Gehackt? Ga snel op jacht naar een paar miljoen aan bitcoins

Gijzelsoftware Cybercriminelen die bedrijven hacken, eisen hun losgeld in cryptovaluta. Waar halen slachtoffers al die bitcoins vandaan, en waar sluizen de hackers ze naartoe? „Het is lastig om zo’n enorm bedrag aan bitcoins bij elkaar te harken. Een race tegen de klok.”

Illustratie Pepijn Barnard

Hoe kom je binnen 48 uur aan een paar miljoen euro in bitcoins? Dat is het nijpende probleem van bedrijven die gegijzeld zijn door cybercriminelen. Hackers breken in, versleutelen alle computers en eisen losgeld, anders geven ze de bestanden niet vrij. Zelfs als je wilt betalen, moet je de cryptovaluta eerst bij elkaar zien te sprokkelen.

Die miljoenen zijn niet overdreven. Colonial Pipeline, de pijpleidingexploitant uit de VS, betaalde afgelopen maand 4,4 miljoen dollar losgeld – in bitcoin - om weer olie te kunnen transporteren. ’s Werelds grootste vleesverwerker JBS werd ook gehackt en maakte deze week 11 miljoen dollar over aan cybercriminelen.

Lees ook Hoe gijzelsoftware bedrijven in zijn greep houdt

Het zijn geen bedragen waar Steven Dondorp van schrikt. Als oprichter en directeur van beveiligingsbedrijf Northwave handelt hij vaak losgeldbetalingen af voor slachtoffers van ransomware – gijzelsoftware. „We hebben de losgeldbedragen sinds 2017 zien oplopen van tienduizenden naar honderdduizenden euro’s en sinds september vorig jaar loopt het vaak in de miljoenen.”

Northwave is een van de cybersecuritybedrijven die als digitale brandweer wordt ingevlogen om netwerken te herstellen, en te onderhandelen met afpersers. Als er geen andere uitweg meer is, handelt Dondorp ook de losgeldbetalingen af. Zo moest hij eind december nog 20 miljoen euro aan losgeld „realiseren” voor een Europees bedrijf dat gehackt was. Wie het slachtoffer was, blijft geheim. Wel wil hij uitleggen hoe zo’n betaling in zijn werk gaat. „Het is lastig om in een of twee dagen zo’n enorm bedrag aan bitcoins bij elkaar te harken, uit alle hoeken van de wereld. Een race tegen de klok.”

De afpersindustrie

Volgens schattingen eisten ransomwarebendes in 2020 wereldwijd 18 miljard dollar aan losgeld: een groei van 80 procent ten opzichte van het jaar ervoor. Deze afpersindustrie bestaat uit verschillende groepen: de hackers die inbreken en toegang tot bedrijfsnetwerken verkopen, de software die criminelen huren om computers te versleutelen en ‘helpdesks’ die slachtoffers assisteren bij de losgeldbetaling.

Lees ook: Onderhandelen over gijzelsoftware: ‘We hadden toch 10 miljoen afgesproken?

De daders zitten vaak in Rusland, waar ze niet worden lastiggevallen door de politie, zolang ze geen Russische instanties gijzelen.

Het gevraagde losgeld bedraagt meestal tussen de 0,4 tot 2 procent van de bedrijfsomzet. Criminelen zoeken wel eerst uit wat de cashflow van het slachtoffer is, zegt Dondorp. „Ze willen snel geld zien – en niet maanden hoeven te onderhandelen.”

Het officiële advies van de politie is: betaal niet, want dat houdt het criminele systeem in stand. Maar als IT-experts geen enkele mogelijkheid hebben om computers te herstellen, moet je toch betalen om bestanden weer vrij te krijgen of – dreigement nummer twee - gestolen bestanden terug te krijgen.

Mag je zomaar geld overmaken naar criminelen? Nee, zegt Dondorp. Northwave heeft een vergunning van het ministerie van Justitie en Veiligheid om losgeldbetalingen te regelen mits er, in de woorden van Dondorp, ‘proportionele en redelijke afwegingen’ zijn gemaakt. Dondorp: „Het wordt gedoogd, maar we moeten wel alles vastleggen. We werken veel samen met politie en krijgen regelmatig bezoek van de fraude- en antiterrorisme-afdeling van banken.”

