RECONSTRUCTIERansomware

Niet betalen aan computergijzelaars klinkt goed – tot je wordt gehackt

Een paar uur na de hack zat Richard van der Helm naast technische specialisten van Northwave.Beeld Jeroen de Bakker

Minister Grapperhaus wil dat verzekeraars niet meer het losgeld vergoeden dat bedrijven betalen na een aanval met gijzelsoftware. Maar een casus in Noord-Brabant laat zien dat ondernemers en verzekeraars weinig te kiezen hebben. 

Had je hem vooraf gevraagd, dan had Richard van der Helm gezegd: nooit betalen aan criminelen. En toen de 48-jarige directeur op een vrijdagnacht in februari werd gebeld door een ict-collega en hij hoorde dat de systemen van zijn logistieke bedrijf steeds trager reageerden, waarna hij over stille snelwegen in 35 minuten naar zijn bedrijfspand in Noord-Brabant reed en onderweg begreep dat de belangrijkste databaseserver was versleuteld én er een melding op computerschermen verscheen waarin hackers losgeld eisten, waarop hij vervolgens opdracht gaf de internetverbindingen en servers af te sluiten, binnenkwam, zijn collega’s ontredderd zag staan, een bak koffie pakte en ging zitten – ook toen dacht hij: ‘Maar we gaan niet betalen.’

Twee dagen later betaalde hij toch.

Dat zit zo. Toen Van der Helm die ochtend in februari op de zaak kwam, was er geen bedrijvigheid meer in de imposante loods van 40 duizend vierkante meter. Dat liet hij zich niet gebeuren. Van der Helm Logistics zou weer zo snel mogelijk in bedrijf zijn. Inventariseren waar de aanvallers zaten, niet-getroffen computers een voor een herstarten, back-ups terugzetten. Op internet zocht hij naar een mogelijkheid om de versleutelde computers te bevrijden; érgens moest een oplossing zijn. Van der Helm: ‘Toen we de opties langsliepen, bleek er weinig mogelijk. Alsof de stoel onder mijn gat vandaan werd gehaald.’

Er was een twaalf uur oude back-up van de belangrijkste databaseserver, een eeuwigheid voor een logistiek bedrijf: de goederen waren in de tussentijd al vele malen verplaatst. De hele voorraad zou opnieuw moeten worden gescand. De realtimeback-ups die het bedrijf maakte, waren aan het systeem gekoppeld en die hadden de hackers ook versleuteld. ‘En de tapestreamer die back-ups regelt, was net kapot. Murphy’s law: als het eenmaal fout gaat, gaat alles fout.’

Langzaam drong de ernst door.

De verzekeraar werd gebeld. Die schakelde beveiligingsbedrijf Northwave in. Een paar uur later zat Richard van der Helm naast technische specialisten van Northwave die hem vertelden wat hij toen al vreesde: de aanvallers hadden twintig servers versleuteld, 200 pc’s en back-ups. Veel keus lieten ze hem niet. Het systeem opnieuw herstellen en opbouwen, de voorraad scannen: het zou weken duren. ‘Dan konden we onze contractuele verplichtingen niet nakomen en zouden we al vrij snel richting faillissement gaan. We moesten onderhandelen.’

Gijzeling op afstand

Aanvallen met gijzelsoftware nemen al jaren toe. In het eerste kwartaal van 2020 steeg het gemiddelde bedrag dat getroffen bedrijven betalen met 33 procent naar ruim 100 duizend dollar (90 duizend euro), volgens een analyse van het Amerikaanse digitale beveiligingsbedrijf Coveware. De onderzoekers noemen het coronavirus als een van de oorzaken: bedrijven zijn kwetsbaar doordat werknemers vanuit huis werken. Hackers zoeken online naar het ‘remote desktopprotocol’ van Windows, waarmee systeembeheerders op afstand toegang tot een computer van een werknemer krijgen. Daarmee zitten ze in één keer op de goede plek.

In december werd de Universiteit Maastricht getroffen en betaalde uiteindelijk rond de 200 duizend euro losgeld. Daarmee werd de discussie over wel of niet betalen weer aangewakkerd. Minister Ferdinand Grapperhaus riep vorige week verzekeraars op betaald losgeld niet meer te vergoeden. Liever zou hij zien dat verzekeraars de geleden schade van een bedrijf betalen.

Hackerhelpdesk

Bij Van der Helm was de keuze snel gemaakt. Patrick van Looy, forensisch expert bij Northwave, die als een van de eersten aanwezig was: ‘We maakten een situatieschets: wat is er geraakt, hoe raakt het de bedrijfsomzet, zijn er back-ups? Kunnen we iets anders doen dan betalen?’ De servers bleken AES-256 versleuteld: dat kraken kost jaren. De back-ups waren niet compleet. Van Looy: ‘We moesten zo snel mogelijk de sleutel krijgen.’ De verzekeraar en Northwave namen contact op met de helpdesk van de hackers.

De specialisten van Northwave bestuderen de ransomware en stuiten op iets wat ze niet eerder zagen: onbekende gijzelsoftware genaamd LockBit. De hackers kwamen het bedrijf binnen via een verouderde VPN-dienst. Geautomatiseerd hadden ze dagenlang wachtwoorden geprobeerd te kraken totdat het raak was. Met netwerkdetectie had Van der Helm die pogingen kunnen zien. 

Het bijzondere van LockBit zit ’m vooral in de manier waarop de software zich verspreidt. Patrick van Looy: ‘Als hackers binnen zijn, gaan ze vaak handmatig het netwerk verkennen. Dat duurt weken. Waar zitten belangrijkste systemen? Waar zijn de back-ups? Het bijzondere aan LockBit is dat als je eenmaal beheerdersrechten hebt, de software zich automatisch verspreidt in het netwerk. Als een worm gaat het op zoek naar computers die worden geïnfecteerd.’

In een mum van tijd nam de gijzelsoftware het systeem over. Vrijdagnacht om 1 uur was de aanvaller in het netwerk geweest, daarna was in een paar uur alles versleuteld. Amper vijf uur later kwam Van der Helm al bij het bedrijf aan en zag hij een melding op zijn computers: all your files are encrypted by LockBit. Patrick van Looy: ‘Dat is ongekend snel.’ De directeur: ‘Je voelt je aangevallen in je eigen huis.’

Cyrillisch toetsenbord

Northwave ontdekt nóg een troef van de ransomware. Voordat LockBit de servers versleutelt, maakt de ransomware verbinding met een server van de groep. Van Looy: ‘De software controleert het ip-adres van het slachtoffer. In welk land bevindt zich dat?’ Hoort het ip-adres bij Rusland of een van de CIS-landen, de voormalig Sovjetstaten, dan wordt het versleutelingsproces gestopt. ‘En LockBit installeert zich ook niet als een cyrillisch toestenbord is ingesteld.’ Het vormt een aanwijzing van de identiteit van de makers achter LockBit die sinds september actief zijn en al tientallen slachtoffers hebben gemaakt.

‘Welkom op onze helpdeskchat’, was het eerste bericht van de onlinehelpdesk van LockBit. De helpdeskmedewerker waarmee Northwave en de verzekeraar contact hebben, bezit weinig technische kennis. Ransomwaregroepen werken met afdelingen: personen die binnendringen, die versleutelen en anderen die de helpdesk doen. ‘Na zes bevestigde transacties, zal de sleutel automatisch in een paar uur worden gemaakt.’ Op de vraag hoe de hackers binnenkwamen, reageert de helpdeskmedewerker: ‘Sorry, ik doe enkel support. Ik heb dit soort informatie niet.’ Van der Helm: ‘Het was heel zakelijk. Alsof je een winkel belt en een bestelling plaatst. Perfecte klantenservice, moet ik zeggen.’

John Fokker, digitale onderzoeker bij McAfee, kreeg via Northwave een stuk van de malware te zien. Hij bestudeerde LockBit en vond infecties in de Verenigde Staten, Frankrijk, Duitsland, China, Oekraïne, India en Indonesië. Op fora op het darkweb zag hij advertenties waarin de gijzelsoftware wordt aangeboden. ‘Niet te ontsleutelen, hoewel er pogingen zijn gedaan’, luidt de wervingstekst. Fokker: ‘De makers bieden LockBit aan, ze verspreiden het niet zelf.’ 

De makers zijn selectief met wie ze in zee gaan. Fokker: ‘Misschien om onder de radar te blijven of omdat ze niet de capaciteit hebben om snel te groeien. Ze zoeken soortgelijke criminelen, stellen vragen aan geïnteresseerden. Hoe wil je de ransomware gaan verspreiden? Heb je een spamnetwerk? Laat maar zien wat je waard bent.’ 30 procent van de opbrengst gaat uiteindelijk naar de makers.

Van der Helm heeft geen idee wie hem te grazen heeft genomen. ‘De experts zeggen dat het uit Oost-Europa kwam.’ Waarom ze hem moesten hebben? ‘Geen idee. Het is een businessmodel, een zakelijke transactie.’ Na twee dagen onderhandelen kwam de sleutel om de systemen te ontsleutelen. Een flink bedrag heeft hij betaald, vergelijkbaar met dat van de Universiteit Maastricht. ‘Hoe goed je jezelf ook beveiligt, in dit kat-en-muisspel tussen beveiligingsbedrijven en criminelen ben je altijd kwetsbaar.’ De schade is flink, zegt hij. ‘Niet financieel, maar emotioneel. Bij medewerkers, in relaties met klanten, bij mezelf: alle zekerheid viel weg.’

De discussie over wel of niet betalen vindt John Fokker, die in het verleden bij het Team High Tech Crime van de Nederlandse politie werkte, ‘moeilijk’. Getroffen bedrijven staan met de rug tegen de muur, ziet hij. ‘Het liefst zie je dat slachtoffers niet betalen, want het houdt het businessmodel in stand, maar een ondernemer kan soms niet anders. In de aanpak tegen ransomware spelen vele partijen een rol en het is te makkelijk om dan alleen naar de verzekeraar te wijzen.’ 

Als de overheid verbiedt te betalen zou Fokker pleiten voor een vangnet om getroffen bedrijven bij te staan. Richard van der Helm kan andere bedrijven geen advies meegeven. ‘Ik zou zeggen: betaal niet en bouw het netwerk opnieuw op. Maar bij ons liep het uiteindelijk ook anders.’

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden