Mijn ogen glijden over korte, zakelijke zinnen:“Uw bestanden zijn versleuteld. Betaal 50 BTC binnen 7 dagen of al uw data wordt gepubliceerd en de sleutel vernietigd.
Contact: phoenixnegotiator@protonmail.com. Voeg bij uw bericht dit ID toe: ORG-982-XX.”
De dag dat alles op zwart ging
Het is 09:12 als de eerste melding binnenkomt. Geen rustig “mijn mail doet het niet”, maar een screenshot van een rood scherm: honderden bestanden met de extensie .LOCKED_BY_PHOENIX en een tekstbestand met de naam READ_ME_NOW.txt op het bureaublad van een applicatieserver. Ik open het tekstbestand.
Mijn maag draait om. Dit is geen storing. Dit is ransomware. En meteen weet ik dat we een paar cruciale beslissingen moeten nemen, en snel.
09:20 uur - isoleren en verzamelen
“Netwerk offline. Segmenten isoleren.” Het klinkt simpel, maar de uitvoering is chaotisch. IT Operations zet fysieke switches uit, sluit VPN-terminals af en blokkeert uitgaand verkeer naar verdachte IP’s. We halen de externe verbindingen van twee datacenters hardhandig van het internet. Pijnlijk, want klanten gebruiken die ook.
Tegelijkertijd start ik de call voor het crisisteam. Binnen een half uur zitten er tien mensen in een vergaderruimte: CISO, IT Operations Manager, Application Support, Legal, Communicatie, HR, hoofd Vendor Management en ikzelf. Er hangt een geladen stilte. Iedereen wacht op mij.
Ik begin: “Stap één: we isoleren. Stap twee: we leggen alles forensisch vast. Geen herstarts, geen logs wissen. Stap drie: we bellen de verzekeraar en de politie.” De forensische specialist die we bereiken benadrukt meteen: maak images van geïnfecteerde machines, exporteer event logs, bewaar alle tijdstempels en bovenal: voorkom dat iemand een backup terugzet zonder die eerst te scannen.
10:40 uur - de omvang wordt duidelijk
Binnen enkele uren krijgen we meer inzicht. De aanval lijkt gestart via een gehackte remote desktop van een leverancier: een oud, niet-gepatcht toegangspunt. De aanvallers hebben zich lateraal verplaatst naar meerdere servers, waaronder twee applicatieservers en één load balancer.
Cruciaal: onze database-servers lijken onbeschadigd. Ze stonden in een apart VLAN met strengere toegangsregels. Dat is een geluk bij een ongeluk. Maar we mogen niet verslappen: de aanval kan ook nog verborgen triggers bevatten. Op een scherm zie ik een lijst met gecodeerde bestanden: invoice_2024_12_03.pdf.LOCKED_BY_PHOENIX. Finance is in paniek. “Kunnen we betalingsbewijzen van vorig kwartaal nog terughalen?” vraagt de manager, zichtbaar bezorgd.
Het dilemma: betalen of niet?
Dan komt de onvermijdelijke vraag: betalen we losgeld of niet?
Legal zet de dilemma’s op een rij:
- Als we betalen, bevorderen we crimineel gedrag en hebben we geen garantie dat de decryptor werkt of dat data niet alsnog gelekt wordt.
- Verzekeraar: de polis vermeldt voorwaarden; zij eisen dat we eerst herstelopties onderzoeken.
- GDPR: als persoonsgegevens geraakt zijn, moeten we de Autoriteit Persoonsgegevens informeren.
- Juridisch risico: als de aanvallers op een sanctielijst staan, maken we ons schuldig aan strafbare feiten.
De CISO en Legal adviseren: “Betaal alleen als echt alle andere opties zijn uitgeput, en nooit direct. Altijd via een geautoriseerde onderhandelaar en in overleg met politie.”
De CEO kijkt me aan. Zijn blik is veelzeggend: “Zeg me wat ik moet doen.” Ik voel de totale verantwoordelijkheid. Als CIO moet ik nu niet alleen technisch, maar ook moreel en strategisch leidinggeven.
14:00 uur - tactische keuzes
We besluiten niet meteen te betalen. Niet omdat principes belangrijker zijn dan continuïteit, maar omdat er een alternatief is: onze back-ups en een gecontroleerde rebuild op basis van het cyber recovery plan.
