Hoe onderhandel je met cybercriminelen? Algemeen directeur van securitybedrijf Northwave Nederland, Pim Takkenberg, schetst de wereld die schuilgaat achter ransomware. ‘Het is net als bij de keukenboer. Wil je een hoge korting, dan moeten ze dat eerst aan hun manager vragen.’
Op de achtste etage van een kantorenverzamelgebouw op het Utrechtse bedrijvenpark Papendorp laat Pim Takkenberg op zijn scherm chatgesprekken en mailwisselingen met cybercriminelen zien. Een hackergroep stelt zich voor, meldt de versleuteling van alle bestanden van – in dit geval – een mediabedrijf en biedt aan om een proefbestand te ontsleutelen. De conversaties worden via een tor-site afgewerkt, zodat de afzender niet te herleiden is. In de chat meldt de groepering dat ze in het bezit zijn van de data op de systemen van de ceo, cto en cio. Alles om de druk op te voeren. Welkom in de wereld van ransomware.
Bedrijven zijn regelmatig slachtoffer van ransomware-aanvallen. Criminelen dringen het netwerk binnen, stelen data, maken de backups ontoegankelijk en versleutelen de systemen. Vervolgens vragen ze losgeld voor het ontsleutelen van die data en systemen. Vaak is het voor bedrijven een simpele rekensom: wat kost het om de systemen te ontsleutelen en wat is de schade als ik niet betaal?
Paniek
Takkenberg: ‘Bedrijven die het slachtoffer zijn van ransomware bellen ons meestal in paniek op en stellen dan bijna altijd dezelfde vraag: ‘Moeten we betalen?’ Ons antwoord is altijd: ‘Nee, tenzij…’ Hij somt de vragen op die hij aan de slachtoffers van ransomware stelt: welke domeinen zijn versleuteld, zijn er backups, zijn die gewist of ook versleuteld?
Hij vervolgt: ‘Meestal kunnen we binnen een halfuur een inschatting maken van wat er aan de hand is en welke kant het opgaat. Wat de omvang is van het aantal servers, hoeveel servers er zijn versleuteld en ga zo maar door.’ Vrijwel in alle gevallen dringen de criminelen via Windowssystemen het netwerk binnen. Bedrijven met Unix- of Linux-omgevingen ontspringen de dans. Ook hebben opvallend veel organisaties die slachtoffer zijn van ransomware alle backups online staan. Daardoor kunnen ze deze niet herstellen of offline ophalen en terugzetten, vertelt Takkenberg.
De ransomware-aanvallen hebben voor de slachtoffers vrijwel altijd een grote impact. Van het ene op het andere moment ligt de bedrijfsvoering plat omdat ze niet bij systemen kunnen. Takkenberg adviseert dan ook om altijd in contact te treden met de criminelen. Om te checken of ze daadwerkelijk in het bezit zijn van de sleutel. Om te vragen welk bedrag ze eisen aan losgeld en om te controleren welke data ze hebben. Vaak wordt daarbij de hulp van een securitybedrijf ingeschakeld.
Betalen voor ransomware?
Politie en justitie raden af om aan criminelen te betalen voor het ontsleutelen van ransomware. Door te betalen wordt een crimineel ‘bedrijfsmodel’ in stand gehouden, is de gedachte. Toch besluiten slachtoffers vaak om de portemonnee te trekken omdat de schade door inkomstenderving door versleutelde systemen vaak vele malen hoger ligt dan het geëiste losgeldbedrag. Bijvoorbeeld als een bedrijf dagen tot weken geen zaken kan doen doordat het geen toegang heeft tot systemen.
Vaak wordt gezegd dat ongeveer de helft van de ransomware-slachtoffers betaalt voor het ontsleutelen van systemen. Volgens Takkenberg wordt in bijna tachtig procent van de gevallen losgeld betaald. Hij vermeldt er wel bij dat het percentage in zijn geval relatief hoog is omdat het in de gevallen die hij ziet vaak gaat om slachtoffers die aankloppen voor hulp ná een aanval.
