Een internationale hotelketen wordt slachtoffer van een cyberaanval

Gepubliceerd op 12 augustus 2022 om 07:00

Sjors Brul, oprichter en eigenaar van 'Sbit', is nog maar een aantal uren terug van vakantie als hij ’s avonds laat een dringend telefoontje krijgt. Een internationale hotelketen met meer dan twintig hotels is het slachtoffer van een cyberaanval. Een reconstructie van een meer dan ingrijpende operatie.

Op alle beeldschermen in de hotelorganisatie popte het bericht op dat de cybercriminelen ‘binnen’ waren, er contact met de helpdesk gezocht moest worden en dat er een aanzienlijk bedrag aan Bitcoins overgemaakt diende te worden om weer toegang tot de eigen pc’s te krijgen. Want alle pc’s waren gegijzeld. ‘Ransomware’ zorgde ervoor dat alle pc’s versleuteld raakten, maar ook de servers kunnen gegijzeld zijn. “Dat weet je als hotelier op dat moment nog niet”, vertelt Brul. “Het eerste wat je moet doen is niet in paniek raken, vervolgens zet je alle toegangen tot het internet uit. Dat betekent dus dat je de hele organisatie voor een groot deel lam legt. In dit geval ging het om ruim twintig vestigingen verdeeld over zeven landen.”

Vleugellam

Pc’s uit, kassa’s uit, servers uit en werkstations uit. De organisatie moest vleugellam gemaakt worden om op een gedegen wijze te onderzoeken hoe en wanneer de criminelen waren binnengekomen en wat het plan van aanpak moest worden om de systemen weer schoon te vegen. “Wat je absoluut  niet moet doen, is zelf aan de slag gaan.”

Een cyberaanval is een misdaad en moet ook zo benaderd worden. Een forensisch team moet onderzoek doen, gedegen onderzoek. Dit team, een ‘Red-Team’ geheten, wordt aangewezen door de cybersecurity verzekeraar. Zij gaan aan de slag met twee vragen: wat is er allemaal geraakt? En hoe heeft dit kunnen gebeuren? “En in de tussentijd lag de organisatie nog altijd plat. Het is gewoon terug naar pen en papier. De schade voor de gehele organisatie liep in dit geval op tot 100.000 euro per dag.” Het Red-Team onderzoekt hoe de criminelen zijn binnengekomen en gaat aan de slag met de systemen. “Wij, als ICT-dienstverlener, onderzoeken de kwaliteit van de back-ups. Dat doen we overigens iedere dag, om te controleren of ze werken maar ook om te kijken of ze op een veilige plek staan. Ook de back-ups worden vaak door deze hackers beschadigd, Wij hebben daar echter een beveiliging voor.”

Waar de criminelen voornamelijk naar op zoek zijn is chantabele informatie. Dat kan informatie zijn over gasten. “Maar creditcardgegevens zijn als het goed is niet meer terug te vinden in de systemen. Verder richten ze zich op het PMS-systeem, maar ook op het online gedrag van de medewerkers. Welke websites zijn bezocht, welke filmpjes zijn bekeken… Dat soort informatie. Dat is chantabele informatie waarvan je als organisatie niet wil dat het op straat komt te liggen. De imagoschade die je oploopt op het moment dat naar buiten komt dat je digitaal kwetsbaar bent is immens.”

Communicatie

De criminelen zitten uiteraard niet stil op het moment dat het Red-Team aan de slag gaat. Zij zien die activiteit en handelen daarnaar. “Ze bellen op met de mededeling dat zij namens Microsoft hun diensten aanbieden en dat het zo vervelend is dat je organisatie is gehackt. Maar zij hebben de oplossing. Een ander advies is dan ook: vertrouw niemand en communiceer met je eigen mensen. Je bent als organisatie bijzonder kwetsbaar op het moment dat je aangevallen wordt. Er staat gewoon een leger voor je deur”, aldus Brul.

Om te voorkomen dat cybercriminelen binnen komen, is het verstandig om te weten hoe ze binnen kunnen komen. Dat kan op een aantal manieren. Via ‘phishing’, een update die niet of niet goed is uitgevoerd of een inbreuk in de softwaresystemen van het bedrijf via een medewerker die vanuit een privé laptop werkt en dus minder goed beveiligd is, wat veel tijdens de verschillende lockdowns gebeurde. “In het geval van deze casus, waarin ruim twintig hotels het slachtoffer werden, ging het om een niet goed uitgevoerde update. Het Red-Team kwam erachter dat in dit geval de criminelen al vier maanden binnen waren. Dat betekent dat alle back-ups die in de tussentijd zijn gemaakt, niet te vertrouwen zijn.”

Systemen werden gereset naar de laatste veilige status, of in het slechtste geval volledig vervangen. Vanaf dat nulpunt moest alle data onderzocht worden en op betrouwbaarheid en veiligheid worden getoetst. Monnikenwerk. Sjors Brul spreekt over ‘White Listing’; het één voor één goedkeuren van websites en systemen. “In het geval van deze zaak hebben we vier maanden in die ‘White Listing-modus’ gewerkt. Stap voor stap iedere website en iedere link als veilig bestempelen voordat deze weer gebruikt kon worden. We hadden het geluk dat deze hotelketen met het PMS-systeem in een hosted omgeving werkt en we vrij snel konden concluderen dat het PMS-systeem niet aangevallen en dus veilig was.”

