Ransomware? Binnen no time weer online

Wanneer ransomware toeslaat en uw systemen platlegt, is het tijd om experts in te schakelen. Rickey Gevers en Joeri Blokhuis, Secura's incident response partners, krijgen bedrijven meestal snel weer online.

... > Incident Response PRO > Ransomware? Binnen no time weer online

Ransomware? Binnen no time weer online

Uw bedrijf is gehackt, ransomware-criminelen eisen duizenden euro’s en belangrijke systemen liggen plat. Wat nu? Dan belt u een incident response expert zoals Rickey Gevers en Joeri Blokhuis. Zij zijn Secura's vaste incident response partners. Gevers legt uit hoe hij en zijn compagnon te werk gaan. ‘Onderhandelen met ransomware-groepen is iets waar we heel goed in zijn geworden.’

‘99% van de telefoontjes die wij krijgen gaat over ransomware’, zegt Gevers. ‘Allerlei bedrijven bellen ons: van de kapperszaak op de hoek tot de grootste bedrijven van Nederland. We staan in de markt bekend om onze snelle respons en vertouwelijkheid. Het gebeurt echt dat we binnen twee uur een ransomware-case kunnen oplossen.’

Rickey Gevers en zijn compagnon Joeri Blokhuis hielpen de afgelopen 13 jaar tientallen bedrijven die getroffen werden door ransomware, met hun bedrijf Responders.NU. Sinds de zomer van 2023 is Responders.NU Secura’s vaste partner voor incident response.

Tijd is geld

Gevers en Blokhuis hebben hun infrastructuur zo ingericht, dat ze een ransomware-aanval zo snel mogelijk kunnen afhandelen. Want, zo zegt Gevers: ‘Tijd is geld. Stel jouw bedrijf verbouwt bloemkool. Je bent geransomd en je kunt de bloemkool niet naar de winkel krijgen. Dan lijd je verlies, zo simpel is het. Wij kunnen snel een inschatting maken of het goed gaat komen.’

Image in image block

Joeri Blokhuis (l) en Rickey Gevers van Responders.NU

Enorm gestrest

Elke ransomware-aanval is anders, want geen bedrijf is hetzelfde. Toch verlopen bepaalde zaken bij elke aanval op dezelfde manier, ziet Gevers. ‘Als iemand ons belt, bieden wij eerst een luisterend oor. Vaak moeten mensen hun ei kwijt, ze zijn enorm gestrest. Wij proberen dan een bepaalde rust uit te stralen.’

‘Zo werd ik één keer gebeld door een man met een heel groot bedrijf in de maakindustrie. Hij vertelde: ‘Er wordt 20.000 euro geëist.’ Dus ik zei: ‘Oh, dat valt dus wel mee.’ Dat was voor hem de trigger om te denken, ja, het valt eigenlijk wel mee. Toen ontspande hij. Een incident verloopt veel makkelijker als iemand ontspannen is.’

Zijn er back-ups?

Na dat eerste telefoontje versterken Gevers en Blokhuis hun informatiepositie. ‘We kijken: welke ransomware-groep zit hierachter? Hoe staat de getroffen partij ervoor? Welke systemen zijn bijvoorbeeld onbereikbaar? Wat betekent dat voor het bedrijf?’ Maar de belangrijkste vraag is: zijn er back-ups? En hoe lang het duurt het voordat de back-ups teruggezet kunnen worden?

‘Een jaar of drie geleden kwamen we nog veel partijen tegen die geen back-ups hadden’, zegt Blokhuis. ‘Dan moet je ransom betalen, dan heb je geen andere optie. Maar dat zien we gelukkig steeds minder vaak; de back-ups worden beter.’

Quote by

Joeri Blokhuis

Incident Response specialist

Responders.NU

Een jaar of drie geleden kwamen we nog veel partijen tegen die geen back-ups hadden. Dat zien we gelukkig steeds minder vaak; de back-ups worden beter.

