Overspelen hackers achter ontwrichtende cybergijzelingen hun hand?

Ransomware Met een aantal recente aanvallen op cruciale infrastructuur hebben hackersgroepen de aandacht onbedoeld op zichzelf gevestigd.

Vestiging van de Braziliaanse vleesfabrikant JBS in Greeley, in de Amerikaanse staat Colorado. Slachthuizen van het bedrijf, ’s werelds grootste vleesproducent, zijn stilgelegd door een cyberaanval.
Vestiging van de Braziliaanse vleesfabrikant JBS in Greeley, in de Amerikaanse staat Colorado. Slachthuizen van het bedrijf, ’s werelds grootste vleesproducent, zijn stilgelegd door een cyberaanval. Foto Michael Ciaglo / Bloomberg

Tienduizenden varkens en koeien kregen deze week even uitstel van executie. Door een cyberaanval op ’s werelds grootste vleesfabrikant, het Braziliaanse JBS, moesten slachthuizen in Canada, de Verenigde Staten en Australië de deuren tijdelijk sluiten. Zo’n tienduizend medewerkers in de getroffen slachthuizen werden – vaak zonder salaris – naar huis gestuurd.

Maandag werd duidelijk dat het ging om een aanval met ransomware, kwaadaardige software die bestanden op getroffen systemen versleutelt, waarna hackers losgeld eisen om de gegevens weer toegankelijk te maken. De aanval op JBS wordt door de Amerikaanse autoriteiten toegeschreven aan criminelen die opereren vanuit Rusland.

In zulke online gijzelingen gaan grote bedragen om: een beveiligingsbedrijf schat dat in 2020 wereldwijd zeker 18 miljard dollar (14,7 miljard euro) aan losgeld is betaald, en zo’n 6 miljard dollar in het jaar daarvoor.

De aanvallen hebben steeds vaker grote gevolgen voor cruciale infrastructuur, voedselvoorziening of gezondheidszorg. JBS is goed voor 20 procent van de vleesproductie in de VS, en langere sluiting zou al snel tot tekorten leiden. Inmiddels zegt JBS zijn systemen weer op te starten. Het zou hebben beschikt over goede backups. Of het bedrijf ook losgeld heeft betaald, is onduidelijk.

Brandstofleiding

Het Amerikaanse Colonial Pipeline tastte vorige maand wel flink in de buidel. Topman Joseph Blount gaf in een interview met The Wall Street Journal toe 4,4 miljoen dollar (ruim 3,6 miljoen euro) te hebben betaald nadat de hackersgroep DarkSide de computers van het bedrijf had lamgelegd. Colonial Pipeline moest de brandstofleiding stilleggen die bijna de helft van de benzine, diesel en kerosine voor de Amerikaanse oostkust vervoert. De benzineprijzen stegen naar het hoogste niveau in bijna zeven jaar, er ontstonden lange rijen voor tankstations, en de gouverneurs van Florida, North Carolina en Virginia riepen de noodtoestand uit.

Lees ook Geen benzine meer te krijgen: vijf vragen over de cyberaanval op Colonial Pipeline

De FBI en CISA, het Amerikaanse agentschap voor cybersecurity, raadt bedrijven af losgeld te betalen. Niet alleen houdt dat de ransomindustrie in stand, bovendien garandeert betaling niet altijd dat gegevens weer toegankelijk worden, en computersystemen weer veilig. Maar de grote impact van een datagijzeling weegt in de praktijk vaak zwaarder. „Ik voelde me er niet prettig bij”, aldus Blount. „Maar het was de juiste beslissing voor het land.”

De Ierse nationale organisatie voor gezondheidszorg HSE maakte deze maand kennis met een andere strategie van datagijzelnemers. De vermoedelijk Russische hackersgroep Wizard Spider had de gegevens versleuteld, maar dreigde ook om de zeer gevoelige data openbaar te maken als de HSE geen 20 miljoen dollar (16,4 miljoen euro) zou betalen. Om dat dreigement kracht bij te zetten, postten de hackers alvast 27 bestanden met onder meer patiëntgegevens online.

Het is een strategie die afpersers vaker gebruiken. Met goede backups is een ransomware-aanval soms nog wel te boven te komen zonder te betalen, maar tegen het dreigement om gevoelige informatie te openbaren is het moeilijker je te wapenen.

De Russische hackersgroep Wizard Spider zette alvast wat patiëntgegevens online

De aanval op de HSE nam vorige week echter een verrassende wending. De hackers stelden ineens een tool beschikbaar waarmee de gegevens van de HSE ontsleuteld kunnen worden. De HSE is inmiddels begonnen met het herstel van zijn systemen, al kan het nog weken duren voordat de zorg weer op het oude niveau is.

De Ierse autoriteiten houden vol dat er niet is betaald. Wel kwamen ze direct in actie toen de aanvallers met publicatie van gegevens dreigden: ze vroegen en kregen een gerechtelijk verbod op de verspreiding van de informatie. De hackers zullen zich daar weinig van aantrekken, maar de uitspraak zorgt wel dat zoekmachines als Google de data niet mogen ontsluiten, wat de impact van de dreiging vermindert. Ook sprak minister Simon Coveney van Buitenlandse Zaken zijn Russische ambtgenoot Lavrov aan op de aanval.

Criminele klanten

Ook DarkSide, de hackersgroep die verantwoordelijk is voor de aanval op Colonial Pipeline, zette eerder een onverwachte stap: op 13 mei kondigde de groep het einde aan van zijn Ransomware-as-a-service (RaaS), waarbij criminele klanten de software huren om er zelf bedrijven mee af te persen. Volgens de Russische aankondiging, waarvan beveiligingsbedrijf Intel 471 een vertaling publiceerde, waren servers en geïncasseerde cryptomunten van de groep „in beslag genomen”. DarkSide beroept zich op „druk van de Verenigde Staten” en zegt ‘klanten’ schadeloos te willen stellen.

In een persconferentie sloot de Amerikaanse president Joe Biden „vergeldingsaanvallen” tegen de hackers achter de aanval op Colonial Pipeline niet uit. Hij zei bovendien de zaak te bespreken met zijn Russische ambtgenoot Poetin, die hij deze maand ontmoet in Genève.

Bij die top staat cyberveiligheid nadrukkelijk op de agenda. Veel grote hackaanvallen zijn volgens inlichtingendiensten terug te voeren op Russische groepen, die gedoogd worden door de Russische autoriteiten.

De toenemende belangstelling van opsporingsinstanties en regeringen na de aanvallen op Colonial Pipeline en HSE lijkt sommige ransomwarebendes te veel te worden. Tegen persbureau Reuters zegt beveiligingsexpert Allen Liska dat meer ransomwaregroepen, zoals REvil en Avaddon, hebben besloten om overheden, non-profits en zorgorganisaties te mijden.

Daarmee is het probleem niet uit de wereld. De Franse verzekeringsgigant AXA werd getroffen door een grote ransomwareaanval, kort nadat het bedrijf aangekondigde klanten niet langer tegen ransomwareaanvallen te willen verzekeren.