:format(webp)/s3/static.nrc.nl/bvhw/files/2021/12/data80128016-761652.jpg)
Tevergeefs reden automobilisten urenlang van pomp naar pomp. Of ze sloten achteraan aan in lange rijen voor de benzinestations die nog niet door hun voorraad heen waren, en laadden de achterbak van hun pickup vol met jerrycans benzine.
Het begon allemaal op de vroege ochtend van 7 mei. Op een beeldscherm in de controlekamer van het Amerikaanse bedrijf Colonial Pipeline verscheen een afpersingsbriefje van het waarschijnlijk vanuit Rusland opererende hackerscollectief DarkSide. De bestanden van Colonial Pipeline waren versleuteld. Alleen tegen betaling van 75 bitcoins (op dat moment zo’n 4,4 miljoen dollar) zou de gijzeling van de bestanden worden beëindigd.
Colonial Pipeline exploiteert een bijna negenduizend kilometer lange pijpleiding die benzine en andere brandstoffen vervoert tussen raffinaderijen aan de Golf van Mexico en de haven van New York – tot wel drie miljoen vaten per dag. Bijna de helft van alle brandstof aan de Amerikaanse oostkust gaat door deze buizen naar havens, vliegvelden en duizenden tankstations. Iets meer dan een uur na de ontdekking van de hack had het bedrijf de hele brandstofleiding uit voorzorg stilgelegd.
Aanvallen met gijzelsoftware zorgden in 2021 ook in de offline wereld voor grote maatschappelijke ontwrichting
Topman Joseph Blount zou nog dezelfde dag betalen, maar het duurde bijna een week voor de pijpleiding weer volledig in gebruik kon worden genomen. Hamsterende automobilisten veroorzaakten op veel plekken een brandstoftekort en de benzineprijzen bereikten het hoogste niveau in bijna zeven jaar. In verschillende staten werd de noodtoestand uitgeroepen.
Aanvallen met gijzelsoftware zorgden in 2021 ook in de offline wereld voor grote maatschappelijke ontwrichting. Westerse autoriteiten hebben de jacht op de bendes erachter flink opgevoerd, wat hier en daar leidt tot succesjes in de vorm van arrestaties of ‘herovering’ van het afgeperste losgeld. Veel lastiger blijft het om de regeringen verantwoordelijk te stellen die deze criminelen onderdak bieden of zelfs aansturen – Rusland voorop. De aanpak van digitale gijzelingsacties zal daarom in 2022 vaker op de agenda van de wereldpolitiek staan, als het aan de VS en hun bondgenoten ligt.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data73266570-9f7eea.jpg)
‘Ze zijn naar me op zoek’
Een week na de aanval was het DarkSide zelf dat zijn activiteiten moest stilleggen, „wegens druk van de Verenigde Staten”, zo viel te lezen in een Russische verklaring die het hackerscollectief publiceerde. De groep was de controle kwijtgeraakt over het blog dat DarkSide op het dark web publiceerde, en – belangrijker – over het systeem waarmee slachtoffers hun losgeld moesten betalen. In juni maakte de Amerikaanse justitie bekend dat de FBI bijna 64 van de 75 door Colonial Pipeline betaalde bitcoins had onderschept – door een tussentijdse koersdaling nog zo’n 2,3 miljoen dollar waard.
Dat was niet het enige succes van de opsporingsdiensten. Zo wisten diensten uit verschillende landen bij een gezamenlijke operatie in het najaar de servers van het beruchte REvil binnen te dringen. Deze bende, die vermoedelijk ook opereert vanuit Rusland, wordt onder meer verantwoordelijk gehouden voor aanvallen op vleesverwerker JBS en IT-bedrijf Kaseya. „De server is gekraakt, en ze zijn naar me op zoek. Ik ben ervandoor”, schreef een topfiguur uit de bende op een Russisch hackersforum.
„Dit jaar alleen al zijn er achttien operaties van opsporingsdiensten geweest. Dat is meer dan in de afgelopen vijf jaar samen”, zegt Allan Liska, een analist van het Amerikaanse beveiligingsbedrijf Recorded Future, aan de telefoon. „Er is heel duidelijk een gecoördineerde, wereldwijde campagne op gang gekomen om ransomwarebendes aan te pakken. In de tweede helft van dit jaar zijn aanvallen op zorginstellingen en scholen wereldwijd flink afgenomen.”