Strijd
Takkenberg tuurt naar zijn scherm en legt uit dat de strijd de laatste jaren is verhard. Naast het eisen van losgeld voor gegijzelde systemen dreigen de criminelen ook om gestolen concurrentie-, of privacygevoelige data door te verkopen of openbaar te maken. Daarbovenop dreigen ze ook steeds vaker met een ddos-aanval waarmee de website van het bedrijf wordt platgelegd. Zo wordt op drie fronten tegelijk de druk opgevoerd. Alles om slachtoffers te dwingen tot het betalen van losgeld.
Maar, er zijn ook bedrijven die de poot stijf houden. Vaak met grote gevolgen voor de bedrijfsvoering. Het kost hen bijvoorbeeld veel tijd en moeite om weer de draad op te pakken. Zo had de gemeente Hof van Twente vier maanden na een ransomware-aanval nog steeds de zaken niet op orde. Naast drie a vier miljoen euro schade had de keuze om niet te betalen ook grote gevolgen voor de ambtenaren waarbij in sommige gevallen twintig jaar werk verloren ging.
Geen webschurk met capuchon
Wie zitten er eigenlijk achter die aanvallen? Takkenberg, die eerder voor de politie werkte en daar bij de landelijke eenheid het Team High Tech Crime opzette, heeft een scherp profiel van de cybercriminelen. Dat beeld strookt niet met het clichébeeld van een webschurk in een donkere kamer met een capuchon over zijn hoofd. Het zijn vaak daders van Russische komaf, ze werken in een zakelijke, kantoorachtige omgeving. Ze zijn meestal tussen de achttien en de 28 jaar en hebben banden met inlichtingendiensten’, vertelt de directeur van de Utrechtse ict-beveiliger. Uit hun werkwijze maakt hij op dat ze in ploegendiensten werken. Bijvoorbeeld doordat een onderhandeling na een bepaalde tijd wordt overgenomen door ‘een andere collega’.
Takkenberg onderscheidt in het digitale boevengilde gespecialiseerd in ransomware drie ‘rollen’. De ‘ransomware developer’ ontwikkelt de gijzelsoftware. De ‘initial access broker’ brengt in kaart brengt waar potentiële slachtoffers zitten en verkoopt de informatie door. Ook is er de ‘ransomware affiliate’. Die zet in de volgende fase de gijzelsoftware in en verfijnt de aanval per individueel bedrijf of organisatie.
Het spel
De aanvallers doen uitgebreid hun huiswerk en zijn selectief in de keuze voor slachtoffers. Ze beschikken over uitgebreide bedrijfsprofielen en weten precies waar ze kunnen toeslaan. Hij laat zien hoe online-bedrijfsprofielen worden uitgewisseld van mogelijke aanvalsdoelen. De stukken bevatten uitgebreide financiële informatie van bedrijven die de criminelen op de korrel hebben. Op eigen ‘nieuwssites’ publiceren ze over het verloop van hun aanval.
Takkenberg kent het spel door en door. De gemiddelde groepering eist tussen de 0,4 en twee procent van de jaaromzet van een bedrijf aan losgeld. In de onderhandelingen is voor tientallen procenten aan korting op het losgeld te bedingen. Dat gaat er net zo aan toe als bij een keukenboer. ‘Als je een hoge korting wil, dan moeten ze eerst even aan hun manager vragen’, vertelt hij.
Betalen in Bitcoin
De aanvallers eisen hun losgeld steevast in bitcoin of andere cryptovaluta. Omgerekend gaat het vaak om bedragen van enkele tonnen tot miljoenen euro’s. Hij benadrukt dat securitybedrijven onder streng toezicht staan van de Nederlandse bank als ze grote bedragen aan giraal geld omzetten in de gevraagde cryptomunt.
