Hoe onderhandel je met cybercriminelen? Algemeen directeur van securitybedrijf Northwave Nederland, Pim Takkenberg, schetst de wereld die schuilgaat achter ransomware. ‘Het is net als bij de keukenboer. Wil je een hoge korting, dan moeten ze dat eerst aan hun manager vragen.’
Op de achtste etage van een kantorenverzamelgebouw op het Utrechtse bedrijvenpark Papendorp laat Pim Takkenberg op zijn scherm chatgesprekken en mailwisselingen met cybercriminelen zien. Een hackergroep stelt zich voor, meldt de versleuteling van alle bestanden van – in dit geval – een mediabedrijf en biedt aan om een proefbestand te ontsleutelen. De conversaties worden via een tor-site afgewerkt, zodat de afzender niet te herleiden is. In de chat meldt de groepering dat ze in het bezit zijn van de data op de systemen van de ceo, cto en cio. Alles om de druk op te voeren. Welkom in de wereld van ransomware.
Bedrijven zijn regelmatig slachtoffer van ransomware-aanvallen. Criminelen dringen het netwerk binnen, stelen data, maken de backups ontoegankelijk en versleutelen de systemen. Vervolgens vragen ze losgeld voor het ontsleutelen van die data en systemen. Vaak is het voor bedrijven een simpele rekensom: wat kost het om de systemen te ontsleutelen en wat is de schade als ik niet betaal?
Paniek
Takkenberg: ‘Bedrijven die het slachtoffer zijn van ransomware bellen ons meestal in paniek op en stellen dan bijna altijd dezelfde vraag: ‘Moeten we betalen?’ Ons antwoord is altijd: ‘Nee, tenzij…’ Hij somt de vragen op die hij aan de slachtoffers van ransomware stelt: welke domeinen zijn versleuteld, zijn er backups, zijn die gewist of ook versleuteld?
Hij vervolgt: ‘Meestal kunnen we binnen een halfuur een inschatting maken van wat er aan de hand is en welke kant het opgaat. Wat de omvang is van het aantal servers, hoeveel servers er zijn versleuteld en ga zo maar door.’ Vrijwel in alle gevallen dringen de criminelen via Windowssystemen het netwerk binnen. Bedrijven met Unix- of Linux-omgevingen ontspringen de dans. Ook hebben opvallend veel organisaties die slachtoffer zijn van ransomware alle backups online staan. Daardoor kunnen ze deze niet herstellen of offline ophalen en terugzetten, vertelt Takkenberg.
De ransomware-aanvallen hebben voor de slachtoffers vrijwel altijd een grote impact. Van het ene op het andere moment ligt de bedrijfsvoering plat omdat ze niet bij systemen kunnen. Takkenberg adviseert dan ook om altijd in contact te treden met de criminelen. Om te checken of ze daadwerkelijk in het bezit zijn van de sleutel. Om te vragen welk bedrag ze eisen aan losgeld en om te controleren welke data ze hebben. Vaak wordt daarbij de hulp van een securitybedrijf ingeschakeld.
Betalen voor ransomware?
Politie en justitie raden af om aan criminelen te betalen voor het ontsleutelen van ransomware. Door te betalen wordt een crimineel ‘bedrijfsmodel’ in stand gehouden, is de gedachte. Toch besluiten slachtoffers vaak om de portemonnee te trekken omdat de schade door inkomstenderving door versleutelde systemen vaak vele malen hoger ligt dan het geëiste losgeldbedrag. Bijvoorbeeld als een bedrijf dagen tot weken geen zaken kan doen doordat het geen toegang heeft tot systemen.
Vaak wordt gezegd dat ongeveer de helft van de ransomware-slachtoffers betaalt voor het ontsleutelen van systemen. Volgens Takkenberg wordt in bijna tachtig procent van de gevallen losgeld betaald. Hij vermeldt er wel bij dat het percentage in zijn geval relatief hoog is omdat het in de gevallen die hij ziet vaak gaat om slachtoffers die aankloppen voor hulp ná een aanval.
Strijd
Takkenberg tuurt naar zijn scherm en legt uit dat de strijd de laatste jaren is verhard. Naast het eisen van losgeld voor gegijzelde systemen dreigen de criminelen ook om gestolen concurrentie-, of privacygevoelige data door te verkopen of openbaar te maken. Daarbovenop dreigen ze ook steeds vaker met een ddos-aanval waarmee de website van het bedrijf wordt platgelegd. Zo wordt op drie fronten tegelijk de druk opgevoerd. Alles om slachtoffers te dwingen tot het betalen van losgeld.