Een Zweedse supermarktketen sloot tijdelijk honderden vestigingen
De toegenomen belangstelling van opsporingsdiensten voor ransomware is niet verrassend. De hack bij Colonial Pipeline was niet de eerste, en zeker ook niet de laatste ontwrichtende hack in 2021. In maart hadden hackers 40 miljoen dollar geëist van een groot schooldistrict in Florida voor de ontsleuteling van zijn bestanden. Toen het district weigerde te betalen, zetten de hackers de persoonlijke gegevens van vijftigduizend studenten en medewerkers op internet. Een andere ransomwarebende deed in mei hetzelfde met gegevens van honderden politieagenten uit Washington DC.
’s Werelds grootste vleesverwerker JBS moest kort na de aanval op Colonial Pipeline slachterijen in onder meer de VS en Australië stilleggen door ransomware. En toen hackers in juli een lek vonden in de software VSA van het bedrijf Kaseya, waarmee ict-dienstverleners de systemen van hun klanten op afstand kunnen beheren, werden wereldwijd zeker 1.500 bedrijven getroffen. Een Zweedse supermarktketen sloot tijdelijk honderden vestigingen.
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data71599231-99b48b.jpg)
Plaag
Met de ransomwareplaag zijn enorme bedragen gemoeid. Volgens cijfers van het Amerikaanse ministerie van Financiën zou in de eerste helft van 2021 alleen al 560 miljoen dollar aan losgeld zijn betaald. Wereldwijd gaat het om vele miljarden.
Ook Colonial Pipeline (4,4 miljoen dollar) en JBS (11 miljoen dollar) maakten allebei al snel het gevraagde losgeld over. De economische schade van een langdurige gijzeling is immers veel groter. Liska is dan ook niet voor een verbod op losgeldbetalingen, een vaak bepleite maatregel die de voedingsbodem voor ransomware zou moeten wegnemen: „Als je geen goede backups hebt, en je bedrijf dreigt ten onder te gaan, of als je een ziekenhuis hebt en bang bent dat je patiënten overlijden, dan kan ik het je niet kwalijk nemen als je betaalt.” Een verbod zou bovendien averechts kunnen werken, vreest hij. Veel bedrijven zullen dan wegen zoeken om via tussenpersonen alsnog te betalen. „We willen afpersers niet nóg iets geven om hun slachtoffers mee te chanteren.”
In de Verenigde Staten loofde justitie tien miljoen dollar uit voor informatie over de leiders van REvil en DarkSide
Het aanpakken van het losgeld – naast betere beveiliging, opsporing en ‘terughacken’ – is een belangrijke pijler van het offensief tegen gijzelsoftware. Zo zette Washington een Russisch bedrijf op de sanctielijst dat cybercriminelen zou helpen om hun afgeperste bitcoins in te wisselen en wit te wassen. Een goede zet, denkt Liska: „Als we de infrastructuur van ransomwarebendes kunnen verstoren is dat goed, maar als we ervoor kunnen zorgen dat ze hun geld niet kunnen uitgeven, des te beter.”
De toegenomen belangstelling van opsporingsdiensten veroorzaakt bovendien onrust in ransomwarebendes. In de Verenigde Staten loofde justitie in november tien miljoen dollar uit voor informatie over de leiders van REvil en DarkSide. Liska: „Het gaat al om een paranoïde groep mensen, en die moeten zich nu ook nog zorgen maken dat hun buren, een van hun onderaannemers of iemand met wie ze op de middelbare school een keer ruzie hebben gehad, ze voor die beloning zal uitleveren aan justitie.” Verschillende leiders en onderaannemers van REvil werden de afgelopen maanden aangeklaagd of opgepakt.
Russische staatshackers
Toch blijft de opsporing en de vervolging van leiders van ransomwarebendes een probleem. De meeste arrestanten tot nu toe zijn onderaannemers die de gijzelsoftware ‘huren’ in ruil voor een percentage van de opbrengst – het bedrijfsmodel van de meeste grote ransomwarebendes. Die zogenoemde ‘affilliates’ bevinden zich in de hele wereld – onlangs nog werden drie verdachten opgepakt in Canada – maar de leiders van de hackersorganisaties blijven buiten beeld.
In de meeste gevallen wordt aangenomen dat die zich in Rusland bevinden, waar ze ongemoeid worden gelaten zolang ze binnenlands geen slachtoffers maken. Hoewel keihard bewijs ontbreekt dat het Kremlin direct betrokken is bij ransomware-aanvallen, zijn er veel aanwijzingen dat de Russische overheid die op zijn minst tolereert.
