Stilleggen oliepijplijn VS veroorzaakt door gijzelsoftware van 'DarkSide'
Hij ziet ze heel vaak voorbijkomen in z'n werk: aanvallen bij bedrijven met zogeheten gijzelsoftware - waarmee internetcriminelen data op computers vergrendelen om losgeld te eisen. Maar ook voor Martijn Hoogesteger van cybersecuritybedrijf Northwave is het stilleggen van een oliepijplijn in de VS, als gevolg van zo'n aanval, uitzonderlijk.
Precies dat gebeurde afgelopen vrijdag. Nu, vier dagen later, wordt de boel bij Colonial Pipeline weer opgestart. Wat er precies is voorgevallen, is nog onduidelijk. De gevolgen waren al wel direct zichtbaar: de vier hoofdleidingen werden dit weekend stilgelegd. Er is daarnaast een noodverordening afgegeven die vervoer over de weg mogelijk maakt en er dreigen tekorten aan benzine en gas.
De bron van de aanval is inmiddels bekend: de FBI heeft bevestigd dat het gaat om software gemaakt door DarkSide. Dit is volgens experts een relatief nieuwe groep, maar wel een die heel professioneel te werk gaat. Compleet met een klantenservice. Hun doel: veel geld verdienen. De werkwijze wordt ransomware as a service genoemd, wat zoveel betekent als dat de groep de gijzelsoftware ontwikkelt en anderen rekruteert om aanvallen uit te voeren. De groep krijgt vervolgens een percentage van het losgeld.
Ransomware is gewoon een heel interessant verdienmodel voor criminelen.
Volgens Hoogesteger zijn aanvallen met ransomware (ofwel gijzelsoftware) een van de meest voorkomende aanvallen bij organisaties en krijgen ze steeds meer de overhand. "Het is gewoon een heel interessant verdienmodel voor criminelen. Je loopt weinig risico om gepakt te worden en de opbrengst is gigantisch."
De software, die bijvoorbeeld binnenkomt via een phishingmail naar een medewerker, nestelt zich in het netwerk en 'gijzelt' vervolgens alle data. Daarna wordt er losgeld geëist om de data weer terug te krijgen. Het gebeurde onlangs bij een kaasdistributeur, met als gevolg dat schappen in de supermarkt leeg bleven. En daarvoor gebeurde iets soortgelijks bij de Universiteit Maastricht.
Losgeld tot 2 miljoen dollar
De groep zou grote losgeldbedragen vragen: tussen de 200.000 en 2 miljoen dollar, aldus cybersecuritybedrijf Cybereason. Daarbij zouden ze gebruikmaken van 'dubbele afpersing': niet alleen de systemen vergrendelen, maar ook data stelen en dreigen deze online te zetten. In het geval van de pijplijn zou er bijna 100 GB aan data zijn buitgemaakt, meldt persbureau Bloomberg.
Opmerkelijk: eenmaal binnen bij een potentieel doelwit, zou DarkSide eerst informatie verzamelen. Als blijkt dat ze zijn binnengedrongen bij een universiteit of ziekenhuis, dan zetten ze niet door, schrijft Cybereason. Zelf claimen ze daarnaast delen van de buit te hebben geschonken aan goede doelen, die dit niet zouden hebben geaccepteerd.
Waar de groep internetcriminelen vandaan komt, is lastig te zeggen. Van DarkSide wordt wel gezegd dat hun software zich uitschakelt op het moment dat deze detecteert dat het op een computer zit met een Cyrillisch toetsenbord. Dat suggereert een link met Oost-Europa. Dit geldt overigens niet alleen voor deze groep, maar voor veel partijen die dergelijke aanvallen uitvoeren.
Er is daarnaast vanmiddag een verklaring gepubliceerd uit naam van de groep, waarin wordt gezegd dat het "hun doel is om geld te verdienen en niet om problemen te veroorzaken voor de maatschappij".
Als dan ook de back-ups weg zijn, ben je vier jaar aan investeringen kwijt.
Een belangrijke vraag bij ransomware-aanvallen is altijd: wordt er betaald? "Sommige bedrijven die we hebben geholpen hebben jaren geïnvesteerd in bijvoorbeeld het maken van industriële tekeningen", zegt Frank de Korte, ook werkzaam bij Northwave. "Als dan ook de back-ups weg zijn ben je vier jaar aan investeringen kwijt. Dus het is iets wat je per bedrijf en per systeem moet afwegen."
Frank Groenewegen, partner cyberrisico's bij Deloitte, noemt het een "duivels dilemma". Een situatie waar op verschillende manieren naar kan worden gekeken, zegt hij. Een bedrijf kan puur kijken naar wat het kost, soms speelt ook de vraag mee hoelang een zaak het kan overleven zonder de vergrendelde data. Ook kunnen ethische dilemma's - wil je een crimineel wel betalen? - meespelen, net zoals wat er mag volgens de lokale wet- en regelgeving. Groenewegen adviseert bedrijven altijd aangifte te doen. "Want de boeven moeten wel worden gepakt, anders is het dweilen met de kraan open."
Digitale branddekens en rookmelders
Het incident met de pijplijn roept ook de vraag op of je je als bedrijf niet beter kunt voorbereiden. "Ik vergelijk het ook wel eens met een brand. Dat is ook een risico, maar wel een dat je kunt managen", zegt Hoogesteger. "Zorgen dat je branddekens om de hoek hebt liggen en rookmelders hebt ophangen bijvoorbeeld. Het betekent echter niet dat er nooit brand zal uitbreken."
En dat geldt ook voor Nederland, waarschuwt Groenewegen. "We mogen van geluk spreken dat dit soort aanvallen met deze gevolgen nog niet hier heeft plaatsgevonden. Dat is eerder geluk dan dat wij de boel hier beter op orde hebben."