We schrijven zaterdag 4 juli 2020. Mark Hughes, Senior Vice President bij de vestiging van IT-outsourcer DXC Technology in het Verenigd Koninkrijk, staat op het punt om aan de autovakantie te beginnen waar zijn hele gezin al even naar uitkeek. Tot plots: 'We have your data. We've encrypted your files. If you want to negotiate, we can talk on a secure tool or chat session.' Een niet mis te verstane boodschap, verpakt in een afbeelding van een bekend cartoonfiguur dat een obsceen handgebaar maakt. Hughes begrijpt meteen dat de vakantie nog even zal moeten wachten.

'Een deel van mijn rol bij DXC Technology is toezicht houden op alle beveiligingsactiviteiten. Dat betekent dat ik ook regelmatig te maken krijg met aanvallen op onze klanten, maar in dit geval ging het om Xchanging, een van onze dochterondernemingen. Alle knipperlichten stonden meteen op rood', vertelt Mark Hughes aan Data News.

'Het netwerk dat Xchanging gebruikt staat volledig los van de veel grotere IT-omgeving van DXC, maar aangezien Xchanging specifiek zakelijke diensten levert aan de verzekeringssector was er meteen grote bezorgdheid', herinnert hij zich nog. Uiteindelijk slaagde de IT-afdeling er in om de getroffen omgeving al de dag erna, op zondag dus, helemaal schoon te maken en te herstellen. Op maandagochtend was Xchanging alweer druk verzekeringspolissen aan het afhandelen. 'Dit had veel erger kunnen aflopen', zegt Hughes die vijf lessen samenvat die hijzelf geleerd heeft uit het ernstige incident.

1. Ken je infrastructuur

'Tijd is van het grootste belang bij een ransomware-aanval, dat hebben we zelf ondervonden. Downtime is meestal het meest ernstige economische gevolg, kijk maar naar de recente aanvallen in België zoals op Picanol. Je moet uiteraard meteen handelen van zodra je de cyberaanval opmerkt, maar nog belangrijker is dat je ook snel moet weten wanneer de aanvaller voor het eerst binnengedrongen is in je systemen. Bij deze aanval had de hacker amper 2 dagen voordien toegang bemachtigd. In heel wat andere grote aanvallen zijn de systemen al veel langer gecompromitteerd vooraleer de aanval vastgesteld wordt - vaak pas op het moment dat de hackers hun aanval lanceren', aldus Hughes.

'Het zou een evidentie moeten zijn, maar zorg er zeker voor dat je altijd en overal de laatste softwarepatches implementeert. Zorg ook voor tools om kwaadaardig gedrag zo goed mogelijk te detecteren. Zoals ik al zei: tijd is van het grootste belang. De impact bleef bij ons beperkt omdat we de dreiging snel konden isoleren en neutraliseren. Dat kan je eigenlijk alleen maar doen als je je infrastructuur door-en-door kent. Ja, we hebben de aanval niet kunnen tegenhouden. Maar we werden wel tijdig gewaarschuwd dat er iets fout zat en onze tools en infrastructuur lieten ook toe om snel vast te stellen wat precies gecompromitteerd was en waar precies in het netwerk. Zo konden we de inbreker als het ware op heterdaad betrappen en zorgen dat hij al zeker niet verder in de systemen kon doordringen', klinkt het.

Voor wie het zich overigens mocht afvragen. De aanvallers raakten binnen via een publiek beschikbare 'grayware' securitytool, waarlangs ze een achterdeur in het netwerk creëerden om een nieuwe, op dat moment nog quasi onbekende malwarevariant binnen te brengen in een Windows-omgeving.

2. Haal het hogere management er bij

Voor Hughes is het ook duidelijk dat er snelheidswinst geboekt werd omdat hij een uitdrukkelijk mandaat van CEO Mike Salvino kreeg om de nodige acties te ondernemen. 'Betrek vanaf het begin het hogere - en indien van toepassing ook het wereldwijde - management. Dat maakt dat je snel kan schakelen. In mijn geval moest ik internationale Xchanging-systemen loskoppelen, maar dat is minder evident dan het lijkt als je weet dat bijvoorbeeld ook IT-teams in India hierbij betrokken zijn. Goed management is dan cruciaal om - ik weet dat ik in herhaling val - snelheid te maken', aldus Hughes.

