Cybercriminaliteit

We weten nog steeds niet waar het misging

Uit onderzoek van Centraal Beheer blijkt dat maar liefst 50% van de ondernemers te maken krijgt met een of andere vorm van cybercriminaliteit. Drie ondernemers, waarvan twee anoniem, vertellen wat dit met hen deed. ‘Waan je nooit veilig, want dat ben je niet.’ 

Natascha Rouette, eigenaar van het audiovisuele bedrijf Media Inn, werd slachtoffer van ransomware. ‘Ongeveer een jaar geleden belde mijn zakenpartner me met de mededeling dat we een groot probleem hadden. Alle mappen en bestanden waren ineens voorzien van een david-extensie en we kregen een bericht dat we moesten betalen wanneer we onze gegevens terug wilden. Ons productiebedrijf in visuele media was het slachtoffer geworden van ransomware. 
Ik ging gelijk in de oplossingsmodus: wat kunnen we doen om de schade zo beperkt mogelijk te houden? Eigenlijk hadden mijn zakenpartner en ik aan één blik voldoende en wisten we direct: Wij gaan niet betalen’. Ik wil mijn geld per definitie niet in dat soort activiteiten stoppen. Daarnaast dacht ik: als ik nu betaal, ben ik volgend jaar weer de klos, want dan weten de criminelen dat dit bedrijf betaalt.’

Begrip voor de situatie
‘Maar omdat we niet betaalden, waren we dus ook in principe alles kwijt. Mijn zakenpartner richtte zich op wat er nog terug te halen viel uit back-ups en videomateriaal dat op platformen als YouTube en Vimeo stond. Ik ben gelijk damagecontrol gaan doen en heb contact opgenomen met onze klanten. We zijn vanaf het begin open en eerlijk geweest en dat werd enorm gewaardeerd. De klanten waarvan we recent videomateriaal kwijt waren, omdat het lopende projecten waren, hebben we op de hoogte gesteld en verteld dat we de opdracht opnieuw zouden doen. Ik merkte dat de klanten het vooral heel vervelend voor ons vonden en dat ze begrip hadden voor de situatie.’

Geïnfecteerde mail
‘Uiteindelijk hebben we niet heel veel directe financiële schade geleden, maar heeft het ons wel heel veel tijd gekost. Zo zijn de technische jongens zeker een maand bezig geweest om alles weer op de rit te krijgen en opnieuw in te richten. We weten tot op de dag van vandaag niet waar het precies mis is gegaan. Een van onze medewerkers heeft een geïnfecteerde mail geopend, maar die mail is nergens meer terug te vinden. Het opvallende vind ik dat wij als videoproductiebedrijf redelijk veel verstand hebben van technologie en we onze beveiliging dus goed voor elkaar hadden. Toch overkwam het ons en ik denk dat het dus iedereen kan overkomen. Het zegt ook niets over hoe goed je het als ondernemer wel of niet voor elkaar hebt; cybercriminelen worden steeds ingenieuzer in het vinden van manieren om je in de val te lokken.’

Updates 
‘We hebben onze edit-pc’s nu losgekoppeld van het internet, waardoor ze bij een cyberaanval buiten schot blijven. Daarnaast werken we tegenwoordig veel in de cloud. We hebben bovendien nog steeds allemaal antivirussoftware op onze systemen, maar we zijn ons nu iets beter bewust van het feit dat we die ook regelmatig moeten laten scannen. Wederom hebben we het goed voor elkaar, maar ik durf niet te zeggen dat ons zoiets nooit weer gebeurt. Kijk maar om je heen, zelfs grote banken en Pathé worden slachtoffer van cybercrime. Wie zijn wij dan om te zeggen dat het ons nooit meer gebeurt? Daarom vind ik het ook zo belangrijk om andere ondernemers te waarschuwen. Waan je nooit veilig, want dat ben je niet.’
We moesten bitcoins op het darkweb voor ze kopen
Waarom een eigenaar van een elektronisch installatiebedrijf cybercriminelen moest betalen.
‘In de kerstvakantie van 2018 waren we een week gesloten. Een van onze medewerkers wilde thuis inloggen, maar hij kon geen bestanden openen. Toen onze ICT’er dat vervolgens wilde oplossen, kwam hij erachter dat vrijwel alle bestanden onbereikbaar waren en dat we slachtoffer waren geworden van ransomware. Blijkbaar was het al een paar dagen aan de gang. Het ergste was nog dat die ransomware begonnen was met het versleutelen van onze back-ups, dus we waren alles, maar dan ook werkelijk alles van het afgelopen halfjaar kwijt.’

Bitcoins op darkweb
‘Ik heb direct de cyberafdeling van de politie gebeld, maar ik kreeg te horen dat zij twee weken vakantie hadden en me dus niet konden helpen. Vervolgens zijn we intern met een aantal mensen bij elkaar gekomen om te bespreken welke mogelijkheden er waren. We kwamen tot de conclusie dat er niets anders op zat dan te betalen. Als ik dat niet had gedaan, dan was ik alle inkoop, financiële administratie, tekeningen en voorraad kwijt geweest en dat had misschien wel een paar ton gekost.
We moesten op het darkweb bitcoins kopen om het losgeld te betalen. We kregen van de criminelen zelfs instructies hoe we dat moesten doen, werkelijk bizar. Toen we betaald hadden, ontvingen we een bericht met een duimpje en een bedankje. Het was net alsof we een tikkie hadden betaald voor een etentje met vrienden, maar we waren gewoon keihard overvallen.’