Onderhandelen met ransomware-groepen

Pas als Gevers en Blokhuis hun informatiepositie helemaal versterkt hebben, openen zij de chat met de ransomware-groep die achter de aanval zit. Hun doel: het bedrag dat de groep eist zo ver mogelijk verlagen. ‘Onderhandelen met ransomware-groepen is iets waar we heel goed in zijn geworden.’

Het liefst betaalt Blokhuis criminelen geen ransom, dat voorop. ‘Maar in de praktijk merken we dat betalen vaak de snelste route naar herstel is. Het gaat ons om het afwegen van de kosten tegen de baten.’ Hij overlegt tijdens een aanval altijd met de directie van een organisatie over deze afweging.

Dat gaat bijvoorbeeld zo: ‘Stel je staat een dag stil omdat je voor recovery een dag nodig hebt, om de back-ups terug te zetten. Dat betekent 2 miljoen euro verlies – ik zeg maar even wat, dit zijn random getallen. Als we de ransom betalen kost het 2 ton. Met één druk op de knop maken we dat geld over, krijgen we de decryptor en zijn we over 4 uur weer online. Dan betalen we. Dat zijn de rekensommen die gemaakt worden.’

Image in image block

Joeri Blokhuis (l) en Rickey Gevers

Wel of niet betalen

Wel of niet betalen bij ransomware: het blijft een gevoelige kwestie. De Nederlandse overheid betaalt sowieso niet. ‘Soms doet dat pijn in mijn hart’, zegt Gevers. ‘Soms vraagt een ransomware-groep 10.000 euro. De overheidspartij beslist dan alsnog: ‘We betalen het niet.’ Vervolgens is de schade in de miljoenen.’

Ook per land verschilt de betalingsbereidheid, ziet Gevers: ‘In Engeland is het betalen van een ransom not done. Vrijwel niemand betaalt daar. Ook in Nederland is de betalingsbereidheid beperkt, hoewel de drempel om losgeld te betalen bij Nederlandse bedrijven nu lager is dan een paar jaar geleden. In Duitsland betalen bedrijven vaak juist wel. Ik heb het idee dat dat komt omdat Duitsland meer privacy-minded is.’

Heel soms pakt een betaling onverwacht goed uit. In 2022 wisten Gevers en Blokhuis na ontvangst van de decryptor de betaling van de ransom in te trekken: ‘Een trucje. In dat geval hoefden we dus niks te betalen.’ Ze deelden deze info, waardoor de politie de ransomware-groep in kwestie ruim 155 sleutels kon ontfutselen.

Voldoening

Wanneer is een opdracht geslaagd? ‘Als de klant tevreden is. Ik krijg ook een kick als het echt snel gaat. Dus als je binnen een paar uur de problemen hebt opgelost en de klant zegt: ‘Hè, is het nu al voorbij?’’

Het werk geeft hem ook een zekere voldoening. ‘Een tijdje terug werden we gebeld door een partij die met veel kwetsbare mensen werkte. Die partij liet weten: als de data van deze mensen online komt te staan, levert dat veel problemen op. Heel gevoelige data, dus. We zijn er uiteindelijk lang mee bezig geweest, maar het is helemaal goed gekomen.'

Incident Response

Related image

Incident Response 24/7

U bent gehackt - uw systemen liggen plat. Het is belangrijk om de schade te beperken en zo snel mogelijk weer aan de slag te gaan. Secura kan u helpen.

 Related image

Incident Response PRO

Secura's Incident Response PRO helpt u zich voor te bereiden op cyberincidenten en garandeert deskundige hulp tijdens een mogelijk incident.

 Related image

Tabletop Crisis Management

Wie zijn de eerste aanspreekpunten bij een cyberincident? Wat zijn ieders verantwoordelijkheden? Oefen Cyber Crisis Management in deze Workshop.

OVER SECURA

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.