De drieledige aanpak van Jera-IT voor incidentrespons en noodherstel

De Akira-ransomwareaanval

Op een ochtend begon de helpdesk van Jera-IT veel supporttickets te ontvangen van een klant, omdat verschillende van hun servers offline waren gegaan. Bij diagnose ontdekte het team van Jera-IT dat de klant nog steeds veel servers online had die konden functioneren. Aangezien het team al in gesprek was met die klant over serverwijzigingen en upgrades, was de eerste conclusie dat er sprake was van een fysieke hoststoring.

Maar terwijl het team van Jera-IT zich verdiepte in het probleem om alle servers weer online te krijgen, ontdekte het al snel schade aan de gegevensversleuteling en een tekstbestand met de titel Akira, wat erop wees dat het om een cyberincident ging. "Op dat moment werd ik bij het gesprek met mijn technici betrokken om hen te ondersteunen. Ik zit al lang genoeg in het vak om te weten waar we mee te maken hadden en wat we moesten doen", herinnert Clark zich.

Na verder onderzoek ontdekte het team van Jera-IT dat bijna 90% van de diensten van de klant volledig was versleuteld, tot op het niveau van het besturingssysteem en de virtuele machine (VM). De hackers konden echter niet het hele netwerk compromitteren, omdat Jera-IT een aantal servers en domeincontrollers van de klant op andere locaties had geïnstalleerd.

"We gingen ervan uit dat alles op het netwerk besmet was en startten een volledig noodherstelplan (DR). We hebben alles losgekoppeld van het internet en moesten zelfs andere manieren vinden om met elkaar te communiceren", zegt Clark.

De drieledige aanpak

"Bij het aanpakken van deze situatie hadden we drie aandachtspunten, die elk vanuit een eigen invalshoek naar de situatie keken", zegt Clark. "Allereerst moest onze klant koste wat kost zijn bedrijfsactiviteiten voortzetten. Ten tweede probeerde een incidentresponsbedrijf (IR) alles af te schermen met een groot plakband met de tekst 'Niet aanraken'. En dan waren wij er nog – en dat was waarschijnlijk de moeilijkste uitdaging van allemaal – om de klant te helpen herstellen en weer op gang te komen, terwijl we een evenwicht moesten vinden tussen deze drie benaderingen en een oplossing moesten vinden die voor iedereen geschikt was", voegt hij eraan toe.

Het eerste wat Jera-IT deed om deze situatie aan te pakken, was zich tot Datto wenden. "We werken al jaren met deze klant, met Datto-back-ups, en we waren er zeker van dat de Datto-back-ups betrouwbaar waren. Dat was inderdaad onze redding", aldus Clark.

Resultaat: Weer operationeel

Dankzij de robuuste disaster recovery van Datto kon Jera-IT een aantal van de cloudgebaseerde bedrijfskritische applicaties van de klant herstellen, waardoor de klant zijn bedrijfsactiviteiten ondanks de chaos kon voortzetten. Vervolgens kon het team van Jera-IT het probleem onder controle krijgen en begon het op een gecontroleerde manier servers weer online te brengen. Ze zetten geavanceerde tools in om te achterhalen hoe de aanvaller het netwerk was binnengedrongen en welke schade er was aangericht.

Elke server werd schoongemaakt en beveiligd met wachtwoorden, firewalls en andere kernservices voordat ze weer online werden gebracht. Aan de servers werd een endpoint detection and response (EDR)-service toegevoegd die nog niet eerder was geïmplementeerd. Binnen een maand waren alle klantenservices weer online.

"Om eerlijk te zijn, heeft de klant geen enkele productiedag verloren, en een van de belangrijkste redenen daarvoor zijn de back-ups van Datto. Zonder die back-ups hadden we de servers in de cloud nooit kunnen herstellen en hadden we de klantenservice nooit op dezelfde manier kunnen herstellen", aldus Clark.

De belangrijkste conclusies voor MSP's en bedrijven

Volgens Clark geeft dit verhaal zowel de MSP het bedrijfsleven stof tot nadenken.

"Wanneer ik met besluitvormers uit het MKB-segment praat, zeggen ze vaak dat ze niet genoeg budget hebben om hun cyberbeveiliging te versterken. Maar het is verbazingwekkend hoe dat budget dan toch wordt gevonden om een cyberincident te verhelpen wanneer ze ermee worden geconfronteerd", aldus Clark. "Aan het begin van dit incident had de klant nog geen EDR-oplossing geïmplementeerd, en als ik met hen over een EDR-oplossing had gesproken, zou ik zeker niet de reactie hebben gekregen die ik had verwacht. Maar vandaag hebben ze een volledige EDR-service geïmplementeerd. Het is dus interessant waarom mensen wachten op dergelijke incidenten om hun cyberbeveiliging te versterken."

Clark merkt verder op dat dergelijke cyberbeveiligingsincidenten ook een grote zorg zijn voor MSP's. Hij voegt hieraan toe: "Hoewel MSP's denken dat een bedrijfscontinuïteitsplan of een DR-plan hen uit dergelijke incidenten kan redden, zijn ze niet voorbereid op de impact die deze incidenten op hun bedrijf kunnen hebben. De meeste MSP's draaien op 90% van hun capaciteit en een dergelijk cyberincident zal een aanzienlijke tol eisen van hun personeel."

Clark herinnert ons eraan dat cyberbeveiliging een continu proces is zonder eindpunt. "Het zal voor ondernemers moeilijk zijn om dit te horen, maar deze discussie over cyberbeveiliging zal in de loop van de tijd voortdurend blijven evolueren", concludeert hij.