Valt er te praten met cybercriminelen?

De precieze zinnen herinnert Guy Deleersnyder zich niet meer. Maar ze verschenen wit op zwart op het scherm. De boodschap kwam neer op: u bent gehackt. Met een e-mailadres erbij.

De IT-manager van Ranson, een leverancier van bakkerijbenodigdheden uit Harelbeke, werd uit zijn bed gebeld omdat de vroege ploeg niet kon opstarten. De computersystemen waren totaal verlamd. Na enkele uren crisisberaad stuurde de externe netwerkbeheerder van Ranson een mail naar het vermelde adres. Er kwam geen antwoord. Pas als de CEO later die voormiddag een bericht stuurt, komt er een reply. De hackers eisen ‘meerdere tienduizenden euro’s’ in bitcoin om de bedrijfsdata weer te lossen.

In overleg met een crisisteam dat ondertussen is gevormd en parallel met de opening van een forensisch onderzoek wisselt de CEO een tiental mails uit met de anonieme cybercriminelen die zijn bedrijf gijzelen. ‘We voelden aan dat er enige ruimte was om te onderhandelen. We lieten onder meer weten dat we niet zomaar aan dat geld konden geraken en dat we geen ervaring hadden in cryptomunten.’

De antwoorden kwamen snel, na enkele minuten. De toon was zakelijk, het Engels correct. De hackers gebruikten wisselende e-mailadressen met nietszeggende tekencombinaties van verschillende diensten, waaronder Hotmail.

‘Het was een redelijk typische bedrijfsonderhandeling’, zegt Deleersnyder. ‘Beide partijen probeerden hun positie kenbaar te maken en af te tasten hoever ze konden gaan. Het kwam erop neer tot een vergelijk te komen waarmee we konden leven.’ Het leverde iets op: de hackers deden iets van het losgeld.

De aanval op Ranson met ransomware, kwaadaardige software die netwerken binnendringt en data en systemen vergrendelt, dateert van maart 2019. De misdaad dwong het bedrijf aartsmoeilijke afwegingen te maken, ook moreel. Ingaan op de eisen, of niet? ‘Zodra we hadden beslist te betalen, begonnen we te onderhandelen. Het was voor ons sneller en goedkoper. We zijn een commercieel bedrijf, het is onze betrachting daar als een goede huisvader zo goed mogelijk over te waken.’

Last resort

De Ieperse weefmachinebouwer Picanol was deze week hetzelfde lot beschoren.

Net als de universiteit van Maastricht vlak voor Nieuwjaar, het Londense valutabedrijf Travelex en wellicht nog tal van andere organisaties die liever niet naar buiten treden met een benarde situatie als een digitale gijzeling. Het beursgenoteerde Picanol besliste alvast contact op te nemen met de daders, al ontbreekt het voorlopig aan verdere details over die zaak.

Het officiële advies, van de politie en van vele gespecialiseerde consultants, luidt nochtans niet te communiceren met cybercriminelen, en geen losgeld te betalen. Dat legitimeert en ondersteunt een crimineel businessmodel, zegt Walter Coenraets, hoofd van de Federal Computer Crime Unit (FCCU). ‘De algemene richtlijn is: niet doen’, zegt ook Chris Verdonck van Deloitte, dat naar eigen zeggen het grootste expertisecentrum voor cyberveiligheid in ons land heeft. ‘Het is niet wenselijk dat een bonafide organisatie een criminele financiert.’

Maar dat is niet voor elk slachtoffer vanzelfsprekend. Wie met de rug tegen de muur staat, omzet door zijn vingers voelt glippen, klanten naar de concurrentie ziet overlopen en werknemers dreigt te verliezen zolang de boel compleet is geblokkeerd door cybergijzelaars, kan overstag gaan. Als er geen back-up is, en het volledige systeem is geïnfecteerd, is er weinig keuze. Het kan een puur zakelijke beslissing zijn, na het afwegen van de belangrijkste factoren geld en tijd, maar het gebeurt ook uit wanhoop, zegt Tom Van de Wiele, een Belgische expert in cybersecurity bij het Finse beveiligingsbedrijf F-Secure. ‘Proberen te onderhandelen is vaak the last resort.’

