Opgelicht door je ransomware-hulpdienst

DoorFleur van Leusden

Recent bleek dat een medisch laboratorium voor de tweede keer in de geschiedenis betaalde aan digitale afpersers. 

Ransomware. De nachtmerrie van elk bedrijf/organisatie. Veel erger dan dit word het haast niet. De morele discussie rondom betalen/niet betalen is interessant als het een hypothetisch verhaal is, maar als je zelf aan de beurt bent denk je er wellicht ineens totaal anders over. Want ga je jouw bedrijf ten onder zien gaan? Of ga je een financiële deuk nemen en (misschien!) weer door?

Inmiddels zijn er meerdere security bedrijven die diensten aanbieden voor slachtoffers van ransomware. Het omgaan met dit soort incidenten vereist specialistische kennis, die je meestal niet standaard in huis hebt. Ook niet als je een CISO of security team hebt. Ransomware slachtofferschap vereist kennis van het type ransomware, het al dan niet al gelekt zijn van de sleutel, het onderzoeken van de mogelijkheden tot herstel en het onderhandelen met de daders. Want de daders zijn inmiddels zo slim geworden dat ze veelal niet eens meer de moeite nemen de boel te versleutelen. Een aftelklok en een klein deel van je data is genoeg om mensen te laten betalen, uit angst dat er nog meer data gaat lekken.

En die security bedrijven, daar wil ik het nu graag over hebben. Want daar lijkt nogal eens wat mis te gaan. Waar je verwacht dat specialisten je komen helpen die gaan uitzoeken of het mogelijk is om zonder al teveel financiële schade weer snel up en running te zijn, schijn je nogal eens te maken te krijgen met cowboys die je nog even een extra poot uitdraaien.

Recent schreef ik op LinkedIn over de geruchten die mij bereikt hebben dat incident response bedrijven (IR) zonder überhaupt te kijken of herstel mogelijk is, direct overgaan tot onderhandelen. Niet als strategie om tijd te rekken, maar omdat herstellen voor hen veel ingewikkelder en duurder is, dan voor je te onderhandelen. 

En als klap op de vuurpijl steken ze dan ook nog een deel van het losgeld in eigen zak. Dat doen ze als volgt:

Het losgeld bedraagt 5 miljoen euro. Jouw IR onderhandeld dit naar beneden tot 2 miljoen, maar zegt tegen jou dat het 2,5 miljoen is. Jij betaalt hen de 2,5 miljoen, zodat zij dit in bitcoin of een andere cryptovaluta kunnen omzetten en betalen aan de daders. Maar zij betalen vervolgens wel 2 miljoen en steken de vijf ton extra in eigen zak. Om vervolgens nog een rekening te sturen voor hun “dienstverlening”.

Ik heb dit van horen zeggen. Ik kan dit niet bewijzen. Wel ontving ik na deze post op LinkedIn van meerdere mensen uit het IR werkveld bericht dat zij deze manier van werken herkenden (maar uiteraard zelf nooit doen!).

Daarnaast stuurden mensen mij hun verhalen waarin zij vertelden over onterechte declaraties en andere wanpraktijken. De incident response wereld lijkt het wilde westen van de cybersecurity industrie. Logisch ook. Mensen die een dergelijk bedrijf inschakelen zijn in paniek. Net als dat we last hebben van malafide slotenmakers die je midden in de nacht belt en vervolgens duizenden euro’s rekenen hebben we kennelijk incident response bedrijven die een loopje nemen met een ieder die hen belt.

Wat wil ik nu bereiken met mijn column? Dat we kritisch blijven. Ik kan niet bewijzen dat dit gebeurt en heb er (gelukkig) ook geen ervaring mee. Tegelijkertijd denk ik dat als ik zie hoeveel reacties ik kreeg naar aanleiding van de post dat er wel reden is om te denken dat het er niet altijd fris aan toe gaat in de incident response wereld. En dat als je, net als bij een slotenmaker, in blinde paniek aan de telefoon hangt, het goed zou zijn als je wel wat kritische vragen stelt. 

  • Wat houdt de dienstverlening precies in? Wat gaan jullie precies doen om herstel zonder betaling te onderzoeken/faciliteren?
  • Wij willen zelf de betaling regelen en de gesprekslogging inzien met de daders. Wij willen daarnaast een proefbetaling doen en van de daders horen of zij deze hebben ontvangen, alvorens we over gaan tot de rest. Kan dat?

Mogelijk zal je worden aangepraat dat betalen in cryptovaluata te ingewikkeld is voor een leek en dat je dit beter kunt over laten aan de IR partij. Dat is een overweging of je dat wilt doen. Betalen met crypto is geen rocket science.

Ik zou er in elk geval bovenop willen zitten. In mijn post adviseer ik te vragen om de wallet IDs, maar terecht wees men mij erop dat dit ook geen garantie biedt. Want wie de eigenaren zijn weet je niet. En je kunt zomaar zitten te kijken naar hoe jouw geld van de ene wallet van de IR partij naar hun andere wordt geschoven. Om vervolgens de rest over te maken naar de echte daders.

Een gewaarschuwd mens, telt voor twee. Wees dus niet meteen goed van vertrouwen als je een incident response partij inschakelt om te helpen bij een ransomware aanval. 

Voor je het weet lachen de criminelen aan de overkant all the way naar de crypto exchange. Net als de mensen die je zogenaamd kwamen redden.

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten