Miljarden verdienen criminele hackers met het gijzelen van bedrijven. Waar het Helmondse bedrijf Senzer nog ontsnapte aan afpersing door Russische criminelen, betalen andere ondernemingen soms miljoenen aan losgeld. Een landelijke taskforce gestart door de politie Oost-Brabant probeert nu cybercriminelen over de hele wereld dwars te zitten.
De tekst, het uiterlijk: alles op het losgeldbericht wijst op Ryuk. Dat staat gewoonlijk synoniem voor Russische kartels. Het is 9 maart als de computers van het Helmondse bedrijf Senzer worden gegijzeld. Met een virus worden ze versleuteld en onbruikbaar gemaakt.
Niet onderhandeld
Maar niet bij Senzer. De Helmonders betalen geen enkele Bitcoin, er wordt niet eens onderhandeld met de criminelen. Met dank aan goede kopieën van al haar bestanden ontsnapt de uitkeringsinstantie aan afpersing. Maar dat cybercriminelen het voor de zoveelste keer op een publieke instelling hebben voorzien, is zorgwekkend.
Begin december legden hackers bijvoorbeeld het netwerk van de gemeente Hof van Twente plat en eisten driekwart miljoen. Er werd niet betaald. Een ander bekend voorbeeld is de Universiteit van Maastricht, die uiteindelijk in oktober 2019 twee ton aftikte om de gijzeling op te heffen.
De tijd dat hackers bij mensen thuis de privécomputer met alle vakantiekiekjes gijzelden, is voorbij. Geen tientjeswerk meer. In plaats daarvan heeft de criminele bedrijfstak zich de afgelopen jaren ontwikkeld tot een miljardenindustrie. Bedrijven worden aan de lopende band getroffen door de digitale gijzelingen. De grofweg 200 aangiftes van ransomware die in 2020 binnenkwamen bij de politie, zijn een fractie vergeleken bij de werkelijke schade.
We wijzen allemaal naar de drugsindustrie. Maar ik denk dat hackers de maatschappij financieel gezien misschien nog wel meer ontwrichten.
„Alleen onze hotline werd al grofweg 500 keer gebeld”, zegt Pim Takkenberg van Northwave. Het bedrijf in Utrecht is gespecialiseerd in het beschermen van bedrijven tegen hackers, maar komt ook puin ruimen in noodgevallen, zoals bij Senzer. „Van die 500 keer ging het in de helft van de gevallen om ransomware.” Takkenberg kent voorbeelden van Nederlandse bedrijven die miljoenen aan losgeld betaalden. „We wijzen allemaal naar de drugsindustrie. Maar ik denk dat hackers de maatschappij financieel gezien misschien nog wel meer ontwrichten.”
Vervormde stem
Op internet circuleert een video waarin de vermeende leider van het Russische ransomware-collectief REvil claimt dat zijn groep 100 miljoen per jaar verdient. ‘Ik heb nu al genoeg geld voor honderden jaren, maar je kunt nooit te veel geld hebben’, vertelt hij met een vervormde stem, terwijl hij zich verschuilt achter een plaatje met capuchontrui en masker. ‘Ik hoop 1 miljard te hebben, of 2 miljard of als ik als ik in een goede bui ben, 5 miljard.’
Ransomware is kortom big business. Dat besef is er ook bij de politie. De regionale cybercrime-teams tellen steeds meer rechercheurs en elke eenheid kent sinds 2019 een specialisme: van Whatsapp-fraude tot phishing. De politie Oost-Brabant focust zich op Ransomware en richtte samen met het landelijke Team High Tech Crime een taskforce op. „Ransomware is de Champions League van de cybercrime”, reageert Matthijs Jaspers van de taskforce. „Hier gaat internationaal het meeste geld in om en het werkt het meest ontwrichtend.”
Bejaarde computersystemen
In Oost-Brabant is er met Brainport, de verzameling technologische bedrijven rondom Eindhoven, een schat aan informatie te gijzelen. Toch lijken die niet per se het eerste doelwit, denkt Takkenberg: „Dat soort bedrijven heeft de beveiliging meestal goed op orde. Als een dief een wijk inloopt, gaat hij ook niet binnen bij een huis met een alarm als er in dezelfde straat vijf voordeuren open staan.”
