Overslaan en naar de inhoud gaan
Abonneer nu
Digitale Weerbaarheid | Partner nieuws

De dag dat alles op zwart ging

Een ransomware-aanval, door de ogen van een CIO van een Nederlandse organisatie.

ransomware
Beeld: PQR

Meer van PQR

Het is 09:12 als de eerste melding binnenkomt. Geen rustig “mijn mail doet het niet”, maar een screenshot van een rood scherm: honderden bestanden met de extensie .LOCKED_BY_PHOENIX en een tekstbestand met de naam READ_ME_NOW.txt op het bureaublad van een applicatieserver. Ik open het tekstbestand.

Mijn ogen glijden over korte, zakelijke zinnen:“Uw bestanden zijn versleuteld. Betaal 50 BTC binnen 7 dagen of al uw data wordt gepubliceerd en de sleutel vernietigd. 
Contact: phoenixnegotiator@protonmail.com. Voeg bij uw bericht dit ID toe: ORG-982-XX.”

Mijn maag draait om. Dit is geen storing. Dit is ransomware. En meteen weet ik dat we een paar cruciale beslissingen moeten nemen, en snel.

09:20 uur - isoleren en verzamelen

“Netwerk offline. Segmenten isoleren.” Het klinkt simpel, maar de uitvoering is chaotisch. IT Operations zet fysieke switches uit, sluit VPN-terminals af en blokkeert uitgaand verkeer naar verdachte IP’s. We halen de externe verbindingen van twee datacenters hardhandig van het internet. Pijnlijk, want klanten gebruiken die ook.

Tegelijkertijd start ik de call voor het crisisteam. Binnen een half uur zitten er tien mensen in een vergaderruimte: CISO, IT Operations Manager, Application Support, Legal, Communicatie, HR, hoofd Vendor Management en ikzelf. Er hangt een geladen stilte. Iedereen wacht op mij.

Ik begin: “Stap één: we isoleren. Stap twee: we leggen alles forensisch vast. Geen herstarts, geen logs wissen. Stap drie: we bellen de verzekeraar en de politie.” De forensische specialist die we bereiken benadrukt meteen: maak images van geïnfecteerde machines, exporteer event logs, bewaar alle tijdstempels en bovenal: voorkom dat iemand een backup terugzet zonder die eerst te scannen.

10:40 uur - de omvang wordt duidelijk

Binnen enkele uren krijgen we meer inzicht. De aanval lijkt gestart via een gehackte remote desktop van een leverancier: een oud, niet-gepatcht toegangspunt. De aanvallers hebben zich lateraal verplaatst naar meerdere servers, waaronder twee applicatieservers en één load balancer.

Cruciaal: onze database-servers lijken onbeschadigd. Ze stonden in een apart VLAN met strengere toegangsregels. Dat is een geluk bij een ongeluk. Maar we mogen niet verslappen: de aanval kan ook nog verborgen triggers bevatten. Op een scherm zie ik een lijst met gecodeerde bestanden: invoice_2024_12_03.pdf.LOCKED_BY_PHOENIX. Finance is in paniek. “Kunnen we betalingsbewijzen van vorig kwartaal nog terughalen?” vraagt de manager, zichtbaar bezorgd.

Het dilemma: betalen of niet?

Dan komt de onvermijdelijke vraag: betalen we losgeld of niet?

Legal zet de dilemma’s op een rij:

  • Als we betalen, bevorderen we crimineel gedrag en hebben we geen garantie dat de decryptor werkt of dat data niet alsnog gelekt wordt.
  • Verzekeraar: de polis vermeldt voorwaarden; zij eisen dat we eerst herstelopties onderzoeken.
  • GDPR: als persoonsgegevens geraakt zijn, moeten we de Autoriteit Persoonsgegevens informeren.
  • Juridisch risico: als de aanvallers op een sanctielijst staan, maken we ons schuldig aan strafbare feiten.

De CISO en Legal adviseren: “Betaal alleen als echt alle andere opties zijn uitgeput, en nooit direct. Altijd via een geautoriseerde onderhandelaar en in overleg met politie.”

De CEO kijkt me aan. Zijn blik is veelzeggend: “Zeg me wat ik moet doen.” Ik voel de totale verantwoordelijkheid. Als CIO moet ik nu niet alleen technisch, maar ook moreel en strategisch leidinggeven.

14:00 uur - tactische keuzes

We besluiten niet meteen te betalen. Niet omdat principes belangrijker zijn dan continuïteit, maar omdat er een alternatief is: onze back-ups en een gecontroleerde rebuild op basis van het cyber recovery plan.

