‘Zo'n 80% van de organisaties betaalt losgeld’

Gepubliceerd op 28 mei 2021 om 15:00

DeCrisismanager interviewt Pim Takkenberg deel 1

Hoe ga je het gesprek aan met criminelen die net een hele organisatie stil hebben gelegd? Voor oud-rechercheur Pim Takkenberg is dit gesneden koek. “Vroeger stonden de criminelen aan mijn bureau. Nu spreek ik hen online.” Hij geeft ons een kijkje achter de schermen bij het cybersecuritybedrijf Northwave.

“Ik heb vandaag piketdienst", zegt Pim Takkenberg, general manager bij Northwave, voordat het interview start. “Dus het kan zijn dat we gestoord worden.”

En inderdaad, al binnen een half uur krijgt hij een bericht binnen. Hij typt dat zijn klant 2 bitcoins heeft overgemaakt. Dit is op dat moment zo'n 100.000 euro. Hij krijgt niet meteen een reactie terug. “Het is nog vroeg. Ook criminelen moeten nog even wakker worden."

Hoe vaak voer je dit soort gesprekken met criminelen?

“Dagelijks. We worden dagelijks benaderd door organisaties die getroffen zijn door een ransomware-aanval. Hun hele proces ligt plat en ze hebben het verzoek gekregen om losgeld te betalen. Ze moeten de afweging maken of ze dat gaan doen.

Ons basisadvies is altijd om niet te betalen, tenzij er geen andere opties zijn. Dus als gehackte organisaties ons benaderen, kijken we altijd eerst of er back-ups beschikbaar zijn, hoe volledig die zijn en hoelang het duurt om die te herstellen zonder de sleutel te gebruiken die de crimineel in handen heeft.

De meeste ondernemers maken vervolgens razendsnel een rekensom. Dat kan bij wijze van spreken op de achterkant van een bierviltje. Ze rekenen uit hoeveel het hen kost als ze niet betalen. In het gunstigste geval betekent dit dat hun bedrijf een week stilligt. Maar meestal duurt het minimaal een maand voordat alles hersteld is. Als het schadebedrag groter is dan de hoogte van het losgeld, besluiten ze vaak om te betalen.

Bij overheidsinstellingen ligt dat anders. Zij willen vaak uit principe niet onderhandelen met criminelen. Toch zien we dat ook veel overheidsinstellingen besluiten om te betalen.

Van alle meldingen die we binnenkrijgen kiest zo'n 80% van de organisaties ervoor om losgeld te betalen.”

Wat is de trend die je daarin ziet?

“Dat dit percentage langzaam daalt. Dit komt enerzijds omdat bedrijven steeds betere back-ups maken. Anderzijds zien we dat de publieke opinie aan het keren is. Criminelen dreigen vaak om vertrouwelijke gegevens openbaar te maken als er niet betaald wordt. Voorheen was dit voor veel organisaties een belangrijke reden om te betalen. Nu doen ze dat steeds vaker niet, omdat het een principekwestie is geworden. Ze willen geen criminele organisatie sponsoren. Dat daardoor veel vertrouwelijke gegevens openbaar worden, nemen ze voor lief.”

Wat voor soort organisaties worden vaak gehackt?

“Alle soorten. Het maakt voor criminelen echt niks uit welke organisaties ze stilleggen. Ze scannen het hele internet af en kijken waar ze het gemakkelijkst binnenkomen.

Eenmaal binnen kijken ze wat ze kunnen platleggen, zoals de toegang tot e-mail, het hrm-systeem en bijvoorbeeld systemen die machines aansturen. En ze kijken hoeveel geld er in de organisatie omgaat, zodat ze weten hoeveel losgeld ze kunnen vragen. Meestal eisen ze zo'n 0,4 – 2% van de jaaromzet.”

Hoe gaan jullie vervolgens te werk?

“Als organisaties gehackt zijn doorlopen we altijd drie fases, namelijk containment, eradication en recovery. In vrijwel alle gevallen nemen we in de tweede en derde fase contact op met de aanvallers om informatie te verzamelen over wat ze hebben en wat ze willen.

We openen een communicatiekanaal, zodat we met hen kunnen chatten en vragen wat de vervolgstappen zijn. Meestal krijgen we als antwoord dat de organisatie moet betalen.

Vervolgens vragen we hen om te bewijzen dat zij de sleutel in handen hebben. Zij sturen ons dan een test-sleutel waarmee we toegang krijgen tot een deel van de informatie. Als het aan de orde is, vragen we ook om het bewijs van de data die gestolen is en gaan we onderhandelen over de hoogte van het losgeld. Pas als we alle drie deze elementen helder hebben, maakt onze klant de definitieve afweging om wel of niet te betalen.”

Hoe gaat zo'n onderhandeling in zijn werk?

“Vaak proberen we om zo snel mogelijk te schakelen, want hoe sneller criminelen hun geld kunnen krijgen hoe meer zij bereid zijn om met de prijs te zakken.

Het bedrijf dat we vanochtend geholpen hebben, werd bijvoorbeeld eerst geconfronteerd met een eis van 2,8 bitcoins. Na een onderhandeling zijn we op 2 bitcoins uitgekomen. Dat is zo'n 100.000 euro. Dat bedrag correspondeert met de omzet van het bedrijf en is dus een redelijk bod. Daarom hebben we betaald en verwacht ik dat we straks alle gegevens terugkrijgen.”

Dat is wel heftig. En dit maken jullie dus dagelijks mee?

“Ja.”

Wat kunnen organisaties doen om dit te voorkomen?

“Daar is geen snelle of eenvoudige oplossing voor. Om cybercriminelen tegen te houden is het belangrijk om organisatie-breed alle risico's in kaart te brengen en maatregelen te nemen die daarbij aansluiten. Dat gaat verder dan alleen het nemen van technische maatregelen, zoals het maken van goede back-ups en het monitoren van de systemen. Om gewapend te zijn tegen cybercriminaliteit is het belangrijk dat de directie cybercriminaliteit als speerpunt gaat zien en erop toeziet dat er in de hele organisatie maatregelen worden genomen om cybercriminaliteit tegen te gaan.

Dit vraagt om een forse investering op het gebied van de organisatie (business), de techniek (bytes) en de mens (behaviour). De Cyber Security Raad concludeerde deze maand dat er een extra investering van 833 miljoen euro nodig is om Nederland te beschermen tegen de dreigingen van dit moment.”

En verwacht je dat er ooit een einde komt aan deze vorm van criminaliteit?

“Voorlopig niet, want voor criminelen is dit een efficiënte manier om snel veel geld te verdienen. Ik verwacht eerder dat het toeneemt omdat meer criminelen deze vorm van criminaliteit gaan ontdekken. En er zijn nog genoeg organisaties die hun cybersecurity niet op orde hebben, waardoor het gemakkelijk blijft om hier snel mee te scoren.”

Dit artikel is een onderdeel van een serie. Lees in deel 2 hoe criminelen onderling samenwerken en hoe zij steeds professioneler en agressiever te werk gaan om hun kans op succes te vergroten. Dit artikel verschijnt over twee weken.

Bron: decrisismanager.nl | Maaike Tindemans

Meer info over ransomware

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Cybercriminelen blijven op het netwerk van slachtoffers actief

Cybercriminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan.

Lees meer »

Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s

De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval. 

Lees meer »

IT bedrijf moet ransomware schade door zwakke beveiliging betalen

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

Lees meer »

6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware

De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.

Lees meer »