'We hebben nooit betaald', benadrukt Colman. 'Onze back-ups waren niet gecompromitteerd. Als ook je back-upbestanden versleuteld zijn, dan ben je verloren. Zonder back-up ga je gewoon moeten kijken hoe je kan betalen. Maar dat was bij ons niet het geval.'Picanol gebruikt een back-up in drie stadia: lokale back-ups, die vervolgens op een centrale server worden gerepliceerd en dan nog eens manueel offline worden gehaald. 'We zetten alles op disc, want als je moet herstellen van tape ben je lang bezig.' Dat systeem is ook een van de redenen waarom Picanol op eigen houtje kon terugkomen, denkt Colman. De meeste bedrijven bewaren een back-up dertig dagen. 'We zagen de eerste tekenen op 12 december 2019, en de hackers hebben vandaar dertig dagen gewacht om aan te vallen.' Maar de back-ups waren er, dus kon Picanol proberen om de aanval zelf te verhelpen. Het IT-team onderzocht, met input van beveiliger Cynet en het CERT, de eigen servers en vond er onder meer de ransomware MedusaLocker, en software van de bende EmpireMonkey. Met analysetool Darktrace speurde het team vervolgens het hele netwerk af.Maar tijdens het hele onderzoek moest dat netwerk wel plat om verspreiding te voorkomen. 'We hebben na de aanval onze mailadressen allemaal afgesloten, op enkele belangrijke na, zodat we nog konden blijven communiceren', zegt Colman. 'En dan ga je servers opnieuw opbouwen. En bij elke server die je terugzet, onderzoeken of ze wel safe zijn, voor je ze op het netwerk plaatst. We hebben daarbij veel extra patching gedaan, servers van vroegere snapshots teruggezet, en ze meteen op malware gescand.' Een werk van lange adem, legt Colman uit: 'Laat je mensen ook af en toe slapen, want je gaat hen nog enkele weken nodig hebben'.Met het ergste achter de rug, kon ook de business weer wat opstarten. Zo ging er bijvoorbeeld een vijftigtal VIP-mailboxen open voor externe mail, bovenop die paar voor crisiscommunicatie. 'Nog geen uur later kregen we al een eerste spearphishingaanval,' lacht hij. 'Je wordt duidelijk in het oog gehouden eens je terug opstart.' Uiteindelijk zou het maanden duren voor de meeste medewerkers hun toegang tot het internet op het werk terugkregen.De aanval ha(c)kte er dus duidelijk in, maar zorgde ook voor bewustwording. Om herhaling hopelijk te voorkomen werd meteen een reeks maatregelen getroffen die zich vooral richten op het netwerk. 'Gebruikerstoestellen die niet de juiste beveiliging hebben, kunnen niet op het netwerk', aldus Colman. 'Dat geldt voor alle unmanaged apparaten, waaronder dus bijvoorbeeld ook oudere industriële toestellen. Ons IT-team ging fysiek naar al die machines, en als ze er geen security op konden zetten, werden ze van het netwerk afgesloten.'Daarnaast speelt het bedrijf in op de awareness van gebruikers, die getraind worden in het herkennen van phishingmails. 'Ze moesten die cursus volgen voordat ze hun mailbox terugkregen', legt Colman uit. 'We hebben ook strengere wachtwoordregels geïntegreerd. De business was daar niet echt gelukkig mee, want we wilden een zin, geen woord.' Ook tweestapsverificatie komt eraan. 'Via een authenticatie-app, niet via mail', zegt Colman. Internetverbindingen tussen de sites zelf worden ondertussen strenger gecontroleerd, en een tijd na de aanval was bovendien het aantal VPN-verbindingen sterk gereduceerd. Die werden later weer terug aangezet. Wegens covid.Sinds de aanval kreeg de infrastructuur een strenge doorlichting. Onder meer elevated accounts en service-accounts werden aan banden gelegd, externe partners op de site krijgen een aparte gemonitorde omgeving op het netwerk, enzovoort. 'We zijn nu bezig met het verminderen van onze legacy-systemen. We hadden bijvoorbeeld nog enkele systemen met Windows Server 2003. We hebben ook onze patches versneld, al is het probleem daar voor een industriële omgeving altijd dat je dan downtime krijgt.'Al bij al is de security roadmap stevig herzien, en wordt ze nog constant bijgewerkt, zegt Colman. 'We hebben een dedicated intern beveiligingsteam. Bij ons zijn dat drie mensen. En dat is nodig. Security mag niet de taak zijn van iemand die nog iets anders doet. Die moeten snel reageren, want de hackers gaan nog sneller. Bij ons volgt het securityteam dagelijks de alerts op en wekelijks zitten we samen om te zien wat er moet veranderen.' Meerdere externe SOC's verzorgen verder het automatische beheer. 'Als zij iets zien, blokkeren ze dat. Dat geeft ons tijd om te zien wat er moet aangepast worden. Je hebt ook die automatische follow-up en remediation nodig. Je vindt de mensen niet om het te doen, dus je moet automatiseren.'Het is nu twee jaar later. Wat blijft er van al die veranderingen over? 'Never spoil a good crisis', zegt Colman. 'Maar je moet je werk wel kunnen doen. Er is een dunne lijn tussen gebruiksgemak en veiligheid. Dat is een moeilijke oefening.'Ook het bewustzijn rond veiligheid zakt na verloop van tijd weer weg, zegt hij. 'Je ziet dat mensen gaandeweg weer rustiger worden rond bijvoorbeeld phishing. Dat is niet meer top of mind. Iedereen heeft securitytraining gevolgd, maar bij een recente test zagen we toch weer dat enkelen op zo'n testphishingmail klikken, een paar dozijn medewerkers geven zelfs hun login-details. Een uur training is dus goed, maar niet genoeg. Je moet phishingtests doen, en herhalen.'