Ze noemen het ‘stoppen van het bloeden’: het essentiële venster om te voorkomen dat een hele database wordt overvallen door criminelen of dat een productielijn tot stilstand komt.
Wanneer er een telefoontje binnenkomt bij cyberbeveiligingsbedrijf S-RM, gevestigd in Whitechapel High Street, Oost-Londen, heeft een gehackt bedrijf of instelling mogelijk slechts enkele minuten om zichzelf te beschermen.
S-RM, dat een spraakmakende retailklant hielp herstellen een Scattered Spider-cyberaanval het werd een stil succes, vaak gebaseerd op mond-tot-mondreclame.
Veel van de senior medewerkers van het bedrijf zijn meertalig en hebben een minimale online voetafdruk, waardoor spaarzame maar indrukwekkende cv’s worden onthuld die een carrière op het gebied van bedrijfs- of overheidsinformatie suggereren.
S-RM beschikt nu over het grootste responsteam voor cyberincidenten in Groot-Brittannië. De EHBO-dienst omvat wereldwijd ongeveer 150 experts. Hij heeft klanten die hem tegenhouden, slachtoffers die zijn gemeld door verzekeraars en ‘walk-ins’: mensen die plotseling beseffen dat hun bedrijf wordt aangevallen en de beste resultaten op hun zoekmachines oproepen.
In het geval van het Scattered Spider-slachtoffer, dat volgens de Guardian niet Marks & Spencer of Co-op was – twee retailers werden in 2025 aangevallen – werd een Teams-gesprek van 30 minuten met één retailer ‘een 24-uursgesprek met een wisselende cast van experts’, zegt Ted Cowell, directeur cyberbusiness bij S-RM.
“Gemiddeld reageren we binnen zes minuten op klanten. Dat is van cruciaal belang omdat de eerste paar uur van een cyberincident vaak de grootste kans bieden om de uitkomst van een zaak en de impact ervan te bepalen”, zegt hij. “Wat kan beginnen als een netwerkinbraak, kan zich vervolgens uitzaaien in een volwaardig malware- of ransomware-scenario.”
Cowell, een in Cambridge opgeleide Russischspreker, zegt dat het beheersen van de aanval tijdens een ‘verkenningsperiode’ tot een radicaal ander resultaat kan leiden, vergeleken met een langzame reactie. Criminelen hebben na de eerste penetratie in de systemen van een bedrijf vaak tijd nodig om erachter te komen wat het meest waardevol is. Dankzij deze korte periode kunnen experts daarom de operationeel meest pijnlijke aanvallen voorkomen. “Exfiltratie” – de diefstal van kritieke gegevens – en encryptie, waardoor bedrijven buitengesloten kunnen worden van hun systemen, kunnen de meest schadelijke gevolgen hebben.
“Soms kunnen we voorkomen dat het een grote vlucht neemt”, zegt Cowell. Teams richten zich op het “stoppen van het bloeden” door de toegang van de aanvaller tot systemen te beperken of af te sluiten. Dit is wat het S-RM-team heeft kunnen doen met het Scattered Spider-slachtoffer: voorkomen dat de malware op verschillende systemen ontploft.
De zaken gaan goed als de cybercriminaliteitsindustrie groeitmaar dit brengt ethische uitdagingen met zich mee. S-RM en zijn collega’s in de industrie ze kregen kritiek voor het faciliteren van de betaling van losgeld aan criminelen die bedrijven kapen voor geld.
“Het ondersteunen van afpersing” is een belangrijk onderdeel van het werk van S-RM. Dit betekent dat de specialisten aanwezig zijn in de ruimte waar over losgeld wordt onderhandeld, waarbij zij soms rechtstreeks namens de cliënt de onderhandelingen voeren. Cowell lijkt de kritiek te willen vermijden dat hij de georganiseerde misdaad aanwakkert door bedrijven te helpen losgeld te betalen of door op te treden voor verzekeraars die polissen verkopen die losgeldbetalingen dekken.
