Ineens lag de fabriek plat: ‘Sorry! Uw bestanden zijn versleuteld’

ICT Spirit - Ineens lag de fabriek plat: ‘Sorry! Uw bestanden zijn versleuteld’

Gijzelsoftware 
Het familiebedrijf van Frank Landhuis stond voor hetzelfde dilemma als de Universiteit Maastricht. Betaal je de criminelen die je hebben gehackt?

De machinefabriek van Frank Landhuis werd begin 2017 gegijzeld door een hacker. „Ik heb staan huilen voor mijn kinderen”, vertelt de directeur van het familiebedrijf met zo’n veertig werknemers. Alle systemen bleken vergrendeld. Orders konden niet meer worden aangemaakt, facturen niet langer opgesteld, e-mails niet verstuurd. Een ramp voor een bedrijf dat apparaten verkoopt in zestig landen. Alleen de opdrachten op de werkvloer konden nog worden afgemaakt. „Word ik nu degene die het familiebedrijf om zeep helpt?”, vroeg Landhuis zich vertwijfeld af.

Met behulp van zijn automatiseerder onderzocht Landhuis de vergrendelde bestanden. In iedere map vond hij een Engelstalig tekstdocument. ‘Sorry! Uw bestanden zijn versleuteld’. Er stond een e-mailadres bij voor nadere informatie . Zo ging het ook bij de Universiteit Maastricht, die op kerstavond werd getroffen door een cyberaanval met gijzelsoftware. Het onderwijs kon na de feestdagen op 6 januari weer van start gaan, nadat de universiteit losgeld zou hebben betaald.

Dit soort inbraken vinden voortdurend plaats, maar je hoort er weinig over. Als bedrijven een aanval geheim kunnen houden, doen ze dat. Nadat Travelex, het bedrijf achter de grenswisselkantoren, op 31 december was geïnfecteerd, verklaarde het aanvankelijk last te hebben van een virus. Toen de homepage vorige week nog steeds uit de lucht was, erkende Travelex dat het om gijzelsoftware ging. De problemen zijn nog altijd niet opgelost.

Hackers verdienen wereldwijd vermoedelijk miljarden euro’s met het innen van losgeld uit dit soort aanvallen. Ontwikkelaars van de gijzelsoftware ‘Gandcrab’, die de laatste tijd de meeste slachtoffers maakte, hebben op cybercrimefora verklaard dat daarmee in anderhalf jaar tijd 2 miljard dollar (1,8 miljard euro) is verdiend. De ontwikkelaars schreven zelf 150 miljoen dollar te hebben geïnd. De rest zou zijn binnengeharkt door criminelen die de software van hen kochten. „We hebben bewezen dat misdaad wel loont”, schreven ze in hun afscheidsbericht. De groep kondigde daarin „een welverdiend pensioen” aan.

Beeld Getty, bewerking Roland Blokhuizen 

Klikken op een foute link

Op het ondergrondse deel van het internet vindt een levendige handel plaats in ‘ransomware’ en reeds gehackte computernetwerken om de gijzelsoftware op te installeren. De hackers komen meestal binnen doordat een medewerker op een foute link in een e-mail klikt. Anderen scannen het internet af op zoek naar kwetsbare apparaten die al langer niet zijn voorzien van de nieuwste beveiligingsupdates.

De Universiteit Maastricht presenteert begin februari de resultaten van het onderzoek naar de cyberaanval op de universiteit en beantwoordt dan ook de vraag of losgeld is betaald. „Dat is honderd procent zeker”, zegt redacteur Wammes Bos die via het universiteitsblad Observant het nieuws naar buiten bracht. „Verschillende medewerkers zijn hier ondertussen vertrouwelijk over geïnformeerd”, aldus Bos. Volgens zijn bronnen ging het om ‘enkele tonnen in euro’s’.

Voormalig directeur van de machinefabriek Frank Landhuis kan zich goed voorstellen welke afwegingen ze in Maastricht hebben moeten maken. „Eerst probeer je alles weer op gang te krijgen zonder te betalen. Maar als blijkt dat alle back-ups ook zijn vergrendeld, heb je geen keuze. Voor je het weet, is je bedrijf failliet.”

Landhuis is een van de weinige ondernemers die durft te praten over wat hem is overkomen. „Ik ben ervan overtuigd dat de beveiliging bij het bedrijf nu goed is geregeld. Daarom durf ik het aan.” De nieuwe leiding van de machinefabriek wil alleen niet dat hij de onderneming bij naam noemt. Landhuis vindt het belangrijk dat er meer aandacht komt voor aanvallen met gijzelsoftware. Het komt volgens hem veel voor. „Dat blijkt wel uit de reacties die ik krijg als ik hierover voor ondernemers spreek.”

Volgens het Nationaal Cyber Security Centrum (NCSC) bespeuren diverse beveiligingsbedrijven sinds begin vorig jaar weer een toename in het aantal aanvallen. Criminelen zouden zich nu op bedrijven richten, omdat daar meer geld te verdienen is. Een compleet beeld heeft het NCSC niet, omdat niet alle aanvallen worden gemeld.

Beveiligingsbedrijf Bitdefender in Den Haag zag het aantal detecties van gijzelsoftware in de eerste zes maanden van 2019 met bijna 75 procent toenemen vergeleken met dezelfde periode in 2018. Het bedrijf beveiligt zo’n 500 miljoen apparaten wereldwijd.