Mark Hughes (Senior Vice President, DXC UK), DXC Technology
Mark Hughes (Senior Vice President, DXC UK) © DXC Technology

3. Haal er de autoriteiten en experts bij

DXC bracht meteen na het vaststellen van de aanval de autoriteiten op de hoogte. 'Dat heeft ons geholpen. Het zorgde al op zaterdagavond voor een gerechtelijk bevel om de internetdomeinen van de aanvallers over te nemen', vertelt Hughes. De aanval was zodanig opgezet dat al het Xchanging-verkeer omgeleid werd naar domeinen die in handen waren van de hackers. Om het 'initial point of entry' van de hackers 100% accuraat te bepalen, haalde DXC er ook een gespecialiseerde externe partij bij. 'Doe zoiets meteen als je ook maar de minste twijfel hebt. Het kan vermijden dat je na herstelling toch weer getroffen wordt omdat niet alle geopende poorten gedicht zijn.' Die partij deed de zogeheten forensics.

4. Betaal geen losgeld

Het is een dicussie met voor- en tegenstanders: betaal je losgeld of niet? Doe je het wel, dan kan het zijn dat je in sommige gevallen goedkoper af bent dan zelf in dure remediëring te voorzien. De kans dat je na betaling verder geholpen wordt is wel degelijk reëel. De aanvallers werken vaak met heuse callcenters die je weer op weg helpen: het is echt een economie als een ander De keerzijde: als je betaalt, steun je meteen ook het businessmodel dat malware in leven houdt. Precies daarom dat sommige landen zoals het Verenigd Koninkrijk en de Verenigde Staten proberen om het betalen van losgeld te verbieden.

Maar hier wilden de aanvallers dus in eerste instantie onderhandelen. 'We wisten dat ze onze gegevens niet hadden kunnen bemachtigen en we wisten ook dat we volledige back-ups hadden. Dat bracht ons in zo'n sterke positie dat we niet eens hoefden te onderhandelen', aldus Hughes.

5. Wees transparant

'Precies de reden waarom we nu met elkaar bellen', lacht Hughes. 'Nee, je hoeft uiteraard niet alle details open en bloot op tafel te leggen, maar het zou gewoon best practice moeten zijn om open en transparant te communiceren als er iets fout loopt. We hebben met honderden klanten gedeeld hoe de aanvallers tewerk gingen en wat bij ons de alarmbellen deed rinkelen, de in ons jargon Indicators of Compromise. Je beschermt er meteen anderen door.'

De aanval van 4 juli had veel erger kunnen aflopen. Daar is een tikkeltje geluk mee gemoeid - het feit dat het netwerk van het dochterbedrijf volledig afgescheiden was - geeft Hughes toe, 'maar het is toch vooral de snelheid van handelen die ons gered heeft. En die er voor gezorgd heeft dat ik achteraf toch nog aan mijn zomervakantie kon beginnen', lacht Mark Hughes.