De aanpak:
- Backup Data Expiratie
Het expireren van backup data wordt gelijk gestopt, zodat we geen backup data kwijtraken die mogelijk benodigd is voor het herstel. - Forensisch veiligstellen
Images van geïnfecteerde systemen, hashes van malware-samples, export van AD- en firewall-logs. - Backup-validatie
Onze offsite en air-gapped back-ups worden in een gescheiden cleanroom getest. We zoeken naar aanwijzingen dat de ransomware al in de backup zat. Alleen data die schoon verklaard is mag herstelt worden. - Cyber Recovery Plan
Volledige herbouw in een gescheiden Isolated Recovery Environment (IRE), met golden images en strengere configuraties. Pas na integriteitscontroles worden systemen in productie gezet. - Credential reset
Alle service- en admin-accounts worden gereset, MFA verplicht gesteld. - Communicatie
We kiezen voor transparantie. Klanten en medewerkers krijgen updates: “Uw data is veilig, we werken dag en nacht aan herstel.” - Afstemming met derden
Verzekeraar, NCSC en politie worden volledig op de hoogte gehouden.
Iedereen loopt op adrenaline
De eerste 48 uur zijn intens. Iedereen loopt op adrenaline. Telefoontjes van leveranciers, vragen van klanten, media die beginnen te bellen. Ondertussen proberen we intern de rust te bewaren: managers krijgen vaste updates, klantcontactcentra scripts om vragen te beantwoorden.
Een HR-collega vraagt bezorgd: “Kunnen we straks nog salaris uitbetalen?” Mijn partner appt: “Gaat dit je baan kosten?” Het raakt me. Als CIO weet ik dat leiders vaak afgerekend worden op incidenten die buiten hun macht liggen. Toch laat ik dat niet zien. Mijn team moet een leider zien die koersvast blijft.
72 uur - eerste herstel
De validaties in de cleanroom geven eindelijk hoop. De laatste schone snapshot is van twee dagen voor de aanval. We starten gefaseerd herstel in de geïsoleerde herstel omgeving:
- Eerst de kernsystemen (authenticatie, AD en DNS).
- Dan de bedrijfsapplicaties: Finance, HR, CRM.
- Bij elke stap voeren we integriteitscontroles uit.
Een complicatie: sommige oude serviceaccounts komen met de back-up mee terug. Mogelijk gecompromitteerd. IT ontwikkelt een script om ze automatisch te blokkeren en gefaseerd opnieuw in te stellen.
De verleiding van losgeld
Ondertussen bieden externe partijen aan om namens ons te onderhandelen. Zij schetsen statistieken: vaak werkt een decryptor, soms niet, en regelmatig wordt data alsnog gelekt. De CEO vraagt: “Als betalen sneller herstel betekent, moeten we het dan toch doen?” Ik antwoord: betalen lijkt verleidelijk, maar brengt enorme risico’s mee. We hebben een pad zonder losgeld. We kiezen die weg.
Dag 8 - systemen weer online
Na acht dagen zijn de belangrijkste systemen weer veilig online. Klantenportals functioneren, facturatie draait, interne processen komen op gang. De opluchting is groot. Er waren verliezen: productiviteitsverlies, extra kosten, stress, maar we hebben geen losgeld betaald en geen aanwijzingen dat data is gelekt.
De nasleep
We schrijven een volledig incident report: oorzaak, tijdlijn, beslissingen, technische details, verbeterpunten. Dit delen we deels met de NCSC en leveranciers, zodat ook zij ervan leren.
De verbeteringen die we doorvoeren:
- Cyber recovery plan: update met lessons learned.
- Immutable, air-gapped back-ups met regelmatige geautomatiseerde hersteltests en voldoende herstel performance.
- Zero Trust-architectuur met segmentatie en least privilege.
- Strenger patchmanagement: kritieke endpoints binnen 48 uur gepatcht.
- Incident response-oefeningen met bestuur, IT en communicatie.
- Communicatie-templates en een duidelijke besluitmatrix.
- Strengere leverancierstoegang via bastions met MFA.
- Psychologische ondersteuning voor medewerkers die zwaar onder druk stonden.
