Hoe onderhandel je met een hackersbende? 'Hun status is heel belangrijk'
Hoe onderhandel je met cybercriminelen? Bel je ze gewoon op, maak je hier en daar een grapje of wordt er juist veel gedreigd en gescholden? We vragen het aan Pim Takkenberg, directeur van cybersecuritybedrijf Northwave, die voor zijn werk veel onderhandelt met cybercriminelen.
Honderden cyberzaken heeft Takkenberg al gedaan. Hij wordt ingevlogen zodra een bedrijf slachtoffer is geworden van ransomware, een virus dat computers op slot zet en alle data buitmaakt.
Ook laboratorium Clinical Diagnostics is slachtoffer geworden van ransomware. De groep achter deze aanval heet Nova, en ook Takkenberg heeft al met ze te maken gehad: "Het is een typisch Russische cybercriminele groep. Ze zijn niet heel professioneel, maar ook zeker geen amateurs."
Zakelijke onderhandelingen
Slachtoffers van ransomware weten dat ze zijn gehackt, omdat de computers niet meer goed werken. Er is vaak een tekstbestandje op de gehackte computers te vinden, waarin wordt gevraagd om contact op te nemen met de criminelen. Dat gaat soms per e-mail, maar veel vaker hebben de criminelen hun eigen chatwebsite op het dark web, het verborgen deel van het internet.
De onderhandelingen gaan vaak zakelijk. Met name bij Russische cybercriminelen, die verantwoordelijk zijn voor het gros van de hacks. "Russen houden er niet van als je ze kleineert, hun status is heel belangrijk. En ze houden van directheid, ze zijn bijvoorbeeld niet gevoelig voor argumenten dat je als bedrijf het losgeld niet kunt betalen. Zeg wat je wel kan betalen, berichten ze dan."
Miljoenen geëist
Er wordt om twee redenen betaald. Allereerst om ervoor te zorgen dat de computers weer toegankelijk worden. Dat is vaak de duurste betaling, zo stelt Takkenberg. De tweede reden is om de gestolen data niet te laten publiceren, zoals in het geval van laboratorium Clinical Diagnostics. Dat is vaak goedkoper.
Er worden veelal miljoenen euro's aan losgeld geëist: vaak zo'n 2 procent van de jaaromzet. Maar dat wordt lang niet altijd betaald, zo zegt Takkenberg: "Als het alleen gaat om het niet-publiceren van de gestolen data kan het zomaar zijn dat je de losgeldeis met zo'n 45 tot 95 procent kan verminderen."
Afspraken maken met criminelen
De betalingen gaan in bitcoin. In ruil voor de betaling krijg je een bewijs dat de data is verwijderd, een rapport hoe de cybercriminelen zijn ingebroken en de garantie dat ze je niet nog een keer aanvallen. Maar is dat dan ook echt zo?
"Je moet ze vertrouwen op hun woord, maar in de honderden zaken die ik heb gedaan heb ik nog geen één keer gezien dat de gestolen data ergens is gepubliceerd", zegt Takkenberg. "Het voelt gek om te zeggen, maar met cybercriminelen kun je goede afspraken maken. Ze zijn vaak betrouwbaar."
1,1 miljoen euro losgeld
Clinical Diagnostics heeft volgens Nova aanvankelijk losgeld betaald. Maar de cybercriminelen eisen nu opeens opnieuw 1,1 miljoen aan losgeld. Nova stelt dat het laboratorium de voorwaarden van 'de deal' heeft geschonden, omdat de politie is ingeschakeld
Takkenberg: "Het is vaak onderdeel van de onderhandelingen dat je niet de politie inschakelt. Dat is wel gebeurd, en misschien geven ze daarvoor een soort van boete."
Het kan ook zijn dat de cybercriminelen opeens weten welke zeer gevoelige data ze hebben buitgemaakt, en dat het oorspronkelijk losgeld niet genoeg is voor hen. "Daarmee misbruiken ze hun positie en gebruiken ze als excuus het schenden van de voorwaarden, zodat ze altijd nog kunnen zeggen: als je betaalt, dan verwijderen we de data."
