Een internationale hotelketen wordt slachtoffer van een cyberaanval

Gepubliceerd op 12 augustus 2022 om 07:00

Sjors Brul, oprichter en eigenaar van 'Sbit', is nog maar een aantal uren terug van vakantie als hij ’s avonds laat een dringend telefoontje krijgt. Een internationale hotelketen met meer dan twintig hotels is het slachtoffer van een cyberaanval. Een reconstructie van een meer dan ingrijpende operatie.

Op alle beeldschermen in de hotelorganisatie popte het bericht op dat de cybercriminelen ‘binnen’ waren, er contact met de helpdesk gezocht moest worden en dat er een aanzienlijk bedrag aan Bitcoins overgemaakt diende te worden om weer toegang tot de eigen pc’s te krijgen. Want alle pc’s waren gegijzeld. ‘Ransomware’ zorgde ervoor dat alle pc’s versleuteld raakten, maar ook de servers kunnen gegijzeld zijn. “Dat weet je als hotelier op dat moment nog niet”, vertelt Brul. “Het eerste wat je moet doen is niet in paniek raken, vervolgens zet je alle toegangen tot het internet uit. Dat betekent dus dat je de hele organisatie voor een groot deel lam legt. In dit geval ging het om ruim twintig vestigingen verdeeld over zeven landen.”

Vleugellam

Pc’s uit, kassa’s uit, servers uit en werkstations uit. De organisatie moest vleugellam gemaakt worden om op een gedegen wijze te onderzoeken hoe en wanneer de criminelen waren binnengekomen en wat het plan van aanpak moest worden om de systemen weer schoon te vegen. “Wat je absoluut  niet moet doen, is zelf aan de slag gaan.”

Een cyberaanval is een misdaad en moet ook zo benaderd worden. Een forensisch team moet onderzoek doen, gedegen onderzoek. Dit team, een ‘Red-Team’ geheten, wordt aangewezen door de cybersecurity verzekeraar. Zij gaan aan de slag met twee vragen: wat is er allemaal geraakt? En hoe heeft dit kunnen gebeuren? “En in de tussentijd lag de organisatie nog altijd plat. Het is gewoon terug naar pen en papier. De schade voor de gehele organisatie liep in dit geval op tot 100.000 euro per dag.” Het Red-Team onderzoekt hoe de criminelen zijn binnengekomen en gaat aan de slag met de systemen. “Wij, als ICT-dienstverlener, onderzoeken de kwaliteit van de back-ups. Dat doen we overigens iedere dag, om te controleren of ze werken maar ook om te kijken of ze op een veilige plek staan. Ook de back-ups worden vaak door deze hackers beschadigd, Wij hebben daar echter een beveiliging voor.”

Waar de criminelen voornamelijk naar op zoek zijn is chantabele informatie. Dat kan informatie zijn over gasten. “Maar creditcardgegevens zijn als het goed is niet meer terug te vinden in de systemen. Verder richten ze zich op het PMS-systeem, maar ook op het online gedrag van de medewerkers. Welke websites zijn bezocht, welke filmpjes zijn bekeken… Dat soort informatie. Dat is chantabele informatie waarvan je als organisatie niet wil dat het op straat komt te liggen. De imagoschade die je oploopt op het moment dat naar buiten komt dat je digitaal kwetsbaar bent is immens.”

Communicatie

De criminelen zitten uiteraard niet stil op het moment dat het Red-Team aan de slag gaat. Zij zien die activiteit en handelen daarnaar. “Ze bellen op met de mededeling dat zij namens Microsoft hun diensten aanbieden en dat het zo vervelend is dat je organisatie is gehackt. Maar zij hebben de oplossing. Een ander advies is dan ook: vertrouw niemand en communiceer met je eigen mensen. Je bent als organisatie bijzonder kwetsbaar op het moment dat je aangevallen wordt. Er staat gewoon een leger voor je deur”, aldus Brul.

Om te voorkomen dat cybercriminelen binnen komen, is het verstandig om te weten hoe ze binnen kunnen komen. Dat kan op een aantal manieren. Via ‘phishing’, een update die niet of niet goed is uitgevoerd of een inbreuk in de softwaresystemen van het bedrijf via een medewerker die vanuit een privé laptop werkt en dus minder goed beveiligd is, wat veel tijdens de verschillende lockdowns gebeurde. “In het geval van deze casus, waarin ruim twintig hotels het slachtoffer werden, ging het om een niet goed uitgevoerde update. Het Red-Team kwam erachter dat in dit geval de criminelen al vier maanden binnen waren. Dat betekent dat alle back-ups die in de tussentijd zijn gemaakt, niet te vertrouwen zijn.”

Systemen werden gereset naar de laatste veilige status, of in het slechtste geval volledig vervangen. Vanaf dat nulpunt moest alle data onderzocht worden en op betrouwbaarheid en veiligheid worden getoetst. Monnikenwerk. Sjors Brul spreekt over ‘White Listing’; het één voor één goedkeuren van websites en systemen. “In het geval van deze zaak hebben we vier maanden in die ‘White Listing-modus’ gewerkt. Stap voor stap iedere website en iedere link als veilig bestempelen voordat deze weer gebruikt kon worden. We hadden het geluk dat deze hotelketen met het PMS-systeem in een hosted omgeving werkt en we vrij snel konden concluderen dat het PMS-systeem niet aangevallen en dus veilig was.”

