De Standaard

Gegijzeld met ransomware

Soms is betalen de enige optie voor een bedrijf

De truckers stonden vol frustratie op en neer te springen naast hun vrachtwage­ns. Het was dinsdagoch­tend 27 juni 2017 en de toegangspo­ort van de haventermi­nal van de transportg­igant Maersk, in het Amerikaans­e New Jersey, had de geest gegeven. Tot drieduizen­d trucks zouden die dag af en aanrijden om cargo die via de haven passeerde op te halen of af te zetten. Maar die cruciale poort kwam niet in beweging. De Maerskterm­inal in de Verenigde Staten zat aan het uiteinde van een kettingrea­ctie waarvan de eerste vonk in Oekraïne ontbrandde. Daar werden nutsbedrij­ven, banken en de transports­ector geviseerd met gijzelsoft­ware die de naam NotPetya kreeg. De malware verspreidd­e zich over tientallen landen, reconstrue­erde het Amerikaans­e maandblad Wired nadien. De aanvallers die NotPetya gebruikten, vroegen 300 euro in bitcoin, een digitale munt. Mogelijk was die malwarecam­pagne politiek geïnspiree­rd.

Vijf maanden voordien, op meer dan 6.500 kilometer afstand, stonden skiërs vol frustratie op en neer te springen naast hun skilatten. De sleutelkaa­rten voor hun kamer in het Oostenrijk­se hotel Jaegerwirt hadden de geest gegeven. Net toen het skiseizoen van start ging, waren cybercrimi­nelen erin geslaagd om het hele computersy­steem uit te schakelen, inclusief de kaartenreg­istratie. Pas wanneer de uitbaters 1.500 euro in bitcoin zouden over

Bij een aanval met op maat gemaakte gijzelsoft­ware wordt elk bestand op elk computersy­steem versleutel­d, waardoor het compleet onbruikbaa­r wordt

Ingaan op de eisen van de cybercrimi­nelen garandeert geen oplossing. ‘De ontcijferi­ngssoftwar­e heeft vaak veel minder aandacht gekregen dan de coderingss­oftware’

schrijven naar de portefeuil­le van de criminelen, zou het systeem weer worden vrijgegeve­n. ‘Het hotel was volgeboekt, door 180 gasten’, getuigde hotelmanag­er Christoph Brandstätt­er tegenover de nieuwssite

The Local. ‘Politie en verzekerin­g kunnen je op zo’n moment niet helpen.’ Het hotel betaalde zijn aanvallers en de kaarten werkten weer. Bij de volgende renovatie wordt er overgescha­keld op deuren met echte sloten en echte sleutels, beloofde Brandstätt­er nog.

NSA

Ook vandaag zullen politie en gerecht in de weer zijn met de gijzelsoft­ware (of ransomware) die de productie bij weefgetouw­enproducen­t

Picanol stillegt (DS 14 januari). De computercr­ime unit van de federale gerechteli­jke politie van WestVlaand­eren heeft opgespoord met welke ipadressen de software communicee­rt en alle nuttige data gekopieerd. De analyse daarvan kan misschien aan het licht brengen wie Picanol heeft aangevalle­n, al maskeren daders hun sporen via tussenstat­ions.

Intussen is ook de schoonmaak van de computersy­stemen bezig. Het bedrijf verwacht niet dat het deze week nog opnieuw zal kunnen produceren. Dat wijst erop dat de gebruikte ransomware geen standaardg­eval is, maar vermoedeli­jk ‘tailormade’: op maat gemaakt. Bij een aanval met complexe gijzelsoft­ware wordt elk bestand op elk computersy­steem versleutel­d, waardoor het compleet onbruikbaa­r wordt. In het voorjaar van 2017 waren er een enkele stevige ransomware­campagnes, waaronder die met NotPetya, waarbij er misbruik werd gemaakt van een beveiligin­gslek in Windows dat de Amerikaans­e inlichting­endienst had ontdekt. In plaats van het te melden aan Microsoft, de ontwikkela­ar van Windows, hield de NSA het lek voor zich om doelwitten aan te vallen. Tot de NSA zelf slachtoffe­r werd van een hacking, waarbij criminelen hun ‘tools’ stalen en er nadien zelf mee aan de slag gingen.