We hebben het overleefd
Dit incident heeft me getest als CIO. De vraag “Gaat dit mijn carrière kosten?” speelde op de achtergrond in mijn hoofd. Maar belangrijker was de overtuiging dat leiderschap betekent: kalm blijven, transparant communiceren en beslissingen nemen ondanks onzekerheid.
Op de laatste dag van het herstel loop ik door het kantoor. Mensen werken weer, lachen moe, en één medewerker zegt: “We hebben het overleefd, hè.” Ik knik. Niet alleen overleefd. We zijn sterker geworden.
Hoe bereid jij je voor?
Dit verhaal was fictief, maar gebaseerd op realistische scenario’s. Het geeft een indruk van hoe een ransomware-aanval in de praktijk kan verlopen en welke dilemma’s en beslissingen daarbij komen kijken.
Bij PQR helpen wij organisaties om zich hierop voor te bereiden. Door middel van simulaties, crisisoefeningen en advies zorgen we dat bestuur, IT en communicatie beter weten wat te doen bij een aanval. Ook staan wij klaar om te ondersteunen bij herstel na een incident.
Wil je weten hoe weerbaar jouw organisatie is?
Neem gerust eens contact met ons op. Wij helpen je graag verder.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Welke CIO heeft dit overzicht? Het mooie van dit scenario is dat je de complexiteit en urgentie van zo'n situatie voelt en de vele lagen van verantwoordelijkheid en besluitvorming met allemaal hun eigen strategische, tactische, operationele en niet te vergeten juridische gevoeligheden. Om te beginnen zie je hier al dat er geen Business Continuity Management en Crisis Management proces is geoefend. Dus de netwerkinstructies bij crisis zijn al vaag. Het chaotisch afkoppelen van segmenten en het - op goed geluk - afsluiten van verbindingen gebeurt in dit scenario chaotisch. Wijst op een gebrek aan een duidelijk gestructureerd, laat staan beoefend, incident response-protocol.
Ad-hoc acties kunnen juist leiden tot onbedoelde escalatie of verlies van cruciale data.
Ja, de forensische specialisten werden snel ingeschakeld, maar hun betrokkenheid blijkt pas na de eerste isolatiestappen te zijn gestart. In complexe ransomware-aanvallen is het cruciaal om direct vanaf de eerste minuut forensisch advies in te winnen om fouten in isolatie en logging te voorkomen. Was de Data Governance überhaupt wel voldoende op orde om achteraf te kunnen zien waar die kl^%$!^aangezeten hebben?
Wat mist is proactieve communicatie naar stakeholders. Klanten en interne stakeholders werden pas later geïnformeerd, wat vragen en onrust veroorzaakte. Proactieve crisiscommunicatie kan vertrouwen behouden en paniek reduceren, maar weet de PR afdeling (if any) wat ze dan moeten zeggen en tegen wie en in welke volgorde? Natuurlijk is het op zo'n moment een beetje druk voor een melding bij het AP, maar die gaan zeker zeuren. Zodra persoonsgegevens mogelijk zijn geraakt, vereist de GDPR een melding binnen 72 uur aan de Autoriteit Persoonsgegevens (AP). Het lijkt erop dat deze melding pas ná het onderzoek zelfs maar werd overwogen. Zelfs een vermoeden van datalekken moet direct gemeld worden en dat vereist weer dat de Data Governance en het Asset Management voldoende op orde is dat ook duidelijk dat iemand zich er bewust van is en zich er verantwoordelijk voor voelt dat data kunnen zijn gelekt Hoewel er geen directe betaling is verricht, had alleen al een beslissing om te betalen, zonder verificatie van de identiteit van de aanvallers (succes met de attributie) kunnen leiden tot overtreding van sanctiewetgeving. Dit zou juridische en financiële risico’s voor de organisatie hebben opgeleverd, bovenop het technische gevalletje 'moeilijk'.
De juridische risico’s van een ransomware-aanval lijken pas tijdens de crisis volledig overwogen. Was welk handig geweest om dat vooraf in beeld te hebben gehad, maar ja, wie heeft er een Achitecture Governance Board met Data Governance in portfolio en een real time inzicht in het constant muterende en evoluerende data ecosysteem landschap? Een vooraf opgestelde juridische strategie met scenarioanalyses (zoals sanctierisico’s) had sneller duidelijkheid kunnen bieden, in dit scenario moet 1 persoon raden. Wat zien we nog meer in dit scenario? Ongepatchte externe toegang. Ouch.