We schrijven zaterdag 4 juli 2020. Mark Hughes, Senior Vice President bij de vestiging van IT-outsourcer DXC Technology in het Verenigd Koninkrijk, staat op het punt om aan de autovakantie te beginnen waar zijn hele gezin al even naar uitkeek. Tot plots: 'We have your data. We've encrypted your files. If you want to negotiate, we can talk on a secure tool or chat session.' Een niet mis te verstane boodschap, verpakt in een afbeelding van een bekend cartoonfiguur dat een obsceen handgebaar maakt. Hughes begrijpt meteen dat de vakantie nog even zal moeten wachten.'Een deel van mijn rol bij DXC Technology is toezicht houden op alle beveiligingsactiviteiten. Dat betekent dat ik ook regelmatig te maken krijg met aanvallen op onze klanten, maar in dit geval ging het om Xchanging, een van onze dochterondernemingen. Alle knipperlichten stonden meteen op rood', vertelt Mark Hughes aan Data News. 'Het netwerk dat Xchanging gebruikt staat volledig los van de veel grotere IT-omgeving van DXC, maar aangezien Xchanging specifiek zakelijke diensten levert aan de verzekeringssector was er meteen grote bezorgdheid', herinnert hij zich nog. Uiteindelijk slaagde de IT-afdeling er in om de getroffen omgeving al de dag erna, op zondag dus, helemaal schoon te maken en te herstellen. Op maandagochtend was Xchanging alweer druk verzekeringspolissen aan het afhandelen. 'Dit had veel erger kunnen aflopen', zegt Hughes die vijf lessen samenvat die hijzelf geleerd heeft uit het ernstige incident.'Tijd is van het grootste belang bij een ransomware-aanval, dat hebben we zelf ondervonden. Downtime is meestal het meest ernstige economische gevolg, kijk maar naar de recente aanvallen in België zoals op Picanol. Je moet uiteraard meteen handelen van zodra je de cyberaanval opmerkt, maar nog belangrijker is dat je ook snel moet weten wanneer de aanvaller voor het eerst binnengedrongen is in je systemen. Bij deze aanval had de hacker amper 2 dagen voordien toegang bemachtigd. In heel wat andere grote aanvallen zijn de systemen al veel langer gecompromitteerd vooraleer de aanval vastgesteld wordt - vaak pas op het moment dat de hackers hun aanval lanceren', aldus Hughes.'Het zou een evidentie moeten zijn, maar zorg er zeker voor dat je altijd en overal de laatste softwarepatches implementeert. Zorg ook voor tools om kwaadaardig gedrag zo goed mogelijk te detecteren. Zoals ik al zei: tijd is van het grootste belang. De impact bleef bij ons beperkt omdat we de dreiging snel konden isoleren en neutraliseren. Dat kan je eigenlijk alleen maar doen als je je infrastructuur door-en-door kent. Ja, we hebben de aanval niet kunnen tegenhouden. Maar we werden wel tijdig gewaarschuwd dat er iets fout zat en onze tools en infrastructuur lieten ook toe om snel vast te stellen wat precies gecompromitteerd was en waar precies in het netwerk. Zo konden we de inbreker als het ware op heterdaad betrappen en zorgen dat hij al zeker niet verder in de systemen kon doordringen', klinkt het.Voor wie het zich overigens mocht afvragen. De aanvallers raakten binnen via een publiek beschikbare 'grayware' securitytool, waarlangs ze een achterdeur in het netwerk creëerden om een nieuwe, op dat moment nog quasi onbekende malwarevariant binnen te brengen in een Windows-omgeving.Voor Hughes is het ook duidelijk dat er snelheidswinst geboekt werd omdat hij een uitdrukkelijk mandaat van CEO Mike Salvino kreeg om de nodige acties te ondernemen. 'Betrek vanaf het begin het hogere - en indien van toepassing ook het wereldwijde - management. Dat maakt dat je snel kan schakelen. In mijn geval moest ik internationale Xchanging-systemen loskoppelen, maar dat is minder evident dan het lijkt als je weet dat bijvoorbeeld ook IT-teams in India hierbij betrokken zijn. Goed management is dan cruciaal om - ik weet dat ik in herhaling val - snelheid te maken', aldus Hughes.DXC bracht meteen na het vaststellen van de aanval de autoriteiten op de hoogte. 'Dat heeft ons geholpen. Het zorgde al op zaterdagavond voor een gerechtelijk bevel om de internetdomeinen van de aanvallers over te nemen', vertelt Hughes. De aanval was zodanig opgezet dat al het Xchanging-verkeer omgeleid werd naar domeinen die in handen waren van de hackers. Om het 'initial point of entry' van de hackers 100% accuraat te bepalen, haalde DXC er ook een gespecialiseerde externe partij bij. 'Doe zoiets meteen als je ook maar de minste twijfel hebt. Het kan vermijden dat je na herstelling toch weer getroffen wordt omdat niet alle geopende poorten gedicht zijn.' Die partij deed de zogeheten forensics.Het is een dicussie met voor- en tegenstanders: betaal je losgeld of niet? Doe je het wel, dan kan het zijn dat je in sommige gevallen goedkoper af bent dan zelf in dure remediëring te voorzien. De kans dat je na betaling verder geholpen wordt is wel degelijk reëel. De aanvallers werken vaak met heuse callcenters die je weer op weg helpen: het is echt een economie als een ander De keerzijde: als je betaalt, steun je meteen ook het businessmodel dat malware in leven houdt. Precies daarom dat sommige landen zoals het Verenigd Koninkrijk en de Verenigde Staten proberen om het betalen van losgeld te verbieden.Maar hier wilden de aanvallers dus in eerste instantie onderhandelen. 'We wisten dat ze onze gegevens niet hadden kunnen bemachtigen en we wisten ook dat we volledige back-ups hadden. Dat bracht ons in zo'n sterke positie dat we niet eens hoefden te onderhandelen', aldus Hughes.'Precies de reden waarom we nu met elkaar bellen', lacht Hughes. 'Nee, je hoeft uiteraard niet alle details open en bloot op tafel te leggen, maar het zou gewoon best practice moeten zijn om open en transparant te communiceren als er iets fout loopt. We hebben met honderden klanten gedeeld hoe de aanvallers tewerk gingen en wat bij ons de alarmbellen deed rinkelen, de in ons jargon Indicators of Compromise. Je beschermt er meteen anderen door.'De aanval van 4 juli had veel erger kunnen aflopen. Daar is een tikkeltje geluk mee gemoeid - het feit dat het netwerk van het dochterbedrijf volledig afgescheiden was - geeft Hughes toe, 'maar het is toch vooral de snelheid van handelen die ons gered heeft. En die er voor gezorgd heeft dat ik achteraf toch nog aan mijn zomervakantie kon beginnen', lacht Mark Hughes.