Een internationale hotelketen wordt slachtoffer van een cyberaanval

Gepubliceerd op 12 augustus 2022 om 07:00

Sjors Brul, oprichter en eigenaar van 'Sbit', is nog maar een aantal uren terug van vakantie als hij ’s avonds laat een dringend telefoontje krijgt. Een internationale hotelketen met meer dan twintig hotels is het slachtoffer van een cyberaanval. Een reconstructie van een meer dan ingrijpende operatie.

Op alle beeldschermen in de hotelorganisatie popte het bericht op dat de cybercriminelen ‘binnen’ waren, er contact met de helpdesk gezocht moest worden en dat er een aanzienlijk bedrag aan Bitcoins overgemaakt diende te worden om weer toegang tot de eigen pc’s te krijgen. Want alle pc’s waren gegijzeld. ‘Ransomware’ zorgde ervoor dat alle pc’s versleuteld raakten, maar ook de servers kunnen gegijzeld zijn. “Dat weet je als hotelier op dat moment nog niet”, vertelt Brul. “Het eerste wat je moet doen is niet in paniek raken, vervolgens zet je alle toegangen tot het internet uit. Dat betekent dus dat je de hele organisatie voor een groot deel lam legt. In dit geval ging het om ruim twintig vestigingen verdeeld over zeven landen.”

Vleugellam

Pc’s uit, kassa’s uit, servers uit en werkstations uit. De organisatie moest vleugellam gemaakt worden om op een gedegen wijze te onderzoeken hoe en wanneer de criminelen waren binnengekomen en wat het plan van aanpak moest worden om de systemen weer schoon te vegen. “Wat je absoluut  niet moet doen, is zelf aan de slag gaan.”

Een cyberaanval is een misdaad en moet ook zo benaderd worden. Een forensisch team moet onderzoek doen, gedegen onderzoek. Dit team, een ‘Red-Team’ geheten, wordt aangewezen door de cybersecurity verzekeraar. Zij gaan aan de slag met twee vragen: wat is er allemaal geraakt? En hoe heeft dit kunnen gebeuren? “En in de tussentijd lag de organisatie nog altijd plat. Het is gewoon terug naar pen en papier. De schade voor de gehele organisatie liep in dit geval op tot 100.000 euro per dag.” Het Red-Team onderzoekt hoe de criminelen zijn binnengekomen en gaat aan de slag met de systemen. “Wij, als ICT-dienstverlener, onderzoeken de kwaliteit van de back-ups. Dat doen we overigens iedere dag, om te controleren of ze werken maar ook om te kijken of ze op een veilige plek staan. Ook de back-ups worden vaak door deze hackers beschadigd, Wij hebben daar echter een beveiliging voor.”

Waar de criminelen voornamelijk naar op zoek zijn is chantabele informatie. Dat kan informatie zijn over gasten. “Maar creditcardgegevens zijn als het goed is niet meer terug te vinden in de systemen. Verder richten ze zich op het PMS-systeem, maar ook op het online gedrag van de medewerkers. Welke websites zijn bezocht, welke filmpjes zijn bekeken… Dat soort informatie. Dat is chantabele informatie waarvan je als organisatie niet wil dat het op straat komt te liggen. De imagoschade die je oploopt op het moment dat naar buiten komt dat je digitaal kwetsbaar bent is immens.”

Communicatie

De criminelen zitten uiteraard niet stil op het moment dat het Red-Team aan de slag gaat. Zij zien die activiteit en handelen daarnaar. “Ze bellen op met de mededeling dat zij namens Microsoft hun diensten aanbieden en dat het zo vervelend is dat je organisatie is gehackt. Maar zij hebben de oplossing. Een ander advies is dan ook: vertrouw niemand en communiceer met je eigen mensen. Je bent als organisatie bijzonder kwetsbaar op het moment dat je aangevallen wordt. Er staat gewoon een leger voor je deur”, aldus Brul.

Om te voorkomen dat cybercriminelen binnen komen, is het verstandig om te weten hoe ze binnen kunnen komen. Dat kan op een aantal manieren. Via ‘phishing’, een update die niet of niet goed is uitgevoerd of een inbreuk in de softwaresystemen van het bedrijf via een medewerker die vanuit een privé laptop werkt en dus minder goed beveiligd is, wat veel tijdens de verschillende lockdowns gebeurde. “In het geval van deze casus, waarin ruim twintig hotels het slachtoffer werden, ging het om een niet goed uitgevoerde update. Het Red-Team kwam erachter dat in dit geval de criminelen al vier maanden binnen waren. Dat betekent dat alle back-ups die in de tussentijd zijn gemaakt, niet te vertrouwen zijn.”

Systemen werden gereset naar de laatste veilige status, of in het slechtste geval volledig vervangen. Vanaf dat nulpunt moest alle data onderzocht worden en op betrouwbaarheid en veiligheid worden getoetst. Monnikenwerk. Sjors Brul spreekt over ‘White Listing’; het één voor één goedkeuren van websites en systemen. “In het geval van deze zaak hebben we vier maanden in die ‘White Listing-modus’ gewerkt. Stap voor stap iedere website en iedere link als veilig bestempelen voordat deze weer gebruikt kon worden. We hadden het geluk dat deze hotelketen met het PMS-systeem in een hosted omgeving werkt en we vrij snel konden concluderen dat het PMS-systeem niet aangevallen en dus veilig was.”