In een onderhandelingsspel via de chat wordt met de afpersers een bedrag vastgesteld. De cybercriminelen moeten op hun beurt bewijzen de juiste sleutel in bezit hebben. Dan begint de klok te lopen: er moeten bitcoins aangekocht worden. Van tevoren inslaan is geen optie: de koers is hiervoor veel te wankel.

Een buffer aan bitcoins

Northwave betaalt niet zelf, maar werkt samen met het Nederlandse bitcoinbedrijf Bitonic. Mede-oprichter Niels van Groningen heeft de losgeldbedragen de afgelopen maanden zien oplopen tot in de miljoenen – ook die van andere IT-bedrijven die bij Bitonic aankloppen voor hun ransomware-gevallen. „Vaak belt Steven me op onmogelijke momenten: ’s avonds laat, in het weekeinde, of op een feestdag.”

Bitonic houdt een buffer aan voor de handel van gewone klanten, ook in het weekeinde. Maar dat is niet genoeg om in een keer 10 of 20 miljoen euro aan bitcoins over te kunnen maken. Bitonic koopt zo’n groot bedrag aan op drie internationale beurzen tegelijk. Van Groningen: „We kopen alleen in bij exchanges die we goed kennen. Er zijn nogal wat louche beurzen die met de noorderzon kunnen verdwijnen of zeggen dat ze gehackt zijn – dan is al het geld opeens weg.”

Door bitcoins op verschillende plekken te kopen, spreidt Bitonic het risico. Je komt niet direct in de problemen als een site even uit de lucht is, en je voorkomt dat je de koers opjaagt door op één plek groot in te kopen.

De impact van ransomwarebetalingen op het totale handelsvolume is niet groot, zegt Van Groningen: „Minder dan 0,1 procent denk ik. De liquiditeit is enorm toegenomen omdat veel mensen in bitcoin zijn gestapt.”

Zodra het bedrag is verzameld, maakt Bitonic het bedrag over naar het bitcoinadres dat de cybercriminelen aanleverden. Een secuur werkje: de adressen bestaan uit lange reeks tekens. Van Groningen: „Voor ik zo’n groot bedrag verstuur kijk ik wel honderd keer of het klopt.”

Bitonic vraagt transactiekosten voor de ransomwareoverboekingen, maar minder dan gebruikelijk. Het bedrijf hanteert voor de ransomwarebetalingen een tarief dat de helft lager ligt dan voor gewone klanten. Van Groningen: „We moeten wel wat vragen, want wij lopen ook koersrisico.”

Steven Dondorp: „Als Northwave verdienen wij niets aan deze transacties – het is geen dienst op zich maar een onderdeel van onze digitale noodhulpverlening. Ik ziet het als een noodzakelijk kwaad om bedrijven uit de brand te helpen – maar dan moeten ze hun systemen in de toekomst wel beter beveiligen.”

Bitcoins zijn in een paar minuten overgemaakt, het reguliere bankverkeer is een groter obstakel bij het betalen van de afpersers. Om bitcoins te kopen moet de boekhouder van het getroffen bedrijf eerst via de bank geld overmaken naar Bitonic. Zo’n transactie vergt soms dagen.

Bij grotere bedragen koopt het bitcoinbedrijf dan met iDeal-betalingen – maximaal 50.000 euro per keer – bitcoins op de internationale beurzen. Dondorp: „Bij de bank gaat vaak een rood lampje branden als je probeert om 10 miljoen euro over te maken in een paar honderd iDeal-betalingen. Het fraudedetectiesysteem blokkeert de boel dan. Dan moet er iemand naar kijken – en moet je weer een dag wachten.”

Korting op het losgeld

Terwijl de klok door tikt, voeren de afpersers de druk op om zo snel mogelijk te cashen. Ze dreigen en lokken tegelijk. Op de website van de ransomwaregroep, waarop ieder slachtoffer een eigen account krijgt, mét chatsupport, loopt de teller door in uren, minuten en seconden. Wie de deadline niet haalt, moet twee keer zoveel losgeld betalen. Alsof je naar een tijdelijke vakantieaanbieding zit te kijken.

De afpersers beloven ook 10 of 20 procent korting als je betaalt in Monero. Deze cryptomunt biedt meer privacy dan de bitcoin, wat het witwassen van de buit makkelijker maakt.