Een geluk bij een ongeluk. Maar op het moment dat de eigen softwaresystemen weer veilig te gebruiken zijn, is het onontkoombaar dat er onderhandeld moet worden met de criminelen om de gestolen informatie ‘terug te kopen’. “Dat doet een ‘negotiator’ en na een akkoord heb je als hotelier natuurlijk nooit de volledige zekerheid dat de informatie niet op straat komt te liggen. Het blijven criminelen. Het beeld dat lange tijd heerste dat een hacker vanuit zijn zolderkamertje probeert in te breken, is allang niet meer de juiste. Het zijn professionele organisaties met meerdere afdelingen die precies weten wat ze moeten doen. Het is zaak om je als hotelier daar tegen te wapenen.”

Bewustzijn

Dat doe je volgens Brul allereerst door in de organisatie bewustzijn te creëren over de gevaren van cybercriminaliteit. “De hotellerie geeft daar steeds meer aandacht aan, maar het kan beter. Het gaat vaak mis in de onwetendheid. Wat doe je als je per ongeluk op een verdachte link hebt geklikt? Vaak zwijgen medewerkers daarover, ook uit schaamte. Hoe eerder er melding van wordt gedaan, hoe beter het kwaad bestreden kan worden. Het gevaar zit ‘m in de onzichtbaarheid, maar bij veel hotels staat de digitale deur op een kier of zelfs verder. Aan de oppervlakte is niets te zien, maar een aantal maanden later kunnen de gevolgen desastreus zijn.”

Checklist cyberaanval

Een cyberaanval op de hotelorganisatie is de uitkomst van vaak maandenlange voorbereiding van cybercriminelen. De criminelen maken hun eis kenbaar als ze voldoende gevoelige informatie hebben weten te verzamelen. Welke stappen dien je als hotelier te nemen als je wordt geconfronteerd met een cyberaanval?

  • Raak niet in paniek en ga niet zelf op onderzoek uit
  • Schakel de internetverbinding uit
  • Neem contact op met de cybersecurity verzekering
  • Laat forensisch onderzoek doen
  • Vertrouw niemand
  • Houd het team op de hoogte
  • Informeer de autoriteiten binnen de gestelde wettelijke termijn
  • Controleer back-ups
  • Maak inzichtelijk wanneer de criminelen in het systeem zijn gekomen
  • Wantrouw alle informatie die daarna in de systemen zit
  • Herstel de systemen
  • Neem corrigerende maatregelen, zodat de kans op een nieuwe aanval kleiner wordt.

Risico verkleinen

Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen

  • Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
  • Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
  • Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
  • Ga je online pas de ABC methode toe
    • A = alert blijven
    • B = bescherm jezelf
    • C = check altijd

Meer info over ABC en downloads

Bron: sbit-hospitality.com (Sjors Brul) / hospitality-management.nl | David Bakker

Meer actueel nieuws

Naar schatting 85 miljoen euro aan Covid-gerelateerde goederen en diensten die te koop worden aangeboden op het darkweb

Na Donald Trump's snelle herstel van Covid-19 vorige maand, verschenen er advertenties op het darkweb ('de onderkant van het internet') waarin het medicijn van 'Regeneron Pharmaceuticals Inc.' werd aangeboden waarbij ze beweerden dat dit het 'wondermiddel' was wat de president snel beter maakte. Terwijl het nog niet was goedgekeurd voor openbare verkoop.

Lees meer »

"Ze zij zijn hun gewicht in goud waard. Hierdoor konden we twee verdachten op heterdaad aanhouden”

Bank helpdesk fraude en babbeltrucs komen dagelijks voor en heeft een grote impact op de slachtoffers. Dinsdag 10 november was het helaas ook weer raak. Een 70-jarige vrouw uit Dordrecht is het slachtoffer geworden van Bank helpdesk fraude en een poging tot babbeltruc. Door adequaat optreden van de buren van het slachtoffer, konden de verdachten op heterdaad worden aangehouden. Ook in andere babbeltruc zaken in Dordrecht zijn aanhoudingen verricht. Mooie resultaten in impact volle zaken.

Lees meer »

De gevaren van IoT zichtbaar in Rotterdam

Tot dinsdagmiddag was het voor iedereen mogelijk om de kleuren van de Erasmusbrug aan te passen via zijn tablet, smartphone of laptop. Door een gat in de beveiliging was het mogelijk om zonder gebruikersnaam en wachtwoord in te loggen op het systeem dat de lichtkleuren regelt. De gemeente Rotterdam heeft het bedieningssysteem uitgeschakeld en contact opgenomen met de leverancier van het systeem om herhaling te voorkomen.

Lees meer »

Tweede Kamerverkiezingen 2021 met behulp van "niet" hackbaar OSV systeem?

De Kiesraad kiest eieren voor zijn geld. Bij de volgende Tweede Kamerverkiezingen, die in maart 2021 plaatsvinden, gaat ze extra controles uitvoeren om de uitslagen vast te stellen. De 'Ondersteunende Software Verkiezingen' (OSV) is hiervoor ontwikkeld en veilig bevonden, maar de Stichting 'Tegen Hackbare Verkiezingen' waarschuwt voor fraude en manipulat

Lees meer »