In 2023 werden de KNVB-servers op de KNVB Campus in Zeist voor de eerste keer slachtoffer van een cyberaanval. Daarbij zijn er persoonlijke gegevens van KNVB-medewerkers in handen gekomen van hackers. Om welke gegevens het precies gaat heeft de KNVB nog niet naar buiten gebracht. Het personeel kon wel gewoon doorwerken omdat de interne systemen nog werkten.
Direct na de cyberaanval heeft de KNVB Fox-IT ingeschakeld om de IT-omgeving weer op de rails te krijgen. Zij hebben een onderzoek uitgevoerd naar de oorzaak van de cyberaanval. Helaas waren er onvoldoende digitale sporen beschikbaar om uitsluitsel te geven over de vraag welke gegevens zijn buitgemaakt of ingezien. Wel heeft de KVNB de personen van wie gegevens mogelijk zijn buitgemaakt of ingezien geïnformeerd. Het verhaal gaat dat de daders via een phishing-email binnen zijn gekomen en mogelijk losgeld hebben geëist. De KNVB zelf heeft dit niet ontkent of ontkracht.
Ook interessant: beluister hieronder onze podcast over Vink Kunstoffen BV. Hierin bespreken we met CISO Tim Janssen hoe deze organisatie werd getroffen door een ransomware-aanval.
De cyberaanval is opgeëist door de LockBit-groep. Eerder dit jaar was het Britse het Britse Royal Mail ook al slachtoffer van een van hun aanvallen. LockBit staat er bekend om dat zij computersystemen binnen dringen om informatie te versleutelen. Vervolgens vragen deze hackers absurde geldbedragen om dezelfde buitgemaakte data weer te ontgrendelen en niet te publiceren. Deze vorm van afpersing wordt ransomware genoemd.
Ransomware is een vorm van malware. Bij een succesvolle ransomware-aanval worden databestanden op een apparaat versleutelt met als doel deze later weer te ontgrendelen in ruil voor losgeld. Het kan ook voorkomen dat de ransomware het IT-systeem blokkeert of overneemt door systeembestanden te versleutelen. Meestal activeert iemand zo’n aanval door op de verkeerde link in een phishing-email te klikken.
Een bedrijf krijgt vervolgens een termijn toegewezen om het losgeld te betalen. Als een bedrijf niet betaalt en de termijn verstrijkt, dreigt de hacker de gestolen data online te publiceren. Zo’n periode bestaat soms uit drie of vier dagen, maar kan ook een week of langer beslaan.
Wat we vaak zien is dat hackers een timer op hun afpersingswebsite of blog publiceren. In het geval van de KNVB is de organisatie weer van de website verdwenen vóórdat de datum werd bereikt. Je zou daarom kunnen stellen dat de KNVB heeft betaald, maar zonder statement is dit niet te zeggen.
Is een ransomware-aanval uit te bannen is door simpelweg niet te betalen? Helaas niet. Veel bedrijven zijn bang dat de data, die na een ransomware-aanval wordt gepubliceerd, reputatieschade oplevert - en dat kan in de kosten lopen. Het is daardoor begrijpelijk dat bedrijven betalen, zeker als de hacker foto’s of screenshots doorstuurt van welke data er is gestolen. Echter weet je nooit zeker of de hackers hun afspraken nakomen en/of de data doorverkopen. Het is daarom belangrijk om te weten dat betalen geen garantie biedt op een goede afloop.
Het terugzetten van een back-up is een oplossing om weer over de bestanden te beschikken. Hierbij is het belangrijk na te denken over de snelheid waarmee zo’n back-up kan worden teruggezet én welke data het belangrijkste is om te behouden.
Als het herstellen van een back-up niet mogelijk is, kun je nagaan of er een zogenoemde ‘decryptor’ bestaat. Een decryptor is een bestaande sleutel voor bekende vormen van ransomware. Hiermee kun je mogelijk weer toegang krijgen tot de data zonder te betalen. Je kunt deze vinden op de website van het No More Ransom-project.
Een ransomware-aanval is niet te voorkomen, maar je kunt het hackers wel zo moeilijk mogelijk maken om binnen te dringen door de onderstaande best practices te volgen:
Malware zoals ransomware blijft bestaan omdat het verdienmodel van hackers gebouwd is met de achterliggende gedachte dat een organisatie zal toegeven aan de eisen - en betaalt. Aandacht besteden aan cybersecurity is daarom van cruciaal belang.
Een ransomware-aanval is niet altijd te voorkomen, daarom moet je ervoor zorgen dat medewerkers op de hoogte worden gebracht van de impact ervan én ze dusdanig trainen dat ze de organisatie helpen om zo snel en adequaat mogelijk te reageren op een aanval. Hoe sneller je reageert, hoe beperkter je de schade kunt houden. In dat geval maken de medewerkers jouw informatiebeveiligingsaanpak vele malen effectiever, en misschien maken ze zelfs wel het verschil.