Bijna dagelijks lees je in het nieuws over nieuwe ransomware aanvullen. Dit treft grote maar ook kleine bedrijven en ze kunnen grote (financiële) gevolgen hebben. Om je bedrijf hier goed tegen te beschermen is het belangrijk dat je snapt hoe cybercriminelen te werk gaan, en hoe de keten werkt. Want wanneer een cyberaanval jou treft, is de kans groot dat er meerdere personen achter de aanval zitten. In dit interview nemen Matthijs Jaspers (ransomware specialist bij de politie) en Dave Woutersen (incident handler en security specialist NCSC) je mee in de wereld van ransomware.

Matthijs Jaspers
Matthijs Jaspers is ransomware-specialist bij de Politie. Hij is een van de initiatiefnemers van de Ransomware Taskforce, waarin de politie met partners de ransomware-keten in de breedte aanpakt.
Dave Woutersen
Dave Woutersen begon in 2004 bij de voorloper van het NCSC als incident handler en security specialist. Na een korte overstap naar de bankenwereld, zet hij zich sinds drie jaar weer in voor het NCSC als security evangelist.

Mensen weten inmiddels in grote lijnen wat ransomware is en het lijkt steeds vaker voor te komen. Is dat zo? En hoe verklaren jullie dat?

Matthijs: ‘Het komt in ieder geval meer en meer in het nieuws doordat we de gevolgen steeds sterker merken in ons dagelijkse leven. En ik vermoed dat het vaker voorkomt, maar precieze aantallen zijn moeilijk te geven. In het nieuws komen de gevallen van slachtoffers die daar openheid over geven of als het niet “onder de pet” gehouden kan worden. Van veel aanvallen, groot én klein, hoor je niets en wordt ook geen aangifte gedaan. De impact van aanvallen lijkt ook groter te worden.’

Dave: ‘We volgen de ransomware-dreiging al enige jaren. In 2015 vonden aanvallen met grote impact en media-aandacht vooral plaats in de Verenigde Staten en trof het veelal kleine organisaties en gemeenten. Daarvoor trof het vooral particulieren en was het kleinschalig. Je ziet dat er de laatste jaren een professionaliseringsslag is gemaakt en daarmee samenhangend een verschuiving naar grote organisaties met een grote omzet. Daarnaast heeft er een verschuiving naar Europa plaatsgevonden. Je ziet dat vaker gebeuren met cybercrime: acties worden eerst in Engelssprekende landen uitgevoerd, want dat is een grote doelgroep. Om in Europa succesvol te zijn moet je je specialiseren, bijvoorbeeld in de gesproken taal. Dat vergt een bepaalde investering die vaak pas later wordt gedaan.’

Kun je wat meer vertellen over de ontwikkelingen binnen de ransomware criminaliteit?

Matthijs: ‘De focus ligt momenteel op het stelen van data om daarmee druk te zetten. Je ziet dat criminelen zorgvuldig te werk gaan en dat aanvallen technisch ook beter uitgevoerd worden. In toenemende mate hebben ketenpartners van getroffen organisaties ook last van een hack. Denk bijvoorbeeld aan de recente zogenaamde kaashack: supermarktschappen in het hele land waren leeg door een aanval bij een logistiek dienstverlener. De pijn wordt dus breder gevoeld. Dat verklaart deels ook waarom bewustzijn over ransomware begint door te druppelen in de boardroom.’

Dave: ‘Dat is exact waar we organisaties op proberen te wijzen: breng ook je ketenpartners in kaart. Het blijkt voor bedrijven lastig om die stap te zetten tot het een keer fout gaat. Dat is in zekere zin het voordeel van ransomware: het is zeer zichtbaar en voelbaar. Het haalt het nieuws en ondernemers snappen de mogelijke impact voor zichzelf beter. Een aanval is in veel sectoren een eyeopener om meer te doen aan digitale veiligheid. Ketenpartners spreken elkaar er in toenemende mate op aan. Maar we zien ook dat bedrijven en organisaties actief verkennen welke investering ze zelf moeten maken om zich beter te weren en de schade te beperken. In het verleden, werd deze stap vaak pas genomen als het een keer fout was gegaan.’

