Je hoort een ransomware-hacker, een crimineel die data steelt, bedrijfssystemen op slot zet en uiteindelijk losgeld eist. En dat kost wereldwijd duizenden miljarden.
We praten hier over zware en georganiseerde criminaliteit die ongelooflijk veel impact heeft.
Onlangs wisten criminelen honderden bedrijven te raken met een hack.
Hun eis: Jullie kunnen je data terugkrijgen als wij 70 miljoen euro aan bitcoins krijgen.
En nu is dit by far de allergrootste vorm van cybercrime die er is.
Als dit zo doorgaat, dan gaat het gewoon een keertje mis.
En dan gaat het ook al levens kosten.
We nemen je in deze video mee naar een hele onzichtbare wereld.
Maar tegelijkertijd een hele professionele, die van de hackers.
Wie zijn het? Hoe gaan ze te werk? En wat willen ze nou precies bereiken?
Dagelijks weten hackers systemen en data van bedrijven te gijzelen.
Daarna eisen ze losgeld, vertaald 'ransom'.
En ze zijn zo georganiseerd dat ze ook een stroomnetwerk of bankverkeer kunnen platleggen.
Het is inmiddels een groot probleem en een gevaar voor onze nationale veiligheid. Daarvoor waarschuwt NCTV.
Het is een bedreiging voor de nationale veiligheid omdat het inmiddels over zo ongelooflijk veel geld gaat.
Ik ben Pim Takkenberg, ik ben algemeen directeur van Northwave Nederland. Onderdeel van het werk wat wij doen is ook klanten helpen met incidenten. Als ze gehackt zijn, dan komen we ze helpen om te zorgen dat ze zo snel mogelijk weer in bedrijf kunnen zijn. Ik onderhandel ook met criminelen om afspraken te maken over wel of niet betalen en bewijs leveren.
We zijn hier aan het onderhandelen over de hoogte van het losgeldbedrag. De aanvaller zegt terug: Nou, ik heb een andere prijs voor je, dat is 655 bitcoins.
We komen zo terug bij Pim en zijn onderhandelingen. Maar eerst duiken we in dit complexe netwerk.
Want bij een grote hack zijn maar liefst zeven criminele groepen betrokken. Een hack kan je vergelijken met een inbraak. Maar omdat we niet in de computer van een hacker kunnen duiken, heb ik dit bedacht. Op deze plattegrond laat ik je stap voor stap zien hoe hackers inbreken en de boel gijzelen. Precies zoals ze dat ook in de online wereld doen.
Insiders noemen deze zeven criminele groepen ook wel de 'ransomware kill chain'. In elke fase van een hackaanval komen deze gespecialiseerde criminelen om de beurt in actie. We gaan ze allemaal af en beginnen bij de eerste groep, de 'initial acces brokers'.
Want om een bedrijf te kunnen hacken heb je eerst toegang nodig tot het computernetwerk. Digitaal dus. Die toegang kan je gewoon kopen bij deze 'initial access brokers'. Zij speuren het hele internet af naar slecht beveiligde bedrijven, fouten in beveiligingssoftware, of ze kraken wachtwoorden. Of ze sturen phishingmails rond in de hoop dat een medewerker van een bedrijf erop klikt en ze zo toegang kunnen krijgen tot een systeem. De 'initial access brokers' zorgen voor de initiele toegang.
Die probeert wel onderzoek te doen naar: Welke organisatie zit ik nu precies binnen? En waar zit ik nu precies binnen? Wat voor computersystemen heb ik nu onder controle?
En op basis daarvan gaat die broker op het darkweb die informatie verkopen aan de echte hackers.
Die prijzen varieren van enkele tientjes tot soms zelfs enkele duizenden euro's.
Natuurlijk is het zo dat bedrijven die een 24/7 dienstverlening hebben, denk bijvoorbeeld aan distributiebedrijven, veel harder geraakt worden als ze het niet meer doen.
En daardoor is de toegang tot zo'n bedrijf meer geld waard, omdat de kans groter is dat als die hackers dat gaan gebruiken, dat ze er ook geld aan gaan verdienen.
Als we dit vergelijken met een inbraak in een bedrijfspand, dan zijn die 'initial access brokers' dus die criminelen die rondlopen op dit bedrijventerrein om te kijken welke achterdeur niet goed op slot zit.
Maar zelf gaan ze niet naar binnen. Dat laten ze aan een ander over. Zij verkopen de informatie over die openstaande achterdeur dus aan de volgende partij. In dit geval de hackers.
Dat zijn de criminelen die verantwoordelijk zijn voor de kern van de hackaanval, de zogenoemde 'ransomware affiliates'. De criminelen die daadwerkelijk in jouw laptop duiken of een heel bedrijf hacken.
Ze kopen dus eerst online toegang, maar ze kopen ook nog wat anders: De ransomware zelf.