Neem Maersk, een zaak waaraan F-Secure meewerkte. De Deense maritieme gigant, het grootste containerbedrijf ter wereld met 80.000 werknemers, hing in juni 2017 in de touwen na de grootschalige cyberaanval met NotPetya, een type ransomware dat vanuit Rusland werd afgevuurd op Oekraïense computers maar dat zich als een pandemie tot ver daarbuiten verspreidde. Via een vestiging in Odessa trof de aanval ook Maersk, en binnen de kortste keren lag het IT-systeem van de containergroep plat. Op de kantoren floepten alle computerschermen naar pikzwart. Daarbuiten waren tientallen haventerminals en honderden schepen met miljoenen tonnen cargo over heel de wereld volstrekt hulpeloos.

‘De impact was zo enorm dat de toekomst van het bedrijf aan een zijden draadje hing’, zegt Van de Wiele. ‘Daarom hebben ze beslist onderhandelingen te starten.’ Uiteindelijk wist Maersk toch nog zichzelf te redden. Eén server van het bedrijf in Ghana bleek niet besmet omdat die toevallig uitlag door een stroompanne. Via USB-sticks moesten meer dan 50.000 computers individueel worden gereanimeerd. De schade liep op tot 300 miljoen dollar.

Intern afstemmen

Bij de experts die je kan inhuren als eerste hulp bij een computerhack zijn ook specialisten in onderhandelingstechnieken. Omdat cyberaanvallen in opmars zijn - alomvattende cijfers zijn moeilijk te vinden omdat veel gevallen niet worden gemeld - stijgt het belang van hun profiel. De Israëliër Moty Cristal, oprichter van het consultingbureau Nest in Tel Aviv, is een professionele crisisonderhandelaar die zegt steeds vaker te worden gebeld door bedrijven uit de hele wereld om te interveniëren bij cyberaanvallen.

‘Ik sta de technologische mensen bij die geen ervaring hebben in het communiceren met criminelen’, zegt Cristal aan de telefoon vanuit een niet nader genoemde stad in Europa, waar hij voor een niet nader genoemde zaak verblijft. ‘De eerste stap is het correct identificeren van het incident en de motivatie erachter.’ Zijn het boefjes die uit zijn op geld, of gesofisticeerde criminelen? Zijn er politieke doeleinden? Is het een zaak van industriële spionage door een concurrent?

‘Dan onderhandel ik op basis van de instructies van het management. Het is cruciaal om intern goed af te stemmen. 60 procent van de mislukte onderhandelingen is te wijten aan interne meningsverschillen, tussen aandeelhouders en de raad van bestuur, bijvoorbeeld. Maar een handboek is er niet. Ik kan op voorhand niet zeggen of het raadzaam is te betalen’, zegt Cristal.

Hij zegt dat er wel wat gelijkenissen zijn met onderhandelingen over menselijke gijzelaars. Die vindt hij zelfs makkelijker, omdat je rechtstreeks met de bandieten kan spreken. En je hebt ruggensteun van een SWAT-team. Zo leerde hij de stiel ook, bij het Israëlische leger. In 2002 behoorde Cristal tot het team van onderhandelaars die een gijzeling van meer dan dertig dagen door Palestijnen in de Geboortekerk in Bethlehem oplosten.

Hij omschrijft zijn job als een psychologische oefening. ‘Je moet je altijd engageren, en mag de hackers nooit beledigen of aanvallen. Je moet hun logica begrijpen en mag ze nooit benoemen als bad guys. Het is hun business, hun manier om geld te verdienen. Als de gegijzelde data van groot belang zijn en je bent niet bereid de kosten van de gevolgen te dragen, dan is het zaak om tot een deal te komen. Dat moet je voor ogen houden.’

