De industrie rond de digitale struikrover

©Filip Ysenbaert

De verlammende cyberaanval op het Zaventemse Asco zet de grote dreiging van ransomware nog eens in de schijnwerpers. Rond de malafide software is een heuse industrie ontstaan, waarin hackers zich steeds meer als reguliere zakenlui gedragen. ‘Ook hackers werken in het weekend liever niet.’

‘Het is alsof we ziek zijn, maar er geen geneesmiddel voorhanden is.’ Vicky Welvaert, hr-manager bij de Zaventemse producent van vliegtuigonderdelen Asco klinkt stilaan wat moedeloos. Je zou voor minder.

Drie weken nadat het getroffen werd door een grootschalige cyberaanval liggen delen van het bedrijf nog altijd plat. ‘Zonder geneesmiddel moeten we alternatieve therapieën uitproberen. Met nevenoplossingen en alternatieve productieprocessen boeken we elke dag vooruitgang om een deel van de productie weer aan de praat te krijgen. Maar een aantal kernsystemen is nog niet operationeel.’

Asco werd op 7 juni getroffen door een aanval met ransomware, kwaadaardige software die bestanden en systemen vergrendelt. Hoe de vork bij Asco aan de steel zit, is nog niet duidelijk. Maar de bedoeling van zo’n aanval is typisch dat het slachtoffer de criminelen een bedrag betaalt, in ruil voor een ‘sleutel’ om de systemen te ontgrendelen. Een economische kidnapping, met cruciale bedrijfsdata als gijzelaar, zeg maar.

Ik heb uiteindelijk betaald, op aanraden van de politie.
Een slachtoffer van ransomware

Zulke gijzelsoftware kende een enorme opmars. Die is niet moeilijk te verklaren. Terwijl hackers vroeger bijzonder behendig moesten zijn met de computer om geld te verdienen aan hun misdaad, democratiseerde ransomware cybercriminaliteit. De malware was gemakkelijk online te vinden, het verdienmodel - het slachtoffer betaalt rechtstreeks aan de hacker in bitcoin - was eenvoudig en de pakkans was voor wie een beetje handig is eerder klein. Zo stortten vele would-behackers zich plots op het fenomeen, met een explosieve groei in het aantal gevallen tot gevolg.

De jongste jaren stagneert het aantal aanvallen met ransomware evenwel, valt te lezen in de trendrapporten van verschillende beveiligingsbedrijven. Dat komt deels omdat de aandacht van criminelen een stukje is verschoven naar cryptomining - het hacken van rekenkracht om lucratieve cryptovaluta als bitcoin te ontginnen. Maar een deel van de verklaring is ook dat bedrijven zich bewuster worden van de gevaren, waardoor het moeilijker wordt binnen te geraken met brede hackingscampagnes - het net breed uitzetten in de hoop dat er enkele vissen in sukkelen, zeg maar.

Maar dat wil niet zeggen dat ransomware op de terugweg is. Hoewel het aantal gevallen misschien stagneert, is de impact van die aanvallen groter dan ooit. Dat komt omdat er meer en meer met gerichte aanvallen wordt gewerkt. In plaats van erop te rekenen dat gewillige slachtoffers in de val lopen, gaan criminelen zelf op jacht. De schade van zo’n aanval is vaak groter. ‘Asco is daar een goed voorbeeld van’, zegt een speurder.

Er is met andere woorden sprake van een professionalisering van de sector. Rond ransomware is een heuse industrie ontstaan. Neem het hackerscollectief Grandcrab. Dat ontwikkelde een servicemodel rond zijn malware, en licensieerde het gebruik aan klanten. Die betaalden in ruil een percentage op de inkomsten die ze haalden met de ransomware. Grandcrab liet vorige week weten de ‘dienstverlening’ stop te zetten, omdat er genoeg geld op de bank stond om met pensioen te gaan. De hackers zouden honderden miljoenen hebben verdiend aan hun onfrisse praktijken.

Regulier beroep

Het is allemaal zo normaal geworden dat hackers zich steeds meer gaan gedragen alsof ze een regulier beroep hebben gekozen. Het Harelbeekse bedrijf Ranson, een distributeur van grondstoffen voor bakkerijen, maakte het vanop de eerste rij mee. Begin dit jaar werd het nochtans goed beveiligde bedrijf na een menselijke fout het slachtoffer van ransomware.

