Netherlands

Betaal geen losgeld bij gijzelsoftware – tenzij het moet

Cybercriminelen Bedrijven die gegijzeld worden door cybercriminelen moeten vaak onderhandelen over losgeld. Hoe gaat dat proces in zijn werk?

‘Door een storing treft u vandaag mogelijk minder goed gevulde vakken', staat er op het briefje in de supermarkt. Soortgelijke meldingen hingen in alle Albert Heijn-filialen die afgelopen week kampten met een nijpend tekort aan voorverpakte kaas.

De oorzaak: cybercriminelen legden distributiebedrijf Bakker Logistiek in Zeewolde plat en sneden zo de toevoer aan supermarkten af. Dat werd het eerst zichtbaar in het kaasschap.

Ransomware – hackers die bedrijfscomputers eerst versleutelen en daarna losgeld vragen – is een lucratieve, geprofessionaliseerde tak van cybercriminaliteit. In 2020 groeide het aantal aanvallen volgens schattingen met 150 procent. Criminelen hebben het vaak voorzien op zorginstellingen, farmaceutische industrie en de retail- en distributiesector. Ook de levensmiddelenbranche is een kwetsbaar doelwit: koelhuizen met bederfelijke waren kun je niet dagenlang platleggen. Dat verhoogt de druk om losgeld te betalen.

Lees ook: Column Marc Hijink: De les van het lege kaasschap

Frank de Korte van beveiligingsbedrijf Northwave werd ingeroepen door de gehackte kaasdistributeur uit Zeewolde om te redden wat er nog te redden viel. Hij haalde de computers „door de wasstraat” om kwaadaardige software te verwijderen en nam contact op met de gijzelnemers. Binnen tien dagen was het distributiebedrijf weer in de lucht.

In 80 procent van de gevallen wordt losgeld betaald, stelt Northwave

Of er losgeld is betaald, willen Northwave en Bakker Logistiek niet zeggen. Het advies – ook van het Team High Tech Crime van de politie – is om vooral niet te betalen bij gijzelsoftware. In de praktijk is dat niet altijd haalbaar. Volgens Northwave, dat al bij honderden ransomwareslachtoffers onderhandelingen voerde, wordt in 80 procent van de gevallen toch losgeld betaald. Het devies is: niet betalen, tenzij het niet anders kan.

De Korte: „Het is een sommetje: als je geen goede backups hebt, kost het maanden om je bedrijf weer op te bouwen.” Cybercriminelen schatten in wat de slachtoffers kunnen betalen en vragen tussen de 0,5 en de 2 procent van de jaaromzet aan losgeld. Dat gaat omhoog als de afpersers ook waardevolle data buitmaken. Want naast het versleutelen van computers stelen de criminelen zoveel mogelijk gegevens. Het doel is om het getroffen bedrijf onder druk te zetten met reputatieschade door documenten te publiceren. Deze dubbele afpersing is sinds 2020 gebruikelijk.

Lees ook: Lek bij Microsoft Exchange treft bedrijven in het hart

Recente lekken in Microsoft Exchange leveren een nieuwe hausse aan kwetsbare mailservers op: de hackers kwamen zo ook bij Bakker Logistiek binnen.

Ook zijn de aanvallen doelgericht: criminelen breken bijvoorbeeld in bij verzekeraars om klanten te traceren die een cyberpolis afsloten. Bedrijven die zichzelf verzekeren tegen een ransomwareaanval zullen sneller betalen, zo is het idee.

De meeste gijzelsoftware is afkomstig uit Rusland. Een aanwijzing daarvoor is dat computers met een cyrillisch alfabet buiten schot blijven. Zolang de criminelen geen Russische doelwitten treffen, worden ze in eigen land niet lastig gevallen.

Ransomwaregroepen werken vaak met ingehuurde chatoperators die keurig Engels spreken en – binnen de marges – zelfstandig kortingen mogen geven. Deze ‘loketten’ werken in ploegendiensten, zo bemerkte Frank de Korte. „Bij één onderhandeling was de aanvankelijke eis 16 miljoen, en daalde het losgeld later naar 12 en toen 10 miljoen. Op ons volgende bod – 8 miljoen – kreeg ik te horen: ik ga akkoord met 12 miljoen.”

