'Wie losgeld betaalt, wordt opnieuw doelwit'

©ANP XTRA

De verlichtingsarmatuurfabrikant Trilux werd gehackt. Het bedrijf weigerde de cybercriminelen te betalen. Dat had verstrekkende gevolgen. ‘Echt veilig ben je nooit.’

Op vrijdag 13 februari, rond middernacht, merkt het IT-team van Trilux iets ‘ongewoons’ op. In het weekend is in het verlichtingsarmatuurbedrijf met de hoofdzetel in het Duitse Arnsberg weinig activiteit. Trilux is internationaal actief in meer dan 50 landen, van Dubai tot België. Het bedrijf heeft onder andere een vestiging in Mechelen. Er loopt ’s nachts dus wel eens een bestelling binnen, logistieke data gaan heen en weer - Trilux ontwerpt en produceert verlichting voor bedrijven, openbare instellingen, architecten en de groothandel - maar de productiesites liggen op vrijdagavond stil. In principe wordt in het weekend trouwens niet gewerkt. We zijn ten slotte in Duitsland.

Maar de plotse eigenaardige activiteit in het dataverkeer doet de informatici met nachtdienst de wenkbrauwen fronsen. Als ze de bron niet kunnen traceren, volgt het besef snel: er is een cyberaanval aan de gang, en geen kleine. Ze nemen een radicale beslissing. Ze leggen het netwerk plat en ontkoppelen de servers.

De bedrijfstop beslist vrij snel: we gaan niet betalen. ‘De auto wil niet meer starten? Dan kopen we een nieuwe auto.’

Joachim Geiger is directeur marketing en sales van Trilux (omzet: 656 miljoen euro, winstcijfer niet bekend). Hij heeft op zaterdagochtend net zijn loopschoenen aangetrokken als hij van CFO Johannes Huxol een onrustwekkend telefoontje krijgt: ‘Alle systemen liggen plat, we zitten met een uitzonderlijke situatie.' Een crisisteam - IT’ers, consultants, het topmanagement en de woordvoerster - komt in het hoofdkantoor bij elkaar. Het bedrijf licht in de 13 landen waar het een zetel heeft de politie in. Terwijl de uren verstrijken, wordt duidelijk dat de heropstart geen simpele opdracht wordt. Toch beslist de bedrijfstop vrij snel: we gaan niet betalen. Geiger: ‘De auto wil niet meer starten? Dan kopen we een nieuwe auto.’

Vandaag, negen maanden na de aanval, wil hij het verhaal vertellen. Omdat Trilux wil laten zien wat gebeurt als je niet betaalt. ‘Vandaag kunnen we zeggen dat we hier sterker zijn uitgekomen, al kampen we nog altijd met de gevolgen. Een kleiner bedrijf, een zonder een strak plan of strakke strategie, kan hieraan ten onder gaan.’

Losgeld

Belgische bedrijven betaalden vorig jaar honderd miljoen euro losgeld aan cybercriminelen, schreef deze krant vorige week op basis van een verslag van de Kamercommissie Economie over internetfraude. Het digitaal gijzelen van bedrijven is een bloeiende business van hyperflexibele en goed georganiseerde criminelen. Het is lastig een volledig beeld van de omvang te krijgen. Veel bedrijven stappen niet naar de politie. Die die dat wel doen, krijgen soms tussen de regels door het advies over het losgeld te onderhandelen, om de zaken te laten vooruitgaan. Ook Trilux kreeg verraste reacties van de politie en de autoriteiten toen het snel en ferm besliste niet te betalen. ‘Ze zeiden: ben je zeker dat je de moeilijke weg wil opgaan?’

Bedrijven die naar de politie stappen, krijgen soms tussen de regels door het advies over het losgeld te onderhandelen, om de zaken te laten vooruitgaan.

‘Betalen is nochtans de uitzondering’, zegt Tom Van de Wiele, beveiligingsexpert bij F-Secure, een Finse cybersecurityfirma die trends in cybercriminaliteit op de voet volgt. Hij valt op vraag van bedrijven hun IT-infrastructuur aan, om poreuze plaatsen en zwakke schakels op te sporen. ‘Zodra je nog maar overweegt om met criminelen te onderhandelen, ben je als bedrijf de controle verloren. Maar door te betalen schep je een zeer slecht precedent. Zo’n betaling gebeurt in virtuele bitcoin, die digitale portefeuilles zijn niet anoniem. Criminelen houden die portefeuilles in het oog en zien dat er betaald is. Dat lokt copycats. Een bedrijf dat losgeld heeft betaald, wordt vroeg of laat opnieuw doelwit.’

Toch is het dat wat bedrijven doen als ze tegen de muur staan. Bij de bakkerstoeleverancier Ranson werden vorig jaar enkele tienduizenden euro’s gevraagd, waar na de onderhandeling iets van afging. De universiteit Maastricht betaalde 197.000 euro na een digitale gijzeling. Bij de weefgetouwenfabrikant Picanol en de luchtvaartdienstverlener Asco werd losgeld gevraagd, maar niet betaald. De geëiste bedragen variëren van honderden euro’s voor kmo’s tot miljoenen voor de grootste bedrijven ter wereld, zoals de grote scheepsrederijen, die stuk voor stuk zijn aangevallen. Bij het Deense Maersk hingen in 2017 containers dagenlang letterlijk te bungelen in de lucht, goed voor 300 miljoen dollar schade.

‘Elke bedrijf met een computer is een potentieel doelwit’, zegt Van de Wiele. ‘De mate waarin ze bereid zijn te betalen hangt af van de ernst en de omvang van de aanval. Als er geen back-ups zijn en vitale delen van de productie op slot zitten, wordt vaak tot betaling overgegaan. Ik sta versteld van het gebrek aan urgentie bij bedrijven over cyberveiligheid, zelfs bij de hele grote. Hackers weten meestal zeer goed wat zo’n gijzeling waard is.’