Dat is het programmaatje dat uiteindelijk alle bestanden van een bedrijf gijzelt. Oftewel op slot zet.
Dat kopen ze bij de derde partij, de 'ransomware developers', met wie ze nauw samenwerken.
Als je kijkt naar zo'n ransomware-aanval en de verschillende stapjes waaruit die bestaat, zijn dit wel degenen die de boel regisseren. Die twee hebben elkaar heel hard nodig om uiteindelijk geld te kunnen verdienen. Over het algemeen: Een percentage van de omzet van het bedrijf, dat is de hoogte van het losgeld wat ze vragen. Dat is ergens tussen de 0,4 en 2 procent van de jaarlijkse omzet van een organisatie. Over het algemeen krijgt de 'affiliate' tussen de 70 en 80 procent van het losgeld wat betaald wordt en de developer tussen de 20 en 30 procent van het losgeld.
Even terug naar deze plattegrond. Je hebt dus eerst de criminelen die doorvertellen hoe ze binnen kunnen komen. En zij verkopen die kennis door aan iemand die bereid is daadwerkelijk naar binnen te gaan. Met het gereedschap van weer een derde partij.
Zij ontmoeten elkaar vaak op specifieke forums. Dat zijn de zogenaamde cybercrimeforums. Er moet gestemd worden dat je daar op mag door een aantal mensen die op dat forum zitten, meestal drie.
Zodat ze in ieder geval weten dat anderen jou kennen. En vervolgens moet je er vaak ook nog geld voor betalen om toegang te krijgen. En dat is de manier waarop ze een soort controlemechanisme hebben om er zeker van te zijn dat er niet bijvoorbeeld een politieagent op zit.
Nou, ik verbaas me echt hoe professioneel ze zijn. Want online bieden die developers allerlei verschillende soorten ransomware aan. Er is dus een hele markt waar criminelen bij elkaar dit soort gijzelsoftware kunnen kopen.
We zijn dus bij die hackers, 'affiliates' die met hun aangekochte software zijn binnengedrongen in het bedrijfsnetwerk. En dan? Dan kan een hacker echt beginnen.
Kijk, als dit het hele computernetwerk is van een bedrijf, dan heeft de hacker nu misschien alleen maar toegang tot een computer. Maar hij moet zich steeds verder omhoog werken in een systeem. Dit is waar hij uit wil komen, bij een admin account. Je ziet dat zo'n 'affiliate' een aantal dagen tot soms weken bezig is om vanaf de initiele toegang door allerlei slimme trucjes door het gebruik van hacker tools, door andere inloggegevens af te vangen. Door zelf achterdeurtjes te bouwen, zorgt hij dat hij 'persistency' creeert. Dat hij echt bestendigheid heeft in een netwerk, dat hij er altijd bij kan en langzamerhand opschuift naar de plek waar de kroonjuwelen te halen zijn.
Een hacker met een admin account, dat is echt het begin van het einde. Daarmee is hij de baas over het hele netwerk van het bedrijf. En als hij dat eenmaal is, dan kan hij op alle computers en servers de ransomware installeren, waardoor eigenlijk alles op slot gaat. En als jij dan 's ochtends op je werk de computer aanzet, dan kan je dit verwachten.
Er zijn verschillende manieren waarop je dat kunt zien. Een van de manieren is als een compleet systeem versleuteld is, dat als je hem aanzet, dat je meteen een scherm krijgt waar een boodschap op staat: Uw systeem is versleuteld.
We hebben er hier eentje waar je kunt zien hoe bestanden versleuteld zijn. En dan zie je inderdaad wel dat er instructie is, dat je een tekstbestandje moet gaan openen en daar staan dan instructies in.
Ik heb hier een voorbeeld van bijvoorbeeld DoppelPaymer. Daar staat ook letterlijk je ID in. Stel je voor, je hebt een nummer 215. Dan weet je in ieder geval dat 214 jou zijn voorgegaan. Dus dat het over hele grote hoeveelheden hackzaken gaat waarin ze dit soort dingen proberen te misbruiken.
De hackers doen dus twee dingen. Ze zetten alle bestanden op slot en ze jatten zoveel mogelijk data. Daarna neemt een andere groep het van ze over. De datamanagers.
Zij structureren de data die de hackers buit hebben gemaakt en maken het klaar om als het nodig is online te zetten. Op het darkweb wemelt het van de sites waar je bakken met gevoelige bedrijfsdata kan vinden. Wat die datamanagers vaak doen en dus ook zeg maar die ransomware affiliates, is eerst een kleine setje data daar publiceren in de hoop dat je alsnog overstag gaat.
En als dat niet gebeurt, zal je langzaam zien dat de volledige hoeveelheid data die ze hebben soms enkele honderden tot zelfs enkele terabytes aan data daar wordt geüpload.
En die kun je gewoon allemaal downloaden. Jij en ik ook.
Terug naar de inbraak. Ze zijn hier het pand binnengekomen en ze hebben rondgekeken en zijn op zoek gegaan naar waardevolle spullen. Ze nemen zoveel mogelijk mee en ze doen nog iets. Ze veranderen alle sloten, waardoor geen enkele werknemer die morgen op kantoor verschijnt nog naar binnen kan. Hun doel is uiteindelijk geld, dus wat ze doen is alle waardevolle spullen bundelen en als chantagepakket klaarzetten. Ze dreigen het door te verkopen, behalve als een bedrijf bereid is mee te werken bij het onderhandelen.
Dat onderhandelen doet geen van de criminelen uit de eerste vier groepen zelf. Nee, daar zijn speciale onderhandelaars voor.
Nou, ik kan je wat laten zien. We zijn hier aan het onderhandelen over de hoogte van het losgeldbedrag. Wat je hier ziet, is dat ik je vraag stel: Waarom doe je mij een aanbod van 700 bitcoins? Want dat is 14,5 miljoen. En we hadden net al een prijs overeengekomen van 12 miljoen.
En vervolgens zegt de aanvaller: O, sorry, ik zie dat kennelijk een andere chat-operator een beter kerstcadeautje aan je heeft gegeven. En dit leert mij dat de aanvallers dus in ploegendiensten werken als het gaat over het onderhandelen. Dat we wellicht te maken hebben met een ochtenddienst en een middagdienst. Waarin de ochtenddienst
tot een bepaald niveau is gekomen qua onderhandelingen, maar nog niet dat heeft overgedragen aan de middagdienst en dat die middagdienst zelf gewoon het gesprek aangaat en later erachter komt dat -ie de overdracht niet goed heeft gehad.
Nou, dit bedrijf is dus behoorlijk de pineut. Die inbrekers hebben alle spullen uit het kantoor gehaald. Doordat de sloten zijn vervangen, kan geen werknemer de schade herstellen. De criminelen bellen de directeur en zij zeggen: 'Je krijgt het allemaal pas terug als je met ons meewerkt.'
Wie niet meewerkt, kan de zesde criminele groep verwachten. De Chasers. Vergelijk ze met een digitale knokploeg. Zij doen eigenlijk hetzelfde als de onderhandelaars, maar zij voeren de druk flink op als je niet meewerkt. Heel geniepig, de manier waarop hij zegt: 'Het maakt ons niet zoveel uit, maar we blijven je wel pakken. Een week, een maand, langer als het moet. We willen alleen maar het geld. En anders gaan we je informatie wel publiceren.'
Dus iedere keer in een zin wordt er weer iets gegeven aan je wat gewoon echt wel binnenkomt. Maar ook dat ze gewoon heel simpelweg zeggen wat hun businessmodellen zijn: 'Wij willen alleen maar geld.
Geld, geld, geld, daar gaat het om. Het maakt ons verder allemaal niet veel uit. We doen wat eigenlijk nodig is om dat geld gewoon te krijgen.' Met andere woorden: 'Betaal nou maar, dan ben je van de ellende af.'
En dan zijn we aan het einde van de keten bij de criminelen die het losgeld wegsluizen. De financiële experts. Een beetje de accountants van deze groepen. Hun belangrijkste taak is bijvoorbeeld de bitcoins omzetten in geld, in geld waar je echt mee kan betalen.
Het is een aparte groep. De witwassers, noem ik die. Ze gooien het soms zelfs door mixers heen en mixers zijn gewoon digitale manieren om langs heel veel rekeningen het geld iedere keer over te maken, over te maken, over te maken, over te maken en te splitsen. En dan komt het weer bij elkaar in de hoop om gewoon een groot rookgordijn op te werpen voor opsporingsdiensten om dat geld uiteindelijk te kunnen traceren waar het naartoe gaat. En uiteindelijk komt dat dus in bezit van de criminelen.
En die vinden dan weer een manier om dat geld ook vanuit een digitale omgeving weer fysiek te maken. Want ja, het is nog steeds vrij lastig om een dure Lamborghini te kopen met bitcoins.
De ransomware kill chain is dus nu compleet. Van de initial access brokers tot de witwassers. En het heeft me echt verbaasd hoe professioneel deze keten in elkaar zit en hoeveel geld erin omgaat. Ik vraag me ook af: Blijft het bij bitcoins, of gaat het verder? Je ziet de bedrijven die hierdoor geraakt worden en hoe lang die out of business zijn. Dan denk ik eerder dat het een geluk is dat we nog niet hele heftige effecten hebben gezien. Er zijn voorbeelden van ziekenhuizen die ransomware-aanvallen hebben gehad. Waar het net wel, net niet zo is geweest dat mensen zijn overleden. Maar als dit doorgaat, dan gaat dit gewoon een keertje mis en dan gaat het ook gewoon levens kosten.