Een geluk bij een ongeluk. Maar op het moment dat de eigen softwaresystemen weer veilig te gebruiken zijn, is het onontkoombaar dat er onderhandeld moet worden met de criminelen om de gestolen informatie ‘terug te kopen’. “Dat doet een ‘negotiator’ en na een akkoord heb je als hotelier natuurlijk nooit de volledige zekerheid dat de informatie niet op straat komt te liggen. Het blijven criminelen. Het beeld dat lange tijd heerste dat een hacker vanuit zijn zolderkamertje probeert in te breken, is allang niet meer de juiste. Het zijn professionele organisaties met meerdere afdelingen die precies weten wat ze moeten doen. Het is zaak om je als hotelier daar tegen te wapenen.”

Bewustzijn

Dat doe je volgens Brul allereerst door in de organisatie bewustzijn te creëren over de gevaren van cybercriminaliteit. “De hotellerie geeft daar steeds meer aandacht aan, maar het kan beter. Het gaat vaak mis in de onwetendheid. Wat doe je als je per ongeluk op een verdachte link hebt geklikt? Vaak zwijgen medewerkers daarover, ook uit schaamte. Hoe eerder er melding van wordt gedaan, hoe beter het kwaad bestreden kan worden. Het gevaar zit ‘m in de onzichtbaarheid, maar bij veel hotels staat de digitale deur op een kier of zelfs verder. Aan de oppervlakte is niets te zien, maar een aantal maanden later kunnen de gevolgen desastreus zijn.”

Checklist cyberaanval

Een cyberaanval op de hotelorganisatie is de uitkomst van vaak maandenlange voorbereiding van cybercriminelen. De criminelen maken hun eis kenbaar als ze voldoende gevoelige informatie hebben weten te verzamelen. Welke stappen dien je als hotelier te nemen als je wordt geconfronteerd met een cyberaanval?

  • Raak niet in paniek en ga niet zelf op onderzoek uit
  • Schakel de internetverbinding uit
  • Neem contact op met de cybersecurity verzekering
  • Laat forensisch onderzoek doen
  • Vertrouw niemand
  • Houd het team op de hoogte
  • Informeer de autoriteiten binnen de gestelde wettelijke termijn
  • Controleer back-ups
  • Maak inzichtelijk wanneer de criminelen in het systeem zijn gekomen
  • Wantrouw alle informatie die daarna in de systemen zit
  • Herstel de systemen
  • Neem corrigerende maatregelen, zodat de kans op een nieuwe aanval kleiner wordt.

Risico verkleinen

Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen

  • Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
  • Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
  • Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
  • Ga je online pas de ABC methode toe
    • A = alert blijven
    • B = bescherm jezelf
    • C = check altijd

Meer info over ABC en downloads

Bron: sbit-hospitality.com (Sjors Brul) / hospitality-management.nl | David Bakker

Meer actueel nieuws

Het darkweb "De verborgen kant van het internet"

Het internet heeft alles veranderd, van de manier hoe we werken en de manier hoe we gamen tot de manier hoe we leven. Het lijkt erop dat er een plekje is op internet voor iedereen ondanks welke interesses je hebt, ondanks wat je overtuigingen zijn, is er iemand of iets daarbuiten dat op dezelfde manier denkt als jij. Het internet heeft ons verbonden op manieren die we nooit eerder hadden gedacht, het is een plek waar iedereen van waar dan ook ter wereld kan samenkomen, er zijn zoveel dingen op internet waarvan de meeste niet eens weten dat ze bestaan. Er is van alles of het nu een dienst of product is, legaal of illegaal immoreel of onethisch het internet heeft het. U kunt kiezen of u het gebruikt voor voor goede dingen of in slechte dingen, net zoals het internet dat we allemaal gebruiken  elke dag.

Lees meer »

Hacker Snapchat-accounts aangehouden

Woensdag 27 mei hebben rechercheurs van het Cybercrimeteam in Noord-Holland onder leiding van de officier van justitie een 18-jarige inwoner van Vlaardingen aangehouden op verdenking van phishing, het hacken van Snapchat-accounts en sextortion, een vorm van afpersing. De verdachte is woensdag ingesloten voor verder onderzoek en wordt vrijdag voorgeleid voor de rechter-commissaris.

Lees meer »

Land- en tuinbouwwinkels AVEVE slachtoffer van cyberaanval

In Belgie is AVEVE het slachtoffer geworden van een grote cyberaanval. Met kwaadaardige software werd het netwerk van de land- en tuinbouwwinkels onder vuur genomen. Een klein aantal van de 250 winkels in ons land moet daarom tijdelijk de deuren sluiten omdat betalen met VISA of bancontact er niet mogelijk is. “De overgrote meerderheid van de winkels is wel gewoon open”, benadrukt woordvoerder Stéphanie Deleul.

Lees meer »

Beveiligingslek Android: negen op de tien toestellen kwetsbaar

Uit onderzoek van Promon en Google blijkt dat alleen apparaten met Android 10 beschermd zijn tegen het StrandHogg 2.0-lek. Versie Android 9.0 (Pie) en ouder zijn wel kwetsbaar. Meer dan negentig procent van de Android-toestellen draait versie 9.0 of ouder, aldus Google. Negen op de tien toestellen is dus kwetsbaar voor dit lek.

Lees meer »

"Iedereen was betrokken, maar niemand verantwoordelijk"

In zelden aangedurfde openheid deelt Lochem haar ervaringen met een indringer die vorig jaar maandenlang het computernetwerk onveilig maakte, en vooral de daaruit getrokken lering. Want, vindt Sebastiaan van ‘t Erve, de burgemeester van de Achterhoekse gemeente, aan beveiligingsbewustzijn bestaat bij bestuurders een gevaarlijk tekort. “Iedereen was betrokken, maar niemand verantwoordelijk.”

Lees meer »