Banijay Benelux herstelt binnen enkele dagen van ransomware-aanval dankzij Trend Micro

Banijay Benelux werd opgericht in 2020. Het bedrijf is gevestigd in Amsterdam en onderdeel van de televisieproductie- en distributieactiviteiten van de Banijay Group. Het ontwikkelt sportprogramma’s, realityshows en drama’s zoals Big Brother, Expeditie Robinson en Penoza. Het bedrijf maakt gebruik van diensten van Amazon Web Services (AWS) voor human resources, facturering en andere bedrijfskritische taken.

Begin november 2020 werd Leon Backbier, IT-manager van Banijay Benelux, ‘s ochtends vroeg gebeld door een collega uit het Verenigd Koninkrijk: de cloudinfrastructuur van het bedrijf werd aangevallen met ransomware. Backbier en zijn team namen direct contact op met Trend Micro, die al lange tijd AWS partner is en op dat moment de on-site endpointbeveiliging (niet cloudbeveiliging) beheerde voor Banijay Benelux.

Essentiële systemen hersteld binnen drie tot vier dagen

Banijay Benelux weigerde het losgeld te betalen en de teamleden van Backbier ontdekten dat elke server waar ze toegang toe probeerden te krijgen, onmiddellijk werd versleuteld. Binnen enkele uren was Trend Micro bezig de schade te beperken. Trend begon met het onderzoeken van traffic logs en het installeren van hardware om het netwerk van het bedrijf te beveiligen. Het installeerde ook monitoringsoftware om activiteiten in de AWS-omgeving van Banijay Benelux te volgen, die bestond uit meer dan 20 servers. “Ze hadden meteen de juiste tools om specifieke gebieden te beschermen en monitoren”, zegt Backbier. “Dat ze dit konden bereiken zonder de prestaties te beïnvloeden of downtime te veroorzaken, was erg indrukwekkend.”

Daarna ging Trend Micro aan de slag om de servers die waren beschadigd door de ransomware opnieuw op te bouwen. De eerste stap was om een script te gebruiken dat automatisch Trend Cloud One installeerde – een cloudbeveiligingsplatform – op het moment dat het team een nieuwe versie van Amazon Elastic Compute Cloud (Amazon EC2) opstartte om een beschadigde server te vervangen. Hierdoor kon Banijay Benelux essentiële bedrijfssystemen binnen een paar dagen na de aanval herstellen. “In 3-4 dagen hadden we de meest kritieke systemen weer aan de praat, zodat we weer toegang hadden tot onze boekhouding”, zegt Backbier. “We konden de salarissen weer uitbetalen.”

Trend Micro doorzocht ook het darkweb om te zien of de gestolen gegevens van het bedrijf te koop werden aangeboden. Gelukkig kon Banijay Benelux zijn systemen beveiligen voordat gevoelige persoonlijke of vertrouwelijke gegevens verloren gingen, wat had kunnen leiden tot boetes voor het schenden van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie.

Ondanks dat Trend Micro op afstand moest werken vanwege de COVID-19-pandemie, sprak het team drie keer per dag met Banijay Benelux om het bedrijf op de hoogte te houden van de monitoring- en herstelinspanningen. Trend Micro zocht ook voortdurend naar verdacht verkeer om er zeker van te zijn dat de hackers niet langer een bedreiging vormden.

Het duurde ongeveer 3 maanden om alles weer normaal te krijgen. “We hebben productiebedrijven die vaak Excelbestanden en papier gebruiken en dat werd niet zo erg beïnvloed”, zegt Backbier. “Maar we verloren het systeem dat we gebruiken voor de workflow van facturen, dus we moesten de crediteuren handmatig betalen.”

Banijay Benelux was destijds bezig met de implementatie van een nieuw facturatiesysteem, dus dat project werd versneld in plaats van dat ze het oude systeem opnieuw zouden opbouwen. Naarmate de weken verstreken, kreeg het bedrijf er steeds meer vertrouwen in dat de hackers geen toegang meer hadden tot hun infrastructuur. “Ik had weer het volste vertrouwen na de Kerst, het gevoel dat we er goed voor stonden”, herinnert Backbier zich. Vandaag de dag, voegt hij eraan toe, “voel ik me behoorlijk zelfverzekerd. Ik slaap weer elke nacht goed omdat Trend Micro ons in de gaten houdt.”

Op het moment van de ransomware-aanval was Banijay Benelux met Trend Micro in gesprek over het leveren van doorlopende beheerde beveiligingsdiensten voor zijn cloudinfrastructuur. “Mijn IT-team is vrij klein”, zegt Backbier. “Je kunt niet alle expertise in huis hebben die een bedrijf zoals Trend Micro heeft. Dat is hun core business.”

De reactie was het ‘ultieme proof of concept’

Hoewel organisaties een gedeelde verantwoordelijkheid hebben voor de beveiliging van de cloud, hebben ze vaak ondersteuning nodig om dit te leveren. Trend Micro, heeft laten zien dat het de resources van beveiligingsteams kan uitbreiden met 24/7/365 managed detection, response en ondersteuning via zijn cloudbeveiligings- en XDR-oplossingen en serviceteams. Dankzij de 24/7 monitoring van Trend Micro heeft Banijay Benelux nu meer vertrouwen in zijn cloudbeveiliging. Daarnaast weet het bedrijf dat het een partner heeft die snel kan schakelen om problemen op te lossen als een beveiligingsincident zich voordoet. “De hack heeft bewezen dat ze echt kunnen doen wat ze beloven. Dat gaf me het gevoel dat we de juiste keuze hebben gemaakt”, zegt Backbier. “Dit was het ultieme proof of concept voor mij.”

Het ransomware-incident zorgde er ook voor dat de leiding van het bedrijf zich meer bewust werd van de waarde van managed beveiliging. Nu het één dashboard heeft om de beveiliging van de gehele IT-infrastructuur te monitoren, heeft Banijay Benelux een diepgaand en continu inzicht in zijn risicoprofiel. “Beveiliging staat hoog op ieders agenda”, zegt Backbier. “En dat is goed.”