Vaak is een ransomware-aanval ‘gewoon’ gedekt door een verzekeraar. In de cyberpolissen is vastgelegd dat er losgeld is uit te keren. Takkenberg ziet wel dat verzekeraars de laatste tijd meer vooronderzoek doen naar de beveiliging van bedrijven voordat ze een polis afsluiten. Ook keren ze minder vaak uit als een bewuste ransomware-groepering op sanctielijsten van de EU of de VS staan. Door het financieel steunen van criminelen die banden hebben met terroristische organisaties kunnen ze juridisch in de knel komen, omdat het betalen van losgeld als een gift aan een terroristische organisatie wordt gezien.
Hoe ziet de aanval eruit?
Takkenberg schetst met behulp van een Powerpoint de anatomie van een ransomware-aanval. Die begint meestal bij het uitbuiten van een kwetsbaarheid van een server die aan internet hangt. ‘Voor bekende kwetsbaarheden zijn vaak kant-en-klare hulpmiddelen beschikbaar.’ Ook wordt toegeslagen via phishing. Dat is een e-mail met malafide attachment of link, die meestal op maat gemaakt is en vrijwel niet van echt te onderscheiden is. Een derde manier waarop wordt toegeslagen, is door het gebruik van een gelekt wachtwoord of het raden van een wachtwoord. Dat gebeurt vaak met technische hulpmiddelen.
Hij is kritisch op securitybedrijven die zich puur manifesteren als onderhandelaar voor het kopen van de encryptiesleutel bij een ransomware-aanval. ‘Slachtoffers hoeven ons niet te bellen als ze alleen de sleutel willen kopen’, zegt hij stellig. ‘Wij willen ook echt met ze aan de slag om hun ict-omgeving veiliger achter te laten dan dat we deze aantroffen. Vaak is er met kleine stappen al veel te bereiken.
Inmiddels loopt het tegen half zes op de vrijdagmiddag waarop Computable het hoofdkantoor van Northwave bezoekt. Voor Takkenberg is er vandaag geen tijd voor een vrijdagmiddagborrel. Zijn telefoon gaat, een nieuw incident. ‘Cybercriminelen slaan vaak in het weekend toe, omdat ze dan minder worden opgemerkt.’
Vier tips
Takkenberg deelt desgevraagd vier tips om cybercriminelen buiten de deur te houden.
- Installeer updates
‘Door het installeren van updates kunnen aanvallers bekende kwetsbaarheden in de oude versie van uw software niet meer uitbuiten. Vraag je af wanneer je voor het laatst alle systemen hebt nagekeken en of de updates geïnstalleerd zijn. Is er binnen jouw organisatie überhaupt een proces om dat na te gaan?’ - Zet multi-factorauthenticatie aan
‘Gebruik wachtwoordzinnen en zet multi-factorauthenticatie aan.’ Het aanmelden gaat dan met meer dan alleen een wachtwoord. Volgens Takkenberg is bij veel moderne systemen een ‘tweede factor’ zoals een token. eenvoudig ‘aan te zetten’. Ook een belangrijke check: staat multi-factorauthenticatie aan voor alle gebruikers en zijn medewerkers voorgelicht over veilige wachtwoorden? - Maak backups en check backup-herstel
‘Een goed backup-systeem, inclusief minimaal één offline-kopie op een gescheiden locatie, verhoogt de weerbaarheid tegen dataverlies. Ook is het verstandig het backup-systeem te testen door een keer te herstellen vanuit de backup. ‘Werkt het systeem wel volledig?’ - Beveilig endpoints
Ook beveiliging van endpoints blijft een manier om criminelen op afstand te houden. ‘Antivirussoftware stopt bekende malware en verkleint daarmee de kans op een succesvolle aanval. Controleer of elk systeem – zowel servers als clients – antivirus- en endpoint detection & response tools heeft.’