De vloek van gijzelsoftware
Het zal niemand ontgaan zijn dat de Universiteit van Maastricht net voor de Kerst getroffen was door een aanval van gijzelsoftware, die de hele organisatie lamlegde. En een week later was Travelex/Grenswisselkantoren getroffen, ook door gijzelsoftware. Ransomware overspoelt de markt. Maar tegelijkertijd weten nog veel business managers en eindgebruikers niet wat ransomware precies is. Laat staan dat zij weten hoe zij zo’n aanval kunnen herkennen. En oplossen. We zetten de belangrijkste punten op een rij.
Elke week is wel in het nieuws dat er wéér een grote organisatie is getroffen door gijzelsoftware. Eind 2019 was er Pilz, daarna BMW, toen de Universiteit van Maastricht, geldwisselkantoor GWK/Travelex, weefmachinebouwer Picanol (België), auto-onderdelenfabrikant Gedia (Duitsland), systeemintegrator SPIE (België) en zinkproducent Nyrstar (Budel). Maar ook overheden zijn de klos, zoals de gemeente Lochem, en daarmee kwam Nederland nog relatief goed weg; in de VS waren dozijnen gemeentes en ziekenhuizen de klos. Los daarvan speelde de kwetsbaarheden in Citrix begin dit jaar, die door hackers werden ingezet om bedrijven te infecteren met gijzelsoftware.
Wat wordt er gegijzeld?
Ransomware gijzelt digitale bestanden. Deze worden met een encryptiesleutel gecodeerd en zijn dan niet meer leesbaar, je kunt er niets meer mee. Als dat met veel bestanden in een bedrijf gebeurt, kan het niets meer. Een back-up teruglezen wil soms nog wel helpen, maar ook niet altijd. En dan blijkt er een bestandje op een pc te staan dat nog wel gewoon leesbaar is. Het blijkt van de hacker te zijn, die instructies geeft hoe de bestanden weer leesbaar te maken zijn. Dat gaat natuurlijk niet voor niets, daarvoor moet betaald worden. Meestal moet dat in Bitcoins, want die zijn anoniem en daarmee is de hacker niet te vinden. Is er betaald, dan krijg je - hopelijk - de decryptiesleutel en zijn alle bestanden weer leesbaar te maken.
De hoogte van het te betalen bedrag varieert, en is vaak afhankelijk van de draagkracht. Kleinere bedrijven tot tienduizenden euro’s, grote bedrijven meer. De snel fluctuerende koers van de Bitcoin kan zowel in uw voordeel als in uw nadeel werken. Wie te lang wacht met betalen, kan te maken krijgen met hackers die het losgeld verhogen. Dat is puur bedoeld om de druk op de ketel te houden, want IT-experts krijgen binnen een paar dagen de getroffen systemen niet op orde.
Sommige hackers gaan nog een stap verder, wel wetende dat sommigen niet willen betalen. Er volgt een dreigement dat bestanden openbaar gemaakt gaan worden, of aan concurrenten doorgespeeld zullen worden, als er niet betaald wordt. Dit gebeurde bij de Duitse auto-onderdelenleverancier Gedia Automotive, waar meer dan 50 gigabyte aan data werd gestolen. Als bewijs van deze diefstal werd een spreadsheet geopenbaard.
Hoe komt de gijzelsoftware binnen?
De meest gebruikte - en trefzekere - methode om een bedrijf binnen te komen, is het sturen van een e-mail met als bijlage een bestand waarin de initiële malware zit. Dit bestand kan een foto zijn, een PDF, een spreadsheet, een document. Dan moet de gebruiker nog verleid worden om op het bestand te klikken, waardoor de malware actief kan worden en zich kan installeren. Deze malware kan dan verder het bedrijf in gaan, en ook andere malware ophalen en installeren. Deze stappen kunnen soms al maanden van tevoren plaatsvinden. Dit is ook een reden dat back-ups soms niet te vertrouwen zijn; mogelijk staat de malware daar ook al op. Opschonen van alle computers en dan teruglezen van een back-up kan dan zinloos zijn.
Malware hoeft nier per se via e-mail-bijlagen bij bedrijven binnen te komen. Mitsubishi Electric (Japan) ontdekte dat de virusscanner een bug had, waarmee hackers binnen konden komen.
