Gemeente Hof van Twente is begin december gehackt door een criminele groepering, die zo’n 750 duizend euro eist.

AchtergrondModerne afpersing

‘Hallo daar, u bent gehackt. De prijs is 3 miljoen in bitcoin, we komen er wel uit’

Gemeente Hof van Twente is begin december gehackt door een criminele groepering, die zo’n 750 duizend euro eist.Beeld Sabine van Wechem

Moderne afpersing gaat geheel digitaal en opvallend vriendelijk, met een kleine pakkans voor de criminelen. Begin december werd de gemeente Hof van Twente nog op een dergelijke manier gehackt en gegijzeld. ‘Ik heb met de baas gesproken. We geven 20 procent korting voor uw bedrijf.’

Toen Ahold-topman Gerrit Jan Heijn eind jaren tachtig werd gegijzeld, kreeg zijn familie berichten van de ontvoerder via kranten en brieven. In die brieven zaten cassettebandjes met de stem van Heijn. Ook eens zijn bril. En uiteindelijk een afgesneden pink.

Nu gaat de onderhandelaar bij een gijzeling naar een onlinehelpdesk, waar hij een vriendelijke doch besliste medewerker treft. ‘Hallo, hoe kan ik u helpen?’, is het eerste bericht. Onderhandelen over de prijs? Geen probleem, daar komen we uit. Wilt u weten hoe we u te pakken kregen? Prima, eerst betalen, dan praten we u bij.

Gemeente Hof van Twente wordt sinds begin december in gijzeling gehouden door een criminele groepering – al weigert de gemeente dat zelf zo te noemen. De criminelen vragen 50 bitcoin, zo’n 750 duizend euro, om back-upsystemen weer vrij te geven. Betaalt de gemeente niet, dan dreigen ze gevoelige data te publiceren.

Het verschil met Heijn is navenant. Het afpersen gebeurt nu digitaal, schoon, op afstand, zonder geweld. En met een groot slagingspercentage. Toen Ferdi E., de ontvoerder van Heijn, na maanden onderhandelen via berichten in kranten 8 miljoen gulden losgeld kreeg, bleek Heijn niet meer te leven. E. liep later tegen de lamp en werd veroordeeld tot twintig jaar cel en TBS. De moderne afpersers ontvangen vaak binnen een paar dagen het losgeld in digitale munten en zijn dan al bezig met het volgende slachtoffer. Tientallen miljoenen euro’s verdienen ze per jaar. Hun werkwijze is geraffineerd, de pakkans klein.

‘U bent gehackt’

Frank – die vanwege de gevoeligheid zijn achternaam liever niet vermeldt, net zomin als de bedrijfsnaam – weet hoe ze werken. Hij is technisch directeur van een groot Duits farmaceutisch bedrijf. 1.500 man personeel, omzet 280 miljoen euro per jaar. Machines die in razend tempo pillen verpakken, een medisch lab voor het testen en valideren. Op een donderdagochtend in september 2019 belt een collega hem als hij in de auto zit. ‘Er is iets verdachts aan de hand.’ De systemen haperen.

Even later op kantoor heerst ordeloosheid. Laptops doen het wel, pc’s niet. Her en der een zwart scherm. En dan: geen e-mail meer. Een flinke computerstoring, denken ze eerst. Maar dan blijkt het beheerderswachtwoord niet meer te werken. De controle over het bedrijf is overgenomen.

In de middag verschijnt een e-mail. ‘U bent gehackt en u moet betalen.’ Het bedrijf belt de verzekeraar, die direct een Nederlands beveiligingsbedrijf inschakelt. Frank vergelijkt de situatie met jezelf buitensluiten: je staat buiten je eigen huis en hebt geen idee hoe je naar binnen kunt. De een reageert emotioneel, de ander is realistischer. Hijzelf blijft kalm. ‘Iemand is ons kennelijk te slim af, dacht ik.’

Onderhandeling

Wat dan volgt, zijn surrealistische gesprekken met de criminelen. Het Duitse bedrijf doet dit niet zelf. Frank: ‘Daar wilden we niet bij betrokken zijn. We wisten ook: bij niet betalen is de impact veel groter. Een maand stilstaan kost ons 10 miljoen euro.’ 1.500 man zoekt hun toevlucht in vijftien inderhaast opgezette WhatsApp-groepen. De machines draaien nog, maar de medicijnen kunnen niet worden getest. En dus niet naar klanten. De druk is voelbaar. Honderden werknemers zitten werkeloos thuis.

