Netherlands

Betaal geen losgeld bij gijzelsoftware – tenzij het moet

Cybercriminelen Bedrijven die gegijzeld worden door cybercriminelen moeten vaak onderhandelen over losgeld. Hoe gaat dat proces in zijn werk?

‘Door een storing treft u vandaag mogelijk minder goed gevulde vakken', staat er op het briefje in de supermarkt. Soortgelijke meldingen hingen in alle Albert Heijn-filialen die afgelopen week kampten met een nijpend tekort aan voorverpakte kaas.

De oorzaak: cybercriminelen legden distributiebedrijf Bakker Logistiek in Zeewolde plat en sneden zo de toevoer aan supermarkten af. Dat werd het eerst zichtbaar in het kaasschap.

Ransomware – hackers die bedrijfscomputers eerst versleutelen en daarna losgeld vragen – is een lucratieve, geprofessionaliseerde tak van cybercriminaliteit. In 2020 groeide het aantal aanvallen volgens schattingen met 150 procent. Criminelen hebben het vaak voorzien op zorginstellingen, farmaceutische industrie en de retail- en distributiesector. Ook de levensmiddelenbranche is een kwetsbaar doelwit: koelhuizen met bederfelijke waren kun je niet dagenlang platleggen. Dat verhoogt de druk om losgeld te betalen.

Lees ook: Column Marc Hijink: De les van het lege kaasschap

Frank de Korte van beveiligingsbedrijf Northwave werd ingeroepen door de gehackte kaasdistributeur uit Zeewolde om te redden wat er nog te redden viel. Hij haalde de computers „door de wasstraat” om kwaadaardige software te verwijderen en nam contact op met de gijzelnemers. Binnen tien dagen was het distributiebedrijf weer in de lucht.

In 80 procent van de gevallen wordt losgeld betaald, stelt Northwave

Of er losgeld is betaald, willen Northwave en Bakker Logistiek niet zeggen. Het advies – ook van het Team High Tech Crime van de politie – is om vooral niet te betalen bij gijzelsoftware. In de praktijk is dat niet altijd haalbaar. Volgens Northwave, dat al bij honderden ransomwareslachtoffers onderhandelingen voerde, wordt in 80 procent van de gevallen toch losgeld betaald. Het devies is: niet betalen, tenzij het niet anders kan.

De Korte: „Het is een sommetje: als je geen goede backups hebt, kost het maanden om je bedrijf weer op te bouwen.” Cybercriminelen schatten in wat de slachtoffers kunnen betalen en vragen tussen de 0,5 en de 2 procent van de jaaromzet aan losgeld. Dat gaat omhoog als de afpersers ook waardevolle data buitmaken. Want naast het versleutelen van computers stelen de criminelen zoveel mogelijk gegevens. Het doel is om het getroffen bedrijf onder druk te zetten met reputatieschade door documenten te publiceren. Deze dubbele afpersing is sinds 2020 gebruikelijk.

Lees ook: Lek bij Microsoft Exchange treft bedrijven in het hart

Recente lekken in Microsoft Exchange leveren een nieuwe hausse aan kwetsbare mailservers op: de hackers kwamen zo ook bij Bakker Logistiek binnen.

Ook zijn de aanvallen doelgericht: criminelen breken bijvoorbeeld in bij verzekeraars om klanten te traceren die een cyberpolis afsloten. Bedrijven die zichzelf verzekeren tegen een ransomwareaanval zullen sneller betalen, zo is het idee.

De meeste gijzelsoftware is afkomstig uit Rusland. Een aanwijzing daarvoor is dat computers met een cyrillisch alfabet buiten schot blijven. Zolang de criminelen geen Russische doelwitten treffen, worden ze in eigen land niet lastig gevallen.

Ransomwaregroepen werken vaak met ingehuurde chatoperators die keurig Engels spreken en – binnen de marges – zelfstandig kortingen mogen geven. Deze ‘loketten’ werken in ploegendiensten, zo bemerkte Frank de Korte. „Bij één onderhandeling was de aanvankelijke eis 16 miljoen, en daalde het losgeld later naar 12 en toen 10 miljoen. Op ons volgende bod – 8 miljoen – kreeg ik te horen: ik ga akkoord met 12 miljoen.”

