Het cyberhacking-dagboek van een Vlaamse kmo

Use case
In samenwerking met

Cybercriminelen leggen via gijzelsoftware geregeld Vlaamse kmo’s compleet stil. Zo eisten hackers 10.000 dollar van de kmo uit dit dagboek voordat ze de gestolen bestanden weer zouden vrijgeven. De hacking was het begin van een nachtmerrie met grote omzet- en reputatieschade. Lees het waargebeurde verslag van een cyberaanval op een Vlaamse kmo.

""
Van de ene op de andere dag was deze kmo gesloten © Foto Tim Mossholder, Unsplash

Dag 1: Alle bestanden zijn versleuteld

Op een maandagochtend slaagt geen enkele werknemers van een Vlaamse kmo erin om in te loggen op het IT-systeem. Na een telefoontje naar de helpdesk van haar IT-partner, ontdekt de kmo dat ze het slachtoffer is van een cyberaanval.

Alle bestanden op de server zijn versleuteld met zogenaamde ransomware . Het enige leesbare bestand is een tekstdocument dat zegt dat de kmo gehackt is en contact moet opnemen via mail.

➡ Wat is ransomware ? Waarom wordt je onderneming vandaag meer dan ooit bedreigd door cybercriminelen? Lees Wat is ransomware? Alles wat je onderneming moet weten over gijzelsoftware

De pogingen om back-ups terug te zetten, mislukken. Tegen de middag wordt duidelijk dat een groot aantal back-ups mee versleuteld zijn, waardoor ze onbruikbaar zijn. De aanval blijkt al gestart te zijn op vrijdagavond, waardoor de back-ups van het weekend waardeloos zijn.

Beveilig je kmo nu met steun van VLAIO

Je wil niet dat jouw onderneming gehackt wordt? Beveilig je bedrijf dan beter tegen hackers, ransomware , virussen... 

Dat kan nu voordeliger via de Cybersecurity -verbetertrajecten. Met deze trajecten steunt de Vlaamse overheid kmo's bij het inkopen van extern advies en begeleiding in de cybersecurity .

Klik door naar de Cybersecurity-verbetertrajecten

Na een hevige discussie over budgetten en niet-genomen maatregelen tussen de zaakvoerder en IT-partner, wordt cybersecurityspecialist Netcure ingeschakeld.

“We raden de kmo aan om een klacht neer te leggen”, vertelt Erik Bosmans, managing director van Netcure. “We assisteren de zaakvoerder met het opmaken van een dossier voor de politie en verzamelen de nodige gegevens. Vanaf nu worden ook alle verdere stappen gedocumenteerd en toegevoegd aan het dossier.”

Na een snelle analyse blijkt de enige oplossing: de criminelen contacteren om de bestanden terug te krijgen. “Het is daarbij belangrijk om zo weinig mogelijk gegevens vrij te geven die jou (het slachtoffer) kunnen identificeren”, weet Erik. “Je gebruikt dus beter niet je vertrouwde e-mailsysteem. Algemene diensten zoals Gmail en Outlook zijn meestal evenmin voldoende om je volledig af te schermen.”

Netcure legt het eerste contact. Daarna is het wachten op antwoord.

Schade cyberaanval loopt meteen op

De kmo is intussen een volledige dag kwijt en heeft geen toegang tot haar historiek.

De schade is enorm:

  • De onderneming kan niet aan haar facturatiegegevens, boekhouding, voorraadlijsten, magazijnbeheer of e-mail.
  • Er kan niets verkocht worden
  • Drie medewerkers zijn technisch werkloos
  • De kmo moet alle klanten melden dat de systemen onbereikbaar zijn en het team technisch werkloos is.
  • De kmo kan geen leveringen verwerken
  • Er kan niet aan klanten geleverd worden, omdat niemand zicht heeft op de openstaande bestellingen.
  • De transportfirma waarmee de kmo samenwerkt voor leveringen moet haar planning aanpassen. Ze rekent hiervoor extra kosten aan.
➡ De schade na dag 1 is al groot. Lees: Gemiddeld schommelen de interventiekosten na een cyberaanval tussen 10.000 en 30.000 euro.

Dag 2: Contact aanknopen met hackers

“Na ongeveer 15 uur krijgen we antwoord. De cybercriminelen vragen om twee versleutelde bestanden door te sturen."

