De dag dat alles op zwart ging

Het is 09:12 als de eerste melding binnenkomt. Geen rustig “mijn mail doet het niet”, maar een screenshot van een rood scherm: honderden bestanden met de extensie .LOCKED_BY_PHOENIX en een tekstbestand met de naam READ_ME_NOW.txt op het bureaublad van een applicatieserver.

Ik open het tekstbestand. Mijn ogen glijden over korte, zakelijke zinnen:

“Uw bestanden zijn versleuteld. Betaal 50 BTC binnen 7 dagen of al uw data wordt gepubliceerd en de sleutel vernietigd. Contact: phoenixnegotiator@protonmail.com. Voeg bij uw bericht dit ID toe: ORG-982-XX.”

Mijn maag draait om. Dit is geen storing. Dit is ransomware. En meteen weet ik dat we een paar cruciale beslissingen moeten nemen, en snel.

09:20 uur – isoleren en verzamelen

“Netwerk offline. Segmenten isoleren.” Het klinkt simpel, maar de uitvoering is chaotisch. IT Operations zet fysieke switches uit, sluit VPN-terminaties af en blokkeert uitgaand verkeer naar verdachte IP’s. We halen de externe verbindingen van twee datacenters hardhandig van het internet. Pijnlijk, want klanten gebruiken die om te koppelen.

Tegelijkertijd start ik de call voor het crisisteam. Binnen een half uur zitten er tien mensen in een vergaderruimte: CISO, IT Operations Manager, Application Support, Legal, Communicatie, HR, de hoofd Vendor Management en ikzelf. Er hangt een geladen stilte. Iedereen wacht op mij.

Ik begin: “Stap één: we isoleren. Stap twee: we leggen alles forensisch vast. Geen herstarts, geen logs wissen. Stap drie: we bellen de verzekeraar en de politie.”

De forensische specialist die we bereiken benadrukt meteen: maak images van geïnfecteerde machines, exporteer event logs, bewaar alle tijdstempels en bovenal: voorkom dat iemand een backup terugzet zonder die eerst te scannen.

10:40 uur – de omvang wordt duidelijk

Binnen enkele uren krijgen we meer inzicht. De aanval lijkt gestart via een gehackte remote desktop endpoint van een leverancier: een oud, niet-gepatcht toegangspunt. De aanvallers hebben zich lateraal verplaatst naar meerdere servers, waaronder twee applicatieservers en één load balancer.

Cruciaal: onze database-servers lijken onbeschadigd. Ze stonden in een apart VLAN met strengere toegangsregels. Dat is een geluk bij een ongeluk. Maar we mogen niet verslappen: de aanval kan ook nog verborgen triggers bevatten.

Op een scherm zie ik een lijst met gecodeerde bestanden: invoice_2024_12_03.pdf.LOCKED_BY_PHOENIX.

Finance is in paniek. “Kunnen we betalingsbewijzen van vorig kwartaal nog terughalen?” vraagt de manager, zichtbaar bezorgd.

Het dilemma: betalen of niet?

Dan komt de onvermijdelijke vraag: betalen we losgeld of niet?

Legal zet de dilemma’s op een rij:

Als we betalen, bevorderen we crimineel gedrag en hebben we geen garantie dat de decryptor werkt of dat data niet alsnog gelekt wordt.

Verzekeraar: de polis vermeldt voorwaarden; zij eisen dat we eerst herstelopties onderzoeken.

GDPR: als persoonsgegevens geraakt zijn, moeten we de Autoriteit Persoonsgegevens informeren.

Juridisch risico: als de aanvallers op een sanctielijst staan, maken we ons schuldig aan strafbare feiten.

De CISO en Legal adviseren: “Betaal alleen als echt alle andere opties zijn uitgeput, en nooit direct. Altijd via een geautoriseerde onderhandelaar en in overleg met politie.”

De CEO kijkt me aan. Zijn blik is veelzeggend: “Zeg me wat ik moet doen.” Ik voel de totale verantwoordelijkheid. Als CIO moet ik nu niet alleen technisch, maar ook moreel en strategisch leidinggeven.

14:00 uur – tactische keuzes

We besluiten niet meteen te betalen. Niet omdat principes belangrijker zijn dan continuïteit, maar omdat er een alternatief is: onze back-ups en een gecontroleerde rebuild.

De aanpak:

Forensisch veiligstellen: images van geïnfecteerde systemen, hashes van malware-samples, export van AD- en firewall-logs.

Backup-validatie: onze offsite en air-gapped back-ups worden in een gescheiden lab getest. We zoeken naar aanwijzingen dat de ransomware al in de backup zat.

Rebuild-plan: volledige herbouw in een gescheiden omgeving, met golden images en strengere configuraties. Pas na integriteitscontroles worden systemen in productie gezet.

Credential reset: alle service- en admin-accounts worden gereset, MFA verplicht gesteld.

Communicatie: we kiezen voor transparantie. Klanten en medewerkers krijgen updates: “Uw data is veilig, we werken dag en nacht aan herstel.”

Afstemming met derden: verzekeraar, NCSC en politie worden volledig op de hoogte gehouden.

Iedereen loopt op adrenaline

De eerste 48 uur zijn intens. Iedereen loopt op adrenaline. Telefoontjes van leveranciers, vragen van klanten, media die beginnen te bellen. Ondertussen proberen we intern de rust te bewaren: managers krijgen vaste updates, klantcontactcentra scripts om vragen te beantwoorden.