„Mijn reactie: ‘We hadden toch 10 miljoen afgesproken?’ Meteen volgde het excuus: ‘Sorry, ik zie dat mijn voorganger je al een beter kerstaanbod heeft gedaan.’ Blijkbaar had deze operator zich nog niet goed ingelezen.”

De onderhandelingen met de afpersers gaan via de mail of via een chatvenster, laat De Korte zien. Dat is ook de manier om bewijsmateriaal uit te wisselen, om zeker te zijn dat de afpersers de encryptiesleutel hebben en de gestolen data beheren.

Op de gelikte site van REvil krijgt ieder slachtoffer een eigen inlogcode

Op de gelikte website van ransomwaregroep REvil krijgt ieder slachtoffer een eigen inlogcode en wordt ‘de klant’ automatisch gewaarschuwd dat de prijs oploopt als je niet binnen drie dagen betaalt. Als je niet beter zou weten, zou je denken dat je met de servicedesk van een willekeurige reisorganisatie te maken hebt.

Er is zelfs sprake van ‘klantvriendelijkheid’, zo lijkt het. „We snappen dat u onverwachte kosten moet maken”, meldt een chatoperator. Ook De Korte probeert beleefd te blijven en zegt thank you waar hij kan. „Emotioneel klopt het niet, want het zijn criminelen. Maar als je lomp gaat doen, gaat dat ten koste van de prijs.”

Al te vriendschappelijk omgaan met de afpersers is ook weer niet de bedoeling: voor je het weet krijg je een aanbod om een korting met ze te delen, terwijl het getroffen bedrijf de volle mep moet betalen.

De Korte haalt zelf ook soms zo’n truc uit, om een onwillige onderhandelaar onder druk te zetten. „Die chatoperator zat tussen ons en degene die besliste over het geld in. Ik mailde hem: als ik jou nou een paar bitcoin geef, kun je dan toch de laagst mogelijke prijs regelen?”

De reactie was: ‘Dat kun je niet maken - mijn baas leest mee’. Een minuut later was de chatoperator van de zaak afgehaald.

Cybercriminelen willen altijd snel betaald worden. De Korte probeert te balanceren tussen korting afdwingen en tijd rekken – om intussen de gegijzelde computersystemen weer aan de praat te krijgen.

Soms loopt het goed af. Bijvoorbeeld bij een groot Duits bedrijf waar vorig jaar duizenden computers gegijzeld werden. Northwave slaagde erin om backups terug te plaatsen, waardoor de encryptiesleutel niet meer nodig was. De onderhandelingen werden afgebroken.

Als extra meevaller bleken de gestolen bedrijfsgegevens, die de hackers dreigden te publiceren, toevallig op een Amsterdamse server te staan die door de Nederlandse politie in beslag genomen was. Het risico op een datalek was daarmee weg.

Het losgeld, een paar miljoen euro aan bitcoins, was al wel aangekocht. „Het kost tijd om zo’n groot bedrag aan cryptovaluta te verwerven”, aldus Frank de Korte. Ondertussen was de bitcoinkoers echter gestegen, zodat het gehackte bedrijf daarop winst maakte – een geluk bij een ongeluk.

Football news:

Griezmann sprak met Hamilton en bezocht de Mercedes boxes tijdens de Spaanse Grand Prix
Barcelona vindt dat Neymar het gebruikt heeft. Hij zei dat hij wilde terugkeren, maar verlengde zijn contract met PSG (RAC1)
Aubameyang aan de Arsenal fans: we wilden je iets goeds geven. Het spijt me dat we niet konden
Atletico verloor niet in Camp Nou. Busquets' blessure is het keerpunt van de wedstrijd (en het kampioenschap race?)
Verratti blesseerde zijn kniebanden tijdens PSG training. Deelname aan de Euro is nog steeds in vraag
Neymar ' s contract in één foto. Mbappe wil hetzelfde
Manchester United wil Bellingham in de zomer tekenen, niet Sancho. Borussia niet van plan om te verkopen Jude