De onderhandeling die volgt, begint zakelijk, zoals in dit voorbeeld van een recente casus in een Midden-Europees land.

‘Hallo. Het lijkt erop dat u een deel van ons netwerk heeft versleuteld. Wat zijn de mogelijkheden?’

‘Hallo daar. Ja, we hebben het belangrijkste domein en enkele subdomeinen van uw netwerk versleuteld.’

‘We overwegen te betalen voor de sleutel, maar de huidige prijs is erg hoog vergeleken met onze omzet. Kunnen we onderhandelen?’

‘Ja, we kunnen het eens worden.’

‘Wat voor korting kunt u me geven?’

Frank de Korte is beveiligingsexpert bij het Nederlandse Northwave. Wekelijks helpt hij bedrijven die zijn gegijzeld. Hij was niet betrokken bij het voorbeeld. De Korte: ‘Als we aankomen, zien we vaak chaos en stress.’ Eerst kijkt hij of het netwerk weer normaal kan worden opgebouwd. De Korte: ‘Zonder te betalen. Maar de criminelen zoeken actief naar back-ups en vernietigen of versleutelen die. Daarom zou opbouwen vaak maanden duren.’ En dan zijn bedrijven ook nog historische data kwijt. Bijvoorbeeld CAD-tekeningen voor technische installaties. Beschrijvingen om machines te finetunen zodat het eindproduct het juiste is. En dus begint vrijwel direct het onderhandelen.

‘Ik heb met de baas gesproken. We geven 20 procent korting voor uw bedrijf.’

‘Ah, dank voor deze eerste stap.’

‘Is dit bedrag alleen voor de sleutel? Of krijgen we bijvoorbeeld ook een rapport met kwetsbaarheden zodat we weten wat de zwakke plekken in onze omgeving zijn? En zijn er data gestolen?’

‘U krijgt een universele sleutel voor het bedrijfsnetwerk en hulp tot het einde van het ontsleutelproces. Als u ook een beoordeling van uw systemen wilt en informatie hoe we uw bedrijf hebben gehackt, kunnen we een rapport sturen.’

‘Kunnen we de prijs naar 2 miljoen krijgen als we snel betalen?’

‘Hoeveel uur heeft u nodig om te betalen?’

De Korte was niet bij deze onderhandeling betrokken. Wel bij vele andere. ‘We nemen altijd contact op, want het geeft ons informatie.’ En een korting valt te bespreken. ‘Soms niet, maar vaak tussen de 25 en 50 procent.’ Hof van Twente nam geen contact op met de criminelen – in lijn met het advies van de Nederlandse politie en het Openbaar Ministerie om nooit te betalen. De Korte: ‘De reden voor bedrijven om wel te betalen is praktisch: niet betalen kan een faillissement betekenen. Het is een keuze voor leven of dood.’

‘Ik zal met de baas praten. Het is niet waarschijnlijk dat hij het aanbod zal accepteren, maar waarschijnlijk zal hij wel extra korting geven.’

‘Oké, ik wacht op een antwoord.’

‘U bent geselecteerd voor een extra korting van 1 miljoen dollar. Een goede en grote korting hebben we snel voor u geregeld. Dit is de definitieve prijs.’

Familie van hackers

Een Russische maker van gijzelsoftware gaf in oktober een zeldzaam interview aan YouTube-kanaal Russian Osint. De man is betrokken bij REvil, gijzelsoftware die aan anderen wordt verkocht. Die anderen, door REvil ‘partners’ of ‘distributeurs’ genoemd, zorgen dat ze ergens binnenkomen, documenten downloaden en vervolgens REvil loslaten. Leden van REvil doen de onderhandelingen en innen het losgeld, vaak bitcoins die via verschillende stappen bij de makers komen. ‘De taak van partners is om het netwerk te infecteren, back-ups kapot te maken en documenten te downloaden. De rest is onze zorg.’

De REvil-leden, tien makers en enkele tientallen hackers, verdienen meer dan 100 miljoen per jaar, vertelde hij. Ze gijzelden Travelex en 23 gemeenten in de Amerikaanse staat Texas. De selectie van partners is strikt. ‘We hebben onze eigen vertrouwde familie. We voegen geen incapabele mensen toe.’ Russischtalige slachtoffers maken ze niet: de software werkt niet bij slachtoffers met een cyrillisch toetsenbord. Reputatie is alles. Betaalt een slachtoffer, dan volgt altijd de sleutel om de bestanden weer toegankelijk te maken. Favoriete doelwitten: ‘Ict-leveranciers, verzekeringsbedrijven, advocatenkantoren, productiebedrijven. En specifiek de landbouwindustrie.’ In het voorjaar werd de Apeldoornse maker van landbouwmachines Royal Reesink afgeperst door criminelen. Ook die betaalde losgeld.

