Ze noemen het ‘stoppen van het bloeden’: het essentiële venster om te voorkomen dat een hele database wordt geplunderd door criminelen of dat een productielijn tot stilstand komt.
Wanneer er een telefoontje binnenkomt bij cyberbeveiligingsbedrijf S-RM, met het hoofdkantoor in Whitechapel High Street in Oost-Londen, heeft een gehackt bedrijf of instelling mogelijk slechts enkele minuten om zichzelf te beschermen.
S-RM, dat een spraakmakende retailklant hielp herstellen een Scattered Spider-cyberaanval is een stil, vaak mond-tot-mondreclame, succes geworden.
Veel van de senior medewerkers van het bedrijf zijn meertalig en hebben een minimale online voetafdruk, waardoor spaarzame maar indrukwekkende cv’s worden onthuld die een carrière op het gebied van bedrijfs- of overheidsinformatie suggereren.
S-RM claimt nu het grootste responsteam voor cyberincidenten in Groot-Brittannië. De eerstehulpdienst bestaat uit ongeveer 150 experts wereldwijd. Het heeft klanten die het op zijn plaats houden, slachtoffers die zijn doorverwezen door verzekeringsmaatschappijen en ‘walk-ins’: mensen die plotseling beseffen dat hun bedrijf wordt aangevallen en de eerste paar resultaten op hun zoekmachines oproepen.
In het geval van het Scattered Spider-slachtoffer, waarvan de Guardian begrijpt dat het niet Marks & Spencer of de Co-op was – twee retailers die in 2025 het doelwit waren – werd een Teams-gesprek van 30 minuten met een retailer ‘een 24-uursgesprek met een wisselende groep experts’, zegt Ted Cowell, de directeur van de zakelijke afdeling van S-RM.
“Gemiddeld nemen we binnen zes minuten contact op met klanten. Dat is van cruciaal belang omdat de eerste uren van een cyberincident vaak de grootste kans bieden om de uitkomst van een zaak en de impact ervan te bepalen”, zegt hij. “Wat kan beginnen als een netwerkinbraak, kan zich vervolgens uitzaaien in een volledig malware- of ransomware-scenario.”
Cowell, een in Cambridge opgeleide Russischspreker, zegt dat het onder controle krijgen van de aanval tijdens een ‘verkenningsperiode’ tot een radicaal ander resultaat zou kunnen leiden dan een trage reactie. Criminelen hebben na hun eerste inbraak in de systemen van een bedrijf vaak tijd nodig om erachter te komen wat het meest waardevol is. Deze korte periode kan deskundigen dus in staat stellen de operationeel pijnlijkste aanvallen te voorkomen. ‘Exfiltratie’ – de diefstal van kritieke gegevens – en encryptie, waardoor bedrijven buitengesloten kunnen worden van hun eigen systemen, kunnen de meest schadelijke gevolgen hebben.
“Soms kunnen we voorkomen dat de groei een hoge vlucht neemt”, zegt Cowell. Teams concentreren zich op het “stoppen van het bloeden” door de toegang van de aanvaller tot systemen te beperken of af te sluiten. Dit is wat het team van S-RM kon doen met het slachtoffer van de verspreide spin: de ontploffing van malware op verschillende systemen stoppen.
De zaken gaan goed als de cybercriminaliteitsindustrie groeitmaar het brengt ethische uitdagingen met zich mee. S-RM en zijn sectorgenoten heeft kritiek gekregen om de betaling van losgeld aan criminelen die bedrijven kapen voor geld te vergemakkelijken.
“Chantageondersteuning” is een belangrijk onderdeel van het werk van S-RM. Dit betekent dat de specialisten van het bedrijf in de kamer zijn als er over losgeld wordt onderhandeld, en soms voeren zij zelf de onderhandelingen namens een cliënt. Cowell lijkt de kritiek op het voeden van de georganiseerde misdaad graag te willen vermijden door bedrijven te helpen bij het betalen van losgeld of door op te treden voor verzekeraars die polissen verkopen die de betaling van losgeld dekken.
