Stroomstoring blijkt ransomware-redding voor Maersk

Het containerbedrijf werd die juni zwaar getroffen door de ransomware: het moest ruim 45.000 pc's en 4000 nieuwe servers herinstalleren, een proces dat ruim 10 dagen duurde. 

Maersk dankt deze herinstallatie van de infrastructuur volgens Wired grotendeels aan een broodnodige back-up, waar IT'ers van de containerreus met man en macht naar hebben gezocht toen vrijwel het gehele bedrijf plat werd gelegd door de gijzelsoftware.

Al vroeg in deze zoektocht kwamen de IT-medewerkers die het netwerk van Maersk herstelden, tot een schokkende ontdekking. Ze hadden back-ups van bijna alle individuele servers van Maersk gevonden, daterend van drie tot zeven dagen voorafgaand aan de start van NotPetya. Bíjna alle servers, maar dus niet allemaal.

Domaincontrollers down

Niemand binnen Maersk kon een back-up vinden voor een cruciale laag van het bedrijfsnetwerk: de domeincontrollers, de servers die fungeren als een gedetailleerde kaart van het netwerk van Maersk en de basisregels instellen die bepalen welke gebruikers toegang hebben tot welke systemen.

De rond de 150 domeincontrollers van Maersk waren zodanig geprogrammeerd dat ze gegevens met elkaar synchroniseerden zodat, in theorie, elk ervan zou kunnen fungeren als back-up voor alle anderen. Maar de gedecentraliseerde back-upstrategie had geen rekening gehouden met het scenario wat ten tijde van de NotPetya-aanval zou spelen; het gelijktijdig wissen van alle domeincontrollers. "Als we onze domeincontrollers niet zouden kunnen herstellen", herinnert een IT-medewerker van Maersk zich: "Konden we niets herstellen."

Reddende blackout

Uiteindelijk wisten de IT-medewerkers het toch voor elkaar te krijgen een domeincontroller te vinden die als back-up kon fungeren. Deze eenzame overgebleven domeincontroller stond in een afgelegen kantoor in Ghana. Door een zeer bijzondere oorzaak bevatte deze controller de unieke en benodigde kopie van de domeincontrollergegevens die nodig waren om Maersk terug op de rails te krijgen.

Vlak voordat NotPetya in die junimaand toesloeg, had een blackout de Ghanese machine offline gehaald en dus bleef de computer ten tijde van de aanval niet verbonden met het netwerk. Het bevatte dus de unieke, bekende kopie van de domeincontrollergegevens van het bedrijf, die door de malware niet waren beschadigd, en dit allemaal dankzij een stroomstoring.

Naar eigen zeggen kostte de NotPetya-aanval op Maersk een omzet van 200 tot 300 miljoen dollar. Toch kan de totale kostenpost van de gijzelsoftware bij de containerreus kunnen met gemak hoger worden ingeschat, want naast dat omzetverlies zijn er nog de kosten van deze hersteloperatie en de kosten voor andere bedrijven die schade hebben geleden door het platleggen van de grote logistieke speler.