De aanval begon via een gehackte remote desktop-verbinding van een leverancier. Hoezo is 2e en 3e factorrisico niet in beeld? Dit wijst op een gebrekkig patchmanagement en op onvoldoende segmentatie van externe toegang. Dit had voorkomen kunnen worden door Zero Trust-principes te hanteren, regelmatige audits van leverancierssystemen te eisen (liefst een real time monitor erop) en door bastion-hosts en MFA in te zetten voor externe toegang. Wat ook opvalt in dit scenario is het gemak van de laterale bewegingen van de aanvallers naar meerdere kritieke systemen. Dit wijst op een schrijnend gebrek aan netwerksegmentatie en onvoldoende monitoring van verdachte activiteiten binnen het netwerk. Er wordt blijkbaar getwijfeld aan de back-upintegriteit, want het testen van de back-ups gebeurde pas NA de aanval. Dit alleen al toont aan dat er geen regelmatige validatie van back-ups was om te controleren op mogelijke besmetting met ransomware, laat staan dat er een real time back-up as a service (BaaS) draaide met juridisch af te dwingen hersteltijden. Een immutable en air-gapped back-upstrategie had dit risico ook kunnen mitigeren. Wat deze CIO beter had kunnen doen is het op orde hebben van zijn Incident Response Plan (IRP) met een duidelijke taakverdeling en escalatiematrix. Ransomware aanvallen hadden allang gesimuleerd moeten worden in tabletop-oefeningen, inclusief bestuurders en juridische teams, om de reactietijd en coördinatie te verbeteren en daar zijn uitstekende game/training omgevingen voor. De beste man of vrouw zou vooraf hebben moeten kunnen teruggrijpen op scenario-specifieke communicatietemplates, inclusief kernboodschappen voor klanten, medewerkers en media. Alleen al het imagoverlies is killing. Hierbij hoort ook een directe juridische lijn naar een privacy officer bij incidenten, inclusief checklist voor meldingsverplichtingen aan de AP en andere toezichthouders.
Er bestaan gewoon tools om te screenen of betrokken partijen op sanctielijsten staan, voordat onderhandelingen over losgeld worden gestart. Operationeel hoop ik voor deze CIO dat hij de volgende keer wel kan vertrouwen op een Zero Trust-framework, waarin toegang wordt beperkt tot het strikt noodzakelijke (least privilege), met verplichte MFA voor alle externe toegang. Door de tools van zijn CISO (- team mag ik hopen) uit te breiden met real time threat hunting en monitoring, zoals SIEM/SOAR, gecombineerd met AI-gedreven threat detection, om laterale bewegingen van aanvallers vroegtijdig te detecteren hoeft hij volgende keer niet terug te grijpen op zijn back-ups. Leuk voor vrij statische data omgevingen, maar bij flow data ben je toch best de sjaak. Hierbij zou hij het testen van zijn back-ups moeten automatiseren in een gescheiden omgeving en immutable storage moeten installeren om manipulatie te voorkomen en dan nog ontkomt hij niet aan zijn leveranciersbeheer met periodieke audits op leverancierssystemen en het hun verplichten om te voldoen aan strikte beveiligingsstandaarden. Dit mooie scenario laat prima zien dat leiderschap in een ransomware-incident veel verder gaat dan technische oplossingen. Als CIO heeft de held van dit verhaal niet alleen de technische kant gemanaged, maar ook vertrouwen en kalmte gecreëerd in een chaotische situatie. De keuze om niet te betalen en te vertrouwen op interne herstelcapaciteiten getuigt van een sterke morele en strategische visie. Het is nu alleen zaak niet te wachten tot er iets gebeurt, maar diep te realiseren dat we allang in een hybride strijd zitten die voor een groot deel allang digitaal gevoerd wordt. Daar kun je bang van worden, maar je kunt die dreiging ook gebruiken om cohesie te organiseren tussen deze CIO die een DREIGING VAN BUITENAF mitigeert, maar veel interessanter is het om je CIO, CFO, CISO etc. elkaars data te laten gebruiken. Beter cyber info levert beter asset management inzicht, levert strakker contractbeheer, levert prioritering van consolidatie en dat levert weer een kleinere cyber footprint/blast range.
Waarom stond deze CIO in dit verhaal alleen en waarom vinden we dat normaal?