„Mijn reactie: ‘We hadden toch 10 miljoen afgesproken?’ Meteen volgde het excuus: ‘Sorry, ik zie dat mijn voorganger je al een beter kerstaanbod heeft gedaan.’ Blijkbaar had deze operator zich nog niet goed ingelezen.”

De onderhandelingen met de afpersers gaan via de mail of via een chatvenster, laat De Korte zien. Dat is ook de manier om bewijsmateriaal uit te wisselen, om zeker te zijn dat de afpersers de encryptiesleutel hebben en de gestolen data beheren.

Op de gelikte site van REvil krijgt ieder slachtoffer een eigen inlogcode

Op de gelikte website van ransomwaregroep REvil krijgt ieder slachtoffer een eigen inlogcode en wordt ‘de klant’ automatisch gewaarschuwd dat de prijs oploopt als je niet binnen drie dagen betaalt. Als je niet beter zou weten, zou je denken dat je met de servicedesk van een willekeurige reisorganisatie te maken hebt.

Er is zelfs sprake van ‘klantvriendelijkheid’, zo lijkt het. „We snappen dat u onverwachte kosten moet maken”, meldt een chatoperator. Ook De Korte probeert beleefd te blijven en zegt thank you waar hij kan. „Emotioneel klopt het niet, want het zijn criminelen. Maar als je lomp gaat doen, gaat dat ten koste van de prijs.”

Al te vriendschappelijk omgaan met de afpersers is ook weer niet de bedoeling: voor je het weet krijg je een aanbod om een korting met ze te delen, terwijl het getroffen bedrijf de volle mep moet betalen.

De Korte haalt zelf ook soms zo’n truc uit, om een onwillige onderhandelaar onder druk te zetten. „Die chatoperator zat tussen ons en degene die besliste over het geld in. Ik mailde hem: als ik jou nou een paar bitcoin geef, kun je dan toch de laagst mogelijke prijs regelen?”

De reactie was: ‘Dat kun je niet maken - mijn baas leest mee’. Een minuut later was de chatoperator van de zaak afgehaald.

Cybercriminelen willen altijd snel betaald worden. De Korte probeert te balanceren tussen korting afdwingen en tijd rekken – om intussen de gegijzelde computersystemen weer aan de praat te krijgen.

Soms loopt het goed af. Bijvoorbeeld bij een groot Duits bedrijf waar vorig jaar duizenden computers gegijzeld werden. Northwave slaagde erin om backups terug te plaatsen, waardoor de encryptiesleutel niet meer nodig was. De onderhandelingen werden afgebroken.

Als extra meevaller bleken de gestolen bedrijfsgegevens, die de hackers dreigden te publiceren, toevallig op een Amsterdamse server te staan die door de Nederlandse politie in beslag genomen was. Het risico op een datalek was daarmee weg.

Het losgeld, een paar miljoen euro aan bitcoins, was al wel aangekocht. „Het kost tijd om zo’n groot bedrag aan cryptovaluta te verwerven”, aldus Frank de Korte. Ondertussen was de bitcoinkoers echter gestegen, zodat het gehackte bedrijf daarop winst maakte – een geluk bij een ongeluk.

Football news:

Smertin herinnert zich Euro 2004: hij vocht bijna in de gewrichten, verdedigde tegen de jonge Cristiano en begreep de opwinding van de brug
We zouden geen football snobs moeten zijn. In wedstrijden met topteams is diversiteit belangrijk
Leonid Slutsky: ik ben er nog steeds zeker van dat het Finse nationale team de outsider van onze groep is. Ze hadden veel geluk tegen Denemarken
Ik ben geen racist. Arnautovic verontschuldigde zich voor het beledigen van de speelsters van het nationale team van Noord-Macedonië
Gary Lineker: Mbappe is een ster van wereldklasse, hij zal Ronaldo vervangen, maar Messi niet. Leo doet dingen die anderen niet in staat zijn
De Spaanse fan gaat al sinds 1979 naar de wedstrijden van het nationale team. Hij kwam naar de Euro met de beroemde drum (hij zou het hebben verloren tijdens de lockdown)
Ronaldo verwijderde de gesponsorde Coca-Cola op een persconferentie. Cristiano is sterk tegen suiker-maakt er zelfs geen reclame voor