Een HR-collega vraagt bezorgd: “Kunnen we straks nog salaris uitbetalen?” Mijn partner appt: “Gaat dit je baan kosten?” Het raakt me. Als CIO weet ik dat leiders vaak afgerekend worden op incidenten die buiten hun macht liggen. Toch laat ik dat niet zien. Mijn team moet een leider zien die koersvast blijft.

72 uur – eerste herstel

De labtesten geven eindelijk hoop. De back-ups zijn schoon: de laatste snapshot is van twee dagen voor de aanval. We starten gefaseerd herstel in een aparte omgeving:

Eerst de kernsystemen (authenticatie en AD).

Dan de bedrijfsapplicaties: Finance, HR, CRM.

Bij elke stap voeren we integriteitscontroles uit.

Een complicatie: sommige oude serviceaccounts komen met de back-up mee terug. Mogelijk gecompromitteerd. IT ontwikkelt een script om ze automatisch te blokkeren en gefaseerd opnieuw in te stellen.

De verleiding van losgeld

Ondertussen bieden externe partijen aan om namens ons te onderhandelen. Zij schetsen statistieken: vaak werkt een decryptor, soms niet, en regelmatig wordt data alsnog gelekt.

De CEO vraagt: “Als betalen sneller herstel betekent, moeten we het dan toch doen?”
Ik antwoord: betalen lijkt verleidelijk, maar brengt enorme risico’s mee. We hebben een pad zonder losgeld. We kiezen die weg.

Dag 8 – systemen weer online

Na acht dagen zijn de belangrijkste systemen weer veilig online. Klantenportals functioneren, facturatie draait, interne processen komen op gang.

De opluchting is groot. Er waren verliezen: productiviteitsverlies, extra kosten, stress, maar we hebben geen losgeld betaald en geen aanwijzingen dat data is gelekt.

De nasleep

We schrijven een volledig incident report: oorzaak, tijdlijn, beslissingen, technische details, verbeterpunten. Dit delen we deels met de NCSC en leveranciers, zodat ook zij ervan leren.

De verbeteringen die we doorvoeren:

Immutable, air-gapped back-ups met regelmatige hersteltests.

Zero Trust-architectuur met segmentatie en least privilege.

Strenger patchmanagement: kritieke endpoints binnen 48 uur gepatcht.

Incident response-oefeningen met bestuur, IT en communicatie.

Communicatie-templates en een duidelijke besluitmatrix.

Strengere leverancierstoegang via bastions met MFA.

Psychologische ondersteuning voor medewerkers die zwaar onder druk stonden.

We hebben het overleefd

Dit incident heeft me getest als CIO. De vraag “Gaat dit mijn carrière kosten?” speelde op de achtergrond in mijn hoofd. Maar belangrijker was de overtuiging dat leiderschap betekent: kalm blijven, transparant communiceren en beslissingen nemen ondanks onzekerheid.

Op de laatste dag van het herstel loop ik door het kantoor. Mensen werken weer, lachen moe, en één medewerker zegt: “We hebben het overleefd, hè.” Ik knik. Niet alleen overleefd. We zijn sterker geworden.

Hoe bereid jij je voor?

Dit verhaal was fictief, maar gebaseerd op realistische scenario’s. Het geeft een indruk van hoe een ransomware-aanval in de praktijk kan verlopen en welke dilemma’s en beslissingen daarbij komen kijken.

Bij PQR helpen wij organisaties om zich hierop voor te bereiden. Door middel van simulaties, crisisoefeningen en advies zorgen we dat bestuur, IT en communicatie beter weten wat te doen bij een aanval. Ook staan wij klaar om te ondersteunen bij herstel na een incident.

Wil je weten hoe weerbaar jouw organisatie is? Neem contact met ons op. We helpen je graag verder.

Lees ook: Zeven misverstanden over ransomware-onderhandelingen

Blijf op de hoogte, abonneer!

De dag dat alles op zwart ging

Een ransomware-aanval, door de ogen van een CIO van een middelgrote Nederlandse organisatie

Laptop opladen met een powerbank: hier moet je op letten

Nieuw raamwerk maakt cyberweerbaarheid organisaties inzichtelijk

Vijftig jaar security by design: waarom lukt het niet?

De dag dat alles op zwart ging

Slack is evolving into a work operating system

How VMware VCF 9 and Tanzu simplify enterprise automation

Nutanix CTO explains their VMware alternative and multi-cloud strategy

Is ServiceNow competing with Salesforce? We talk to Amit Zavery

De dag dat alles op zwart ging

MFA faalt vaker dan verwacht: tijd voor wachtwoordloze security

Bedrijfswaardering voor IT-bedrijven: deze factoren zijn cruciaal

Quantum computing en cybersecurity: dit moet je weten als CIO

Innovation Week 2025

The Next Chapter in Cybersecurity with Imperva + Thales

Luxembourg Venture Days

Dell Technologies Forum

BrickCon The Databricks Community Conference

Appdevcon

Ontgrendel het volledige potentieel van je SAP-omgeving

Hoffmann Tips Special – Cybersecurity Risk management

Een cloudstrategie is essentieel voor het succes van uw bedrijf

Is Your Environment Adaptive Enough for Zero Trust?