Heb je een tip?
Zelf slachtoffer geworden van ransomware of ken je een bedrijf dat ermee te maken heeft gehad? Dan kun je ons een berichtje sturen via WhatsApp op: +31620435199. Je kunt ook mailen naar verslaggever Chiel Timmermans of redactie@ed.nl. Via al deze kanalen kun je ons anoniem tippen en we gaan vertrouwelijk om met je gegevens.
En voordeuren staan er genoeg open. Philips waarschuwde recent nog dat veel ziekenhuizen draaien op bejaarde computersystemen, die als een magneet werken op cybercriminelen. Vorig jaar overleed een patiënte van een Duits ziekenhuis nadat dit was getroffen door ransomware. Een vrouw moest in kritieke toestand naar een ander hospitaal worden gebracht, maar redde het niet. „Als je als ransomware-groepering zóiets op je geweten hebt, plak je een schietschijf op je rug”, reageert Jaspers. „Dan ben je echt een doelwit voor de autoriteiten.”
Nee, het zijn vooral de doorsnee bedrijven die slachtoffer worden. De midden- en kleinbedrijven (mkb’ers) bijvoorbeeld. Ondernemers die het geld steken in ondernemen, in plaats van de beveiliging van hun bedrijf. Dat zegt ook Rutger Leukfeldt, lector Cybersecurity van de Haagse Hogeschool.
„Uit een enquête onder mkb’ers bleek dat een op de vijf zei slachtoffer te zijn geweest van cybercrime, waaronder ransomware. Een op de vijf! Maar ze denken allemaal dat het hen niet overkomt.” Volgens Takkenberg pakt de crimineel wat hij pakken kan: „Het soort bedrijf dat ze binnendringen interesseert ze geen reet, als ze er maar makkelijk binnen kunnen komen.”
Veelkoppige cyberaanval
Tegen de tijd dat de criminelen de computers van bedrijven op slot zetten, hebben ze vaak al wekenlang rondgeneusd. Een enkele cyberaanval bestaat nu uit allerlei stappen waarbij verschillende bendes actief zijn met elk hun eigen specialisme. Zo heb je criminelen die zich puur en alleen bezighouden met het binnenkomen bij bedrijven. Ze vinden een lek, raden na miljarden pogingen het wachtwoord om in te loggen of creëren phishingmails met dat foute linkje waar een werknemer toch op klikt.
Die mails staan al lang niet meer vol met spelfouten, weet Jaspers. „Vroeger was het misschien naïef als je daar in trapte. Nu is de mail precies toegesneden op een bedrijf of zelfs een specifiek persoon en wordt iemand gevraagd om even een factuur te controleren. Dan ben je toch geneigd om te klikken.”
Als ze binnen zijn, wordt het bedrijf letterlijk aangeboden op internet. Het slot van de voordeur is opengebroken, wie betaalt het meest om het huis te mogen leegroven? Dat gebeurt op speciale gesloten groepen op internet. Vaak Russisch. Het zijn fora waar de politie niet eenvoudig binnenkomt. Jaspers: „Je moet bijvoorbeeld een flinke hoeveelheid cryptogeld inleggen of eerst zelf, net als bij kinderporno, materiaal delen. Laten zien dat je het serieus neemt.”
Inschatten wat er te halen valt
Vaak wordt de naam van een aangeboden bedrijf niet genoemd, maar wel in welk land het zit, welke sector het betreft, hoeveel werknemers het heeft en wat de omzet is. „Op basis daarvan kunnen andere criminelen inschatten wat er te halen valt”, zegt Takkenberg. Afhankelijk van het soort bedrijf en de soort ingang wordt hiervoor 1.000 tot 10.000 euro betaald.
Terwijl het bedrijf zelf nog niks doorheeft, neust een tweede cyberbende rond in het netwerk op zoek naar bruikbare informatie. Ze kunnen data stelen: bijvoorbeeld van gedetailleerde tekeningen van machines die het bedrijf maakt tot en met alle klantgegevens inclusief bankrekeningen.