Nederlaag
‘Tegenwoordig maken we trouw iedere dag back-ups, maar die bewaren we wel op verschillende locaties en los van het netwerk. Ik wil graag mijn collega-ondernemers waarschuwen, want het kan iedereen gebeuren. Het voelt als een nederlaag dat je slachtoffer bent geworden van ransomware. Uiteindelijk heeft het me bij elkaar zo’n tienduizend euro gekost, maar wanneer het geen vakantie was geweest, was de schade wellicht nog veel hoger geweest.’

De ondernemer wil wegens privacyredenen anoniem blijven.
Ik heb besloten te betalen
Deze eigenaar van een schoonmaakbedrijf moest drie bitcoins overmaken aan cybercriminelen. 
‘Waarschijnlijk heeft iemand op een link geklikt waardoor alle bestanden zijn versleuteld en we nergens meer bij konden. Ik heb direct onze externe ICT’er gebeld, want hij regelt al dat soort zaken voor ons. Hij schrok toen ik het vertelde en is direct gekomen om te bekijken wat er nog te redden viel. Ik had zelf in eerste instantie niet door hoe serieus ransomware was, want daar had ik drie jaar geleden nog nooit van gehoord. Toen ik eenmaal doorhad wat het was en wat het deed, sloeg de schrik me wel om het hart, ja.’

Elf maanden aan data weg
‘Gelukkig werden er trouw back-ups gemaakt, waardoor we een groot deel van onze gegevens konden terugzetten. Maar we kwamen erachter dat de data uit ons financiële systeem niet in de back-up zat. Toen bleek dat het bedrijf dat ons dat pakket levert, zonder ons medeweten, bestanden te hebben verplaatst, waardoor de back-up ze niet meer meepakte. Het betekende dat we elf maanden aan financiële data misten. Wanneer we dat zelf weer zouden moeten herstellen, zou dat een hels karwei zijn.’

Buikpijn
‘Een collega-ondernemer vertelde me dat wanneer ik het losgeld zou betalen – er werden geloof ik drie bitcoins gevraagd, omgerekend zo’n tweeduizend euro toen – ik de bestanden weer terug zou krijgen. Voor mij was het een eenvoudige rekensom: die tweeduizend euro losgeld, of de investering om die elf maanden missende data opnieuw in te voeren. Ik besloot dus te betalen en heb opdracht gegeven om dat te doen. Vervolgens duurde het nog twee dagen voordat we daadwerkelijk de sleutel kregen waarmee we de bestanden weer konden vrijgeven. Daar hebben we wel buikpijn van gehad, hoor, want je vraagt je toch af of het allemaal wel goed komt.’

Anti-ransomwaremodule
‘In totaal heeft het wel een week geduurd voordat we alles weer hadden draaien, maar eigenlijk hebben we buiten het losgeld en wat ongemak niet veel verdere schade geleden. Het losgeldbedrag heb ik overigens kunnen verhalen op de leverancier van de financiële software, aangezien ze zonder ons medeweten bestanden hadden verplaatst waardoor ze niet meer in de back-up zaten. Hadden die in onze back-up gezeten, dan was de crimineel van ons niet rijker geworden. 
Tegenwoordig hebben we op onze server een anti-ransomwaremodule draaien, waardoor de kans dat ons dit nogmaals gebeurt veel kleiner is. Bovendien test hij iedere maand onze back-ups om te zien of inderdaad alle data erin zit.’
De ondernemer wil wegens privacyredenen anoniem blijven.

Dit zijn meest succesvolle hacktechnieken

Uit onderzoek van securityleverancier Proofpoint blijkt dat in meer dan 99% van de cyberaanvallen menselijk handelen is vereist voor een succesvolle aanval. Veel organisaties denken met allerlei technologische beveiligingsmaatregelen veilig te zijn, maar de zwakke schakel is en blijft de mens.   

Ransomware is niet nieuw, maar nog steeds een zeer beproefde manier voor cybercriminelen om losgeld te krijgen door het versleutelen (gijzelen) van bestanden van een organisatie. Een medewerker klikt op een frauduleuze link waardoor een programmaatje wordt geactiveerd dat alle data op het netwerk versleutelt. Slechts met een ‘decryptie’-sleutel kan de gijzeling ongedaan worden gemaakt. Voor deze sleutel vragen de cybercriminelen (veel) geld. Opsporingsdiensten en IT-beveiligingsbedrijven hebben de krachten gebundeld om de activiteiten van cybercriminelen die banden hebben met ransomware te verstoren: www.nomoreransom.org. Op deze website staan ook gratis ontsleutelprogramma’s voor ransomware.

Ook wordt er veel CEO-fraude gepleegd, waarbij mails aan financieel medewerkers worden gestuurd die afkomstig lijken te zijn van de directie en waarin wordt gevraagd geld over te maken. Deze mails lijken zo echt omdat er een heel proces van social engineering aan voorafgaat. Cybercriminelen zoeken precies uit hoe een organisatie in elkaar zit, welke medewerkers eenvoudig om de tuin te leiden zijn en welke route naar beslissingsbevoegde personen in het bedrijf leidt. Door gedegen onderzoek vinden hackers hun weg omhoog in een organisatie om uiteindelijk via urgent klinkende mails de financieel bevoegde medewerkers geldbedragen te laten overmaken. Een bekend voorbeeld hiervan is Pathé dat in 2018 voor 19 miljoen euro slachtoffer werd van CEO-fraude. 
Een andere trend is blackmailing, waarbij via spear phishing – zeer gerichte aanvallen op specifieke personen – werknemers van een organisatie gechanteerd worden om bepaalde acties uit te voeren. Doordat tegenwoordig veel mensen veel persoonlijke informatie delen op onder meer sociale netwerken is het voor hackers niet moeilijk om compromitterende informatie over iemand te vergaren. Die informatie wordt vervolgens gebruikt om iemand bijvoorbeeld financiële transacties te laten uitvoeren, onder dreiging van het openbaar maken van de gevonden informatie.