Denken als een duikboot
De dagenlange panne bij Picanol is een klassiek voorbeeld van hoe driest hackers hun doelwitten gijzelen met ransomware. Een goede beveiliging en training van het personeel zijn niet genoeg, bouw voldoende veiligheidsschotten in, zeggen experts. “Het lot van je bedrijf mag niet afhangen van een verstrooide werknemer of van een niet-geüpdatete computer.”
” Mag ik uw gsm-nummer? Dan stuur ik u een sms zodra we nieuws hebben een mogelijke heropstart.” Zelfs de woordvoerder van Picanol had dagenlang geen toegang tot zijn e-mails. De vestigingen van Picanol in België, Roemenië en China lagen een week plat door een cyberaanval. Deze week pas kon de groep haar productie beetje bij beetje opstarten, na een koortsachtige en grondige controle van alle systemen. “In de nacht van zondag op maandag (vorige week, nvdr) onze tijd merkten werknemers in de Chinese afdeling problemen met enkele servers en toepassingen”, vertelt Frederic Dryhoel. “Ze hebben meteen aan de alarmbel getrokken en onze IT-mensen hier op de hoogte gebracht. We vonden snel een boodschap op een server, waaruit bleek dat het om ransomware ging en hackers onze systemen aan het vergrendelen waren.”
Je moet het hackers zo moeilijk mogelijk maken, want ze bekijken de zaken zeer economisch. Als binnendringen te veel moeite kost, kiezen ze een ander doelwit” – Rense Buijen, Trend Micro
Het is niet de enige recente geval waarbij een Belgisch bedrijf voor lange tijd gegijzeld is door hackers. Bij de federale politie kwamen het afgelopen jaar 40 procent meer klachten binnen over cybercriminaliteit. “Voor 2019 kunnen we nog niet zeggen in hoeveel van de geregistreerde feiten het om ransomware ging”, zegt gerechtelijk commissaris Caroline Frère van de Federal Computer Crime Unit. “Dat cijfer zal ook onvolledig zijn. Bedrijven en particulieren doen niet altijd aangifte wanneer zij het slachtoffer worden van ransomware. Dat heeft verschillende oorzaken: angst om imagoschade te lijden, prioriteit geven aan de heropstart van de processen, enzovoort. Het is belangrijk dat ze ons toch contacteren.”
Vast staat dat ransomware populair is bij hackers die bedrijven willen afpersen. “De eerste ransomware werd in 1989 al verspreid, via diskettes”, zegt Tom Van de Wiele. Als ethisch hacker bij het Finse F-Secure spoort hij voor bedrijven zwakke plekken op in hun IT-systemen. “Vroeger was het voor hackers moeilijker het losgeld te innen. De opkomst van de bitcoin en andere cryptomunten heeft dat veranderd. Hackers worden ook steeds professioneler en richten zich daarom steeds meer op bedrijven. Die hebben meer middelen en veel meer te verliezen.”
Het lijkt een ongelijke strijd, maar bedrijven kunnen voor elke fase van de aanval de risico’s verkleinen.
De verkenning
Hackers bestaan in alle geuren en kleuren. De gerichte aanvallen met ransomware zijn doorgaans professioneel aangepakt en komen volgens experts voornamelijk uit de georganiseerde misdaad. “Vaak werken criminele groeperingen zelfs samen”, zegt Rense Buijen van de securityspecialist Trend Micro. “Sommige hackers zijn gespecialiseerd in het inbreken, andere concentreren zich dan weer op de gijzeling met de ransomware. De buit verdelen ze. Door die specialisatie worden de aanvallen almaar gesofisticeerder.”
Daardoor alleen al lijkt het onmogelijk je adequaat te beveiligen, maar volgens Buijen is het toch een noodzaak. “Je moet het hackers zo moeilijk mogelijk maken, want ze bekijken de zaken zeer economisch. Als binnendringen te veel moeite kost, kiezen ze een ander doelwit. Een zwakke plek of een medewerker die op een foute link klikt, kan wel al genoeg zijn om binnen te raken. Antivirussoftware op computers en servers is daarom niet genoeg, je moet ook zaken zoals e-mail of mobiele toestellen goed beveiligen. Ook een goede training van het personeel is nodig. Medewerkers moeten waakzaam zijn en veiligheidsrisico’s kunnen herkennen.”
“Een training en een goede beveiliging zijn cruciaal, maar bedrijven moeten er in de eerste plaats voor zorgen dat ze niet gemakkelijk kunnen worden platgelegd”, zegt Van de Wiele van F-Secure. “Het lot van je bedrijf mag niet afhangen van een verstrooide werknemer of een niet-geüpdatete computer. Vergelijk het met een duikboot. Om het risico op zinken zo klein mogelijk te houden, heeft die ook zo veel mogelijk compartimenten.”
Alarm slaan
Als hackers dan toch binnen geraken, is het van levensbelang ze zo snel mogelijk te betrappen. “Detectie wordt nog al te vaak verwaarloosd, zeker bij kmo’s”, vertellen Pieter Van der Hulst en Karel Demeyer van i-Force. Zij zijn onder meer gespecialiseerd in digitaal forensisch onderzoek en hielpen onlangs nog een groot bedrijf dat door ransomware getroffen werd. “Hackers sturen hun software doorgaans op grote schaal uit, maar ze reageren bijna direct wanneer ze ergens binnen geraken. Ze moeten via sms of een ander systeem een melding krijgen, maar dan blokkeren ze nog niet snel alles. Zeker bij een professionele aanval verstoppen ze zich dagen of zelfs wekenlang, om alles in kaart te brengen. Ze willen niet zomaar een brandje stichten, maar alles in lichterlaaie zetten. Daarom gaan ze vaak eerst op zoek naar back-ups, om die te vergrendelen of te deleten en zo het bedrijf met de rug tegen de muur te zetten. Daarom adviseren wij ook altijd een back-upversie los te koppelen van het netwerk, zodat ze buiten het bereik van hackers blijft.”