Aan de hand van deze bestanden kunnen de hackers identificeren met welk proces deze aanval gebeurd is en zelfs de locatie van het doelwit bepalen.

Dag 3: Klanten zoeken andere leverancier

Opnieuw 20 uur later ontvangt Netcure deze boodschap: “You have only 48 hours for payment. After that decryption cost will be doubled.”

De hackers eisen 10.000 dollar losgeld.

Het verlies loopt op. Na drie dagen kan de kmo nog altijd niemand verder helpen, noch openstaande orders opvolgen. Klanten worden minder begripvol. Enkelen onder hen gaan een alternatieve leverancier zoeken.

Andere klanten beginnen zich af te vragen of hun gegevens gekend zijn bij de criminelen en of er data gelekt of gestolen zijn. Ook partijen zoals de transportfirma hebben weinig begrip voor het plotse inkomstenverlies.

""
Het kan hackers uiteraard niets schelen dat een kleine onderneming in België overkop zou gaan.
Erik Bosmans, managing director van Netcure

Dag 4: Onderhandelen voor lager losgeld

Om een einde te maken aan de ellende wil de zaakvoerder eventueel wel losgeld betalen. Maar hij heeft geen 10.000 dollar. Niemand is bereid om bij te springen. Bovendien krijgt de kmo vervelende vragen over haar (toekomstige) kredietwaardigheid.

Intussen probeert Netcure te onderhandelen voor lager losgeld. “De criminelen zijn hier in eerste instantie niet toe bereid”, zegt Erik. “Het kan hen uiteraard niets schelen dat een kleine onderneming in België overkop zou gaan.”

""
"Je hebt geen garanties na het betalen van losgeld", zegt Erik Bosmans, CEO van Netcure © Foto Dirk De Cubber

Dag 7: Betalen zonder garantie

Pas na dagen onderhandelen stemmen de hackers in met een aanzienlijk lager bedrag. De kmo moet nog altijd een grote som ophoesten en heeft geen enkele garantie dat de bestanden terug beschikbaar zullen zijn na de betaling. 

“Maar de kmo heeft geen alternatief”, aldus Netcure.

➡ Voorkomen is beter dan genezen. Volg de tips uit het artikel: 10 tips om je onderneming beter te beveiligen tegen hackers

Dag 10: Bitcoins naar hackers

Het betalingsproces duurt nog eens drie dagen. Op de tiende dag wordt het bedrag overgemaakt naar de Bitcoin-rekening van de criminelen.

""
De hackers eisen een betaling in bitcoins. © Foto Andre Francois McKenzie, Unsplash

Dag 11: Einde van de hacking

Op dag 11 krijgt de kmo een tool aangereikt waarmee haar bestanden terug beschikbaar worden. De IT-partner maakt de systemen zo snel mogelijk weer klaar. Alle medewerkers gaan weer aan de slag.

De schade is enorm

Eind goed, al goed? Helaas niet.
De schade is enorm. De kmo heeft zwaar te lijden gehad onder de cyberaanval. 

We sommen op:

  • Minstens zeven werkdagen volledig inkomstenverlies
  • Technische werkloosheid van de werknemers
  • Een enorme achterstand door complete inactiviteit
  • Zware reputatieschade bij klanten en leveranciers
  • Aangetaste kredietwaardigheid bij leveranciers en financiële instellingen
  • Vertrouwensbreuk tussen de kmo en haar IT-partner
  • Kosten van het losgeld
  • Kosten voor consultancy-assistentie tijdens het onderhandelingsproces
➡ Ook bij de kmo Pilz liep de schade op. Lees hun getuigenis: Pilz verliest alles in een cyberattack. “Vandaag hebben we nog steeds geen wifi of WeTransfer”

Hoe hacking met ransomware voorkomen?

Beveiligingsspecialist Netcure tekende dit verslag op nadat de gehackte kmo bij hen aanklopte.

Hoe de kmo deze hacking met ransomware had kunnen vermijden? Dat lees je in het volledige artikel op hun website: Waargebeurd: verslag van een cyberaanval op een Belgische kmo.

TwitterLinkedIn

Hoe ondersteunt het Vlaams Beleidsplan CS jouw onderneming?

Vlaanderen investeert via het Beleidsplan Cybersecurity fors in onderzoek, praktische toepassingen en omkadering op het vlak van opleiding, bewustmaking en ethische vragen. Hoe ondersteunt het plan jouw bedrijf?