De REvil-maker vertelde ook hoe ze slachtoffers infecteren. Vaak door gebruik te maken van bekende kwetsbaarheden. In VPN-diensten, of in het remote desktop protocol om op afstand controle over een andere computer te krijgen, zoals bij de gemeente Hof van Twente. Op beveiliging wordt altijd bespaard, weten ook criminelen. En tijdig software updaten om bekende lekken te dichten, doen zelfs de grootste bedrijven niet altijd. Werk in overvloed in deze digitale tijden. De REvil-maker: ‘En slachtoffers houden een aanval met gijzelsofware stil. Omdat ze weten dat het de beurswaarde kan beïnvloeden.’ Driedubbelgoed voor de crimineel: slechte beveiliging, snel losgeld, stilte over de misdaad.

Reputatie

‘Het bestuur wil de deal sluiten voor 2,5 miljoen in bitcoin.’

‘Een verdere verlaging van de prijs is niet mogelijk. Prijs is 3 miljoen in bitcoin.’

‘Ik heb het voorstel besproken met het bestuur, maar 3 miljoen is te veel. Helemaal met de extra 360 duizend dollar (voor het betalen in bitcoin, red.). We zijn bereid om 2,5 miljoen dollar en 250 duizend extra te betalen in bitcoin.’

‘We kunnen u 2,65 miljoen plus 250 duizend in bitcoin aanbieden.’

‘We merken dat criminelen waarde hechten aan reputatie’, zegt De Korte van Northwave. ‘Nog nooit maakten we mee dat ze niet de sleutel gaven.’ Ze adviseren zelfs hoe bedrijven hun beveiliging kunnen verbeteren. ‘Na een afpersing is een bedrijf significant veiliger. Het management ziet plots de waarde van goede ict’, zegt De Korte.

‘Oké, ik heb antwoord van het bestuur. Ze zijn akkoord met alle eisen behalve met de prijs van 2,65 miljoen dollar. Ze blijven bij 2,5 miljoen.’

‘Oké. We hebben de prijs aangepast naar 2,5 miljoen.’

‘Oké. Veel dank hiervoor! Ik ga terug naar het bestuur en vertel ze over uw genereuze aanbod.’

‘Alle data zijn vernietigd. U hoeft zich er geen zorgen over te maken, we hechten aan onze reputatie. Er waren veel open poorten in uw netwerk. Er was een poort voor toegang op afstand, en zo kwamen we binnen, oude Windows-updates, en het beheerdersdomein was niet correct geconfigureerd. U heeft een oud bedrijf, en de beveiliging is ook heel oud.’

Frank, technisch directeur van het Duitse farmaceutisch bedrijf, zegt nu: ‘Het is goed dat het gebeurde.’ Na vier dagen kreeg zijn bedrijf de sleutel. ‘De Duitse politie zei dat we geen criminelen moesten betalen. Maar tussen de regels door lieten ze weten dat het beter is om het toch te doen.’ Het interne onderzoek duurde enkele weken. Een e-mail met bijlage, maanden terug, bleek de boosdoener. Eén iemand had geklikt en zo was het begonnen. Ze trokken lessen: een andere wijze van communiceren, meer afzonderlijke delen in het netwerk, extra geld voor beveiliging en minder mensen met beheerdersrechten.

Hoeveel er werd betaald, weet Frank niet. Dat regelde het beveiligingsbedrijf. Zo hoefde het bedrag ook niet als losgeld in de boeken te staan. Naar verluidt werden enkele tonnen betaald, een fractie van de omzet van 280 miljoen euro. Frank: ‘Ze hadden makkelijk meer kunnen vragen.’

Correctie: In een eerdere versie van dit artikel stond ten onrechte dat Ferdi E. 20 jaar de cel in ging. Hij werd weliswaar veroordeeld tot 20 jaar cel en TBS ,maar kwam na 13 jaar vrij wegens goed gedrag en een succesvolle behandeling.

Lees ook

‘Hello, need data back? Contact us fast.’ Hackers eisen geld van gemeente Hof van Twente.

‘We vertrouwen elkaar toch?’ Hoe Buitenlandse Zaken staatsgeheimen al jaren niet goed beveiligt.

Niet betalen aan computergijzelaars klinkt goed – tot je wordt gehackt.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden