Het verhaal van Benelux-afvalverwerker (anoniem: “Evergreen”) laat zien hoe in 2021 een ransomware-aanval tijdig werd gedetecteerd en geneutraliseerd voordat encryptie of datadiefstal kon plaatsvinden. De kernoperatie bleef draaien: inzameling, routeplanning en verwerking gingen door, maar in aangepaste vorm om stilstand te voorkomen. De aanpak en lessen zijn direct toepasbaar op organisaties die hun digitale weerbaarheid willen versterken. Wat maakte het verschil?
Van eerste signaal naar regie
Op 8 juni zag een externe IT-partner verdachte activiteit: een server was overgenomen; de aanvaller had beheerdersrechten en bewoog zich van systeem naar systeem. De externe leverancier rolde meteen extra beveiligingssoftware (Endpoint Detection & Response) uit om verdere stappen te blokkeren.
De timing was ongunstig: Evergreen zat midden in een overstap naar een securityprovider en had nog geen vaste crisishulp. Meerdere leveranciers werkten naast elkaar, maar centrale regie ontbrak. Op 11 juni adviseerde de verzekeraar aan Evergreen om Hunt & Hackett in te schakelen voor onderzoek en crisismanagement.
Eén plan, heldere aansturing
Op 12 juni nam Hunt & Hackett de leiding. Doel: één gezamenlijke aanpak en voorbereiding van een gecoördineerde “big bang”-actie om de aanvaller in één keer te verwijderen. Direct ingezet:
- In kaart brengen waar de aanvaller zit en waar hij bij kon.
- Continu, gezamenlijk monitoren op verdachte signalen, gericht op de bekende werkwijze van deze aanvaller.
- Interne doorgangen sluiten: netwerken scheiden, systemen strakker instellen, rechten beperken.
Gericht observeren, beheerst ingrijpen
Op 14 juni werd de aanvaller opnieuw actief en konden we live meekijken. Op advies van Hunt & Hackett koos Evergreen voor kort observeren in plaats van meteen grootschalig ingrijpen. Zolang er geen tekenen waren van datadiefstal of sabotage, was de situatie onder controle. Pogingen om nieuwe achterdeurtjes te plaatsen werden automatisch geblokkeerd. Dit gaf snel zicht op getroffen systemen en benodigde herstelacties.
Afpersingsmail zonder bewijs
Twee dagen later claimde iemand per e‑mail 500GB data te hebben buitgemaakt en eiste losgeld. Technisch onderzoek vond geen spoor van datadiefstal en er werd geen bewijs meegestuurd. Advies: niet reageren. Op basis van handelswijze en sporen concludeerde Hunt & Hackett met redelijke tot hoge zekerheid dat het ging om een groep die bekend staat om ransomware en “lekken en chanteren”, maar dat datadiefstal niet was gelukt. De strategie bleef ongewijzigd.
De gecoördineerde schoonmaak
Evergreen stelde de grote schoonmaak – het gelijktijdig uitloggen, blokkeren en herbeveiligen van alle kritieke systemen om de aanvaller buiten te sluiten – tijdelijk uit totdat security monitoring en aanvullende maatregelen volledig operationeel waren. Op 23 juni werd het plan getest; een dag later uitgevoerd, onder strakke regie van Hunt & Hackett. De dienstverlening van Evergreen bleef tijdens deze operatie doorlopen.
De dagen erna bleef de monitoring aangescherpt. Er werden geen nieuwe tekenen van aanwezigheid gevonden. Forensisch onderzoek wees op een netwerkdeel waar basismaatregelen ontbraken, zoals multi-factor-authenticatie. Door beperkte logretentie kon de precieze start van de inbraak niet worden vastgesteld. Op 30 juni droegen we de nazorg over en presenteerden we de uitkomsten van het digitaal forensisch onderzoek en een concreet verbeterplan om herhaling te voorkomen.
Wat maakte het verschil?
- Vroege signalering en direct handelen: een klein signaal serieus nemen voorkwam stilstand.
- Eén regisseur en heldere communicatie: centrale coördinatie, 24/7-bewaking, strak besluit- en stakeholdermanagement; geen contact met afpersers zonder noodzaak.
- Samenwerking als standaard: interne en externe partijen meenemen, met oog voor de menselijke kant.
- Risicogestuurd: eerst zicht en basis op orde, daarna de gecoördineerde ingreep met minimale impact op de operatie.
- Basismaatregelen op niveau: “deuren dicht, sleutels op orde” met segmentatie, firewalls en MFA.
Evergreen deed precies dat. In de twee jaar na het incident investeerden zij gericht in monitoring, segmentatie, procedures en training. Het verbeterprogramma bleef op de agenda van het leadershipteam. Resultaat: aantoonbaar veerkrachtiger en beter voorbereid op de volgende dreiging.
Wil je beter voorbereid zijn op een cyberincident? Download de invulbare Incident Response Playbook‑serie via huntandhackett.com/playbooks; de sjablonen voor rollen, beslisroutes, communicatie en checklists geven houvast bij het opstellen en oefenen van jouw incident responseplan.
