Gegijzeld met ransomware
Soms is betalen de enige optie voor een bedrijf
De truckers stonden vol frustratie op en neer te springen naast hun vrachtwagens. Het was dinsdagochtend 27 juni 2017 en de toegangspoort van de haventerminal van de transportgigant Maersk, in het Amerikaanse New Jersey, had de geest gegeven. Tot drieduizend trucks zouden die dag af en aanrijden om cargo die via de haven passeerde op te halen of af te zetten. Maar die cruciale poort kwam niet in beweging. De Maerskterminal in de Verenigde Staten zat aan het uiteinde van een kettingreactie waarvan de eerste vonk in Oekraïne ontbrandde. Daar werden nutsbedrijven, banken en de transportsector geviseerd met gijzelsoftware die de naam NotPetya kreeg. De malware verspreidde zich over tientallen landen, reconstrueerde het Amerikaanse maandblad Wired nadien. De aanvallers die NotPetya gebruikten, vroegen 300 euro in bitcoin, een digitale munt. Mogelijk was die malwarecampagne politiek geïnspireerd.
Vijf maanden voordien, op meer dan 6.500 kilometer afstand, stonden skiërs vol frustratie op en neer te springen naast hun skilatten. De sleutelkaarten voor hun kamer in het Oostenrijkse hotel Jaegerwirt hadden de geest gegeven. Net toen het skiseizoen van start ging, waren cybercriminelen erin geslaagd om het hele computersysteem uit te schakelen, inclusief de kaartenregistratie. Pas wanneer de uitbaters 1.500 euro in bitcoin zouden over
Bij een aanval met op maat gemaakte gijzelsoftware wordt elk bestand op elk computersysteem versleuteld, waardoor het compleet onbruikbaar wordt
Ingaan op de eisen van de cybercriminelen garandeert geen oplossing. ‘De ontcijferingssoftware heeft vaak veel minder aandacht gekregen dan de coderingssoftware’
schrijven naar de portefeuille van de criminelen, zou het systeem weer worden vrijgegeven. ‘Het hotel was volgeboekt, door 180 gasten’, getuigde hotelmanager Christoph Brandstätter tegenover de nieuwssite
The Local. ‘Politie en verzekering kunnen je op zo’n moment niet helpen.’ Het hotel betaalde zijn aanvallers en de kaarten werkten weer. Bij de volgende renovatie wordt er overgeschakeld op deuren met echte sloten en echte sleutels, beloofde Brandstätter nog.
NSA
Ook vandaag zullen politie en gerecht in de weer zijn met de gijzelsoftware (of ransomware) die de productie bij weefgetouwenproducent
Picanol stillegt (DS 14 januari). De computercrime unit van de federale gerechtelijke politie van WestVlaanderen heeft opgespoord met welke ipadressen de software communiceert en alle nuttige data gekopieerd. De analyse daarvan kan misschien aan het licht brengen wie Picanol heeft aangevallen, al maskeren daders hun sporen via tussenstations.
Intussen is ook de schoonmaak van de computersystemen bezig. Het bedrijf verwacht niet dat het deze week nog opnieuw zal kunnen produceren. Dat wijst erop dat de gebruikte ransomware geen standaardgeval is, maar vermoedelijk ‘tailormade’: op maat gemaakt. Bij een aanval met complexe gijzelsoftware wordt elk bestand op elk computersysteem versleuteld, waardoor het compleet onbruikbaar wordt. In het voorjaar van 2017 waren er een enkele stevige ransomwarecampagnes, waaronder die met NotPetya, waarbij er misbruik werd gemaakt van een beveiligingslek in Windows dat de Amerikaanse inlichtingendienst had ontdekt. In plaats van het te melden aan Microsoft, de ontwikkelaar van Windows, hield de NSA het lek voor zich om doelwitten aan te vallen. Tot de NSA zelf slachtoffer werd van een hacking, waarbij criminelen hun ‘tools’ stalen en er nadien zelf mee aan de slag gingen.
Zelfs in omgevingen waarin het lijkt alsof een computersysteem niet per se centraal staat in het productieproces, breidt de schade van ransomware snel uit. Ten minste tot gisteravond was zelfs de publieke website van Picanol Group onbereikbaar.