Medio 2019 bleek dat malware ook kon binnenkomen via een bug in VPN software (zoals van Pulse) en onlangs via Citrix, dat bij veel bedrijven wordt gebruikt door thuiswerkers. Door een voortijdige publicatie van Citrix was eind december al bekend dat er een probleem met de software was, die pas in de derde week van januari opgelost werd. Al die tijd hadden hackers dus de tijd om binnen te komen.
Kortom, een beveiligingsbeleid volstaat niet met enkel het opleiden van gebruikers om niet op bijlagen in e-mails te klikken. Hackers zoeken steeds nieuwe methodes.
Betalen of niet?
Wat moet je als getroffene nu doen? Is er zekerheid dat de hackers over de brug komen met de decryptiesleutel, of accepteren ze alleen het geld en verdwijnen dan? Dat risico is er zeker. Soms krijgt de gegijzelde organisatie als teken de mogelijkheid om een paar (kleine) bestanden te ontsleutelen, zodat duidelijk is dat de hackers de data echt terug kunnen geven.
Het bedrag dat betaald moet worden, is vaak veel minder dan besteed moet worden aan inhuur van experts die mogelijk ook alle bestanden kunnen ontsleutelen. Maar: dat kost tijd, en 100% zekerheid is er niet. Dan is soms de keuze snel gemaakt: betalen dan maar, in de hoop dat alles goed gaat en straks alle bestanden weer teruggehaald zijn. Soms valt er nog wel te onderhandelen, en kan de hoogte van het bedrag verlaagd worden.
De Universiteit van Maastricht heeft - volgens universiteitsblad Observant - betaald, naar verluid een paar ton. Pilz heeft niet betaald, en Picanol zegt dit ook niet te gaan doen. Gemeente Lochem betaalde de hackers ook niet, maar wel was hondervijftigduizend euro kwijt aan ingehuurde beveiligingsonderzoekers, en vijftigduizend euro aan verloren arbeidsuren. Het bedrag dat Maastricht heeft betaald is eigenlijk peanuts; bekend is dat er ook losgelden van 5 en 6 miljoen zijn betaald.
De keus van de eenling om te betalen is wel slecht voor de gemeenschap, de hackers hebben hun beloning en kunnen doorgaan. Zou gijzelsoftware nooit meer opleveren, dan is de lol er af. Maar zover is het nog niet; beveiligingsbedrijf Sophos schat dat in een derde van de gevallen betaald wordt. De ontwikkelaars van de gijzelsoftware genaamd GrandCrab claimen in 2 jaar tijd meer dan 1,5 miljard euro te hebben verdiend. Ook al is dit misschien grootspraak, het businessmodel werkt blijkbaar.
Stilte
Tot voor kort waren bedrijven erg stil als ze getroffen waren door gijzelsoftware, bang voor reputatieschade. Maar dat wijzigt langzaam. Pilz haalde zelfs met een reportage het NOS Journaal, en machinefabriek Almi was er vrij open over. Deze laatste werd in 2017 getroffen door gijzelsoftware. Zo’n 400 gigabyte aan data ging verloren.
De eigenaar besloot te betalen om een faillissement te voorkomen, nadat bleek dat ook de back-ups onbruikbaar waren. Na betaling van 8.600 euro aan Bitcoins kreeg het zijn data weer terug - dit kostte nog 2 dagen rekentijd. Alles bij elkaar liepen de totale kosten - stilstand, expertise inhuren, losgeld - op tot zo’n 60.000 euro.
Gratis ontsleutelen
Soms is het mogelijk om gratis te ontsleutelen, als bekend is geworden hoe het encryptie-algoritme werkt en iemand de software heeft geschreven om dit terug te draaien. De website nomoreransom.org biedt dit aan voor een groot aantal varianten van gijzelsoftware. De website is ontstaan vanuit een samenwerking van Europol, de Nederlandse politie, McAfee en Kaspersky, en wordt ondersteund door 200 bedrijven en de nationale politieorganisaties van zo’n 40 landen. Medio 2019 hebben zo’n 300 Nederlanders hun bestanden op deze manier terug kunnen krijgen, meldde de politie in een persbericht (https://bit.ly/38anVEO). Maar ook hier geldt: het is een haasje-over tussen hackers en onderzoekers, het is niet moeilijk om nieuwe gijzelsoftware te maken die de encryptie net weer even anders doet.
