• Verhalen uit de community: “Ransomware, het kan iedereen overkomen”

Verhalen uit de community: “Ransomware, het kan iedereen overkomen”

Clock Geplaatst op dinsdag 16 april 2019

Vanaf heden is er een nieuwe rubriek in de CYSSEC maandelijkse Nieuwsbrief te vinden: “Verhalen uit de community”. In deze rubriek vertelt iemand uit de CYSSEC-community over een ervaring die zijn/haar onderneming heeft gehad op het gebied van cybersecurity. Dit kan bijvoorbeeld gaan over best practices, een geslaagde training, of een hack/security breach. In deze eerste editie vertelt een lid van het CYSSEC-platform over een aanval van ransomware binnen zijn organisatie.

“Ransomware, het kan iedereen overkomen”

Hoe hebben jullie de interne systemen ingericht?

“Binnen ons bedrijf hebben wij de data afgeschermd d.m.v. firewalls, spamfilters en diverse virus beveiligingsprogramma’s. Binnen onze algemene server zijn de werkmaatschappijen (in totaal 11) niet onderling verbonden: de rechten van gebruikers zijn per werkmaatschappij afgeschermd. Hierdoor heeft een mogelijke aanval op de ene werkmaatschappij geen invloed op de data van een andere.”

Van wat voor aanval zijn jullie het slachtoffer geworden?

“Eind 2018 zijn wij met een nieuw project begonnen. Hierbij is diverse data (voornamelijk Excelbestanden) gegenereerd en opgeslagen. Een aantal externe gebruikers hadden toegang nodig tot onze systemen en daarom kozen wij ervoor om ook hier alles separaat in te richten, om infecties te voorkomen.

Na 2 maanden kwam op een ochtend een melding binnen dat een Excel bestand niet meer gevonden kon worden. Uit nader onderzoek bleek dat wij waren getroffen door het “Locky-virus”. Dit virus zorgde ervoor dat alle bestanden op de betreffende schijf (deel van de server) onbereikbaar waren geworden. De hele schijf bleek geïnfecteerd te zijn waardoor niets meer bereikbaar was. We waren het slachtoffer geworden van ransomware.

Weten jullie wat de oorzaak van de aanval was?

De vermoedelijke oorzaak was een mail van een ‘Duitse’ firma (met bijlage en factuur) voor geleverde diensten, die door onze spamfilter was ‘geslopen’. Een medewerker (die niets met facturen en leveranciers te maken had) opende deze bijlage. Gelukkig had deze medewerker alleen rechten op de betreffende schijf.

Hoe hebben jullie gehandeld na de ontdekking van het virus?

Na de aanval werden de volgende stappen gezet: 1) PC fysiek uit het netwerk halen 2) De gebruiker afsluiten en zijn profiel ‘parkeren’ 3) De harde schijf van de PC vervangen 4) Nogmaals informeren en instrueren van medewerkers 5) Officiële waarschuwing gegeven aan de betreffende medewerker 6) Data van een schone back-up teruggezet 7) 2 dagen opnieuw invoeren.

Door de nodige ingebouwde veiligheidsmaatregelen viel de schade achteraf mee. Het bewijst echter wel weer hoe voorzichtig je moet zijn bij het openen van bestanden. De gemaakte keuzes hebben zich in de praktijk bewezen!”

Heb jij een verhaal om (geanonimiseerd) met ons te delen? Mail ons dan via cyssec@schiphol.nl!

Arrow leftTerug naar overzicht
Cross icon