Cryptotransacties worden bijgehouden in een grootboek, de beroemde blockchain. Bij de bitcoin weet je als buitenstaander niet wie er achter het cryptoadres zit, maar je kunt in het grootboek wel zien in welke portefeuilles de bedragen verdwijnen. Monero is een muntsoort die de transactiehistorie en saldo’s beter verbergt voor de buitenwereld. Dondorp: „Wij doen geen betalingen in Monero. Als klanten dat per se willen, moeten ze dat zelf maar regelen.” Die paar procent korting valt volgens hem in het niet bij de enorme verliezen die de getroffen bedrijven dagelijks lijden als de tent plat ligt. De digitale afpersmachine draait voorlopig dus op bitcoins.

Waar blijven die foute bitcoins?

Hoewel bitcointransacties worden opgeslagen en doorzoekbaar zijn, vinden criminelen toch manieren om anoniem te cashen of foute bitcoins om te zetten in ‘schone’ cryptovaluta. Ze kunnen het bedrag wegsluizen naar schimmige cryptobeurzen die de identiteit van hun klanten niet controleren, of na een paar maanden in rook opgaan. Daarbij lopen de afpersers zelf het risico een deel van hun buit te verliezen.

Er zijn ook diensten die bedragen anonimiseren, door ze op te breken in kleine fragmenten, of ze om te zetten in andere valuta. Als je de achterliggende transactiegeschiedenis analyseert, zijn fragmenten later nog in portefeuilles te herkennen.

Niels van Groningen: „We zien soms zo’n splinter terugkomen van geld dat wij ooit betaald hebben voor ransomware. Maar dat zegt weinig. Bij grote bedragen vragen we de klant wel wat er aan de hand is.”

Er zijn inmiddels maatregelen genomen tegen witwassen in de cryptowereld. In Nederland moeten cryptobeurzen overboekingen boven de 15.000 euro melden aan de Finance Intelligence Unit van de politie en de identiteit van hun klanten verifiëren. Bitonic maakte onlangs succesvol bezwaar tegen een nog strengere registratieplicht. Toezichthouder DNB wilde dat handelaren in cryptomunten controleren of iemand ook echt de eigenaar is van de digitale portemonnee. Daarmee moet voorkomen worden dat geld wordt overgeboekt naar personen op de internationale sanctielijsten. Het is echter nog altijd een fluitje van een cent om bitcoins over te boeken naar een beurs of een land waar de regels minder streng zijn.

Een symbolische overwinning

Bitcoin biedt houvast om de geldsporen te volgen en het criminele netwerk in kaart te brengen. Afpersers maken niet altijd voor elk slachtoffer een apart bitcoinadres aan. Zo is aan de overboekingen te zien hoe ransomwaregroepen meerdere slachtoffers maken, voordat ze het geld wegsluizen.

Lees ook: Hackers overspelen hun hand met ontwrichtende cybergijzelingen

Dondorp: „Er zijn maar een paar diensten waar deze criminelen hun geld naartoe verhuizen om te cashen. Onze schatting is dat meer dan de helft van alle witwaspraktijken naar slechts 300 stortingsadressen gaat. Daar kunnen opsporingsinstanties op inspelen.”

Betaalde bitcoins gaan niet altijd verloren. Afgelopen week confisqueerde de FBI op een cryptobeurs het gros van het losgeld van Colonial Pipeline. „Er is geen plek waar je de buit voor ons kunt verbergen”, schreef FBI-adjunctdirecteur Paul Abbate in een persbericht

Na de cyberaanval op Colonial Pipeline, die leidde tot een piek in de brandstofprijzen en lokale tekorten, geeft de VS de bestrijding van ransomware dezelfde prioriteit als terrorisme.

„Alles en iedereen was er bij de Colonial Pipeline-zaak op gericht om de daders op te jagen. De verantwoordelijke DarkSide-groep lijkt inderdaad uit de lucht” zegt Steven Dondorp. „Maar er komt ook geluk bij kijken. Sommige criminelen sturen door haast, overmoed of onwetendheid te snel hun cryptomunten naar een beurs om zich uit te laten uitbetalen.”

De inbeslagname is ieder geval een belangrijke symbolische overwinning voor de FBI. Wel met één kleine kanttekening: door de scherpe koersval van de bitcoin – onder meer door strengere cryptoregulering die de VS aankondigde – is de waarde van de in beslag genomen buit in een maand tijd gehalveerd. Dus krijgt Colonial maar de helft van zijn dollars terug.