Maar, er zijn ook bedrijven die de poot stijf houden. Vaak met grote gevolgen voor de bedrijfsvoering. Het kost hen bijvoorbeeld veel tijd en moeite om weer de draad op te pakken. Zo had de gemeente Hof van Twente vier maanden na een ransomware-aanval nog steeds de zaken niet op orde. Naast drie a vier miljoen euro schade had de keuze om niet te betalen ook grote gevolgen voor de ambtenaren waarbij in sommige gevallen twintig jaar werk verloren ging.
Geen webschurk met capuchon
Wie zitten er eigenlijk achter die aanvallen? Takkenberg, die eerder voor de politie werkte en daar bij de landelijke eenheid het Team High Tech Crime opzette, heeft een scherp profiel van de cybercriminelen. Dat beeld strookt niet met het clichébeeld van een webschurk in een donkere kamer met een capuchon over zijn hoofd. Het zijn vaak daders van Russische komaf, ze werken in een zakelijke, kantoorachtige omgeving. Ze zijn meestal tussen de achttien en de 28 jaar en hebben banden met inlichtingendiensten’, vertelt de directeur van de Utrechtse ict-beveiliger. Uit hun werkwijze maakt hij op dat ze in ploegendiensten werken. Bijvoorbeeld doordat een onderhandeling na een bepaalde tijd wordt overgenomen door ‘een andere collega’.
Takkenberg onderscheidt in het digitale boevengilde gespecialiseerd in ransomware drie ‘rollen’. De ‘ransomware developer’ ontwikkelt de gijzelsoftware. De ‘initial access broker’ brengt in kaart brengt waar potentiële slachtoffers zitten en verkoopt de informatie door. Ook is er de ‘ransomware affiliate’. Die zet in de volgende fase de gijzelsoftware in en verfijnt de aanval per individueel bedrijf of organisatie.
Het spel
De aanvallers doen uitgebreid hun huiswerk en zijn selectief in de keuze voor slachtoffers. Ze beschikken over uitgebreide bedrijfsprofielen en weten precies waar ze kunnen toeslaan. Hij laat zien hoe online-bedrijfsprofielen worden uitgewisseld van mogelijke aanvalsdoelen. De stukken bevatten uitgebreide financiële informatie van bedrijven die de criminelen op de korrel hebben. Op eigen ‘nieuwssites’ publiceren ze over het verloop van hun aanval.
Takkenberg kent het spel door en door. De gemiddelde groepering eist tussen de 0,4 en twee procent van de jaaromzet van een bedrijf aan losgeld. In de onderhandelingen is voor tientallen procenten aan korting op het losgeld te bedingen. Dat gaat er net zo aan toe als bij een keukenboer. ‘Als je een hoge korting wil, dan moeten ze eerst even aan hun manager vragen’, vertelt hij.
Betalen in Bitcoin
De aanvallers eisen hun losgeld steevast in bitcoin of andere cryptovaluta. Omgerekend gaat het vaak om bedragen van enkele tonnen tot miljoenen euro’s. Hij benadrukt dat securitybedrijven onder streng toezicht staan van de Nederlandse bank als ze grote bedragen aan giraal geld omzetten in de gevraagde cryptomunt.
Vaak is een ransomware-aanval ‘gewoon’ gedekt door een verzekeraar. In de cyberpolissen is vastgelegd dat er losgeld is uit te keren. Takkenberg ziet wel dat verzekeraars de laatste tijd meer vooronderzoek doen naar de beveiliging van bedrijven voordat ze een polis afsluiten. Ook keren ze minder vaak uit als een bewuste ransomware-groepering op sanctielijsten van de EU of de VS staan. Door het financieel steunen van criminelen die banden hebben met terroristische organisaties kunnen ze juridisch in de knel komen, omdat het betalen van losgeld als een gift aan een terroristische organisatie wordt gezien.
Hoe ziet de aanval eruit?
Takkenberg schetst met behulp van een Powerpoint de anatomie van een ransomware-aanval. Die begint meestal bij het uitbuiten van een kwetsbaarheid van een server die aan internet hangt. ‘Voor bekende kwetsbaarheden zijn vaak kant-en-klare hulpmiddelen beschikbaar.’ Ook wordt toegeslagen via phishing. Dat is een e-mail met malafide attachment of link, die meestal op maat gemaakt is en vrijwel niet van echt te onderscheiden is. Een derde manier waarop wordt toegeslagen, is door het gebruik van een gelekt wachtwoord of het raden van een wachtwoord. Dat gebeurt vaak met technische hulpmiddelen.
