Zondag 2 oktober 2022 | Het laatste nieuws het eerst op NU.nl
Man achter laptop

Onderhandelen met cybercriminelen: 'Altijd met een bezwaard hart'

Bedrijven betalen soms miljoenen euro's na een cyberaanval die computers platlegt. Cybersecuritybedrijf Northwave onderhandelt namens gehackte bedrijven over de hoogte van het losgeld. "We zien het als de allerlaatste optie en we doen het met een bezwaard hart", zegt commercieel directeur Marc de Jong Luneau.
Door Rutger Otto

Tandartsbedrijf Colosseum Dental is het recentste voorbeeld van een gehackt bedrijf dat losgeld betaalde. Vorige week maakte het bedrijf ruim 2 miljoen euro aan cryptogeld over aan cybercriminelen. Daarmee werden de gegijzelde computers vrijgegeven. Ook moest het criminelen ervan weerhouden de gestolen patiëntgegevens te publiceren.

Het mantra in de cybersecuritywereld is om nooit te betalen na een ransomwareaanval. Maar dat is niet altijd realistisch, zegt De Jong Luneau. "In sommige situaties is het de enige mogelijkheid die een klant heeft."

Dave Maasland, directeur van cybersecuritybedrijf ESET Nederland, is net als De Jong Luneau geen voorstander van betalen na een aanval. Maar hij snapt wel dat het als laatste redmiddel wordt ingezet.

"Bedrijven zien betalen soms als de manier om snel door te kunnen met hun werk. Maar zo werkt het gewoon niet. Het is niet zo van: we halen de wielklem van de auto en we kunnen weer rijden. Aan de andere kant heb je soms echt geen andere keus: dan is het betalen of het bedrijf valt om en er staan tweeduizend werknemers op straat."

Northwave is een van de weinige organisaties die gehackte bedrijven helpt bij het onderhandelen met cybercriminelen. "Soms is er geen andere optie dan betalen", zegt De Jong Luneau. "Bijvoorbeeld als er geen back-up is van versleutelde bestanden en het bedrijf maandenlang stilligt. Dan is het soms minder schadelijk om gewoon te betalen."

Contact met criminele klantenservice

Criminelen versleutelen niet alleen computers, maar stelen ook gegevens. Ze dreigen die te publiceren als organisaties niet betalen. "Als het om klantendata of patiëntendossiers gaat, zit er vaak niets anders op. Bedrijven dragen verantwoordelijkheid voor die gegevens."

Op gegijzelde computers laten criminelen een bericht achter. Daarin staat hoe ze te bereiken zijn. Onderhandelaars komen dan terecht bij een soort criminele klantenservice. Vervolgens is er contact via een geanonimiseerd e-mailadres of een chatomgeving.

"Wij spreken altijd namens de getroffen klant met een crimineel", zegt De Jong Luneau. Bij Northwave werken specialisten op het gebied van onderhandelingen en psychologie die daarbij helpen.

Tijdens de gesprekken wordt zoveel mogelijk informatie ingewonnen bij de hackers. Hebben de criminelen daadwerkelijk de sleutels? Welke informatie hebben ze gestolen? Met die uitkomsten gaan de experts terug naar de klant om de opties door te spreken.

Bewijzen verplicht, maar geen garantie

De hoogte van het gevraagde losgeld is geen nattevingerwerk. Criminelen zoeken naar financiële informatie van het bedrijf en vervolgens willen ze een percentage van de omzet. Dat is vaak rond de 2 procent, zegt De Jong Luneau.

"Wij proberen dat bedrag zo laag mogelijk te houden", zegt hij. "Bedrijven kunnen niet zomaar miljoenen betalen en soms is dat aan te tonen. De criminelen hebben ook iets te verliezen. Niet alleen hebben ze de malware ingekocht bij andere criminelen en moeten ze die kosten terugverdienen. De mensen van de 'klantenservice' hebben ook gewoon een target. Die worden afgerekend op het aantal bitcoins dat ze binnenhalen."

De hackers moeten eerst bewijs aanleveren voordat bedrijven betalen. Ze moeten aantonen dat ze systemen inderdaad kunnen openen, bijvoorbeeld door een paar bestanden te ontsleutelen. Ook moeten cybercriminelen laten zien dat ze gestolen bestanden vernietigen. Maar dan nog komt er een stukje vertrouwen bij kijken. Want een garantie dat criminelen geen kopieën maken of stiekem doorverkopen is er niet.

"Elke ransomwaregroep is voor ons herkenbaar; ze werken onder een eigen 'merknaam en hebben specifieke werkwijze", zegt De Jong Luneau. "En cybersecuritybedrijven staan in nauw contact met elkaar. Als blijkt dat een bende niet betrouwbaar is, weet daarna iedereen dat zij slecht zakendoen. Daar hebben criminelen ook niets aan."

Gegevens anders opslaan

Maasland zegt dat bedrijven gegevens in de basis anders moeten opslaan. "Het moet op een andere manier opgeslagen worden. Misschien extra versleuteld, fysiek in een kluis of alleen toegankelijk voor bepaalde mensen."

Daar is De Jong Luneau het mee eens. "Beveiligen is een voortdurende opdracht. Cybercriminelen vinden nieuwe manieren om aan te vallen. Ook de manier waarop organisaties met data omgaan verandert weleens. Organisaties die zich adequaat willen beschermen, kunnen daarom het beste een permanente kwaliteitscontrole op cybersecurity inrichten."

Deze inhoud kan helaas niet worden getoondWij hebben geen toestemming voor de benodigde cookies. Aanvaard de cookies om deze inhoud te bekijken.

Lees meer over:

CybercrimeRansomwareTech

Aanbevolen artikelen