Een geluk bij een ongeluk. Maar op het moment dat de eigen softwaresystemen weer veilig te gebruiken zijn, is het onontkoombaar dat er onderhandeld moet worden met de criminelen om de gestolen informatie ‘terug te kopen’. “Dat doet een ‘negotiator’ en na een akkoord heb je als hotelier natuurlijk nooit de volledige zekerheid dat de informatie niet op straat komt te liggen. Het blijven criminelen. Het beeld dat lange tijd heerste dat een hacker vanuit zijn zolderkamertje probeert in te breken, is allang niet meer de juiste. Het zijn professionele organisaties met meerdere afdelingen die precies weten wat ze moeten doen. Het is zaak om je als hotelier daar tegen te wapenen.”

Bewustzijn

Dat doe je volgens Brul allereerst door in de organisatie bewustzijn te creëren over de gevaren van cybercriminaliteit. “De hotellerie geeft daar steeds meer aandacht aan, maar het kan beter. Het gaat vaak mis in de onwetendheid. Wat doe je als je per ongeluk op een verdachte link hebt geklikt? Vaak zwijgen medewerkers daarover, ook uit schaamte. Hoe eerder er melding van wordt gedaan, hoe beter het kwaad bestreden kan worden. Het gevaar zit ‘m in de onzichtbaarheid, maar bij veel hotels staat de digitale deur op een kier of zelfs verder. Aan de oppervlakte is niets te zien, maar een aantal maanden later kunnen de gevolgen desastreus zijn.”

Checklist cyberaanval

Een cyberaanval op de hotelorganisatie is de uitkomst van vaak maandenlange voorbereiding van cybercriminelen. De criminelen maken hun eis kenbaar als ze voldoende gevoelige informatie hebben weten te verzamelen. Welke stappen dien je als hotelier te nemen als je wordt geconfronteerd met een cyberaanval?

  • Raak niet in paniek en ga niet zelf op onderzoek uit
  • Schakel de internetverbinding uit
  • Neem contact op met de cybersecurity verzekering
  • Laat forensisch onderzoek doen
  • Vertrouw niemand
  • Houd het team op de hoogte
  • Informeer de autoriteiten binnen de gestelde wettelijke termijn
  • Controleer back-ups
  • Maak inzichtelijk wanneer de criminelen in het systeem zijn gekomen
  • Wantrouw alle informatie die daarna in de systemen zit
  • Herstel de systemen
  • Neem corrigerende maatregelen, zodat de kans op een nieuwe aanval kleiner wordt.

Risico verkleinen

Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen

  • Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
  • Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
  • Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
  • Ga je online pas de ABC methode toe
    • A = alert blijven
    • B = bescherm jezelf
    • C = check altijd

Meer info over ABC en downloads

Bron: sbit-hospitality.com (Sjors Brul) / hospitality-management.nl | David Bakker

Meer actueel nieuws

Gedigitaliseerde oplichting / misdaad overzicht week 40-2020

Het melden van digitale oplichting pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?! of Fraudehelpdesk dan weten want Samen bestrijden we cybercrime. Liever anoniem? Klik dan hier.

Lees meer »

Cybercriminelen bekwamer en meedogenlozer

Microsoft heeft een nieuwe editie van haar beveiligingsrapport uitgegeven. Daarin staat het Amerikaanse hard- en softwarebedrijf uitgebreid stil bij de laatste ontwikkelingen op het gebied van malware en cybersecurity. Niet alleen neemt het aantal cyberaanvallen toe, tevens worden ze met de dag geavanceerder, zo valt er te lezen. Het toenemend aantal aanvallen is volgens Microsoft slechts gedeeltelijk toe te schrijven aan de wereldwijde coronapandemie.

Lees meer »

Dertien aanhoudingen door Cyberteam Antwerpen in een omvangrijke phishing zaak

Het cyberteam van politiezone Antwerpen heeft een phishingbende opgerold die op slechts enkele dagen tijd vele duizenden euro’s zou hebben afgetroggeld bij nietsvermoedende slachtoffers. Woensdagochtend zijn in opdracht van de onderzoeksrechter zestien huiszoekingen verricht in Antwerpen, Essen, Schelle en Sint-Jans-Molenbeek. Dertien verdachten zijn gearresteerd.

Lees meer »

"Gemeenten moeten regie voeren over hun cyber risico management"

Niet hackers, maar medewerkers zelf zijn veelal verantwoordelijk voor een cyberaanval bij een gemeente. Dan gaat het niet zozeer om een vergissing, maar om medewerkers met verhoogde toegangsrechten en kwade bedoelingen. Dit type cyberaanval is uiterst gevaarlijk, omdat het zeer moeilijk is om deze ontdekken en er iets aan te doen.

Lees meer »