Onderhandelen over gijzelsoftware: ‘We hadden toch 10 miljoen afgesproken?’

‘Door een storing treft u vandaag mogelijk minder goed gevulde vakken’, staat er op het briefje in de supermarkt. Soortgelijke meldingen hingen in alle Albert Heijn-filialen die afgelopen week kampten met een nijpend tekort aan voorverpakte kaas.

De oorzaak: cybercriminelen legden distributiebedrijf Bakker Logistiek in Zeewolde plat en sneden zo de toevoer aan supermarkten af. Dat werd het eerst zichtbaar in het kaasschap.

Ransomware – hackers die bedrijfscomputers eerst versleutelen en daarna losgeld vragen – is een lucratieve, geprofessionaliseerde tak van cybercriminaliteit. In 2020 groeide het aantal aanvallen volgens schattingen met 150 procent. Criminelen hebben het vaak voorzien op zorginstellingen, farmaceutische industrie en de retail- en distributiesector. Ook de levensmiddelenbranche is een kwetsbaar doelwit: koelhuizen met bederfelijke waren kun je niet dagenlang platleggen. Dat verhoogt de druk om losgeld te betalen.

Frank de Korte van beveiligingsbedrijf Northwave werd ingeroepen door de gehackte kaasdistributeur uit Zeewolde om te redden wat er nog te redden viel. Hij haalde de computers „door de wasstraat” om kwaadaardige software te verwijderen en nam contact op met de gijzelnemers. Binnen tien dagen was het distributiebedrijf weer in de lucht.

In 80 procent van de gevallen wordt losgeld betaald, stelt Northwave

Of er losgeld is betaald, willen Northwave en Bakker Logistiek niet zeggen. Het advies – ook van het Team High Tech Crime van de politie – is om vooral niet te betalen bij gijzelsoftware. In de praktijk is dat niet altijd haalbaar. Volgens Northwave, dat al bij honderden ransomwareslachtoffers onderhandelingen voerde, wordt in 80 procent van de gevallen toch losgeld betaald. Het devies is: niet betalen, tenzij het niet anders kan.

De Korte: „Het is een sommetje: als je geen goede backups hebt, kost het maanden om je bedrijf weer op te bouwen.” Cybercriminelen schatten in wat de slachtoffers kunnen betalen en vragen tussen de 0,5 en de 2 procent van de jaaromzet aan losgeld. Dat gaat omhoog als de afpersers ook waardevolle data buitmaken. Want naast het versleutelen van computers stelen de criminelen zoveel mogelijk gegevens. Het doel is om het getroffen bedrijf onder druk te zetten met reputatieschade door documenten te publiceren. Deze dubbele afpersing is sinds 2020 gebruikelijk.

Lekken Microsoft Exchange

Recente lekken in Microsoft Exchange leveren een nieuwe hausse aan kwetsbare mailservers op: de hackers kwamen zo ook bij Bakker Logistiek binnen.

Ook zijn de aanvallen doelgericht: criminelen breken bijvoorbeeld in bij verzekeraars om klanten te traceren die een cyberpolis afsloten. Bedrijven die zichzelf verzekeren tegen een ransomwareaanval zullen sneller betalen, zo is het idee.

De meeste gijzelsoftware is afkomstig uit Rusland. Een aanwijzing daarvoor is dat computers met een cyrillisch alfabet buiten schot blijven. Zolang de criminelen geen Russische doelwitten treffen, worden ze in eigen land niet lastig gevallen.

Ransomwaregroepen werken vaak met ingehuurde chatoperators die keurig Engels spreken en – binnen de marges – zelfstandig kortingen mogen geven. Deze ‘loketten’ werken in ploegendiensten, zo bemerkte Frank de Korte. „Bij één onderhandeling was de aanvankelijke eis 16 miljoen, en daalde het losgeld later naar 12 en toen 10 miljoen. Op ons volgende bod – 8 miljoen – kreeg ik te horen: ik ga akkoord met 12 miljoen.”

„Mijn reactie: ‘We hadden toch 10 miljoen afgesproken?’ Meteen volgde het excuus: ‘Sorry, ik zie dat mijn voorganger je al een beter kerstaanbod heeft gedaan.’ Blijkbaar had deze operator zich nog niet goed ingelezen.”

Lees ook: ‘Gemeente Hof van Twente slachtoffer gijzelsoftware’

De onderhandelingen met de afpersers gaan via de mail of via een chatvenster, laat De Korte zien. Dat is ook de manier om bewijsmateriaal uit te wisselen, om zeker te zijn dat de afpersers de encryptiesleutel hebben en de gestolen data beheren.

