Redactie - 07 december 2022

De laatste verdedigingslinie

De laatste verdedigingslinie image

Een kerstverhaal door Erik Westhovens (foto)
Gebaseerd op te veel ware gebeurtenissen

“Fijne feestdagen, Matthieu,” zei Piet Abels tegen zijn hoofd systeembeheerder. Zoals wel vaker kreeg hij geen antwoord en hij verwachtte het ook niet. Matthieu zat meestal diep in zijn hoofd, bezig met de omgeving en het reilen en zeilen van de diverse datacenter - en cloud platforms.

Hij trok zijn jas aan, zette zijn muts op en deed een das om. Buiten stond een gure wind en eerder die dag regende het sneeuw en ijs. Het leek een witte kerst te gaan worden en hij verheugde zich op tijd met zijn gezin. Even weg van de zaak en de vele uitdagingen die zijn baan met zich meebracht. December had een recordopbrengst gebracht, de raad van bestuur was gelukkig met het resultaat en de werknemers waren moe maar voldaan. De productie zou nog een paar dagen doordraaien om alle pakjes het distributiecentrum uit te krijgen en dan kon de eindejaarsverwerking afgerond worden.

Hij verliet het kantoor aan de achterkant waar de parkeerplaats was. Er waren bijna geen auto’s meer en zijn BMW stond dichtbij. Alleen de Megane van Matthieu stond dichterbij. Workaholic. Hij stapte in en startte de motor, zocht een zender met kerstmuziek op en wilde net wegrijden toen hij Matthieu naar buiten zag rennen, bleek, met paniekerige ogen.

Piet stopte de motor en opende de deur. Hij stapte half uit en riep: “Matthieu! Is er iets.”

Matthieu gebaarde driftig, hapte een paar keer naar adem. “Plat. Alles ligt plat.”

Piet knipperde. Een dozijn mogelijkheden en scenario’s schoot door zijn hoofd. “Vertel. Wees precies.”

“Nu net,” zei Matthieu. “Schermen op zwart met een boodschap. Servers die stopten. Zelfs het virtualisatie-platform is gestopt. De cloud omgeving heb ik nog niet nagekeken.”

Piet stapte uit en volgde Matthieu naar binnen. Zijn blik viel op de PC van de receptioniste. Zwart scherm, witte letters. De bekende vorm van crypto-adressen stond midden op het scherm. “Shit,” zei hij. Ze liepen door naar de systeembeheerafdeling waar de overzichtsmonitors aan de muur allemaal op rood stonden. “Bel je team maar, ik ga in overleg met de raad van bestuur. We moeten zo snel mogelijk weer online, dit kost ons tonnen per dag als we het niet snel oplossen.”

Mathieu knikte en haastte zich naar zijn werkplek, waar hij direct begon te bellen met zijn mobiel. Hij riep naar achteren: “VOIP ligt er ook uit.”

Piet schudde zijn hoofd en bladerde door zijn nummers. Klaas, de CEO, die als eerste. Hij pakte pen en papier en schreef achtereenvolgens de namen van de mensen die hij ging bellen. Het volgende kwartier was hij bezig met uitleggen. Hij verbrak net de verbinding met de verzekering toen Bart en Simon binnenstormden richting het bureau van Matthieu. Hij voegde zich bij hen.

“Ik zag je berichtje,” zei Simon tegen Matthieu. “Alles? Echt alles? Hoe dan?”

“Rustig,” zei Piet. “Een ding tegelijk.” Hij liep naar het whiteboard dat aan de muur hing. “KA, datacenters, cloud, hoogbouw,” hij tekende vier kolommen op het bord. “Laten we kijken wat we nog wel kunnen bereiken.”

Bas en Simon pakten elk een bureau, maar de systemen daar stonden ook op zwart. Ze pakten elk hun laptop en startten hun persoonlijke desktop. De Mac van Bas draaide netjes door, Simon vloekte een paar keer. “De mijne is geïnfecteerd,” zei hij. Hij pakte een usb stick uit zijn zak en startte een Linux desktop. “Dan maar zo.”

Bas floot zachtjes. “Ik weet niet wat er aan de hand is, maar het netwerk lijkt wel stroop. Ik check de switches even.”

Piet luisterde intussen naar de systemen die Matthieu opnoemde. De moed begon hem in de schoenen te zinken. Alle Windows systemen leken aangetast. Een aantal Linux systemen was ook getroffen. Databases, fileshares, alles zat op slot.

“Ik krijg vanuit het hele netwerk DoS aanvallen op de werkstations. De logsystemen houden het allemaal niet bij,” zei Bas.

Piets telefoon ging. Klaas. “Piet hier.”

“Klaas. Hoe staat het ervoor?”

“Slecht. Merendeel op slot, netwerk onder vuur. Tot we beter onderzoek hebben gedaan lijkt het erop dat we alles kwijt zijn.”

Er klonken wat expletieven aan de andere kant. “Kunnen we terug? We doen toch volledige backups elke nacht?”

“Klopt,” zei Piet. “Die lijken niet geraakt. Maar ik wil graag eerst een goed overzicht van de situatie krijgen.”

“Onzin, we moeten verder, er ligt voor twee miljoen aan handel te wachten op verzending, dat moet de komende week de deur uit. Begin met restoren.” Klaas hing op.

Twintig minuten later zuchtte Piet diep en greep zijn telefoon weer. Hij belde Klaas terug. “Klaas, het lukt niet. De restore gaat perfect, maar binnen dertig seconden is de server weer versleuteld. Alsof ze erop zitten te wachten.”

Het was even stil aan de andere kant. “Heb je de verzekering al gebeld?”

“Ja. Ze wachten tot we de situatie in kaart hebben gebracht, voor ze iets gaan doen.”