De aanpak:

  1. Backup Data Expiratie
    Het expireren van backup data wordt gelijk gestopt, zodat we geen backup data kwijtraken die mogelijk benodigd is voor het herstel.
  2. Forensisch veiligstellen
    Images van geïnfecteerde systemen, hashes van malware-samples, export van AD- en firewall-logs.
  3. Backup-validatie 
    Onze offsite en air-gapped back-ups worden in een gescheiden cleanroom getest. We zoeken naar aanwijzingen dat de ransomware al in de backup zat. Alleen data die schoon verklaard is mag herstelt worden.
  4. Cyber Recovery Plan 
    Volledige herbouw in een gescheiden Isolated Recovery Environment (IRE), met golden images en strengere configuraties. Pas na integriteitscontroles worden systemen in productie gezet.
  5. Credential reset
    Alle service- en admin-accounts worden gereset, MFA verplicht gesteld.
  6. Communicatie
    We kiezen voor transparantie. Klanten en medewerkers krijgen updates: “Uw data is veilig, we werken dag en nacht aan herstel.”
  7. Afstemming met derden
    Verzekeraar, NCSC en politie worden volledig op de hoogte gehouden.

Iedereen loopt op adrenaline

De eerste 48 uur zijn intens. Iedereen loopt op adrenaline. Telefoontjes van leveranciers, vragen van klanten, media die beginnen te bellen. Ondertussen proberen we intern de rust te bewaren: managers krijgen vaste updates, klantcontactcentra scripts om vragen te beantwoorden.

Een HR-collega vraagt bezorgd: “Kunnen we straks nog salaris uitbetalen?” Mijn partner appt: “Gaat dit je baan kosten?” Het raakt me. Als CIO weet ik dat leiders vaak afgerekend worden op incidenten die buiten hun macht liggen. Toch laat ik dat niet zien. Mijn team moet een leider zien die koersvast blijft.

72 uur - eerste herstel

De validaties in de cleanroom geven eindelijk hoop. De laatste schone snapshot is van twee dagen voor de aanval. We starten gefaseerd herstel in de geïsoleerde herstel omgeving:

  • Eerst de kernsystemen (authenticatie, AD en DNS).
  • Dan de bedrijfsapplicaties: Finance, HR, CRM.
  • Bij elke stap voeren we integriteitscontroles uit.

Een complicatie: sommige oude serviceaccounts komen met de back-up mee terug. Mogelijk gecompromitteerd. IT ontwikkelt een script om ze automatisch te blokkeren en gefaseerd opnieuw in te stellen.

De verleiding van losgeld

Ondertussen bieden externe partijen aan om namens ons te onderhandelen. Zij schetsen statistieken: vaak werkt een decryptor, soms niet, en regelmatig wordt data alsnog gelekt. De CEO vraagt: “Als betalen sneller herstel betekent, moeten we het dan toch doen?” Ik antwoord: betalen lijkt verleidelijk, maar brengt enorme risico’s mee. We hebben een pad zonder losgeld. We kiezen die weg.

Dag 8 - systemen weer online

Na acht dagen zijn de belangrijkste systemen weer veilig online. Klantenportals functioneren, facturatie draait, interne processen komen op gang. De opluchting is groot. Er waren verliezen: productiviteitsverlies, extra kosten, stress, maar we hebben geen losgeld betaald en geen aanwijzingen dat data is gelekt.

De nasleep

We schrijven een volledig incident report: oorzaak, tijdlijn, beslissingen, technische details, verbeterpunten. Dit delen we deels met de NCSC en leveranciers, zodat ook zij ervan leren.

De verbeteringen die we doorvoeren:

  • Cyber recovery plan: update met lessons learned.
  • Immutable, air-gapped back-ups met regelmatige geautomatiseerde hersteltests en voldoende herstel performance.
  • Zero Trust-architectuur met segmentatie en least privilege.
  • Strenger patchmanagement: kritieke endpoints binnen 48 uur gepatcht.
  • Incident response-oefeningen met bestuur, IT en communicatie.
  • Communicatie-templates en een duidelijke besluitmatrix.
  • Strengere leverancierstoegang via bastions met MFA.
  • Psychologische ondersteuning voor medewerkers die zwaar onder druk stonden.

We hebben het overleefd

Dit incident heeft me getest als CIO. De vraag “Gaat dit mijn carrière kosten?” speelde op de achtergrond in mijn hoofd. Maar belangrijker was de overtuiging dat leiderschap betekent: kalm blijven, transparant communiceren en beslissingen nemen ondanks onzekerheid.

Op de laatste dag van het herstel loop ik door het kantoor. Mensen werken weer, lachen moe, en één medewerker zegt: “We hebben het overleefd, hè.” Ik knik. Niet alleen overleefd. We zijn sterker geworden.

Hoe bereid jij je voor?

Dit verhaal was fictief, maar gebaseerd op realistische scenario’s. Het geeft een indruk van hoe een ransomware-aanval in de praktijk kan verlopen en welke dilemma’s en beslissingen daarbij komen kijken.

Bij PQR helpen wij organisaties om zich hierop voor te bereiden. Door middel van simulaties, crisisoefeningen en advies zorgen we dat bestuur, IT en communicatie beter weten wat te doen bij een aanval. Ook staan wij klaar om te ondersteunen bij herstel na een incident.

Wil je weten hoe weerbaar jouw organisatie is? 
Neem gerust eens contact met ons op. Wij helpen je graag verder.

PQR

Over PQR

Rustmaker in IT.

Lees meer van PQR

Lees meer

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Inloggen

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.
(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in