ITPartners+

In de vroege uurtjes van een lentedag op donderdag werd ITPartners+ geconfronteerd met een grote cyberbeveiligingsuitdaging: een ransomware-aanval gericht op een van hun klanten. De aanval werd uitgevoerd door de Akira-ransomwaregroep. De daders verspilden geen tijd en begonnen meteen met het versleutelen van cruciale servers en probeerden zich zo snel mogelijk over het netwerk te verspreiden. De timing van de aanval, vlak voor het Memorial Day-weekend, was een veelgebruikte strategische zet van aanvallers om de kans op betaling van losgeld te vergroten.

Chad McDonald, CTO van ITPartners+, herinnert zich: "We hebben wel eens te maken gehad met andere cyberincidenten, maar nooit op de schaal van een ransomware-aanval. Dit was de eerste keer dat we ransomware actief een omgeving zagen aanvallen."

De eerste waarschuwing kwam via het RocketCyber , een cruciaal onderdeel van de cyberbeveiliging van het bedrijf.

Casey Postma, hoofd cyberbeveiliging bij ITPartners+, was de eerste die reageerde. Hij ontdekte de aanval toen hij vroeg wakker werd en zijn e-mails checkte. Casey verklaarde: "Ik werd ongeveer een uur voor mijn wekker wakker en besloot mijn e-mail te checken. Ik zag dat Datto Managed SOC een noodticket Managed SOC en ons had gebeld." Deze vroege detectie was cruciaal om de schade te beperken.

Dankzij de geavanceerde dreigingsdetectiemogelijkheden van Datto werd om 4:59 uur 's ochtends de eerste aanwijzing voor een inbreuk geïdentificeerd. Tussen 5:00 en 5:15 uur 's ochtends hebben Datto en zijn ervaren SOC-team vervolgens meer dan 30 apparaten geïsoleerd om de verspreiding tegen te gaan en kwaadaardige processen te stoppen. "De responstijd was iets meer dan een minuut vanaf het begin van de versleuteling die het alarm activeerde en de reactie van het ransomwarebeleid. Dat was zeer indrukwekkend", aldus Casey. Door deze snelle isolatie kon worden voorkomen dat de ransomware zich naar andere delen van het netwerk verspreidde.

Toen de directe dreiging onder controle was, coördineerde ITPartners+ een uitgebreide respons. Hierbij werd onder meer contact opgenomen met de cyberbeveiligingsverzekeraar van de klant, die een forensisch team zou inschakelen om de situatie verder te beoordelen. "Het waren de duidelijke aanwijzingen van de Akira-ransomware die ons deden beseffen dat we echt met een ernstig incident te maken hadden", aldus Casey.

Het herstelproces was intensief en vereiste de gecoördineerde inspanningen van meerdere teamleden. Door gebruik te maken van Datto EDR en de hulp van de SOC-professionals van Datto, slaagde ITPartners+ erin de getroffen servers te isoleren, waardoor de ransomware werd ingedamd en de schade tot een minimum werd beperkt. Chad benadrukte de cruciale rol van deze tools: "De kracht van ons team en die van de tools die we tot onze beschikking hadden – Datto Managed SOC, Datto EDR, Datto BCDR, RMM – waren van cruciaal belang om de verspreiding te stoppen en de getroffen systemen te herstellen."

Tijdens het herstel heeft het team de servers hersteld vanuit back-ups met behulp van Datto BCDR, zodat de gegevens van de klant intact bleven en de activiteiten konden worden hervat. De klant van ITPartners+ was op de eerste werkdag na het lange weekend weer volledig operationeel. Deze snelle doorlooptijd was van cruciaal belang om de downtime te beperken, het verlies tot een minimum te beperken en de bedrijfscontinuïteit te waarborgen.

De samenwerking tussen ITPartners+ en Kaseya bleek een robuuste verdediging te zijn tegen de Akira-ransomwareaanval, waarbij de snelle detectie en isolatie van geïnfecteerde systemen uitgebreide schade voorkwam en een snel herstel mogelijk maakte. De klant van ITPartners+ prees hen voor hun effectieve reactie, die de potentiële impact van de aanval aanzienlijk verminderde.

Chad dacht na over het incident en zei: "Dit is een van die incidenten waarbij je die theorie echt kunt testen, waarbij je ofwel met een ja wegloopt, het deed wat we wilden; we hebben een positief resultaat, of je loopt weg met het gevoel dat je de verkeerde keuze hebt gemaakt. In dit geval liepen we weg met het gevoel dat we het juiste product en de juiste leverancier hadden gekozen."

ITPartners+ heeft een ransomware-aanval die rampzalige gevolgen had kunnen hebben, succesvol afgehandeld en daarmee blijk gegeven van hun toewijding aan hun kernwaarden: uitstekend werk leveren, plezier hebben en groot denken. Dankzij hun proactieve aanpak, in combinatie met de geavanceerde mogelijkheden van Datto Managed SOC Datto EDR, kon hun klant met minimale verstoring de normale bedrijfsvoering hervatten.

Deze casestudy benadrukt het belang van een bekwaam team en betrouwbare cyberbeveiligingstools om effectief op te treden tegen steeds veranderende cyberdreigingen.