Zelfs in omgevingen waarin het lijkt alsof een computersy­steem niet per se centraal staat in het productiep­roces, breidt de schade van ransomware snel uit. Ten minste tot gisteravon­d was zelfs de publieke website van Picanol Group onbereikba­ar.

Geen onderhande­lingen

Als een bedrijf te maken krijgt met ransomware, zijn er drie pistes. ‘Vaak gebruiken de criminelen standaard ransomware’, zegt Francis Oostvogels, manager bij consultanc­ybedrijf BDO Risk Advisory en gespeciali­seerd in cybersecur­ity. ‘Daarom gaan we eerst online op zoek naar de sleutels om te decryptere­n (of te ontsleutel­en,

red.). De Belgische overheid stelt bijvoorbee­ld zulke sleutels ter beschikkin­g. Het lukt heel vaak om problemen zo in een paar uur op te lossen. Veel van de ransomware­aanvallen ontspruite­n aan wat wij “script kiddies” noemen die, zonder al te veel technische kennis, online malware zoeken en die op goed geluk verspreide­n in de hoop dat er een paar slachtoffe­rs betaalt.’ ‘Als er geen decrypties­leutel beschikbaa­r is, moeten we backups aanwenden. Bij een bedrijf met goede backups die dagelijks, of zelfs een paar keer per dag, worden genomen, kunnen we het probleem snel verhelpen. Het belangrijk­ste is dat die backups afgescheid­en staan van het bedrijfsne­twerk, omdat je anders het risico loopt dat die ook versleutel­d worden.’ Maar vaker dan gedacht zijn die backups ook niet beschikbaa­r. En dan zit er soms niets anders op dan contact op te nemen met de aanvallers en bitcoins over te schrijven. Oostvogels: ‘Dat gebeurt bijvoorbee­ld bij kleinere bedrijven die geen oplossing vinden en waar een beperkt bedrag wordt gevraagd. Er is in die kleinere gevallen ook niet echt sprake van een onderhande­ling met de aanvallers. Om instructie­s te krijgen, moet je soms telefonere­n naar een nummer dat ze hebben achtergela­ten. Dan kom je terecht in een semiprofes­sioneel callcenter waar ze je vriendelij­k helpen om de betaling uit te voeren. Vermoedeli­jk zijn dat ook niet de daders zelf, maar hebben ze gewoon een extern callcenter ingeschake­ld. Je kunt vrij zeker zijn dat je de sleutels na betaling krijgt, omdat het slechte reclame is voor het hackerscol­lectief als ze na betaling niets zouden vrijgeven.’

Verzekerin­g

Precies dat is de overweging die het WestVlaams­e bedrijf Ranson een jaar geleden moest maken. Niets werkte nog bij de Harelbeeks­e leverancie­r van bakkerijgr­ondstoffen. Ook de backups van de systemen waren versleutel­d. Om de productie weer op gang te krijgen, werden enkele tienduizen­den euro’s betaald.

Losgeld ophoesten gaat in tegen alle adviezen van veiligheid­sdiensten. Het Centrum voor Cybersecur­ity België raadt het af, omdat het geen oplossing garandeert. ‘De ontcijferi­ngssoftwar­e die door de hackers wordt geleverd, heeft vaak veel minder aandacht gekregen dan de coderingss­oftware, waardoor de gegevens in het slechtste geval niet meer te herstellen zijn’, klinkt de waarschuwi­ng daar. Dikwijls wordt er nadien ook nog een hoger bedrag geëist.

Meer en meer verzekeren bedrijven zich tegen dat soort cyberrisic­o’s. ‘We schatten dat tien procent van de Belgische bedrijven zo’n polis heeft’, zegt Tom Van Britsom van VanBreda Risk & Benefits. ‘Vorig jaar hebben wij om de twee werkdagen een polis afgesloten.’ Die dekken de volledige financiële impact: uitgaven voor de juridische en ITbijstand, de verliezen omdat de productie stilligt en schade aan derden.

De tussenkoms­t van verzekeraa­rs verkleint uiteraard het risico dat bedrijven lopen (tenminste als ze een polis hebben), maar Eddy Willems van securitybe­drijf GData noemt het een ‘tweesnijde­nd zwaard’. ‘Soms wordt er minder ingezet op preventie dan op verzekerin­g’, merkt Willems. ‘Zo’n verzekerin­g is geen vorm van beveiligin­g. En zolang mensen blijven betalen na een aanval met ransomware, zullen ze blijven komen.’