Een technisch installatiebedrijf in het Westland is in maart 2021 gehackt via een werkstation. Ondanks alle voorzorgsmaatregelen, is een bijlage geopend door een nietsvermoedende werknemer. Het resultaat; een Trojaans paard is geïnstalleerd en de onderneming had geen toegang meer tot de noodzakelijke bestanden. Denk hierbij aan SQL databases, gegevens over lopende projecten en financiële administratie e.d., om te blijven ondernemen. Wij schetsen de situatie:
Versleutelen van bestanden door hackers
Doordat het werkstation open bleef staan is er door de hackers een opening gevonden in het netwerk. Nachtenlang, als er geen bedrijvigheid was in de onderneming, is er een weg gevonden naar de servers en zijn een enorm aantal bestanden op de achtergrond gewist. De hacker had alle “live” data op de servers en werkstations versleuteld. Vervolgens is geprobeerd de backups hiervan op NAS systemen te verwijderen of te verminken. Er is ruim de tijd geweest om gegevens te wissen en te versleutelen door de hackers.
Losgeld en dark web
Tot er op een dag geen enkele werknemer meer kon inloggen en het bedrijf compleet platlag. Door de systeembeheerder is een .txt bestand gevonden met een losgeld brief van de hackers. In de losgeld brief stonden instructies. Hier is onder andere gevraagd om met een nieuw e-mailadres via het dark web contact te zoeken en het losgeld in bitcoins te betalen.
De gevolgen voor anderen
Deze onderneming, met verschillende vestigingen, konden de bedrijfsvoering niet meer uitvoeren. De 130 werknemers waren niet meer in staat te werken en diverse lopende projecten stonden plotsklaps stil. De verschillende onderaannemers, gespecialiseerd in onder andere elektrotechniek, water techniek, groeilicht, automatisering en klimaattechniek liepen hierdoor ook tegen een planningsachterstand aan.
Werk niet mee aan criminele activiteiten
Deze ondernemer besloot niet in te gaan op de instructies. Simpelweg omdat zij niet mee willen werken aan criminele activiteiten. Uiteraard is er wel aangifte gedaan bij de diverse instanties. Daarnaast zochten zij contact met ons, een specialist in het herstellen van data van alle soorten gegevensdragers.
Inventarisatie van data
Tijdens het eerste contact stellen wij veel vragen. Daarnaast maken wij een inventarisatie van gegevensdragers die nog beschikbaar zijn om data vanaf te halen. Ook is het belangrijk om te weten welke gegevens als eerste nodig zijn om de onderneming weer zo snel mogelijk up-and-running te krijgen. Doordat er een vrijwel complete lijst van belangrijke data is aangeleverd en een groot aantal gegevensdragers is overgedragen kon er snel actie worden ondernomen. Wij zijn gericht op zoek gegaan naar “gezonde” bestanden.
Dataherstel na cyberaanval zonder losgeld
Een hacker kijkt naar welke bestanden hij denkt die belangrijk zijn om te gijzelen. Maar kan onmogelijk alles versleutelen. In dit geval heeft hij een keuze gemaakt. Als er bijvoorbeeld 50 Terabyte aan data is, dan kan hij niet alle data corrupt maken. Door de goede informatievoorziening van de systeembeheerder en de dataherstel specialisten draaide de onderneming binnen 3 dagen. Nagenoeg de hele database was weer terug. Een knap staaltje recovery na een hack-poging waar wellicht anders een hoop geld voor was betaald aan criminelen. Waar je nooit zeker bent of je de gegevens daadwerkelijk terug gaat krijgen.