Lage pakkans bij gijzelsoftware

De hoeveelheid aanvallen is fors. Analisten verwachten dat de dreiging van gijzelsoftware alleen maar toeneemt, omdat de verdiensten groot zijn en de pakkans laag. Hackers versturen duizenden mails tegelijk in de hoop dat iemand op een foute link klikt. Beveiligingsbedrijf Palo Alto Networks detecteerde op het eigen platform bij Nederlandse klanten van juli tot en met oktober 2019 meer dan 17.500 aanvallen met meer dan 4.000 verschillende soorten schadelijke software.

De afzenders zitten vaak in het buitenland. Beveilingsexperts zien gesprekken tussen hackers onderling op het dark web vaak in het Russisch plaatsvinden. Dat wil niet zeggen dat Rusland of andere staten uit de voormalige Sovjet-Unie de enige landen zijn die groepen criminele hackers herbergen. Ook overheden maken zich er schuldig aan. Zo heeft Noord-Korea volgens de Verenigde Naties zeker 2 miljard dollar met cyberaanvallen verdiend.

‘Tien bitcoins is niet veel geld’

Waarschijnlijk werd ook Landhuis slachtoffer van een schot hagel, nadat een medewerker op een verkeerde link had geklikt. Enkele dagen nadat de hacker zich bekend had gemaakt, besloot Landhuis toe te geven. Hij vond dat een lastig besluit, want wie garandeerde dat hij de sleutel voor ontgrendeling zou krijgen? De hacker communiceerde met Landhuis vanaf een anoniem e-mailaccount. Hij stelde voor om enkele bestanden alvast gratis te ontsleutelen. Dat aanbod wordt standaard gedaan om vertrouwen te winnen. Uiteindelijk eiste de hacker tien bitcoins, destijds ongeveer 8.600 euro. „Voor uw bedrijf is tien bitcoins volgens mij niet veel geld”, schreef de hacker in gebrekkig Engels naar Landhuis. De bedragen aan losgeld die tegenwoordig worden geëist, liggen volgens beveiligingsexperts meestal tussen een ton en een half miljoen euro.

Met behulp van een kennis die hem aan bitcoins kon helpen, maakte Landhuis het geld over. Vrijdagavond kort voor twaalf uur kwam de code voor ontsleuteling binnen. Op maandag kon de fabriek weer draaien. De totale kosten van extra IT-ondersteuning en gederfde inkomsten schat Landhuis op een veelvoud van het bedrag dat hij moest overmaken. Volgens deskundigen leveren hackers na betaling bijna altijd de ontsleutelingscode, om hun businessmodel te legitimeren.

Deskundigen zeggen dat netwerken goed zijn te beveiligen tegen cyberaanvallen. Het kost geld, maar dat valt in het niet bij de schade die succesvolle inbraken veroorzaken. Pieter-Jaap Aalbersberg, Nationaal Coördinator Terrorismebestrijding en Veiligheid, zei vorige week te hopen dat ‘Maastricht’ een wake-up call wordt. Instellingen en bedrijven moeten hun beveiliging op orde brengen.


DADERS VAN CYBERAANVALLEN
AFZENDERS ONBEKEND

Wie er achter de aanval met gijzelsoftware op de Universiteit Maastricht zit, is niet met zekerheid te zeggen. Sommige cybersecurity-experts wijzen naar Russisch-sprekende cybercriminelen bekend onder de aanduiding TA505. Die groep, actief sinds 2014, was volgens de Franse overheid betrokken bij een aanval op een ziekenhuis in Rouen. Zesduizend computers werden afgelopen najaar vergrendeld met de gijzelsoftware Clop, die ook bij de Universiteit Maastricht is gebruikt. Een maand later werd de Universiteit Antwerpen door dezelfde ransomware getroffen, hoewel de impact daar volgens een woordvoerder beperkt bleef.

Clop is niet de enige ransomware die de afgelopen weken de ronde doet. GWK Travelex, bekend van de geldwisselkantoren, werd op Oudjaarsdag getroffen door gijzelsoftware met de naam Sodinokibi. Naast versleuteling claimen deze aanvallers ook de hand gelegd te hebben op klantgegevens. Ze dreigen met publicatie als geen losgeld wordt betaald. Dat is een relatief nieuwe trend, die inspeelt op de angst voor reputatieschade en verlies van intellectueel eigendom.

Aanvallers wijzen hun slachtoffers ook op de Europese privacywetgeving, die hoge boetes – tot 4 procent van de wereldwijde omzet – kan opleggen voor het lekken van privacygevoelige klantgegevens. Travelex zegt nog geen bewijs te hebben dat data daadwerkelijk ontvreemd zijn. Twee Nederlandse bedrijven klopten onlangs bij cybersecuritybedrijf Fox-IT aan wegens problemen met Sodinokibi.

Het Belgische bedrijf Picanol werd ook platgelegd door ransomware, van een nog onbekend type. In de nacht van zondag op maandag werd de aanval gedetecteerd door collega’s in China, vertelt een woordvoerder van het beursgenoteerde bedrijf. De productie in Roemenië, in China en op het hoofdkantoor in het Belgische Ieper ligt stil. Picanol – 2.300 werknemers, een jaarlijkse omzet van zo’n 600 miljoen euro – is naar eigen zeggen de grootste producent van weefmachines ter wereld. De handel in het aandeel werd opgeschort. Wanneer de fabrieken weer kunnen draaien, is niet duidelijk. Wellicht ligt de productie de hele week stil.

Bron artikel: NRC, auteurs: Wilmer Heck en Rik Wassens


Download de whitepaper ‘De drie grootste security-risico’s in de maakindustrie’ en bereid je voor. Of neem direct contact op voor een Risicoanalyse.