Een klant is slachtoffer van een cyberaanval: NRB biedt hulp die verder gaat dan zijn contractuele verplichtingen

 

Bij NRB willen we absoluut aan de behoeften van onze klanten voldoen en hun oorspronkelijke verwachtingen overtreffen. In het begin van het jaar kwamen onze teams een bedrijf te hulp dat het slachtoffer was van een grote cyberaanval. Hoewel wij alleen verantwoordelijk waren voor het operationele deel van zijn infrastructuur, hebben wij substantiële middelen ingezet om de hackers op afstand te houden, waardoor het bedrijf zijn activiteiten zo snel mogelijk kon hervatten.

 

 

Midden in de nacht kreeg de wachtdienst van onze klant verschillende meldingen: tal van platforms werkten niet meer. De medewerker probeert toegang te krijgen tot de infrastructuur, maar wordt geweigerd. “Onze wacht werd snel gecontacteerd door het bedrijf in kwestie. Hij kreeg toegang tot de systemen en kon de controle over de infrastructuur herwinnen. Hij heeft de klant vervolgens snel terug toegang gegeven zodat die om de omvang van de schade kon vaststellen. In totaal gaat het om data van honderden systemen die gewoon zijn verdwenen. Op dat moment leek een cyberaanval logisch", verklaart Arnaud Rosette, Security Engineer bij NRB, die de hele interventie begeleidde.

 

Onze klant neemt onmiddellijk veiligheidsmaatregelen en besluit onder meer de externe internetverbindingen met het bedrijf af te sluiten.

 

 

NRB biedt proactief ondersteuning aan de klant en stelt zijn SecOps-team beschikbaar. Tegelijkertijd stellen we bij NRB een vergaderruimte ter beschikking aan onze klant zodat hij in alle veiligheid dringende werkzaamheden kan voortzetten.

 

Ons SecOps-team voert een forensische analyse uit, d.w.z. een onderzoek naar potentieel gevaarlijke media. "Om antwoorden te vinden hebben we data nodig, maar die van de aangevallen machines waren grotendeels verdwenen. Gelukkig konden we een deel ervan nog herstellen. We troffen ook malware aan waarmee de hackers de controle over een deel van het IT-park hadden overgenomen."

 

Daarna bestudeerde we het verzamelde bewijsmateriaal. In dit stadium is elk stukje informatie cruciaal omdat onze teams moeten begrijpen wanneer en hoe deze machines zijn binnengedrongen. "We hebben verbindingen ontdekt in ongebruikelijke landen of vanuit verschillende landen. Conclusie: de account van een gebruiker was gehackt", vervolgt Arnaud Rosette.

 

Drie verbindingen en zes uur werk: zo lang deden de hackers erover om in te breken in het systeem, de gegevens te stelen en de productiviteit van het bedrijf stil te leggen met de LockBit 3.0-ransomware. Wonderbaarlijk genoeg eisten de hackers geen losgeld en publiceerden ze de gegevens niet op het dark web. "Het is alsof gangsters geld stelen uit een bankkluis en vervolgens alle biljetten verbranden," zegt Arnaud Rosette.

 

Toen de dreiging was weggenomen, hebben onze teams twee maanden alles in het werk gesteld zodat onze klant al zijn machines en zijn productie opnieuw kon opstarten. De gestolen gegevens konden (gedeeltelijk) worden hersteld dankzij een dagelijkse back-up van de systemen. "We moesten nog altijd vaststellen wanneer de malware was geïntroduceerd zodat we die niet opnieuw zouden injecteren," vervolgt Rosette. "Onze klant was zich ervan bewust dat zijn beveiligingssysteem niet optimaal was. De directie heeft onmiddellijk actie ondernomen om het probleem te verhelpen.