Op de gelikte site van REvil krijgt ieder slachtoffer een eigen inlogcode

Op de gelikte website van ransomwaregroep REvil krijgt ieder slachtoffer een eigen inlogcode en wordt ‘de klant’ automatisch gewaarschuwd dat de prijs oploopt als je niet binnen drie dagen betaalt. Als je niet beter zou weten, zou je denken dat je met de servicedesk van een willekeurige reisorganisatie te maken hebt.

Er is zelfs sprake van ‘klantvriendelijkheid’, zo lijkt het. „We snappen dat u onverwachte kosten moet maken”, meldt een chatoperator. Ook De Korte probeert beleefd te blijven en zegt thank you waar hij kan. „Emotioneel klopt het niet, want het zijn criminelen. Maar als je lomp gaat doen, gaat dat ten koste van de prijs.”

Al te vriendschappelijk omgaan met de afpersers is ook weer niet de bedoeling: voor je het weet krijg je een aanbod om een korting met ze te delen, terwijl het getroffen bedrijf de volle mep moet betalen.

De Korte haalt zelf ook soms zo’n truc uit, om een onwillige onderhandelaar onder druk te zetten. „Die chatoperator zat tussen ons en degene die besliste over het geld in. Ik mailde hem: als ik jou nou een paar bitcoin geef, kun je dan toch de laagst mogelijke prijs regelen?”

De reactie was: ‘Dat kun je niet maken - mijn baas leest mee’. Een minuut later was de chatoperator van de zaak afgehaald.

Cybercriminelen willen altijd snel betaald worden. De Korte probeert te balanceren tussen korting afdwingen en tijd rekken – om intussen de gegijzelde computersystemen weer aan de praat te krijgen.

Soms loopt het goed af. Bijvoorbeeld bij een groot Duits bedrijf waar vorig jaar duizenden computers gegijzeld werden. Northwave slaagde erin om backups terug te plaatsen, waardoor de encryptiesleutel niet meer nodig was. De onderhandelingen werden afgebroken.

Als extra meevaller bleken de gestolen bedrijfsgegevens, die de hackers dreigden te publiceren, toevallig op een Amsterdamse server te staan die door de Nederlandse politie in beslag genomen was. Het risico op een datalek was daarmee weg.

Het losgeld, een paar miljoen euro aan bitcoins, was al wel aangekocht. „Het kost tijd om zo’n groot bedrag aan cryptovaluta te verwerven”, aldus Frank de Korte. Ondertussen was de bitcoinkoers echter gestegen, zodat het gehackte bedrijf daarop winst maakte – een geluk bij een ongeluk.

Lees ook: Lek bij Microsoft Exchange treft bedrijven in het hart

Hoe kun je de risico’s op ransomware beperken?

1. Installeer updates direct. Hackers zoeken oude beveiligingsgaten. Maak medewerkers bewust van de risico’s, leer ze phishingmails te herkennen.
2. Bewaar backups los van het netwerk, of in de cloud. Bij een aanval: controleer of de backups zelf niet besmet zijn waardoor je opnieuw wordt gegijzeld.
3. Monitor interne netwerkactiviteit. Hackers proberen grote bestanden te verzamelen en weg te sluizen.
4. Gebruik tweestapsverificatie in plaats van alleen een wachtwoord voor toegang tot bedrijfsnetwerk.

Hoe werken ze? De vier sectoren van de ransomware-industrie

Inbrekers De criminelen komen binnen via softwarelekken, phishing of remote desktop (computer op afstand). Na een eerste verkenning wordt de toegang tot het bedrijfsnetwerk doorverkocht voor circa 2.000- 8.000 euro.
Versleutelaars Ransomware affiliates (partners) banen zich ongezien een weg door het netwerk, sluizen belangrijke data weg en versleutelen zoveel mogelijk computers. Affiliates betalen vaak een licentie voor het gebruik van ransomwaresoftware.
Ransomware-ontwikkelaars Gijzelsoftwareontwikkelaars bouwen de versleutelingssoftware. Ze voeren de regie over de onderhandelingen – die soms worden uitbesteed aan een helpdesk. De hoeveelheid losgeld is zo’n 1 procent van de jaaromzet - de opbrengst wordt verdeeld over de verschillende partijen.
Databeheerders Deze partij slaat de gestolen data op, verstrekt op verzoek ‘bewijsmateriaal’ en publiceert data als er niet betaald wordt.

Lees ook: Column Marc Hijink: De les van het lege kaasschap