“Wij worden opgeleid door de aannemer, door de verzekerden”, zegt hij.
“Onze ambitie is om waar en wanneer mogelijk beslissingen te nemen over ‘geen betalingen’’, vervolgt hij, eraan toevoegend dat bedrijven steeds vaker deze aanpak volgen en geen losgeld betalen.
“Onze rol is het faciliteren van strategisch denken”, zegt hij. “Geef cliënten een structuur om hun gedachten te ordenen. Ze hebben waarschijnlijk nog nooit in een situatie als deze gezeten.
“De beslissingen van bedrijven over wat ze doen, zijn hun eigen verantwoordelijkheid. We modelleren eenvoudigweg een crisis, hoe dingen verlopen, op basis van onze ervaring.”
“Waarom zouden we deze criminelen moeten betalen?” Het is een uitdaging Cowell zegt dat zijn team zaken doet met de beste medewerkers van de betrokken bedrijven. “Een van de dingen waar we besturen vaak over informeren, is dat ransomware een georganiseerde criminele onderneming is.”
Deze snode groepen hebben, zo legt hij uit, “merken te verdedigen”. Gevestigde ransomwarebendes komen doorgaans een deal na. S-RM heeft ook een steeds gedetailleerder beeld van hoe deze groepen het in eerdere onderhandelingen hebben gedaan.
Hoe meer gevestigd de groep is, des te waarschijnlijker is het dat zij overeengekomen overeenkomsten zal nakomen, of het nu gaat om het verwijderen van gestolen gegevens of het verstrekken van sleutels om kritieke bestanden te ontsleutelen. S-RM biedt een overzicht van wie wie is in termen van betrouwbaarheid, handelspatronen en gedrag, en strekt zich ook uit tot sancties.
Dit laatste geval is echter zelden van toepassing. Proberen sancties op te leggen aan staatsgelieerde groepen is een spelletje meppen, zegt Cowell. Als zogenaamde ‘bedreigingsactoren’ op sanctielijsten verschijnen, hebben ze de neiging zich te ontbinden en in een nieuw jasje te hervormen. Het risico dat er, zij het indirect, geld in handen komt van de staatsvijand is dan ook een overweging voor bedrijven die te maken krijgen met een cyberaanval.
Soms besluiten bedrijven echter om te betalen. Het kan rationeel zijn gezien de omstandigheden van hun bedrijf en uiteindelijk “is het altijd hun beslissing”, zegt Cowell.
Naarmate de morele code van bedrijven rond het betalen van losgeld volwassener wordt en beslissingen om de georganiseerde misdaad niet te financieren steeds gebruikelijker worden, zijn herstel- en hersteldiensten een belangrijker onderdeel geworden van de cyberbeveiligingsresponsmarkt. Systemen zo snel mogelijk weer operationeel krijgen wordt steeds meer een prioriteit, terwijl forensische analyse van hoe iemand in een systeem terecht is gekomen secundair wordt.
De afgelopen jaren is ook de rol van de cyberintelligentie van de Britse overheid aanzienlijk veranderd. Het National Cyber Security Center “is de afgelopen vier tot vijf jaar enorm veranderd”, zegt Cowell. Het NCSC heeft zijn Scandinavische equivalenten ingehaald en neemt nu proactief contact op met slachtoffers en vertelt hen dat zij mogelijk het doelwit zijn op basis van inlichtingen.
“Het was meer een koper van informatie”, die om informatie vroeg van mensen als S-RM, die ze graag zouden verstrekken met toestemming van de klant, zegt Cowell.
“(Nu) spelen ze een sterkere rol, stellen zichzelf in de frontlinie en brengen mensen samen het delen van informatie vergemakkelijken. We hebben de impact hiervan gezien bij de Scattered Spider-aanvallen”, voegt hij eraan toe.