Pas in de allerlaatste stap versleutelt weer een nieuwe groep criminelen het bedrijfsnetwerk en vraagt losgeld. Vaak hebben ze zelfs een kant-en-klare klantenservice waarmee contact op kan worden genomen als het getroffen bedrijf vragen heeft over hoe er in bitcoins moet worden betaald.
Losgeld: wel of niet betalen
De vraag of er wel of niet moet worden betaald, zorgt voor een enorme spagaat bij bedrijven. Wie zijn bedrijf weer snel in de lucht wil hebben, tikt het bedrag af. In de regel ben je dan het snelst van de problemen af en vaak ook nog het goedkoopst uit. De bedragen die worden gevraagd variëren van 50.000 tot 100.0000 euro bij mkb’ers tot miljoenen bij de grotere bedrijven. Het bedrag staat vaak gelijk aan 0,4 tot 2 procent van de omzet.
Je kunt criminelen niet vertrouwen. Je weet nooit zeker of na betaling van het losgeld je computers worden vrijgegeven.
De politie is geen voorstander van zaken doen met criminelen, zegt Jaspers. „Je beloont een boef en daarmee houd je hun businessmodel in stand. Dat geld wordt weer gepompt in nieuwe aanvallen, die ook weer verder worden ontwikkeld. Bovendien kun je criminelen niet vertrouwen. Je weet nooit zeker of na betaling je computers worden vrijgegeven.”
Dat klinkt heel logisch. Toch werkt het in de praktijk voor bedrijven vaak anders, weet Takkenberg. Hij adviseert ook niet om te betalen, maar ziet dat het in negen van de tien gevallen niet anders kan. „Als je geen kopie hebt van al je belangrijke informatie is het soms de enige manier om alles terug te krijgen.” Volgens hem zijn er bedrijven, ook in Nederland, die miljoenen hebben betaald. „Bedrijven waarvan velen van ons nog nooit hebben gehoord.”
Driedubbele afpersing
Toch is ook Takkenberg terughoudender geworden nadat criminelen de afgelopen maanden een paar keer hun afspraken niet nakwamen. „Bij een bedrijf dat wij hielpen was betaald om de bestanden terug te krijgen. Maar vervolgens eisten de criminelen meer geld, want anders dreigden ze alle data op internet te zetten. Je ziet steeds vaker een dubbele of drievoudige afpersing. Er wordt soms als derde gedreigd om het bedrijf plat te leggen met een aanval.”
Bovendien riskeren bedrijven om op een zwarte lijst van de autoriteiten te komen als ze bepaalde criminele organisaties betalen. Takkenberg: „Behalve terroristische organisaties heb je ook steeds meer hackersgroepen uit Rusland, Iran of Noord-Korea die op de sanctielijst staat. Verzekeraars mogen het dan niet vergoeden en bedrijven kunnen zelf in de problemen komen als ze toch betalen.”
Criminelen frustreren
De wereld van ransomware is zó gecompliceerd dat een groep welwillende cyberrechercheurs in de regio kansloos lijkt tegen al dat hackersgeweld. Jaspers en zijn mensen zoeken dan ook nadrukkelijk de samenwerking met bedrijven zoals Northwave om de strijd aan te gaan.
Bovendien delen cybercrime-teams uit heel de wereld informatie met elkaar. ,,Overal krijg je een puzzelstukje, bijvoorbeeld over hoe een bepaalde groep werkt, het e-mailadres dat ze gebruiken of een ip-adres. Pas als je alles op elkaar legt, kom je soms uit bij de boef.”
Maar de Taskforce is niet puur opgericht om vanuit Oost-Brabant eigenhandig Russische hackers achter de tralies te krijgen. Het doel is breder: het werk van de criminelen frustreren en zoveel mogelijk schade en slachtoffers voorkomen. Bijvoorbeeld door bedrijven te waarschuwen voor op handen zijnde aanvallen.
