In deze serie zal ik me periodiek richten op een hack in de praktijk. Elke keer zal ik een gebeurtenis onderzoeken, belichten en vooral bespreken wat we ervan kunnen leren. Dit is niet alleen informatief voor het grote publiek, maar biedt mij ook de mogelijkheid om meer te weten te komen over het veiligheidsveld. De beste verdediging is immers een goede aanval!
In dit eerste artikel wil ik beginnen met de 'NotPetya-aanval' uit 2017, die velen misschien bekend voorkomt.
Het artikel van Wired leest als een film. Wat begon als een normale dag op het hoofdkantoor van Maersk in Kopenhagen, veranderde al snel in een nachtmerrie toen de systemen van het bedrijf werden gegijzeld door een ransomware-aanval.
De aanval verspreidde zich snel via de systemen van Maersk, waardoor de operationele activiteiten van het bedrijf tot stilstand kwamen. Schepen konden niet meer worden geladen of gelost, terminals waren niet meer in orde, vrachtwagens stonden stil en communicatiesystemen werden stilgelegd. Het duurde weken voordat de systemen van Maersk weer volledig operationeel waren.
De kosten van de aanval waren enorm. Maersk schatte de schade op bijna 300 miljoen dollar. Naast de directe kosten voor het herstellen van de systemen en het verlies van inkomsten tijdens de aanval, heeft de aanval ook het vertrouwen van klanten en investeerders in het bedrijf geschaad.
Wat is NotPetya?
Zoals de naam al doet vermoeden, verwijst NotPetya naar Petya, dat in 2017 werd ontdekt en veel gemeen heeft met de bekende ransomware 'Wannacry'. Het grote verschil is echter dat de groep achter NotPetya er niet op uit was om geld te verdienen, maar om zoveel mogelijk schade aan te richten. Daarom lijkt NotPetya meer op een wisser dan op ransomware, aangezien de gegevens al van tevoren zijn gewist.
Hoe zijn ze binnengekomen?
Het NotPetya-virus is waarschijnlijk de systemen van Maersk binnengedrongen via een zogenaamd 'Aanval op de toeleveringsketen', door middel van een software-update van een Oekraïens programma voor belastingadministratie genaamd M.E.Doc, dat veel werd gebruikt door bedrijven in Oekraïne. De aanvallers hebben het software-updatemechanisme van M.E.Doc gecompromitteerd en het NotPetya-virus in de legitieme update geïnjecteerd, die vervolgens werd verspreid naar alle gebruikers van het programma. Aangezien de Oekraïense afdeling van Maersk ook M.E.Doc gebruikte, kon het virus hun systemen infiltreren toen ze de update installeerden. Eenmaal binnen verspreidde het virus zich snel via het wereldwijde netwerk van Maersk, waardoor bestanden werden versleuteld en de systemen van het bedrijf onbruikbaar werden.
Hoe heeft het zich verspreid?
Het NotPetya-virus verspreidde zich om verschillende redenen snel over het netwerk van Maersk:
- Ten eerste is het virus ontworpen om zich te verspreiden via beveiligingsproblemen in Windows, waardoor het zich kan vermenigvuldigen en verspreiden zonder menselijke tussenkomst. Dit werd voornamelijk gedaan met behulp van SMB-kwetsbaarheden (Server Message Block), zoals MS17-010, CVE-2017-0144 en CVE-2017-0145.
- Ten tweede gebruikte het virus gestolen inloggegevens van geïnfecteerde machines om toegang te krijgen tot andere computers op het netwerk.
- Ten derde waren de systemen van Maersk slecht beveiligd, waardoor het virus gemakkelijker toegang kon krijgen tot andere delen van het netwerk.
Hoe werd het opgelost?
In de eerste dagen na de aanval schakelde Maersk over op handmatige processen om haar klanten te kunnen blijven bedienen. Dit betekende dat kantoorpersoneel pen en papier gebruikte om alle transacties en verzoeken van klanten te verwerken. Dit was een enorme uitdaging en vereiste veel geduld en toewijding van het personeel.
Maersk heeft vervolgens de getroffen IT-systemen weer online gebracht door middel van back-ups en het opnieuw opbouwen van de systemen. Dit was een langdurig en ingewikkeld proces, waarbij elke applicatie en database moest worden gecontroleerd en hersteld.
Maersk heeft ook flink geïnvesteerd in de versterking van zijn cyberbeveiliging. Ze hebben hun IT-infrastructuur opnieuw ontworpen en hun beveiligingsmaatregelen verbeterd om een soortgelijke aanval in de toekomst te voorkomen.
Het heeft maanden geduurd voordat Maersk volledig hersteld was van de NotPetya-aanval, maar het bedrijf heeft geleerd van de ervaring en heeft sindsdien stappen ondernomen om zijn cyberbeveiliging te versterken.
Wat kunnen we ervan leren?
Hieronder staan enkele van de belangrijkste lessen die uit de aanval kunnen worden getrokken. Het is echter belangrijk op te merken dat dit niet alle lessen zijn die uit deze situatie kunnen worden getrokken. Voor mij persoonlijk zijn dit de belangrijkste lessen.
- Patchbeheer: Maersk heeft toegegeven dat het patchbeheer niet op orde was, waardoor ze kwetsbaar waren voor de NotPetya-aanval. Hoewel het bedrijf in het verleden regelmatig software-updates en -patches had geïnstalleerd, had het de patch niet geïnstalleerd voor de specifieke kwetsbaarheid die NotPetya gebruikte. Dit maakte hun systemen kwetsbaar voor aanvallen.
- Back-ups: Maersk had back-ups gemaakt van zijn systemen, maar deze waren niet up-to-date en werden niet op een afgelegen locatie bewaard. Dit maakte het herstelproces na de aanval moeilijker en tijdrovender dan het had moeten zijn.
- Netwerksegmentatie: Maersk had zijn netwerk niet goed gesegmenteerd, waardoor de aanvaller van het ene systeem naar het andere kon gaan en schade kon toebrengen aan meerdere systemen en afdelingen.
- Software-integriteit: Hoewel het niet 100 procent zeker is, is het mogelijk dat het via een vervalste software-update is geleverd. Dit benadrukt hoe belangrijk het is om de authenticiteit van software te verifiëren en ervoor te zorgen dat deze wordt gedownload van een betrouwbare bron.
Hoewel het makkelijk is om Maersk de schuld te geven dat hij de aanval niet heeft kunnen stoppen, is het belangrijk om te erkennen dat cybercriminaliteit een steeds groter probleem is dat bedrijven van elke omvang treft. Het is onmogelijk om jezelf volledig tegen dergelijke aanvallen te beschermen, maar er zijn altijd stappen die je kunt nemen om jezelf beter te beschermen.
We kunnen allemaal leren van de situatie in Maersk en ons bewust worden van de ernstige bedreiging die cybercriminaliteit vormt voor bedrijven en individuen. In plaats van de schuld te geven, moeten we samenwerken om betere manieren te vinden om onszelf te beschermen en ons vermogen om te reageren op toekomstige aanvallen te verbeteren. Met een gecoördineerde en gezamenlijke inspanning kunnen we allemaal bijdragen aan het creëren van een veiligere digitale omgeving.
