HELP! We zijn gehacked

Het is maandag 7 december half tien in de ochtend. Mijn computer meldt dat ik een nieuw incident heb bij een klant. Meestal is het rond die tijd een gebruiker die zijn wachtwoord vergeten is en zijn account heeft moeten laten ontgrendelen door een service-desk medewerker.

De koffie schoot mijn verkeerde keelgat in toen ik zag dat het om iets heel anders ging… “ATTACKER BEHAVIOR DETECTED” gaf mijn scherm met grote rode letters weer. Volgens het systeem werd er door een gebruiker een kwaadaardig proces gestart op een systeem. Wat opmerkelijk was, was dat dat op een systeem is waar deze gebruiker normaal gesproken niet op werkt. Het systeem had een vingerprint gevonden van een programma dat bekend staat als ‘slecht nieuws’. De technische term voor de malware is Qakbot.

Wat is er gebeurd? De gebruiker kreeg een email met als onderwerp “complaints” binnen. De email had een bijlage in de vorm van een ZIP-bestandje. Aangezien de gebruiker geen kwaad vermoedde maar zeker geen klachten wil, heeft de gebruiker goedheidsgetrouw het ZIP-bestandje geopend. Daar bleek een Excel-bestand in te zitten. Die werd uiteraard ook geopend. Dat Excel-bestand bleek een aantal macro’s te bevatten, waar Microsoft netjes voor waarschuwde. De gebruiker wilde echter erg graag weten wat de klachten precies zijn en activeerde de macro’s. Op dat moment werd de gebruiker uitgenodigd nogmaals in te loggen op Windows 10. Dat is vreemd, aangezien de gebruiker op een terminal server werkte en dus niet op Windows 10. Wederom had de gebruiker geen benul en vulde de gegevens in. Ondertussen werd op de achtergrond geprobeerd om een kopie te maken van de Outlook-gegevens, maar tevergeefs. Tenslotte werd het gateway-certificaat gedownload. Dat is een certificaat wat de terminal server controleert tijdens het aanmelden.

De hacker had nu toegang tot het systeem van de klant, zonder dat dat zou opvallen. Aangezien wij de beveiliging van de computers niet in beheer hebben, was het een geluk bij een ongeluk, dat onze monitoring omgeving de vingerprint bemerkte. Anders had de hacker onopgemerkt gebleven.

De les voor de gebruiker is wel duidelijk: controleer heel goed wie de afzender is alvorens bijlagen te openen. Een Excel file wordt doorgaans niet ingepakt tot ZIP-bestand, dus als dat in de mailbox terecht komt, is dat een moment om even de wenkbrauwen op te trekken. Als Microsoft bij het openen van een Word, Excel of PowerPoint document waarschuwt dat er Macro’s actief zijn, volg dan de aanbeveling van Microsoft op en activeer de Macro’s NIET.

Inmiddels hebben wij bij de klant een nieuw beveiligingssysteem voor de computers geïnstalleerd. Dat systeem kijkt niet alleen naar de vingerprints, maar ook naar gedrag van systemen. Met behulp van Artificial Intelligence en Machine Learning kunnen we nu veel betere detecties doen en dergelijke situaties al in de kiem smoren vóórdat de hacker toegang krijgt tot gebruikersinformatie.

Wilt u ook aantoonbaar grip hebben op uw informatiebeveiliging, neemt u dan gerust contact met ons op.