Over specifieke zaken kan Cristal niets kwijt. Maar het voorbije jaar werkte hij voor ‘een grote financiële instelling’ en kon hij in 48 uur het losgeld reduceren van 1,8 naar 1 miljoen euro. En ooit stond hij in contact met APT28, alias Fancy Bear. Dat notoire hackerscollectief zat achter aanvallen op doelwitten als de NAVO, meerdere Nederlandse ministeries en andere grote internationale instellingen en zou gelinkt zijn aan het Kremlin. Die communicatie was op het speelse af. Hij kon tijd rekken.

Ken je vijand

Onderhandelingen verlopen meestal via e-mail. Maar volgens experts kunnen ook andere kanalen: WhatsApp, Skype, Twitter, Telegram. Al is het voordeel van e-mail dat accounts niet kunnen worden aangegeven en verwijderd, wat de communicatie volledig zou doen stilvallen. Je vertrekt wel sowieso van een zwakke positie. En je moet er niet aan denken de hele situatie op te lossen, klinkt het. De best denkbare uitkomst is een beperking van de schade.

‘Het allerbelangrijkste is: ken je vijand’, zegt Winston Krone, de topman van Kivu, een cybersecuritybedrijf met vestigingen in Europa en de Verenigde Staten. Hij was de voorbije jaren betrokken bij ‘honderden zaken’. Op basis van het type malware probeert hij af te leiden met wat voor soort cybercriminelen hij te maken heeft. ‘Ook al opereren ze anoniem, we weten veel over welke bendes welke technologie verkiezen, en op basis daarvan kunnen we veel zeggen. Zijn ze vatbaar voor onderhandeling? Of maakt het hen net boos? Zijn het professionals of amateurs? Heeft het zin te betalen?’

Krone zegt dat veel vaker wordt betaald dan publiekelijk wordt gezegd. ‘Dat is de trieste waarheid. Ja, iedereen weet wel dat je criminelen niet mag betalen. Maar wat is het alternatief als je bedrijf kapotgaat? Zeggen tegen je werknemers: ‘Sorry, iedereen is zijn job kwijt. Maar wees trots, want we hebben niet toegegeven aan de misdaad.’ Het is ook niet illegaal, zolang er geen signalen zijn dat je terroristen of organisaties op een zwarte lijst betaalt. Mijn uitgangspunt is: in de meeste gevallen kan het geen kwaad om een gesprek te starten.’

Welke toon sla je daarbij aan? Krone: ‘Met taalgebruik ga je je situatie nooit kunnen verbeteren. Maar je kan ze wel erger maken. Schelden heeft nooit zin. Evenmin als medelijden opwekken door te zeggen dat je werknemers ook kinderen hebben en afhankelijk zijn van hun job. Daar geven de hackers niet om.’

Krone zegt wel dat zijn team goodwill probeert te creëren door als het kan over te schakelen op de moedertaal van de hackers, bijvoorbeeld Russisch, als het erop lijkt dat hun berichten uit Google Translate komen. Nog een tip: begin nooit zonder strategie. Hackers kunnen er niet tegen als je van gedacht verandert en terugkomt op een deal. ‘Je wil niet dat ze je gaan haten.’

Krone ziet wel een duidelijke evolutie in negatieve zin. Aanvallen worden erger en meedogenlozer. ‘Drie jaar geleden kon je nog de menselijke kaart trekken en was 20.000 euro een grote som. Nu zien we losgeld van 10 miljoen euro. Professionele bendes dealen met meerdere slachtoffers tegelijk. Ze houden niet één CEO gegijzeld, maar een kamer vol CEO’s.’

Geen garanties

Ook de types ransomware variëren sterk. Er zijn gevallen waarbij een klok begint te tikken zodra je op een link klikt, en waarbij de prijs stijgt als je niet op tijd betaalt. Er is malware die niet alleen data vergrendelt maar ook kopieert. Criminelen kunnen dan niet alleen gijzelen, maar ook afpersen, door ermee te dreigen gevoelige informatie publiek te maken.

