Dit is een echt incident dat Eye Security onderzocht bij Move Intermodal. De gebeurtenissen, technieken en lessen komen rechtstreeks uit onze ervaring en worden gedeeld met toestemming van Move Intermodal.
Move Intermodal, gevestigd in Genk, is een toonaangevend Europees intermodaal logistiek bedrijf dat dagelijks duizenden zendingen over weg, spoor en water laat bewegen. CIO Tomas Tempelaars leidt een IT-organisatie waar timing en continuïteit cruciaal zijn. Zeker wanneer vracht exact op tijd geleverd moet worden.
Het telefoontje dat alles veranderde
Het was vrijdagochtend, nog voor zonsopgang. Tomas zat vijf minuten in de auto toen zijn telefoon ging. “Er zijn een paar nummers waarvan ik weet: als ze voor half negen bellen, is er iets mis,” zegt hij. Hun managed service provider had al eerste maatregelen genomen. Tegen de tijd dat Tomas op kantoor was, liep de analyse. Voor tien uur concludeerde de IT-partner dat dit groter was dan zij aankonden.
“De MSP reageerde snel en zette direct de eerste systemen apart,” vertelt Tomas. “Maar ze zagen ook dat dit geen standaardmelding was. Daarom belden ze Eye Security, met wie we al eerder hadden samengewerkt. Binnen anderhalf uur zaten we met alle juiste mensen in een gezamenlijke intake. Dat gaf ons het vertrouwen dat de situatie in goede handen was.”
De aanleiding voor de escalatie: verdachte signalen van de nacht ervoor. Endpoint detection had afwijkend gedrag gezien: pogingen om wachtwoorden buit te maken, bestanden die werden klaargezet voor exfiltratie en ongebruikelijke beheerdersverbindingen. Het snelle ingrijpen van de MSP had de schade beperkt, maar het diepere toegangspunt was nog onbekend. Alles wees op het bekende double extortion-scenario: data was al buitgemaakt, ransomware stond klaar als volgende stap.
Indammen en uitschakelen
Bij Move Intermodal gold één principe: ga uit van een breach. Niet óf, maar wanneer. Aanvallers hadden al accounts aangemaakt in de Veeam-back-upomgeving. De volgende stap zou zijn: back-ups uitschakelen en ransomware activeren.
“Continuïteit gaat altijd voor,” zegt Tomas. “We zagen dat de kernservers nog draaiden, maar schakelden direct over op maximale containment om het probleem zo klein mogelijk te houden.”
Bas van den Berg, Principal Cyber Security Expert bij Eye Security, leidde de respons. “Toen we binnenkwamen, zaten de aanvallers nog maar uren van een ransomware-uitrol af. Onze eerste taak was persistentie verwijderen en de oorzaak vinden, vóór ze konden toeslaan. We haalden backdoors weg, verzamelden forensisch bewijs en werkten samen met de MSP om alle accounts te resetten en de kwetsbare VPN offline te halen. Daarna koppelden we de omgeving aan ons SOC, zodat we alles in realtime konden volgen.”
Die aanpak werkte: de bedrijfsvoering bleef overeind. “Het fileservergebruik lag een paar dagen stil en printen kon niet,” zegt Tomas. “Maar de kernprocessen gingen gewoon door.”
Wat logistieke leiders hiervan kunnen leren
De vermoedelijke ingang was een SonicWall SSL VPN-lek. Dat was al weken eerder gepatcht, maar net te laat: aanvallers hadden in die tussentijd toegang gekregen. Over heel Europa werd soortgelijke activiteit gezien, met ransomwaregroepen zoals Akira die dit soort VPN-toegang opkochten en misbruikten.
Voor Tomas is de belangrijkste les duidelijk: “Eén dag uitval is al rampzalig voor de planning. Transport stokt, zicht verdwijnt, en herstel wordt met het uur moeilijker. Dat kost omzet en kan contractuele claims opleveren.”
Dat Move Intermodal zo snel herstelde, was geen toeval. Security had al focus. EDR draaide, een taskforce verbeterde continu de security posture, en processen als patchmanagement en toegangsbeheer stonden al op de agenda. Daardoor kon de organisatie de klap opvangen en snel herstellen toen Eye Security werd ingeschakeld.
“De communicatie was kort en duidelijk, we hadden nooit open vragen,” vertelt Tomas. “Eye Security bracht structuur in de chaos en hielp ons razendsnel de juiste keuzes maken.”
Bas bevestigt dat voorbereiding het verschil maakte. “Omdat er al EDR en een securityprogramma was, konden we daarop voortbouwen. Onze rol werd containment, eradication en monitoring, zodat aanvallers niet konden terugkomen. Zonder EDR was dit waarschijnlijk geëscaleerd tot een grootschalige aanval. De combinatie van interne voorbereiding en directe externe hulp voorkwam een shutdown.”
Verder dan Incident Response
De ransomware-aanval werd op tijd gestopt, maar de dreiging blijft. Daarom koos Move Intermodal ervoor om Eye Security in te schakelen voor Managed Detection and Response (MDR).
“MDR betekent constante waakzaamheid,” legt Bas uit. “We wachten niet tot er iets gebeurt, we bewaken, jagen en reageren continu. In een sector waar elk uur downtime geld en contracten kost, is dit essentieel.”
Voor Tomas is de waarde helder: “Onze systemen worden nu 24/7 bewaakt. Als er weer iets gebeurt, weten we dat het meteen wordt gezien en ingedamd. Daardoor kunnen wij ons concentreren op waar het om draait: goederen in beweging houden.”
Over Move Intermodal
Move Intermodal levert al meer dan 35 jaar intermodaal transport in Europa via een netwerk- en partnerstructuur. Het bedrijf heeft 300 medewerkers in negen landen, beheert zo’n 3000 laadeenheden en 200 trucks, en rijdt 60 eigen treinen per week. Samen goed voor meer dan 1000 zendingen per dag.
Voor logistieke bedrijven is continuïteit cruciaal. Move Intermodal voorkwam een crisis omdat ze snel handelden en de juiste hulp inschakelden. Jij kan hetzelfde doen. Neem contact op met Eye Security en zorg dat uw bedrijf beschermd is vóór aanvallers hun kans krijgen.