Volgens Van der Hulst en Demeyer helpen bedrijven hackers vaak een handje. “Een cyberaanval verraadt zich soms doordat een systeem of een toepassing traag draait of niet werkt. IT-medewerkers mogen bij zulke meldingen zeker niet aanmelden met het centrale beheerdersaccount om de boel te controleren. Zo krijgen hackers namelijk de heilige graal te pakken: de login die hun toegang geeft tot alle systemen. Het is beter zulke accounts met superrechten op te splitsen en het risico op een totale besmetting te verkleinen.”
Desinfecteren
Alle experts die we voor dit artikel contacteerden, vonden dat bedrijven zich maar beter kunnen afvragen wanneer (en niet of) ze getroffen zullen worden door een grote ransomware-panne. “Dat is vaak een moeilijke boodschap”, zegt Van de Wiele van F-Secure. “Maar het is beter op het ergste voorbereid te zijn en een ingeoefend plan te hebben voor hoe je verspreiding van de ransomware tegenhoudt, wie in die cruciale eerste momenten verwittigd wordt en welke alternatieve kanalen je hebt voor pakweg e-mail. Een plan helpt om niet overhaast te werk te gaan, en alles uitgebreid te controleren en schoon te maken. Dat is noodzakelijk omdat hackers soms al een lange tijd aanwezig zijn en dus voldoende tijd hebben gehad om ook de back-upsystemen te infecteren.”
Zeker bij een professionele aanval verstoppen ze zich dagen of zelfs wekenlang, om alles in kaart te brengen. Ze willen niet zomaar een brandje stichten, maar alles in lichterlaaie zetten” Pieter Van der Hulst en Karel Demeyer, i-Force
Het Centrum voor Cybersecurity België (CCB) raadt ook aan bij een incident zo snel mogelijk met hen en met de politie contact op te nemen. Het CCB coördineert de inspanningen om de cyberveiligheid in België te verbeteren en heeft ook het Cyber Emergency Response Team onder zich. “Dat kan je vergelijken met de brandweer”, zegt Andries Bomans van het CCB. “Ons CERT-team ondersteunt slachtoffers in de aanpak van zaken zoals ransomware. Het onderzoek naar de daders is wel voor de politie. Incidenten worden vertrouwelijk behandeld. De aanmelding gebeurt op vrijwillige basis, maar door een Europese richtlijn zullen bedrijven in kritische sectoren wel een meldingsplicht krijgen tegenover de overheid.”
Onvermijdelijk komt dan de vraag van, soms letterlijk, een miljoen: al dan niet betalen. Door het stigma rond cyberaanvallen is het onmogelijk in te schatten, maar wellicht gaat een zeer groot percentage overstag. Daniëlle Vanweesenbeeck, tot voor kort Vlaams Parlementslid voor Open Vld, betaalde losgeld toen hackers haar bedrijf Mastermail gijzelden. “We hebben toen een gespecialiseerde partij ingeschakeld om te onderhandelen. Dat was tegen mijn principes, maar ook een puur economische afweging, om het tijdsverlies te beperken. Het ging om een groot, maar relatief beperkt bedrag. De onderhandelingen hebben dagen geduurd omdat de communicatie zeer stroef verliep. En zelfs als je betaald hebt, blijft de stress groot door de onzekerheid of ze wel alles zullen ontgrendelen. We kregen uiteindelijk weer toegang tot onze systemen, maar met veel vertraging. Ik heb veel spijt van het losgeld, ik ga nooit meer betalen.”
Tom Van de Wiele van F-Secure waarschuwt dat hackers niet te vertrouwen zijn. “Ze hebben geen moreel kompas. Het zal een moeilijke strijd blijven, zeker omdat die hackers zich beter organiseren. Op de lange termijn moeten we vooral proberen de pakkans te verhogen. De ransomware en de betalingen met bitcoin en andere cryptomunten laten een spoor na, maar dat leidt vaak naar landen die geen uitleveringsverdragen hebben met het Westen. Meer internationale samenwerking is dus noodzakelijk om aanvallen met ransomware in te perken.”
Heropstart
Vanweesenbeeck ondervond geen hinder bij de heropstart van Mastermail. “We hebben daarna wel geïnvesteerd in een nog sterkere beveiliging en een betere training voor onze medewerkers. We zijn bijvoorbeeld veel voorzichtiger met e-mails met bijlages of andere verdachte kenmerken. We hebben uiteindelijk geen computers vervangen.”
“Er is een trend naar zeer geavanceerde aanvallen, die hardware kunnen infecteren. Maar zulke krachtige industriële malware wordt voorlopig niet gebruikt voor afpersing”, weet Rense Buijen van Trend Micro. “Toch mag je niet zomaar de systemen wissen en een schone back-up terugzetten. Je moet grondig onderzoeken of de hackers volledig buiten zijn en er moet een gedetailleerd plan zijn voor de heropstart.”
Lees ook verder over cyberverzekeringen.
Wat is ransomware?
Bij ransomware persen hackers particulieren of bedrijven af door een digitale gijzeling. Hackers forceren toegang tot de IT-systemen en versleutelen de data van de slachtoffers. Meestal eisen ze losgeld om alles weer te ontgrendelen. Sommige ransomware valt te omzeilen, maar zeker de gerichte aanvallen op bedrijven maken gebruik van niet te kraken encryptie.
Fout opgemerkt of meer nieuws? Meld het hier