Hackers konden de servers en de back-ups van het bedrijf encrypteren. De gijzelnemers eisten een betaling van enkele tientallen bitcoins - goed voor tienduizenden euro’s - om de boel weer vrij te geven. Na crisisberaad nam het bedrijf een pragmatische beslissing. ‘Het bedrag dat ze vroegen, was lager dan de kosten van een dag stil te liggen’, zegt IT-verantwoordelijke Guy Deleersnyder. ‘Dus hebben we beslist in te gaan op de vraag.’

40%
40 procent van alle slachtoffers betaalt hackers bij een aanval met ransomware.

Wat volgde, leek erg hard op een normale zakelijke transactie. Er werd via mail onderhandeld over de prijs en een akkoord gesloten. Daarop kreeg Ranson een decryptiesleutel. Toen die maar voor een stuk bleek te werken, vroegen de hackers toegang in het netwerk van Ranson om de boel weer op orde te krijgen. En toen alles weer werkte, kreeg het bedrijf nog een soort IT-rapport van de struikrovers, met tips waar de beveiliging nog beter kon. ‘Tijdens het proces kregen we op een bepaald moment de boodschap dat ze toch graag wilden afronden,’ zegt Deleersnyder. ‘Ze vonden dat ze genoeg kosten en tijd aan ons hadden besteed voor de prijs die we betaalden.’

Dat klinkt wel erg cynisch, maar het is een goede illustratie van hoe georganiseerd en gestructureerd digitale struikrovers tegenwoordig te werk gaan. ‘Er zit een echt businessmodel achter, dat uitgaat van vaak goed gecoördineerde organisaties’, zegt Steven Cauwenberghs, partner en cybersecurityspecialist bij het auditkantoor BDO. ‘Dat merk je aan de prijszetting: die wordt bewust niet te hoog gelegd, omdat criminelen erop mikken dat de som die je hen betaalt lager is dan de kosten en moeite van het alternatieve scenario. Wij raden betalen af, uit ethische overwegingen en omdat je nooit zeker bent van de tegenpartij. Maar soms is het een last resort. De ervaring leert ook dat de criminelen dan daadwerkelijk vaak de systemen ontgrendelen.’

‘Criminelen beseffen dat ze belang hebben bij een goede ‘klantenservice’ en een vlotte communicatie met hun slachtoffers’, beaamt Sean Sullivan van het beveiligingsbedrijf F-Secure. Die ‘normaliteit’ is ver doorgedrongen in de criminele industrie. ‘Je merkt vaak dat de verspreiding van een virus maandag wordt voorbereid om dinsdag volop toe te slaan. Tegen vrijdagavond moet de operatie afgerond zijn, want ook hackers werken liever niet in het weekend.’

Die efficiënte organisatie maakt het moreel extra lastig voor wie ten prooi valt aan hackers. Niemand wil betalen aan criminelen en zo hun activiteiten in stand houden. Officieel raden politiediensten altijd af in te gaan op de eisen van hackers. Maar voor vele slachtoffers is het gemak van een relatief klein bedrag - het globale gemiddelde is 6.733 dollar - betalen vaak aanlokkelijker dan het gevecht aangaan. Dat beseffen ook de ordediensten. ‘Ik heb uiteindelijk ook betaald, op aanraden van de politie’, zegt een slachtoffer, dat liever niet met naam in de krant komt. ‘Ik besef dat ik zo criminelen steun en mezelf misschien in het vizier heb gebracht van toekomstige aanvallen. Maar lang stilliggen was geen optie.’

Naar schatting 40 procent van alle slachtoffers van aanvallen met ransomware betaalt uiteindelijk hun gijzelnemer, leert onderzoek van het securitybedrijf MalwareBytes. Het maakt duidelijk waarom de praktijk zo welig tiert.

Mens als zwakste schakel

De vraag van vele miljoenen is hoe bedrijven zich kunnen wapenen tegen digitale gijzelnemers. Je systemen voorzien van de nodige technologische beveiliging - denk aan virusscanners en firewalls - is een conditio sine qua non. Ook regelmatig back-ups maken van alle systemen en die bovendien offline bewaren is een absolute must, zegt Cauwenberghs. ‘Als je dan toch slachtoffer wordt, verlies je maximaal een paar dagen werk.’