Geen onderhandelingen
Als een bedrijf te maken krijgt met ransomware, zijn er drie pistes. ‘Vaak gebruiken de criminelen standaard ransomware’, zegt Francis Oostvogels, manager bij consultancybedrijf BDO Risk Advisory en gespecialiseerd in cybersecurity. ‘Daarom gaan we eerst online op zoek naar de sleutels om te decrypteren (of te ontsleutelen,
red.). De Belgische overheid stelt bijvoorbeeld zulke sleutels ter beschikking. Het lukt heel vaak om problemen zo in een paar uur op te lossen. Veel van de ransomwareaanvallen ontspruiten aan wat wij “script kiddies” noemen die, zonder al te veel technische kennis, online malware zoeken en die op goed geluk verspreiden in de hoop dat er een paar slachtoffers betaalt.’ ‘Als er geen decryptiesleutel beschikbaar is, moeten we backups aanwenden. Bij een bedrijf met goede backups die dagelijks, of zelfs een paar keer per dag, worden genomen, kunnen we het probleem snel verhelpen. Het belangrijkste is dat die backups afgescheiden staan van het bedrijfsnetwerk, omdat je anders het risico loopt dat die ook versleuteld worden.’ Maar vaker dan gedacht zijn die backups ook niet beschikbaar. En dan zit er soms niets anders op dan contact op te nemen met de aanvallers en bitcoins over te schrijven. Oostvogels: ‘Dat gebeurt bijvoorbeeld bij kleinere bedrijven die geen oplossing vinden en waar een beperkt bedrag wordt gevraagd. Er is in die kleinere gevallen ook niet echt sprake van een onderhandeling met de aanvallers. Om instructies te krijgen, moet je soms telefoneren naar een nummer dat ze hebben achtergelaten. Dan kom je terecht in een semiprofessioneel callcenter waar ze je vriendelijk helpen om de betaling uit te voeren. Vermoedelijk zijn dat ook niet de daders zelf, maar hebben ze gewoon een extern callcenter ingeschakeld. Je kunt vrij zeker zijn dat je de sleutels na betaling krijgt, omdat het slechte reclame is voor het hackerscollectief als ze na betaling niets zouden vrijgeven.’
Verzekering
Precies dat is de overweging die het WestVlaamse bedrijf Ranson een jaar geleden moest maken. Niets werkte nog bij de Harelbeekse leverancier van bakkerijgrondstoffen. Ook de backups van de systemen waren versleuteld. Om de productie weer op gang te krijgen, werden enkele tienduizenden euro’s betaald.
Losgeld ophoesten gaat in tegen alle adviezen van veiligheidsdiensten. Het Centrum voor Cybersecurity België raadt het af, omdat het geen oplossing garandeert. ‘De ontcijferingssoftware die door de hackers wordt geleverd, heeft vaak veel minder aandacht gekregen dan de coderingssoftware, waardoor de gegevens in het slechtste geval niet meer te herstellen zijn’, klinkt de waarschuwing daar. Dikwijls wordt er nadien ook nog een hoger bedrag geëist.
Meer en meer verzekeren bedrijven zich tegen dat soort cyberrisico’s. ‘We schatten dat tien procent van de Belgische bedrijven zo’n polis heeft’, zegt Tom Van Britsom van VanBreda Risk & Benefits. ‘Vorig jaar hebben wij om de twee werkdagen een polis afgesloten.’ Die dekken de volledige financiële impact: uitgaven voor de juridische en ITbijstand, de verliezen omdat de productie stilligt en schade aan derden.
De tussenkomst van verzekeraars verkleint uiteraard het risico dat bedrijven lopen (tenminste als ze een polis hebben), maar Eddy Willems van securitybedrijf GData noemt het een ‘tweesnijdend zwaard’. ‘Soms wordt er minder ingezet op preventie dan op verzekering’, merkt Willems. ‘Zo’n verzekering is geen vorm van beveiliging. En zolang mensen blijven betalen na een aanval met ransomware, zullen ze blijven komen.’