Coveware, een Amerikaanse firma die helpt bij het betalen van losgeld en het recupereren van vergrendelde data, stelt dat in de eerste vier maanden van dit jaar gemiddeld 111.605 dollar (ruim 94.000 euro) losgeld werd betaald, een bedrag dat de afgelopen jaren fors is toegenomen. De grootste bedrijven, die miljoenenclaims krijgen, trekken het gemiddelde op. Het mediaanbedrag is 41.179 dollar (bijna 35.000 euro) en blijft vrij stabiel.

'Log niet in!'

Het management van Trilux zegt dat het geen idee heeft welke bedrag de hackers wilden vragen. In het bedrijf circuleren geruchten dat het om ‘miljoenen’ ging. ‘We hebben elke vorm van communicatie met de hackers onmogelijk gemaakt door de netwerken af te sluiten’, zegt Geiger.

Een bedrijf dat losgeld heeft betaald, wordt vroeg of laat opnieuw doelwit.
Tom Van de Wiele
Beveiligingsexpert bij de Finse firma F-Secure

In het hoofdkwartier van Trilux heeft een crisisteam in februari een weekend lang geprobeerd op eigen kracht de systemen aan de praat te krijgen. De productiesites in Arnsberg, Keulen en in het Spaanse Zaragoza, waar in totaal 15.000 lichtarmaturen per dag worden geproduceerd, draaien op de technische data die op 250 servers staan, net als de systemen voor managementrapportage en het operationele platform dat klanten gebruiken voor bestellingen, track and trace en projectopvolging. Maar ook het interne communicatiesysteem en adresboek, elke presentatie, spreadsheet en ontwerp dat is gemaakt, het wifinetwerk waren onbruikbaar.

Op maandag deelden medewerkers flyers uit aan de ingang van het hoofdkantoor: 'Zet je computer niet aan! Log niet in!' Projectplanners, managers, verkopers en designers gingen aan het werk met de telefoon, WhatsApp en privémail, met brochures en pen en papier. De assemblage werd in de namiddag wel opgestart, veel werk moest plots manueel gebeuren. Trilux maakt zowel maatwerk op bestelling als grote volumes standaardmodellen. Het productieproces is sterk geautomatiseerd. ‘We werkten de eerste weken op 20 procent van de gebruikelijke efficiëntie.’

Trilux heeft een nagenoeg volledig nieuwe IT-infrastructuur gebouwd. Over de kosten wil het bedrijf niets kwijt. ‘Als we zeggen: het heeft ons zoveel miljoen gekost, brengen we hackers op ideeën. Ik kan wel zeggen dat we het opnieuw zouden doen. In de eerste plaats omdat we criminelen niet willen sponsoren, maar ook omdat we denken dat ze terugkomen als je betaalt. Het is duurder, maar het is veiliger.’ Cruciaal in het lange traject is de neuzen in dezelfde richting krijgen en houden, zegt Geiger.  ‘De 5.000 mensen in dit bedrijf moeten dezelfde discipline aan de dag leggen. Eén geïnfecteerde USB-stick, één persoon die inlogt op het besmette netwerk, één oude Powerpoint-presentatie die wordt gedownload en je bent mogelijk weer bij af.’

Honderden computers van over de hele wereld werden ingezameld en gedesinfecteerd, data werden ‘gewassen’ en via de cloud teruggezet. De operatie nam maanden in beslag. ‘Vandaag zitten we als bedrijf in zijn geheel op een efficiëntie van pakweg 98 procent, er is dus nog altijd verlies.’

Ondanks de forse investering kan het bedrijf niet garanderen dat het niet opnieuw gebeurt, zegt Geiger. ‘Onze IT-infrastructuur stond op punt. We zijn een professioneel, sterk geautomatiseerd en digitaal bedrijf. Ik zou zelfs durven te beweren dat we nu betere systemen hebben, andere systemen. Ik ben er wel zeker van dat als het nog eens gebeurt we er beter en sneller in zullen slagen delen van het systeem te beschermen en herop te starten. Maar 100 procent veilig? Dat ben je nooit.’

Covid biedt hackers kansen

‘Lees de nieuwe coronamaatregelen in bijlage’, ‘Vanaf vandaag temperatuurmeting op volgende afdeling, zie attachment.’ De dodelijke Covid-19-pandemie biedt malafide hackers volop inspiratie om schijnbaar belangrijke e-mails uit te sturen - met in bijlage een computervirus. Dit voorjaar piekte het aantal e-mails met bijlages die naar paswoorden vissen, blijkt uit het jongste veiligheidsrapport van F-Secure. Ook nieuw: valse Zoom-links, die niet naar een videovergadering leiden, maar naar een pakketje malafide software dat bijvoorbeeld in de systemen begint te snuisteren en gegevens kan vergrendelen. E-mail is het favoriete breekijzer van cybercriminelen. Online kopen ze voor enkele tientallen euro’s databanken met duizenden mailadressen, die ze automatisch en continu aanschrijven met virussen, wormen en gijzelsoftware.

Het massaal en plotse thuiswerk maakt bedrijven kwetsbaarder voor cyberaanvallen. Er circuleren meer data buiten de eigen systemen. De toestellen en netwerken die medewerkers thuis gebruiken, zijn mogelijk minder veilig. Door een gebrek aan contact met collega’s, wordt de kans groter dat medewerkers nietsvermoedend kwalijke bijlages openen, omdat ze niet eerst onderling overleggen of langs IT passeren. En dan is het kwaad geschied.

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud