Website multinational gehackt

Een grote multinational heeft ongeveer 3.500 websites draaien voor grote en kleine campagnes, voor producten, voor evenementen, kortom voor de hele bedrijfsvoering. Plotseling blijkt dat onderaan alle pagina’s een verwijzing staat naar een erotische website. Totaal ongewenst, dit moeten hackers zijn geweest. De websites worden allemaal offline gebracht, de schade bedraagt dagelijks miljoenen dollars.

Digital Investigation wordt vrijdagnacht om 01:42u gebeld, zaterdagmiddag om 15:00u zijn de cyber crime specialisten van Digital Investigation op drie locaties in drie verschillende landen om bewijsmateriaal te verzamelen, onderzoek te doen en steun te bieden aan de ICT en de security afdeling in hun werk om de bedrijfsprocessen zo spoedig mogelijk te herstellen. Na verificatie van het incident blijkt het zo te zijn dat de hackers al maanden binnen waren via verschillende zwakke plekken in de beveiliging. Het eerste advies is dan ook om zo snel mogelijk enkele wijzigingen door te voeren in de ICT infrastructuur en onderdelen van enkele applicaties. Verschillende teams van de opdrachtgever zorgen ervoor dat binnen 14 uur deze zwakke plekken zijn verbeterd. Op basis van de logbestanden kan binnen enkele uren worden vastgesteld dat er in elk geval 88 servers zijn bezocht door de hackers. Na het veiligstellen van enkele van de 102 servers blijkt dat er een patroon in zit en controle wijst uit dat de eerste conclusies kloppen. Er zijn vijf verschillende Trojans geïnstalleerd, elke keer met wisselende naamgeving en locaties maar wel met dezelfde kenmerken (hashwaarden) waardoor ze snel en effectief opgespoord kunnen worden met behulp van de tools die Digital Investigation mee heeft gebracht. Na twee dagen onderzoek en verbeteren is duidelijk dat de infrastructuur weer volledig onder controle is en het sein “veilig” kan worden afgegeven, de opdrachtgever is “back in business”. Diepgaande analyse van het verkregen bewijsmateriaal wijst uit dat er geen rootkits of andere meer complexe malware geïnstalleerd is en dat de opdrachtgever vooral slachtoffer is geweest van een enkele publicatie over hun websites met daarbij een uitleg van hoe ze te kraken zouden moeten zijn. Met een heldere rapportage waarin personele, organisatorische, technische en procesmatige verbetervoorstellen worden gedaan wordt dit project afgesloten.

Wilt u meer informatie over Incident Response, klik dan onderstaande link om onze brochure over  incident response en het incident response plan te downloaden.

Klik op deze link om het document te downloaden.

Comments are closed.