Daarom zijn er ook geen garanties, zeggen experts. Criminelen zeggen wel dat ze een werkende ontgrendelingscode sturen om gegevens weer vrij te geven zodra ze hun geld - bijna altijd in moeilijk traceerbare cryptomunten - hebben ontvangen. Maar die belofte komen ze niet altijd na. Of ze beschouwen het feit dat je hebt betaald als een uitnodiging om je later opnieuw te proberen te besmetten met gijzelsoftware. ‘Zekerheid heb je nooit’, zegt Tom Van de Wiele van F-Secure.

Communiceren met hackers kan je amper onderhandelen noemen, vindt Chris Verdonck van Deloitte. ‘Onderhandelen doet vermoeden dat er gezamenlijke belangen zijn en dat je tot een win-win kan komen. Dat is uiteraard niet zo. Bovendien is het normenkader totaal verschillend, en is de tegenpartij onbekend. In politieke of commerciële onderhandelingen heb je een vertrouwd normenkader, ken je de tegenpartij en ga je alleen in gesprek als er gemeenschappelijke belangen te realiseren zijn.’

Over tussenpersonen die je, allicht voor een stevige som, kan inhuren om een cybergijzeling te ontmijnen, bestaan trouwens ook twijfels. In de Verenigde Staten, waar veel lokale overheden ten prooi vallen aan ransomware, en in het Verenigd Koninkrijk brak vorig jaar een schandaal uit toen bleek dat meerdere cybersecurityfirma’s die zich opwerpen als redder in nood stiekem gewoon de hackers betalen. Ze zeggen wel dat ze een technologische oplossing in huis hebben om terug te hacken en data te recupereren, maar in feite gaan ze rechtstreeks over tot het overhandigen van geld. En zo hou je het hele ecosysteem van ransomware alleen maar in stand, stellen critici.

Positieve reviews

Waarom staan anonieme hackers überhaupt open voor onderhandelingen? Ze staan veel sterker dan hun tegenpartij. Toch zegt F-Secure in een rapport dat met 60 procent van de daders te praten valt.

Dat komt vooral omdat zij evenzeer als een business opereren, zegt Van de Wiele. ‘Criminelen hebben ook budgetten en managers. Ze werken met helpdesks en callcenters. Ze zijn georganiseerd als een bedrijf en moeten afwegen wat het werk aan een cyberaanval kost en wat ze ervoor willen krijgen. Ze leggen het losgeld op een strategisch bedrag. Als ze na onderhandeling denken sneller hun rendement te halen als ze instemmen met een lagere som, dan zien ze dat als een voordeel.’

‘Ze zijn slim’, zegt Krone. ‘Hackers uit Iran weten ook dat het door de internationale sancties illegaal is hen te betalen. Ze zullen dus vermijden Farsi te spreken of een Iraans IP-adres te gebruiken.’

Het gaat zelfs zo ver dat hackerbendes onder valse namen positieve reviews op internetfora posten. Als mensen dan hun naam googelen, zien ze dat anderen al positieve ervaringen hadden, met een correcte afhandeling. Daarom ook willen hackers meestal wel hun deel van de afspraak nakomen en na betaling de softwarecode bezorgen waarmee de systemen van het slachtoffer kunnen worden hersteld. Want waarom zou iemand de volgende keer nog betalen als bekend geraakt dat ze toch niet betrouwbaar zijn?

Dat ondervond ook Ranson. Na anderhalve dag maakte het Harelbeekse bedrijf het losgeld over, en kort daarna kwam de mail met de decryptiesleutel. Die bleek niet volledig te werken, waarop de hackers Ranson verder hielpen tot de schade was hersteld. ‘Voor de technische afhandeling hadden we duidelijk met andere mensen te maken. Als je niet wist dat het om een criminele activiteit ging, zou je denken dat je gewoon een leverancier aan de lijn had voor een hardwareprobleempje.’