En dan nog dit
Als er betaald is, of de bestanden zijn op een andere manier te ontsleutelen, dan is het werk nog niet gedaan. Machinefabriek Almi heeft gepubliceerd wat er allemaal speelt ná het betalen van het losgeld. Zoals: expertise moet ingehuurd worden, maar wie is er op hele korte termijn beschikbaar? De politie wil geen aangifte opnemen. Een moederbord in een server gaat kapot tijdens het transport van de server. Niet alle bestanden zijn te ontsleutelen. Systemen moeten worden opgeschoond, om nieuwe infectie van malware te voorkomen. Personeel moet worden opgeleid om herhaling te voorkomen. Een nieuwe back-upmethodiek is nodig. Kortom, ook al komen alle bestanden terug, het werk is dan nog niet klaar.
Back-ups
Back-ups zijn uiteraard ook een methode om versleutelde bestanden weer terug te krijgen. Maar in veel gevallen blijkt dat back-ups helemaal niet gemaakt zijn, of te oud zijn, of zelf ook al versleutelde bestanden bevatten. Dat is een truc van de gijzelsoftware: die begint al weken van tevoren met het versleutelen van bestanden, zodat die ook op de back-ups terechtkomen en deze daarmee onbruikbaar maken. Als de gijzelsoftware zich dan bekendmaakt, en de getroffen organisatie er dan achter komt dat de back-ups onbruikbaar zijn, is deze reddingsboei dus waardeloos.
Dat overkwam dus ook de universiteit van Maastricht: de back-ups waren óók gegijzeld. Een ander bedrijf bewaarde de back-up op een pc, die ook getroffen werd door de gijzelsoftware. Desalniettemin blijft het nuttig om back-ups te maken. Tenslotte kunnen harde schijven ook nog steeds kapotgaan, of systemen door brand- of waterschade verloren gaan.
De verzekering betaalt?
Het is mogelijk om een cyberverzekering af te sluiten bij diverse verzekeraars, zoals Achmea, NN, AIG, Allianz, Hiscox, HDI en AON). Volgens AON heeft minder dan een vijfde van de bedrijven in Nederland een dergelijke verzekering. De verzekering kan verlies van data en gevolgschade dekken. Het is trouwens ongewenst om te melden dat er een cyberverzekering is, omdat dit juist hackers kan aantrekken.
Een getroffen bedrijf moet het losgeld altijd zelf betalen. De verzekeraar kan dit bedrag vergoeden, als blijkt dat er echt geen andere optie was om de bestanden weer terug te krijgen. Bovendien moet het bedrijf genoeg maatregelen genomen hebben op het gebied van cybersecurity. Een verzekering afsluiten kan dus geen reden zijn om niets te doen aan cybersecurity.
Wat een cyberverzekering natuurlijk niet kan dekken, is reputatieschade. Datalekken moeten ook nog gemeld worden bij de Autoriteit Persoonsgegevens. Picanol stuurde duizenden werknemers in deeltijd-WW; de beursnotering werd tijdelijk opgeschort. En ook al krijgt u alle bestanden weer terug, de hackers kunnen een kopie houden - denk aan intellectueel eigendom.
Het waait over?
Een onderzoeksrapport van KPN Security over de ‘REvil’ gijzelsoftware ontdekte 150 duizend besmettingen in slechts 5 maanden. De zwaarst getroffen gebruiker had 3.000 geïnfecteerde systemen. Het losgeld varieerde van 777 dollar tot 3 miljoen dollar - gemiddeld 260 duizend dollar. KPN schat dat REvil cumulatief al meer dan 100 miljoen dollar heeft opgebracht.
KPN telde in Nederland zo’n 250 REvil infecties, de meeste in de regio’s Amsterdam en Eindhoven. Dat is per inwoner maar een zesde van het aantal infecties in de VS. Kunnen we hieruit de conclusie trekken dat we hier onze zaken beter op orde hebben dan in de VS? Dat ook weer niet. De hackers hebben hun aandacht waarschijnlijk op een ander land gericht. Maar de statistieken kunnen snel veranderen; in de derde week van januari richtten de hackers zich specifiek op Europa en Afrika.
En dit is nog maar één gijzelsoftware variant. Er zijn er nog veel meer! Zolang het met weinig moeite veel geld opbrengt, raken we er niet vanaf. En ook al is gijzelsoftware niet specifiek gemaakt voor industriële omgevingen, het kan een productiebedrijf wel vol treffen; Windows pc’s zijn immers overal. In 2020 zullen we er nog regelmatig van horen.
Rob Hulsebos is journalist