Hij is kritisch op securitybedrijven die zich puur manifesteren als onderhandelaar voor het kopen van de encryptiesleutel bij een ransomware-aanval. ‘Slachtoffers hoeven ons niet te bellen als ze alleen de sleutel willen kopen’, zegt hij stellig. ‘Wij willen ook echt met ze aan de slag om hun ict-omgeving veiliger achter te laten dan dat we deze aantroffen. Vaak is er met kleine stappen al veel te bereiken.
Inmiddels loopt het tegen half zes op de vrijdagmiddag waarop Computable het hoofdkantoor van Northwave bezoekt. Voor Takkenberg is er vandaag geen tijd voor een vrijdagmiddagborrel. Zijn telefoon gaat, een nieuw incident. ‘Cybercriminelen slaan vaak in het weekend toe, omdat ze dan minder worden opgemerkt.’
Vier tips
Takkenberg deelt desgevraagd vier tips om cybercriminelen buiten de deur te houden.
- Installeer updates
‘Door het installeren van updates kunnen aanvallers bekende kwetsbaarheden in de oude versie van uw software niet meer uitbuiten. Vraag je af wanneer je voor het laatst alle systemen hebt nagekeken en of de updates geïnstalleerd zijn. Is er binnen jouw organisatie überhaupt een proces om dat na te gaan?’ - Zet multi-factorauthenticatie aan
‘Gebruik wachtwoordzinnen en zet multi-factorauthenticatie aan.’ Het aanmelden gaat dan met meer dan alleen een wachtwoord. Volgens Takkenberg is bij veel moderne systemen een ‘tweede factor’ zoals een token. eenvoudig ‘aan te zetten’. Ook een belangrijke check: staat multi-factorauthenticatie aan voor alle gebruikers en zijn medewerkers voorgelicht over veilige wachtwoorden? - Maak backups en check backup-herstel
‘Een goed backup-systeem, inclusief minimaal één offline-kopie op een gescheiden locatie, verhoogt de weerbaarheid tegen dataverlies. Ook is het verstandig het backup-systeem te testen door een keer te herstellen vanuit de backup. ‘Werkt het systeem wel volledig?’ - Beveilig endpoints
Ook beveiliging van endpoints blijft een manier om criminelen op afstand te houden. ‘Antivirussoftware stopt bekende malware en verkleint daarmee de kans op een succesvolle aanval. Controleer of elk systeem – zowel servers als clients – antivirus- en endpoint detection & response tools heeft.’
Prima artikel verder, moest lachen om ‘Het is net als bij de keukenboer. Wil je een hoge korting, dan moeten ze dat eerst aan hun manager vragen.’
Ik heb begin jaren negentig keukens verkocht en daar hadden we inderdaad dat spelletje… alleen was er geen manager of was dat steeds iemand anders naar gelang de situatie.
Wat ik leerzaam vond bij Hof van Twente is de opmerking: We misten een briefje in de meterkast. Ofwel; wie bel je als de stront de ventilator raakt?
Oefen een crisissituatie en bedenk je vooraf wie je gaat bellen om hulp.
O ja, en zorg voor een goede cyber security awareness training voor je medewerkers.
Zeker een goed en grappig artikel. Wat opvalt dat het om onbenullige dingen gaat, wachtwoord raden (Welkom2020, hof van twente), phishing mails, bekende kwetsbaarheden. Onderhandelen is mogelijk (was bij Maastricht ook zo dacht ik) en opvallend, er wordt vaak betaald. Begrijp dat wel, kortste weg uit de ellende. Hof van Twente deed dat niet. Vind het zo sneu voor die mensen die 20 jaar werk kwijt zijn……
Ja, waarom de hackers dus echt ook virtuele servers kapot hebben gemaakt is mij duister en zeker niet gebruikelijk. Want al zou Hof van Twente betaald hebben, dan nog zouden ze deze data niet teruggekregen hebben. Reken maar dat er echt mensen een flinke knauw gekregen hebben.
Overigens is het advies om altijd en direct in contact te treden en blijven met de “overvallers”. Als deadlines verstreken is het al lastiger onderhandelen.