Beveiligingsbedrijven vonden in verschillende onderzoeken tal van personele links tussen cybercriminelen en inlichtingendiensten, en ook opvallende overeenkomsten in de programmeercode van sommige ransomware en kwaadaardige software die gebruikt is door Russische staatshackers. Het Russische surveillanceapparaat heeft voldoende inzicht in en controle over ransomwarebendes om ze uit te schakelen als ze dat zou willen, constateren de onderzoekers bovendien.
Vermoedelijke leiders van ransomwareaanvallen leiden openlijk een luxeleven in Russische steden
Maar vermoedelijke leiders van ransomwareaanvallen leiden openlijk een luxeleven in Russische steden. En in een van de meest prestigieuze wolkenkrabbers van Moskou, Federatietoren Vostok, zijn volgens Bloomberg en The New York Times zeker vier cryptobedrijven gevestigd die volgens de Amerikaanse autoriteiten betrokken zijn bij het witwassen van losgeld dat door ransomwarebendes is afgeperst. Medeoprichter Denis Dubnikov van een van die bedrijven, EggChange, werd in november opgepakt op Schiphol en overgedragen aan de Amerikanen.
Volgens Dmitri Alperovitch, medeoprichter van het cyberbeveiligingsbedrijf CrowdStrike en van de Silverado Policy Accelerator, een Amerikaanse denktank, dient de Russische ransomwareindustrie voor het Kremlin „een strategisch doel: het verstoren van de Amerikaanse economie en het zaaien van angst onder Amerikaanse ondernemers”, zo schreef hij in december in het blad Foreign Affairs. „Bovendien zijn de cybercriminelen waardevol als wisselgeld bij internationale onderhandelingen. Rusland kan actie tegen ransomware aanbieden in ruil voor concessies, in plaats van actie tegen strategisch belangrijkere, door de staat gesteunde hackersactiviteiten.”
„Toelaten dat hackers hun vaardigheden en techniek verbeteren, levert het Kremlin voordeel op dat het kan gebruiken wanneer het dat nodig vindt”, constateert onderzoeker Michael John Williams van de Syracuse University in Foreign Policy. Inderdaad zijn er aanwijzingen dat cybercriminelen door Russische diensten worden gerecruteerd, al dan niet vrijwillig.
Topontmoeting
Dat maakt van ransomware ook een geopolitieke kwestie. Bij zijn reis door Europa in juni probeerde president Biden zowel op bezoek bij de NAVO als op de G7-top in Cornwall bondgenoten te vinden om Rusland aan te pakken.
Bij een ontmoeting met president Poetin in Genève, presenteerde Biden hem een lijst met zestien cruciale sectoren, zoals ziekenhuizen, drinkwatervoorziening, energiebedrijven en andere cruciale infrastructuur. Cyberaanvallen op die sectoren zouden op tegenmaatregelen kunnen rekenen. „Hoe zou jij je voelen als ransomware de pijpleidingen van je olievelden zou stilleggen?”, heeft hij Poetin naar eigen zeggen gevraagd.
De twee spraken volgens Biden af om te blijven overleggen over de aanpak van ransomware. Maar Poetin herhaalde op een persconferentie na afloop zijn ontkenning dat de Russische autoriteiten iets te maken hebben met de aanvallen, en beweerde dat de meeste hacks juist uit de Verenigde Staten komen. Een Russische zorginstelling zou door Amerikaanse ransomware zijn getroffen.
Drie maanden na de ontmoeting constateerde plaatsvervangend FBI-directeur Paul Abbate op een conferentie dat de ransomwarebendes in Rusland gewoon doorgaan, en dat Amerikaanse rechtshulpverzoeken niets hebben opgeleverd. Hoewel hackaanvallen op grote bedrijven als Colonial Pipeline en JBS in de tweede helft van het jaar uitbleven, melden beveiligingsbedrijven juist een toename op andere plekken. „Ransomwareaanvallen in bijvoorbeeld Duitsland en Frankrijk nemen toe”, zegt Liska. „Dat kan erop wijzen dat hackers hun aandacht verleggen naar slachtoffers buiten de Verenigde Staten.”
In oktober belegde het Witte Huis een virtuele topconferentie met de Europese Unie en dertig individuele landen, waaronder Nederland, om de internationale samenwerking bij de bestrijding van ransomware te verbeteren. Die afspraken richten zich op betere preventie en interventie en op de aanpak van de geldstromen rond ransomware, maar ook op diplomatie. Rusland was niet uitgenodigd.
:format(webp)/s3/static.nrc.nl/bvhw/files/2021/06/data72124581-9e9b81.jpg)