Hebben de hackers te hoog gegrepen?
Revil, de succesvolste groep cybercriminelen van 2020, is dinsdag plots van het internet verdwenen. Was hun jongste aanval té geslaagd?
Voor cybermisdaad was 2020 een topjaar. En de succesvolste organisatie is waarschijnlijk Revil, ook bekend als Sodinokibi. Een wellicht Russische groep die zogenoemde ‘Ransomware-as-a-Service’ aanbiedt: een totaalpakket van diensten voor andere cybercriminelen. Het vuile werk, digitaal inbreken bij bedrijven, laat ze over aan haar affiliates (onderaannemers). De hackers deponeren de Revil-malware en dan neemt Revil over. De software maakt de bestanden op het netwerk van het slachtoffer onleesbaar, Revil onderhandelt het losgeld, neemt dat in ontvangst en herstelt de bestanden. Voor zijn diensten neemt Revil een commissie van zo’n 20 procent.
Maar 20 procent? Tja, hackers hebben de keuze: er is een twintigtal organisaties dat een gelijkaardige dienst aanbiedt. Maar Revil levert duidelijk waar voor zijn geld: bij maar liefst 15 procent van alle gemelde ransomware-aanvallen is de organisatie betrokken. De nummers twee en drie, Maze en Phobos, zijn de helft kleiner, volgens Coveware, een bedrijf dat cijfers over cybercriminaliteit verzamelt.
Wapenwedloop
‘Ze werken bijzonder professioneel’, zegt Geert Baudewijns, ceo van het securitybedrijf Secutec. Hij had als onderhandelaar namens getroffen bedrijven al een paar keer met Revil te maken. ‘Het heeft zijn eigen communicatiesysteem waarmee het contact opneemt, een soort Whatsapp, maar dan anoniem.’ Dat communicatiesysteem is alleen toegankelijk via het darkweb, het deel van het internet dat je via de speciale Tor-browser moet bezoeken.
De klant wordt door dergelijke organisaties meestal vlot geholpen, zegt Baudewijns. ‘We hebben al meegemaakt dat onze klant betaalt voor een sleutel om zijn bestanden terug te krijgen, maar dat die sleutel niet werkt. Ze zullen dan dat probleem vanop afstand oplossen.’ Baudewijns zegt dat hij het betalen van losgeld niet aanbeveelt. ‘Maar soms is het voor een bedrijf kiezen tussen betalen of de deuren sluiten.’
Het is een uitzonderlijk lucratieve business. In 2018 werd bij de gemiddelde ransomware aanval 6.000 dollar geëist. Intussen is dat 220.000 dollar.
De ransomwaregroepen zijn zich snel aan het professionaliseren. ‘Met dergelijke hoeveelheden geld hebben ze de middelen om te besteden aan onderzoek en ontwikkeling’, zegt Rense Buijen, director incident response Europe bij het beveiligingsbedrijf Trend Micro. ‘Er is nu een wapenwedloop aan de gang.’
Biden belt Poetin
Revil, dat in 2019 voor het eerst van zich liet horen, boerde fantastisch tijdens de lockdown. In mei 2021 betaalde de Amerikaanse vleesproducent JBS nog 11 miljoen dollar om zijn data terug te krijgen. Alle Amerikaanse fabrieken van JBS waren stilgevallen. De grootste slag volgde begin juli, toen de Revilmalware zich kon verspreiden via een lek in de software van het Amerikaanse bedrijf Kaseya. Via dienstenbedrijven die de Kaseyasoftware gebruiken, werden 1.500 bedrijven getroffen. Revil eiste 70 miljoen dollar, al liet het die prijs al snel zakken tot 50 miljoen. Een van de 1.500 getroffen bedrijven levert diensten aan het hoofdkwartier van de Republikeinse Partij. Dat verhoogde de politieke druk op het Witte Huis om iets te doen.
Vrijdag belde de Amerikaanse president Joe Biden met zijn Russische tegenhanger Vladimir Poetin. ‘Ik heb het hem erg duidelijk gemaakt dat de VS van hem verwachten om op te treden tegen ransomware-organisaties op zijn grondgebied’, zei Biden. Later op de dag
‘Het gaat om hackercommunity’s die over de hele wereld verspreid zitten en waarvan de leden elkaar vaak niet eens persoonlijk kennen’
Geert Baudewijns Ceo Secutec
vroeg een journalist of Amerika de servers van de cybercriminelen zou aanvallen. ‘Ja’, antwoordde hij.
En warempel: dinsdag waren de servers van Revil plots van het internet en het dark web verdwenen. Zo plots, dat vele slachtoffers nu met de handen in het haar zitten. Ze hebben niemand meer om te onderhandelen over losgeld.
Wat is er gebeurd? Mogelijk heeft Poetin beslist dat zijn gedoogbeleid tegenover cybercriminelen hem meer dreigt te kosten dan het hem opbrengt. Of misschien waren het de Amerikaanse geheime diensten die hebben ingegrepen. Maar er is ook een derde mogelijkheid: de grond werd Revil wat te heet onder de voeten, en het heeft er zelf de stop uitgetrokken.
Dat is al eerder gebeurd. In 2018 en 2019 bracht de ransomware GandCrab een fortuin in het laatje (150 miljoen dollar, schepte de groep op), om dan plots te verdwijnen. Kort daarna dook Revil op, met naar verluidt heel gelijkaardige software en hackingtechnieken. Geert Baudewijns gelooft dat Revil snel weer opduikt onder weer een andere naam. Al twijfelt hij over de identiteit van de schuldigen: ‘We zeggen misschien wel te snel dat het Russen zullen zijn. Het gaat om hackercommunity’s die over de hele wereld verspreid zitten en waarvan de leden elkaar vaak niet eens persoonlijk kennen.’
Het is wel duidelijk dat organisaties als Revil vaak gehackte servers op Russisch grondgebied gebruiken als uitvalsbasis. Simpelweg omdat er in Rusland vele duizenden dergelijke servers ter beschikking staan. Rusland treedt daar niet of amper tegen op, zegt Baudewijns. Maar op dat vlak is nu misschien een keerpunt bereikt. ‘De Amerikanen hebben de Russen op hun verantwoordelijkheid gewezen’, zegt hij. Of het Rusland menens is met een aanpak van het probleem? ‘Als ze iets doen aan al die gecompromitteerde servers, zullen we dat snel zien.’ Zal het ook helpen? ‘Op de korte termijn’, zegt Baudewijns. ‘Maar die bendes vinden wel elders servers.’
Dominique Deckmyn