Dagboek van een systeembeheerder: “Help ik ben gehackt!”

08:03. Ik start mijn werkdag op kantoor. Als eerste check ik mijn e-mail en pak ik de lopende zaken op. Dit zijn voornamelijk onderhoudswerkzaamheden en projecten. Maar wanneer ik voor mezelf en het team de planning voor deze dag maak, komt er een belletje tussendoor.

09:14. Het is organisatie X* en ik hoor lichte paniek, want het lijkt erop dat ze een virus hebben op ál hun pc’s. Wat moeten ze nu doen, is de eerste vraag die ze stellen. Ik vraag ze om alle pc’s op het kantoor uit te zetten en stuur tegelijkertijd twee van mijn collega’s hun kant op, zodat zij kunnen kijken wat er aan de hand is.

*om privacy redenen is de naam in deze blog fictief

09:52. Organisatie X heeft inderdaad een virus binnengehaald. Hun schermen tonen een pop-up met ransomware. Willen ze deze agressieve pop-up -want hij is niet weg te klikken- permanent verwijderen, dan moeten ze een geldbedrag overmaken.

09:55. Ik ben coördinator van het securityteam geworden, die vanaf nu voor deze klant fulltime aan de slag gaat. Om ze zo snel mogelijk virus-vrij te krijgen. Mijn belangrijkste taken draag ik over aan collega’s en de rest zal moeten wachten tot deze hack is opgelost. Dit heeft namelijk prioriteit!

10:01. We zitten met het team om tafel en bespreken hoe we dit willen aanvliegen. De collega’s die op locatie waren, hebben de pc’s meegenomen naar ons kantoor. Het zijn er ‘maar’ tien, dus dat is overzichtelijk. Maar dit betekent óók dat Organisatie X deze dag niet kan werken. Hier hebben ze de eerste schade dus al te pakken. Wat de schade op hun systemen is, dát moeten we nog vaststellen.

10:04. De pc’s zetten we één voor één aan. Zo kunnen we goed analyseren wat er aan de hand is en op basis daarvan een plan maken. We analyseren op deze manier of er malafide zaken tussen de systemen zitten.

10:26. Wat ons meteen opvalt, is dat deze organisatie voor alle pc’s dezelfde gebruiker heeft en dat is absoluut niet veilig! Want als de hacker dan eenmaal binnen is, infecteert hij met gemak alle systemen en omgevingen.

Tip: gebruik daarom nooit dezelfde wachtwoorden én zorg ervoor dat jouw systemen up-to-date zijn. Wat is dan een veilig wachtwoord? Bijvoorbeeld een wachtwoordzin van minimaal 16 tekens lang. Daarmee verklein je de kans dat deze gekraakt wordt.

12:00. Het is ongeveer twee uur geleden dat Organisatie X ons belde, dus tijd voor een update. Iedere twee à drie uur nemen wij contact op met de klant, om ze op de hoogte te houden van de status. Wat zijn wij aan het doen, wat we ontdekt hebben en of er nog dingen zijn die zij kunnen doen. Voor nu kunnen we ze vertellen dat we nog aan het analyseren zijn en we ze bij nieuws direct informeren.

12:43. De analyse is klaar en nu kunnen we één voor één de pc’s behandelen en virusvrij maken. De extra malware-scanners die we ook gedraaid hebben, laten ons zien waar het virus vandaan is gekomen.

13:06. De malware zat er blijkbaar al een tijdje. Waarschijnlijk ruim een halfjaar. We konden namelijk achterhalen dat iemand van de organisatie destijds op een malafide link heeft geklikt, waardoor het virus dus het hele netwerk én alle pc’s -mede omdat ze maar één gebruiker hadden- kon infecteren.

13:27. Gelukkig komen we hier vrij vlot achter, zodat we een aantal pc’s kunnen redden en terugzetten naar een oude back-up. In overleg met de klant hebben we ervoor gekozen om ook een aantal pc’s compleet te vernieuwen, aangezien ze sterk verouderd waren. De twee belangrijkste pc’s voor de organisatie geven we prioriteit en brengen we weer terug, zodat Organisatie X weer deels aan het werk kan.

14:59. We zijn druk bezig om de pc’s opnieuw te installeren en het risico van deze hack weg te halen. We hebben nog een paar slimme trucs achter de hand, zodat de malware zichzelf niet meer kan terugzetten. En men dus blijvend van de vervelende pop-up af is.

16:34. Het goed instellen van de pc’s neemt veel tijd in beslag. Deze werkdag krijgen we al een groot gedeelte klaar en de laatste paar pc’s pakken we de volgende ochtend direct op. Na contact met de klant weten we inmiddels dat deze hack geen financiële gevolgen voor ze heeft in de zin van omzetverlies. Maar natuurlijk wel in het oplossen van deze hack en het aanpassen en installeren van de -nieuwe- pc’s.

Tip: Bewustzijn is belangrijk! Want het is niet de vraag of u gehackt wordt, maar wanneer u gehackt gaat worden. U moet dus niet de illusie hebben dat u onhackbaar bent. Maar bereid uzelf voor om ooit een keer slachtoffer te worden van een hacker, malware of ransomware en verdedig uzelf.

18:07. Ik sluit mijn werkdag af. Samen met het team nemen we de dag door en zetten we de belangrijkste to do’s voor de volgende dag uit. We hebben ook nog één keer contact met Organisatie X, om ze een laatste update te geven.

Wat had Organisatie X kunnen doen?

De volgende dag ronden we de installatie van de laatste pc’s af en na anderhalve dag is Organisatie X weer helemaal up and running. Hadden ze deze hack dan kunnen voorkomen? Of de schade kunnen beperken?

Gerrit Heinen, Senior System Engineer T-ICT, vertelt: “Dat had gekund. Bijvoorbeeld door een oplossing als SentinelOne te installeren. Dit is Endpoint-bescherming die hun organisatie op ieder moment van de dag beschermt én ervoor zorgt dat wanneer systemen gehackt worden, de oude versie met gemak teruggezet wordt. Maar ook door beheer af te nemen. Door niet alleen maar te kiezen voor ad hoc support, maar structureel beheer, advies en daarmee ook voor de juiste security-oplossingen voor de organisatie te kiezen. Dan heb je de zekerheid dat jouw systemen up-to-date zijn. Dat je profiteert van een specialist dit met je meekijkt én meedenkt, om de kans op een hack te minimaliseren. En om ervoor te zorgen dat als het gebeurt, je hier zo min mogelijk schade en hinder van ondervindt.”

Wake-up-call

T-ICT is onderdeel van de DTC-community, het Digital Trust Center van de overheid, waardoor ze altijd op de hoogte zijn van actuele dreigingsinformatie. En waar ze elkaars kennis ook up-to-date houden, om snel en adequaat te kunnen handelen in het geval van cybercriminaliteit. “Hierdoor konden wij snel in actie komen tijdens de hack van Organisatie X en hadden we ook wat trucs achter de hand om de malware onschadelijk te maken én een groot gedeelte van hun systemen te behouden.” Gerrit vertelt verder: “Voor deze klant was dit een echte wake-up-call. We hebben dan ook samen een evaluatie gedaan en natuurlijk de nazorg. En nu hebben ze bijvoorbeeld per pc een apart account, endpoint detection and response-oplossingen (EDR) én verzorgen wij voor hen het systeembeheer.”

Is dit dagboek uw wake-up-call? En wilt u meer weten over onze security-oplossingen of bent u benieuwd hoe veilig uw organisatie werkt? We kijken graag met u mee.