Volvo-dealer uit Noord-Holland wordt slachtoffer van ransomware-aanval

Op een woensdagochtend in februari starten medewerkers van de Volvo-dealer Ton van Kuyk in Alkmaar hun computer op. Lichte paniek breekt uit als verschillende programma's en documenten niet blijken te starten. Financieel directeur Jack Ros heeft het moment op z'n netvlies gebrand: "We konden opeens nergens meer in. Op elke pc stond een tekstbestand met de boodschap: 'Wij hebben jullie gehackt. Als jullie betalen, kunnen jullie de gegevens ontgrendelen.'"

Leasebedrijf

Ook bij de andere vestigingen van de Volvo-dealer is het die ochtend raak. Ook bij het leasebedrijf en de occasiondealer met werkplaats. De Ton van Kuyk-groep heeft in totaal zo’n 95 mensen in dienst. Jack: “Wij dachten: waarom moeten ze ons nou hebben? Wij zijn relatief maar een klein bedrijf, wat valt er bij ons nou te halen? Maar dat maakt cybercriminelen kennelijk niks uit.”

Bitcoins

De Volvo-dealer schakelt gelijk de hulp in van de vaste IT-dienstverlener. Als eerste stap worden de systemen afgesloten en losgekoppeld van het netwerk. Jack: “We wilden goed zicht krijgen op wat er gebeurd was en wat we moesten doen. Het advies was om niet in te gaan op de eis van de hackers. Ik geloof dat ze iets van 300.000 dollars in Bitcoins wilden hebben. We hebben nog even overwogen om in onderhandeling te gaan, maar we konden een groot deel van onze systemen goed herstellen.”

Tellertje

Een goed back-up plan was de redding. Althans, dat gold voor de systemen van de Volvo-dealers. “Die back-ups stonden in een geïsoleerde omgeving,” vertelt Jack. “De back-ups van onze andere onderdelen - het leasebedrijf en de occasiondealer met werkplaats - helaas niet en waren voor een deel besmet.” Toch lukt het IT-experts om de back-ups grotendeels te herstellen en terug te plaatsen. “In de tussentijd liep er een tellertje af op de website van de cybercriminelen, de groepering LockBit. Het gekke is, nadat die teller afliep, gebeurde er niets. Misschien waren we niet interessant.”

Bierviltje

Pas vier dagen na de ransomware-aanval, op zaterdagochtend, kunnen de eerste collega’s weer aan het werk. “In de tussenliggende dagen konden we vrijwel niks,” zegt Jack. “Maar onze werknemers hebben zoveel mogelijk doorgewerkt. Met handen en voeten kom je een heel eind. Een auto verkopen kun je bij wijze van spreken ook op de achterkant van een bierviltje. En we konden in de werkplaats op een bepaalde manier nog door met reparaties. Alleen in moderne auto’s moeten ook software-updates uitgevoerd worden. We vroegen de mensen om daar later voor terug te komen.”

Identiteitsbewijzen

Nadat er meer duidelijkheid is over de situatie, informeert de Volvo-dealer de klanten via de website en e-mail. “We hebben het niet gelijk aan de grote klok gehangen, we wilden geen onrust creëren. We hebben ook melding gemaakt van een datalek bij de Autoriteit Persoonsgegevens. We ontdekten dat er van een paar klanten misschien kopieën van identiteitsbewijzen waren buitgemaakt. Die mensen hebben we nieuwe identiteitsbewijzen aangeboden. Een enkeling heeft daar gebruik van gemaakt.”

Tweefactorauthenticatie

Al met al is de Volvo-dealer er goed vanaf gekomen, denkt Jack. “Ik denk dat alle Volvo-dealers in Nederland zijn wakker geworden. Er zijn veel verbeteringen doorgevoerd om onze systemen beter te beveiligen.” Een voorbeeld daarvan is tweefactorauthenticatie. “We weten 99% zeker dat de hackers zijn binnengekomen via de thuiswerkomgeving. Het adminaccount had een heel zwak wachtwoord.” Ook is er een beveiligingsdienst ingeschakeld, zij scannen de systemen op verdachte inlogpogingen.

Openheid

“Denk vooral niet dat cybercriminelen jou overslaan”, waarschuwt Jack andere ondernemers. “Zorg dat je beveiliging op orde is en schakel daar deskundige mensen voor in. Denk vooral niet dat je het zelf wel even kan.” En als het je dan toch overkomt, speel open kaart: “We hebben geprobeerd ons zoveel mogelijk aan de wet te houden. We hebben aangifte gedaan bij de politie en iedereen geïnformeerd. Ja, je krijgt wat bozige mailtjes terug van bezorgde klanten, maar ook veel dank voor de openheid.”

We hebben nog even overwogen om in onderhandeling te gaan, maar we konden een groot deel van onze systemen goed herstellen.

Lessen van Jack Ros:

  • Zorg dat je je back-ups op orde hebt en dat deze op een veilige, geïsoleerde omgeving en op meerdere locaties staan.
  • Zorg dat je beveiliging op orde is. Maak bijvoorbeeld gebruik van tweefactorauthenticatie en schakel de hulp in van professionele IT-beveiligingsbedrijven.
  • Doe altijd aangifte van een hack bij de politie en meld een datalek bij de Autoriteit Persoonsgegevens.
  • Als het je toch overkomt: betaal niet en communiceer met je stakeholders over wat er gebeurd is en wat de mogelijke gevolgen zijn. Denk mee over oplossingen, bijvoorbeeld het aanbieden van nieuwe identiteitsbewijzen.

Heb jij de cybersubsidie al aangevraagd?

Schakel de hulp in van een IT-dienstverlener en zorg ervoor dat je bedrijf goed voorbereid is. Via Mijn Cyberweerbare Zaak kun je nu tijdelijk tot 50% subsidie ontvangen voor het laten instellen en testen van back-ups, MFA en andere cybermaatregelen. 

Ondernemend Nederland vertelt

Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?

Adviesbureau slachtoffer van identiteitsfraude

Edwin de Ruijter ontdekte dat de goede naam van zijn adviesbedrijf werd misbruikt om mensen op te lichten. Edwin wil graag de gedupeerde klanten helpen, maar is machteloos.

Vaccinproducent slachtoffer van cyberaanval

Bilthoven Biologicals produceert jaarlijks miljoenen doses poliovaccins. Maar de productie kwam bijna tot stilstand toen het bedrijf in september 2022 slachtoffer werd van een ransomware-aanval.

Zo kwam Giro555 in actie tegen nepmails

Cybercriminelen maken geen onderscheid. Dat ondervond de Stichting Samenwerkende Hulporganisaties (SHO) - beter bekend als Giro555 - vlak na de start van hun inzamelingsactie voor de mensen in Oekraïne.

Heb jij jouw back-ups op orde?

Lees meer over het maken van goede back-ups. Hiermee kun je je bestanden redden als je te maken krijgt met een cyberaanval.