Een zin uit een ander artikel over dat het Utrechtse Northwave Security de sleutel wist te bemachtigen en daarmee de controle terug kreeg over het platform klinkt opeens alsof je na €100 betaald te hebben nog altijd denkt het meisje versierd te hebben. Het in standhouden van een crimineel verdienmodel lijkt dan ook lucratiever dan het bestrijden van (cyber)criminaliteit want na het betalen van het losgeld wil Northwave Security graag aan de slag om de ICT beter beveiligen. Ze zijn niet een securitybedrijf dat zich alleen maar manifesteert als onderhandelaar voor het kopen van de encryptiesleutel bij een ransomware-aanval.
Vroeg me al af, wat was het toch dat het Hof van Twente niet op de eisen in ging. Inderdaad, die vernaggelde virtuele server en mij kwam dat toen ook vreemd voor. Dat zou beteken dat de boeven steken hebben laten vallen. Ook een prima reden om niet te hoeven te betalen……
@Oudlid Dat zegt de meneer volgens mij ook, alleen onderhandelen daar doen ze niet aan. Het gaat om en onderhandelen en handige tips.
@Pim Takkenberg, je vijfde tip: laat niet alle backups online staan, kies dus voor de 3-2-1-regel van de professional en doe regelmatig een restore test.
Segmenteer je infra in meerdere beveiligde compartimenten, met je meest waardevolle data achterin de zwaarst beveiligde zone.
Die Henri. cloudconcurrent, cloudkampioen. Dat verklaart veel 😉
Maar ook computable stelt zich maar wat graag op als de Harry Mens van de automatisering. Die z.g. reclamepraatjes als interview presenteren. Kromme tenen. En beter Opex dan Capex want dan kun je lekker lang cashen. “Echt met ze aan de slag” en “Takkenberg kent het spel door en door”
Lijkt me wel ja.
Henri verkocht keukens, ik heb er jaren in staan koken en weet dat de pyschologische impact van het verlies van data die door ambtenaren geknuffeld werd nogal groot is. Het moralistische gelijk van de burgemeester om niet te betalen en het pragmatisme van de werkvloer om toch te gaan onderhandelen is een duivels dilemma maar het feit dat Hof van Twente 20 jaar werk kwijt is zegt ook wel iets over de wijze van archiveren. Ik weet het, data classificeren voordat je deze opslaat is een extra inspanning maar data die je jaren ongewijzigd moet bewaren kun je beter naar een (soft)WORM device schrijven. En het liefst twee keer waarbij je de metadata van de data scheidt zodat je optimaal kunt profiteren van de goedkoopste opslag zonder enige consensus te doen aan de integriteit. Want als je bij het opslaan een checksum genereert en die opslaat met de metadata dan kun je ook na jaren nog de integrtiteit van de data tot op bit niveau garanderen.
De software image van een virtuele server is ook data maar deze is makkelijker te vervangen dan het bonnetje wat de rechtmatigheid van een uitgave bewijst. Uiteraard moet je één en ander wel scheiden want het archiveren middels een image maakt het vinden lastig zoals we ooit zagen. Ik wijs even op de bewijsplicht want hoewel de belastingsdienst zelf nog weleens de bewijslast vernietigd als deze niet in hun voordeel is geldt de omgekeerde bewijslast voor bedrijven, als we het dan toch over criminele verdienmodellen hebben dan wijs ik graag op de keerzijde van de medaille. Ik weet het, de rechtmatigheid van sommige dingen is lastig te bewijzen maar het voeren van een deugdelijke administratie gaat om het correct archiveren. Dat klinkt duur maar is aanzienlijk goedkoper dan alle koude data op dure (online) opslag laten staan die niet alleen kwetsbaar is voor ransomware want data die 20 jaar bewaard moet worden zal gemiddeld zo’n 5 keer gemigreerd moeten worden als we uitgaan van de algemene lifecycles van de hardware.
Wij van WC-eend zitten in het data dilemma en kennen de ouderwetse 3-2-1 back-up strategie alleen moet je daarbij ook nog rekening moet houden met ’tijdreizen’ want bepaalde malafide code kan al langer in je systeem zitten. De vraag wat je veilige punt van terugkeer is aangaande de software images is nog niet zo makkelijk te beantwoorden, je veilige punt van een checksum op de data laat echter geen twijfel daarover bestaan. De ‘Chain of Custody’ is voor velen niet een bekend dilemma maar een oud-politieman moet er bekend mee zijn, vergeet je logfiles niet zou ik daarom zeggen.