Maar je beveiliging is altijd maar zo sterk als je zwakste schakel. En zolang je met mensen werkt, is geen enkele beveiliging 100 procent waterdicht, zegt Cauwenberghs van BDO. ‘Daarom hameren we zo op preventie. Vaak is de bron van ransomware een phishingpoging (een list waarbij een werknemer wordt verleid inloggegevens vrij te geven, red.). Je werknemers daar bewust van maken is levensbelangrijk. Wie daarin investeert, verkleint aanzienlijk de kans om in de val te lopen van de hackers die breed vissen. Via preventie voorkom je dat je het laaghangend fruit bent voor criminelen.’

Criminelen beseffen dat ze baat hebben bij een goede klantendienst.
Sean Sullivan
beveiligingsbedrijf F-Secure

Een andere bescherming waar steeds meer bedrijven op inzetten, is een cyberverzekering. Die markt is nog klein, maar groeit explosief, zegt Thomas Christiaens, expert cyberpolissen bij de verzekeraar AIG. ‘De voorbije jaren is die business voor ons telkens verdubbeld.’

In sommige brandpolissen of aansprakelijkheidsverzekeringen zijn cyberrisico’s mogelijk al een stukje gedekt. Maar door de stijgende omvang van de schadegevallen lijken verzekeraars daarop terug te komen. De sector kijkt met grote ogen naar een rechtszaak tussen de voedingsreus Mondelez en de verzekeraar Zurich. De eerste heeft een claim ingediend van 100 miljoen euro voor een cyberaanval die de wereldspeler dagen platlegde, maar de verzekeraar betwist die claim te moeten vergoeden.

‘De hamvraag is of cyberschade valt onder de stilzwijgende dekking van een brandverzekering’, legt Christiaens uit. ‘Omdat cyberschade niet wordt uitgesloten, zou de bedrijfsschade die eruit voortvloeit deels onder die stilzwijgende dekking kunnen vallen. Maar nu de schadegevallen oplopen, wordt daarover veel discussie verwacht. Daarom zien we dat bedrijven steeds meer voor de affirmatieve dekking van een cyberverzekering kiezen. Die dekt zo veel mogelijk de gevolgen van de verschillende soorten cyberrisico’s af.’

Uw bedrijf zo goed mogelijk beveiligen tegen cyberdreigingen blijkt dus niet meteen aartsmoeilijk. Het is vooral een kwestie van het ook te doen. Daar ontbreekt het nog te vaak aan, zeker bij kleinere bedrijven. Cauwenberghs: ‘Iedereen denkt: het zal mij niet overkomen. Bedrijven denken wel aan extra veiligheidsmaatregelen, maar weifelen. Pas als ze het slachtoffer worden, schieten ze in actie. De overheid werkt al aan bewustmaking, maar misschien kan ze nog een versnelling hoger schakelen. Het besef dat bedrijven zich moeten beschermen, moet erin worden gepompt, zoals dat met de BOB-campagne is gebeurd voor verkeersveiligheid.’

Zelfs als iedereen een versnelling hoger schakelt, zullen er nog slachtoffers vallen. Geen enkel systeem is onfeilbaar. Maar laten we het de digitale struikrovers zo moeilijk mogelijk maken.

Ondertussen bij Asco

Bij Asco in Zaventem gaan de problemen na de verlammende cyberaanval een vierde week in. Het technisch personeel kan vanaf vandaag weer aan de slag, omdat het bedrijf alternatieve productieprocessen heeft opgestart. Maar veel ondersteunend personeel moet minstens tot woensdag wachten voor het weer kan werken. 10 tot 20 procent van de werknemers zit zo nog altijd in het systeem van tijdelijke werkloosheid.

Omdat er veel meer manueel gewerkt moet worden, is Asco volop op zoek naar tijdelijk personeel om de extra werklast op te vangen. Het gaat om minstens 100 technische mensen, en 50 extra bedienden. Om die te vinden in een voor die profielen moeilijke arbeidsmarkt werkt Asco samen met het eigen inhouse-interimkantoor en alle technische scholen in de buurt.

Het is nog niet duidelijk hoe groot de schade is, maar dat die oploopt tot in de miljoenen lijdt geen twijfel.

Lees verder

Advertentie
Advertentie

Tijd Connect