Afgelopen najaar wist de politie de hand te leggen op een lijst met daarop ook 27 Nederlandse bedrijven die beoogd doelwit waren van ransomware. Begin dit jaar deelde een ander cybercrimeteam in Europa de namen van drie bedrijven in Oost-Brabant waarop criminelen het hadden voorzien.
Jaspers wil er verder niet teveel over kwijt. „Of daar ook een bedrijf uit Eindhoven en omgeving bij zat? Ja. Of het om grote bedrijven ging? Ja. Er zat ook een groot internationaal bedrijf tussen. Op zo’n moment pak je als de wiedeweerga de telefoon om hen te bellen. Dankzij dit soort informatie kun je soms voorkomen dat bedrijven slachtoffer worden van cybercriminelen.” In totaal werden dit jaar grofweg tien bedrijven in de regio gewaarschuwd, afgelopen week nog een bedrijf in Eindhoven.
Taboe van gijzeling
Hoe meer puzzelstukjes, hoe beter de hackersgroeperingen kunnen worden tegengewerkt. Maar vaak ontbreekt al het meest logische stukje: de aangifte. Bedrijven die slachtoffer worden van ransomware melden dat zelden bij de politie. Slechts 7 procent van de midden- en kleinbedrijven doet aangifte van cybercrime, blijkt uit onderzoek van de Haagse Hogeschool.
Het aantal bedrijven dat aangifte doet van cybercrime is met 7 procent bedroevend laag.
Lector Cybersecurity Rutger Leukfeldt: „Dat is bedroevend laag. Ondernemers willen ondernemen en hebben geen tijd om een paar uur op het bureau te zitten. Bovendien is de kans dat je de boef in Oost-Europa pakt heel laag, denken ze.” Leukfeldt wijst er ook op dat bedrijven bij een gijzeling in paniek zijn. Hun pand staat in brand, ze hebben behoefte aan de brandweer, niet aan de politie.
Kleine ondernemingen schakelen ict-specialisten van om de hoek in. De grote jongens bellen met bedrijfsrecherchebureaus als Hoffmann. Discretie is daarbij het toverwoord. Toegeven dat je onderneming digitaal is gegijzeld, is een taboe. Uit schaamte, maar nog meer uit reputatieschade.
Claims vanwege gestolen data
De Autoriteit Persoonsgegevens luidde afgelopen jaar de noodklok vanwege de enorme groei van het aantal data-diefstallen, niet zelden onderdeel van een ransomware-aanval. Bedrijven zijn verplicht om zo’n datalek, waarbij bijvoorbeeld gegevens van personen zijn gestolen, te melden. „Maar we hebben grote zorgen dat dat lang niet altijd gebeurt”, zegt een woordvoerder.
Dat vermoedt ook Pim Takkenberg: „Het is voor de bedrijven soms heel moeilijk om vast te stellen dat er data zijn gestolen. En wat doen ze dan? Gaan ze aan hun leveranciers of klanten melden dat er gegevens mogelijk zijn gestolen? Voor hetzelfde geld leidt dat tot claims.”
Stilzwijgen
En dus houden de slachtoffers vaak de kaken op elkaar. Tegenover de politie, tegenover de Autoriteit Persoonsgegevens en tegenover andere bedrijven of klanten. Daarmee ontbreken er puzzelstukjes in de zoektocht naar de boef. De politie gaat ook niet zoeken naar een fietsendief als er maar door één slachtoffer aangifte is gedaan.
Als er ergens in de buurt wordt ingebroken is meteen heel het bedrijventerrein alert. Maar over ransomware wordt niet gepraat.
Maar nog veel belangrijker: door het stilzwijgen blijft onderbelicht hoe groot het gevaar van cybercriminelen is. „Bijna elk bedrijf heeft inbraakpreventie: camera’s, goede sloten. Als er ergens in de buurt wordt ingebroken is meteen heel het bedrijventerrein alert”, zegt Leukfeldt. „Maar over ransomware wordt niet gepraat. Met als gevolg dat nog steeds veel bedrijven slecht zijn beveiligd. En daarmee staat de deur zo goed als wagenwijd openstaat voor criminele hackers.”