“Ik bel ze wel even. Als ze iets van expertise bij kunnen dragen, dan graag. We betalen er tenslotte genoeg voor.”

Intussen waren meer systeembeheerders binnengedruppeld. Karel van Kampen droeg een dikke kersttrui met een Takkie-hondje uit Jip en Janneke, een rode kerstmuts op zijn kale hoofd. Het whiteboard werd inmiddels verder ingevuld zodra ieder zijn deel had onderzocht. Het zag er niet hoopvol uit.

Piets telefoon ging weer. De verzekering.

“Piet Abels.”

“Met Samantha Frederiks, SecuPartners. Ik werd zojuist gebeld door...”

“Klaas Franssen,” onderbrak Piet haar.

“Juist. Ik begrijp van hem dat jullie restoren, dat lukt, maar de ransomsoftware draait vrijwel meteen weer?”

“Dat is correct.”

“Dan is het misschien uw geluksdag,” zei Samantha.

Piet wreef in zijn ogen. “Dat is dan het eerste positieve dat ik het laatste uur heb gehoord.”

“Ik kan u in verbinding brengen met een expert die de omgeving weer aan de praat kan krijgen. Volg zijn instructies nauwgezet op, dan valt er misschien nog iets van de kerst te maken.”

Piet keek op, zag de mensen om hem heen die druk bezig waren, met elkaar in gesprek of verdiept in hun schermen. “Ik neem alles aan wat ik kan krijgen,” zei hij.

“Ik heb hem al op de hoogte gebracht, hij wilde eigenlijk kerstavond gaan vieren, maar criminelen aanpakken is een beetje een hobby van hem, dus hij wil graag helpen. Hij belt binnen vijf minuten.” Klik.

Nog een minuut later ging Piets telefoon weer. Onbekend nummer.

“Piet Abels.”

“Met de kerstman,” klonk een stem met een zuidelijke tongval. Brabants of Limburgs.

Piet grinnikte en schudde zijn hoofd. “Hallo kerstman, ken ik u?”

“Nee, maar Samantha stuurt me.”

“Dat wilde ik even weten. Heeft ze onze situatie uitgelegd.”

“Ja, maar ik wil als eerste graag weten hoe jullie backup strategie is ingericht en welke software jullie gebruiken. Met een beetje geluk is jullie laatste verdedigingslinie niet geraakt.”

Piet legde het uit.

“OK, goed, we gaan het volgende doen: de virtualisatiedeskundige gaat de netwerkverbinding van de virtuele servers uitschakelen. Alle desktops en laptops mogen uit, die moeten nieuw ingespoeld worden, geen moeite voor doen. Op de firewalls graag checken op buitenlandse connectie, met name oostblok en China en die blokkeren. Remote desktops, RDP gateways, Citrix etcetera allemaal uitzetten. Intussen gaan we eerst de domain controllers herstellen, maar daarvoor moet ik even op de backupserver inloggen. Start een TeamViewer op een beheersysteem zodat ik erbij kan.”

“Ik geef je even aan Matthieu, die kan je verder helpen. Zet ik intussen je opdrachten uit.” Piet gaf zijn telefoon aan Matthieu. “Luister naar hem en doe wat hij zegt.”

“Is hij betrouwbaar?” vroeg Matthieu.

Piet haalde zijn schouders op. “Als je de kerstman niet kunt vertrouwen, wie dan wel?”

Matthieu startte een TeamViewer-sessie en even later werd zijn scherm overgenomen. Hij hoefde enkel af en toe wachtwoorden in te geven.

Piet deelde intussen de opdrachten die de kerstman had gegeven uit aan de verantwoordelijke systeembeheerders die aan de slag gingen.

Na een tiental minuten sprong op de overzichtsmonitor de domain controller op groen. En bleef ook groen. Matthieu stond op van zijn bureau en overhandigde Piet zijn telefoon. “Hij heeft het me laten zien, ik kan de rest gaan restoren.”

Piet zette de telefoon aan zijn hoofd. “Dat ziet er goed uit, kerstman.”

“Er zitten aardig wat compromises op je systemen, gelukkig kan ik ze tijdens het restoren eruit filteren. Daarvoor een agent op je backup-systeem gezet en aan mijn eigen cloud gekoppeld. Die ziet tenminste alles. Zijn de firewalls aangepast? Remote access uitgeschakeld?”

“Inmiddels wel ja. Wat moet er nog meer gebeuren?”

“Niet zoveel. Ik heb alle service accounts laten blokkeren en alleen het hoognodige een paar keer van wachtwoord laten vervangen om een en ander te flushen. Matthieu gaat precies de systemen restoren die nodig zijn om de operatie weer op gang te krijgen en na de kerst neem ik weer contact op om de rest ook te fiksen. Dan gaan we het ook hebben over het verstevigen en onfeilbaar maken van jullie laatste verdedigingslinie. Die backups zijn jullie redding geweest en over een paar uurtjes zijn jullie er wel weer, kunnen jullie nog wat kerst vieren.”

Piet haalde opgelucht adem. “Dat is onverwacht snel. Hoe kan ik je bedanken voor dit mooie kerstcadeau, kerstman?”

De kerstman begon te lachen. “Hohoho, wacht maar tot je mijn factuur ziet.” Hij hing op.

Piet schudde zijn hoofd. “Met genoegen, kerstman, met genoegen.” Hij begon het nummer van Klaas te zoeken.

Fijne kerstdagen en zorg goed voor je laatste verdedigingslinie,

Erik Westhovens

Namens Erik, Mike, Dylano en Jackey wenst team Ransomwared jullie allemaal een hele fijne kerst en een gelukkig 2023

Schneider Electric BN BW start week 27 tm week 29 Leanix BW 19 febr tm 17 maart 2024
Netgear banner liggend start week 14

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!