Matthijs: ‘Vanuit de politie kijken we ook naar ransomware als keten. Want als er sprake is van een ransomware-aanval zijn er al eerder acties op dat netwerk gepleegd. Bedrijven kunnen dit soort voorbereidingen op een ransomware-aanval niet altijd goed herkennen. Als wij dergelijke activiteiten wel waarnemen, bijvoorbeeld dat verdachte servers veel contact maken met een bepaalde organisatie, proberen we daar snel melding van te maken bij het potentiele slachtoffer.’

Kunnen jullie dat wat meer uitleggen? Hoe wordt een aanval opgezet en hoe ziet die ransomware-keten er uit?

Dave: ‘Om uiteindelijk ransomware te deployen moet je eerst inbreken. Dat gebeurt via de low-hanging fruit technieken, bijvoorbeeld het uitbuiten van een kwetsbaarheid, een bruteforce-aanval op een systeem waar geen 2-factor authenticatie in gebruik is of een phishing e-mail aan een medewerker. Daar zit eigenlijk nog een stap voor: het maken van de infrastructuur om die phishingmail te versturen of die initiële aanval uit te voeren. Die wordt ook door iemand gebouwd en dat hoeft niet perse de ransomware-aanvaller zelf te zijn. In het geval van een phishing-aanval bijvoorbeeld worden er zogenoemde phishing-kits te koop aangeboden op hacker fora. Deze phishing-kits worden gebouwd door criminelen die daar hun geld mee verdienen. Het is een ingekocht specialisme zou je kunnen zeggen en maakt onderdeel uit van wat we cybercrime-as-a-service noemen.’

‘De initiële inbraak valt vaak onder de “normale” internetruis en basismaatregelen houden veel van deze ruis tegen. Een bruteforce-aanval op de online mailomgeving van een bedrijf of organisatie is dagelijkse kost, net als het ontvangen van spam- en phishingmails. Maar soms glipt er wel eens wat doorheen en dat is vaak waar het begint. Als een hack in dit vroege stadium ontdekt wordt, kun je een aanval met ransomware voorkomen. Wordt de hack van een systeem niet ontdekt, dan kan de hacker dit systeem of stukje infrastructuur doorverkopen op de ondergrondse markt. Vervolgens kan de nieuwe eigenaar van dit gecompromitteerde systeem overgaan tot het volledig compromitteren van het bedrijfsnetwerk. Dat vereist een andere expertise: die van ervaren PEN-testers. De werving en selectie voor dit specialisme wordt ook op hacker fora aangeboden. Tevens zijn er partijen die gespecialiseerd zijn in onderhandelingen en in de financiële afhandeling. Kortom, iedereen heeft zijn eigen rol in het criminele ecosysteem.’

Matthijs: ‘Het beeld van een enkele hacker die in een hoodie op een zolderkamer maar wat aanrommelt, klopt niet. Het zijn echt criminele groeperingen. Ze verdienen bakken met geld aan de verkoop van initial access, commissie via ransomware-as-a-service, ransomfees, persoonlijke data en bedrijfsgeheimen op het dark web. Het hangt aan elkaar als een volwaardige economie. Ze hebben geschillencommissies en waren bijvoorbeeld eerder met een gelijk oversteken functie dan Marktplaats.’

Dave: ‘Criminelen kennen elkaar niet per se, alles gaat op basis van de opgebouwde reputatie van nicknames. Als je elkaar moeilijk kunt vertrouwen, moet je alternatieve wegen zoeken om het vertrouwen te waarborgen. Bij het verhandelen van hacks wordt bijvoorbeeld vaak een sample van gestolen bedrijfsinformatie gegeven om de koper te overtuigen dat ze echt toegang hebben. Daarnaast kunnen hackers voor elkaar instaan om zo een reputatie op te bouwen.’

Matthijs: ‘Doordat men niet beseft hoe serieus deze business al jaren is, kunnen we het ook niet goed op waarde schatten. Maar ransomware is potentieel maatschappelijk disruptief. In het laatste Cybersecuritybeeld Nederland werd het een dreiging voor de nationale veiligheid genoemd. Dat is niet voor niets.’

Wat is de grootste uitdaging in opsporen en bestrijden van ransomware?

Matthijs: ‘Opsporing van cybercriminelen is per definitie lastig. Door het internationale karakter kost het juridische opsporingsproces veel tijd. De internationale samenwerking gaat steeds beter, maar het is nog altijd moeilijk om iemand veroordeeld te krijgen. Daarnaast kunnen incidenten technisch complex zijn, terwijl het voor criminelen heel schaalbaar is. De aanvallen gaan ondertussen gewoon door. Vanuit de politie kijken we daarom naar hoe we in die keten slimme interventies kunnen plegen.’

‘Dat betekent niet per se volle bak inzetten op ransomware-groeperingen zelf, maar op het neerhalen van de infrastructuur van criminelen. Als je bijvoorbeeld het grootste botnet dat die spamcampagnes uitvoert uit de lucht kunt halen, heeft dat misschien wel een groter verstorend effect op ransomware-aanvallen. We zijn continu bezig om het systeem beter te begrijpen om effectieve interventies te kunnen plegen. Wat wel lastig is: aan het einde van de rit kun je niet altijd aantonen wat of hoeveel je precies voorkomen hebt. Er staat geen verdachte voor een hekje in de rechtbank en dat is toch het resultaat dat men van oudsher van OM en politie verwacht.’

Basismaatregelen cybersecurity

Afgelopen juni publiceerde het NCSC de handreiking 'Basismaatregelen cybersecurity'. Deze basismaatregelen zou elke organisatie moeten treffen om cyberaanvallen tegen te gaan. Ook bij recente digitale incidenten zien we dat bedrijven en organisaties kwetsbaar zijn als deze maatregelen niet genomen zijn. Lees hier meer over deze basismaatregelen

Hoe kunnen bedrijven het beste omgaan met ransomware?

Matthijs: ‘Voorkomen dat je slachtoffer wordt is makkelijk gezegd. Maar als je toch slachtoffer wordt dan zeggen wij: niet betalen, want je ondersteunt de groei van een schadelijke bedrijfstak. Daarnaast weet je nooit of de sleutel waar je voor betaalt daadwerkelijk werkt.’

Dave: ‘Wat veel bedrijven zich vaak niet realiseren, is dat je er met het betalen van losgeld en het terugzetten van een back-up niet bent. Als je volledige IT-omgeving is gehackt, kun je de integriteit ervan niet garanderen. Je moet forensisch onderzoek doen of laten doen, alles opschonen en vaak zelfs helemaal opnieuw opbouwen. Dat kost tijd en kan qua kosten in de miljoenen lopen. Je kunt beter voorkomen dat je met de rug tegen de muur komt te staan, door alle voorbereidingen te treffen waarmee je deze ellende buiten de deur houdt. Maar honderd procent zekerheid heb je nooit. Zorgen dat je goed voorbereid bent op een crisis is daarom ook nodig. Zorgen dat je tijdig detecteert en vooral ook reageert. Die reactie zit hem niet alleen in de techniek. Zorg dat je een draaiboek hebt liggen voor het geval het een keer fout gaat en oefen de processtappen van dit draaiboek regelmatig. Maak waar nodig aanpassingen op nieuwe dreigingen en ontwikkelingen. Weet je waar je terecht kan? Heb je een communicatieplan? Werken je back-ups wel? Hoe lang duurt het eigenlijk voordat je weer up-and-running bent als bedrijf? Dat is een investering, maar kan op de langere termijn veel kosten en schade besparen.’

Matthijs: ‘Doordat basismaatregelen tegen ransomware onvoldoende worden genomen, floreert het. Het is voor bedrijven de uitdaging om de juiste maatregelen te nemen, dat vraagt om enige kennis en budget. Ze hebben zelf de belangrijkste sleutel in handen om de kans en impact zo klein mogelijk te maken en ransomware buiten de deur te houden. Dat vind ik ergens hoopvol.’