Onderhandelen over ransomware? ‘Criminelen negeren maakt hen alleen maar boos’
Bron: Data News
Hoe onderhandelt u met een cybercrimineel? ‘Niet’, is dan meestal het antwoord, maar voor elke regel zijn er uitzonderingen. Om te kijken hoe u het dan aanpakt, spraken wij met de onderhandelaars.
Ransomware is al jaren op rij de belangrijkste security-uitdaging wereldwijd. Het kan de criminelen in kwestie veel geld opbrengen, en alles van kmo’s over hospitalen tot grote bedrijven is de voorbije jaren al slachtoffer geworden. En met dat zakenmodel komt ook professionalisering. Dat betekent onder meer SaaS-infrastructuur, en een helpdesk met betere service dan de modale Belgische leverancier van nutsvoorzieningen.
Het is die helpdesk waarmee u geconfronteerd wordt als u ook zelf slachtoffer wordt. Zelfs als u niet van plan bent te betalen, is het een goed idee om daar minstens even contact mee op te nemen, zegt Steven De Munter, cybersecurity-expert bij Orange Cyberdefense, met een verleden bij de Gerechtelijke Politie. “Meestal geef je jezelf tijd als je met criminelen onderhandelt, zodat je teams hun onderzoek kunnen doen. Hen negeren gaat hen meestal net boos maken.”
Eerste hulp bij onderhandelen
Voor wie het geluk heeft gehad nog nooit met ransomware te zijn geconfronteerd, dat gaat als volgt. Ergens in de boodschappen die de ransomware u stuurt, zit een losgeldbriefje. Daarop staat meestal een link naar het zogeheten ‘dark web’, een site waar u met een Tor browser naartoe gaat en die dus moeilijker te traceren valt. U krijgt vaak ook een persoonlijke code (een klantennummer, zeg maar) zodat de helpdeskmedewerker in de chatroom meteen weet over welk dossier het gaat. “Je ‘slachtofferaccount’ wordt gelinkt aan een specifieke campagne,” zegt Bjorn Svendsen. Hij werkte voor Orange Cyberdefense Noorwegen toen hij in 2021 werd ingeschakeld om zo’n onderhandeling te voeren. “Het is een beetje zoals praten met een call center. Ze proberen je te helpen. In die campagne vroegen ze bijvoorbeeld losgeld in monero, maar we hadden problemen om dat te krijgen, dus vroegen we om in bitcoin te betalen. Dat was mogelijk, maar dan met een meerkost van tien procent.”
In dat geval waren de criminelen niet alleen behulpzaam omdat er geld te rapen viel, het kwam ook hun ‘branding’ goed uit. “Ze wilden de reputatie dat als je hen betaalde, je de nodige tools zou krijgen”, zegt Svendsen daarover. Hij voegt er meteen aan toe dat de situatie ondertussen anders is. Na de Russische invasie van Oekraïne vielen bendes zoals Conti, waarmee hij onderhandelde, uit elkaar of hergroepeerden ze zich. De criminele bendes die nu nog actief zijn, proberen zo veel mogelijk anoniem te blijven, zodat slachtoffers hen toch nog kunnen betalen. “Veel landen hebben nu regels die het illegaal maken om met Russische organisaties handel te drijven”, zegt Svendsen.
Niets persoonlijks
Svendsen werd, een beetje ad hoc, ingeschakeld als onderhandelaar door zijn rol bij een securitybedrijf en hield het bij één onderhandeling. Anderen, zoals Geert Baudewijns, CEO van het Belgische securitybedrijf Secutec, hebben de voorbije jaren al honderden onderhandelingen afgehandeld. “Elke crimineel is anders, en zo’n gesprek gaat ook alle kanten uit. Hoe professioneler de organisatie, hoe droger de gesprekken zijn. Hoe korter ook. Straatcriminelen maken me soms uit voor het vuil van de straat en dan doe je dat terug,” lacht hij.
Maar wat maakt een goeie onderhandelaar? “Er zijn gecertifieerde onderhandelaars,” zegt Baudewijns, “maar vaak werkt het op basis van je netwerk. Iedereen mag dat in principe doen. Voor mij is het belangrijk dat je het wekelijks doet, zodat het in de vingers blijft zitten.”
Aan zo’n onderhandelaar komt u dus via uw netwerk of een security provider. Als u een cyberverzekering hebt, krijgt u vaak ook ondersteuning aangeboden bij een aanval. “Soms komt er ook iemand bij met een achtergrond in de advocatuur,” geeft De Munter aan, “omdat die het gewend zijn om hun woorden te wegen.”
De belangrijkste tip die alle drie de heren geven is wel dat zo’n onderhandelaar best een extern persoon is. “Ik ben niet emotioneel met dat bedrijf verbonden, ik ben niet de vriend van de CEO”, zegt Baudewijns. “Als ik onderhandel, ben ik een tussenpersoon en ik moet een goeie deal kunnen maken. Ik heb geen garanties voor hacker of klant: zelfs als er miljoenen worden betaald, kan het nog altijd mislopen. Daar moet je rekening mee houden. En vaak gaat het fout als er emotie bij komt. Je belangrijkste skill is rationeel denken.”
Poker face
Anderzijds is die emotie ook bij de andere partij moeilijk te vinden, zeker als het om professionelen gaat. “Dat maakt het moeilijk om met criminelen te onderhandelen,” zegt De Munter. “Hen kan het namelijk niet veel schelen. Ze weten dat ze de controle over de situatie houden, ze weten alleen niet of je de back-ups hebt om de controle terug te krijgen. Het is een strategisch spelletje.”
“Als onderhandelaar moet je altijd proberen een band te krijgen met de crimineel”, voegt Baudewijns er aan toe. Hij vergelijkt het met de technieken die veiligheidsdiensten bijvoorbeeld gebruiken bij gijzelingen. “Die manieren van werken liggen niet zo ver uit elkaar. Je moet kijken hoe je tegenpartij daar staat en met professionelen is dat veel moeilijker, die doen dat elke dag. Vaak begin ik over mijn kinderen, of het avondeten: ‘Ik bekijk het zo meteen maar ik ga eerst eten.’ Een straatcrimineel zegt dan ‘smakelijk’, maar iemand van Conti geeft niks weg.”
“Je kan geen tactische empathie gebruiken,” zegt Svendsen. “Het is een chatroom met twee mensen erin. Voor hen is het gewoon zakendoen. Ze weten meestal niet eens wie je bent.”
Betalen of niet betalen?
Rest nog de vraag of u op het einde van de rit, als de verschillende opties zijn uitgeput, dan toch moet betalen. “Politiediensten raden sterk af om te onderhandelen met hackers omdat het hun activiteiten kan versterken, en omdat je ook geen garanties krijgt,” zegt De Munter. “Het is natuurlijk ook een moreel dilemma, omdat je een criminele organisatie aan het steunen bent. En als overheid ligt dat al een pak moeilijker omdat je dan met belastinggeld werkt, maar als bedrijfseigenaar moet je doen wat je moet doen.”
Svendsen, die dus wel over betalingen onderhandelde, beaamt dat: “Het advies om niet te betalen is zoals het advies om niet op verdachte links te klikken. Soms heb je pech en als je in die situatie zit waarin je back-ups vernietigd zijn, en je alles kwijt bent, dan heb je als bedrijf niet altijd de keuze. We hebben al situaties gezien waarin het de keuze was tussen betalen om terug zaken te kunnen doen, of de boeken sluiten.”
In de ervaring van Baudewijns gaat zo’n 70% van de slachtoffers uiteindelijk over tot betaling. “Omdat de klant niet anders kan, maar ook omdat het een economische overweging is. Hoeveel tijd kost het om je systeem terug op poten te krijgen, en hoeveel sneller gaat dat met decryptiesleutels? Heel vaak zie je dat een team of CEO de eerste dag na een hack zegt nooit te zullen betalen, maar dat ze na drie dagen die piste toch willen openzetten.”
Maar ook in dat geval is het niet voorbij, waarschuwt hij: “Zelfs al betaal je, dan ben je nog weken bezig. Je zal waarschijnlijk je sleutels krijgen, maar dan begint het verhaal nog maar, want je netwerk is gecompromitteerd. Het voordeel van de sleutels is dat je mensen vrij snel terug aan de slag kunnen. Je zou als bedrijf na een paar weken terug actief moeten zijn, maar alles terug opbouwen kan nog lang duren.”
Ondertussen op het dark web
Een van de manieren om ransomware te snel af te zijn is zogeheten ‘dark web monitoring’, meekijken met criminelen om te zien welke kwetsbaarheden en logins er beschikbaar zijn, en of er daar van uw organisatie bij zitten. We zijn ondertussen vertrouwd met de databases van HaveIBeenPwnd, waarop u kan checken of uw accounts bij een of andere groot lek op straat terecht kwamen. Maar sommige bedrijven, zoals het Belgische Secutec, gaan op gespecialiseerde sites zelf op zoek naar informatie om hun klanten te waarschuwen. “We acteren op het darknet als een ransomware-organisatie”, zegt Geert Baudewijns, CEO van Secutec. “Daardoor krijgen we toegang tot heel veel ‘credentials’. Dat geeft ons inzage in tot 40-50.000 slachtoffers per week.” Het gaat dan bijvoorbeeld om logins van medewerkers die via password stealers zijn buitgemaakt, en waarmee een onverlaat medewerkers van uw organisaties kan phishen. Soms is de gelekte informatie genoeg om meteen op het interne netwerk in te loggen.
“Hacken is helemaal niet moeilijk he,” zegt Baudewijns. “Veel mensen denken dat, maar als je de juiste tools en info hebt is daar niet veel aan. Iedereen die aan die informatie kan komen, kan gaan hacken.” Secutec werkt onder meer voor de politie en het Belgische gerecht. “Wij krijgen duizenden slachtoffers binnen per week, en selecteren dan per land wat we kunnen vinden en geven dat door aan overheden,” aldus Baudewijns. Voor zakelijke klanten biedt het bedrijf gelijkaardige diensten aan, die als een soort vroege waarschuwing dienen. Zo krijgt een bedrijf meteen te horen of er mogelijk interne credentials te rapen vallen voor criminelen.