“Wij worden geïnstrueerd door de verzekeringnemer, door de verzekerde”, zegt hij.
“Onze ambitie is om waar en wanneer mogelijk beslissingen te nemen over ‘geen betaling’’, vervolgt hij, eraan toevoegend dat bedrijven steeds vaker deze aanpak volgen en geen losgeld betalen.
“Onze rol is het faciliteren van strategisch denken”, zegt hij. “Geef klanten wat structuur om hun gedachten te ordenen. Ze hebben waarschijnlijk nog niet eerder in een situatie als deze gezeten.
“Bedrijven beslissen zelf wat ze doen. We bieden slechts het sjabloon voor een crisis, hoe de dingen uitpakken op basis van onze ervaring.
“Waarom zouden we deze criminelen moeten betalen?” is een uitdaging Cowell zegt dat zijn team toppersoneel levert bij de getroffen bedrijven. “Een van de dingen waar we besturen vaak over informeren, is dat ransomware een georganiseerde criminele onderneming is.”
Deze kwaadaardige groepen, zo legt hij uit, hebben “merken hoog te houden”. Gevestigde ransomwaregroepen zullen doorgaans een schikking honoreren. S-RM heeft ook een steeds gedetailleerder beeld van hoe deze groepen zich in eerdere onderhandelingen hebben gedragen.
Hoe meer gevestigd de groep is, hoe waarschijnlijker het is dat ze zich aan de overeengekomen schikking zullen houden, hetzij door gestolen gegevens te verwijderen, hetzij door sleutels te verstrekken om kritieke bestanden te ontsleutelen. S-RM biedt een who’s who van betrouwbaarheid, onderhandelingspatronen, gedrag, ja, zelfs sanctiekwesties.
Dit laatste is echter zelden van toepassing. Proberen sancties op te leggen aan staatsgroepen is een ‘meep-a-mole’-spel, zegt Cowell. Als zogenaamde ‘bedreigingsactoren’ op sanctielijsten verschijnen, hebben ze de neiging zich te ontbinden en in een nieuw jasje te hervormen. Het risico dat geld, zij het indirect, in handen komt van de vijand van de staat is daarom een extra overweging voor bedrijven die te maken krijgen met een cyberaanval.
Toch besluiten bedrijven soms om te betalen. Het kan rationeel zijn gezien de omstandigheden van hun bedrijf, en uiteindelijk “is het altijd hun beslissing”, zegt Cowell.
Naarmate de morele codes van bedrijven voor het betalen van losgeld volwassener worden en beslissingen om de georganiseerde misdaad niet te financieren steeds gebruikelijker worden, zijn herstel- en hersteldiensten een groter onderdeel geworden van de cyberbeveiligingsresponsmarkt. Het eenvoudigweg zo snel mogelijk weer operationeel krijgen van systemen is steeds vaker een prioriteit, waarbij de forensische analyse van hoe iemand in een systeem terecht is gekomen secundair wordt.
De afgelopen jaren is de rol van de Britse overheid op het gebied van cyberinlichtingen ook aanzienlijk veranderd. Het National Cyber Security Center “is de afgelopen vier tot vijf jaar enorm veranderd”, zegt Cowell. Het NCSC heeft zijn Scandinavische equivalenten ingehaald en neemt nu proactief contact op met slachtoffers en vertelt hen dat zij mogelijk het doelwit zijn op basis van inlichtingen.
“Het was meer een informatienemer”, zegt Cowell, die mensen als S-RM om informatie vraagt die ze graag willen verstrekken met toestemming van de klant.
“(Nu) spelen ze een robuustere rol, komen naar voren en brengen mensen bijeen het delen van informatie vergemakkelijken. We hebben de impact daarvan gezien bij de Scattered Spider-aanvallen”, voegt hij eraan toe.
