Wat gaat er om in het hoofd van een cybercrimineel?

Wat gaat er om in het hoofd van een cybercrimineel?

Cybersecurity special oktober 2022

We kunnen niet genoeg benadrukken hoe belangrijk het is je te wapenen tegen cybercriminelen. Dat het geen vrijblijvend advies is, blijkt wel uit de nieuwe Europese richtlijnen (NIS2). De noodzaak blijkt ook uit het toenemend aantal ransomware-aanvallen. Jaarlijks stijgt dat met zo’n 25 procent. Blijkbaar loont deze vorm van criminaliteit. Maar wat maakt het dan zo interessant? En vooral: met wie hebben we hier te maken? We kruipen in het hoofd van een cybercrimineel.

Met wie hebben we te maken?

Ransomware is een vorm van malware die een computer en/of de gegevens die erop staan, gijzelt. Vervolgens moet de eigenaar van de computer geld betalen om deze weer te ‘bevrijden’. Een groeiend aantal organisaties krijgt met deze vorm van cybercriminaliteit te maken. Niet vreemd, want er worden jaarlijks miljarden aan losgeld betaald. Die cybercriminelen zijn ook allang geen individuen meer op zolderkamertjes die op goed geluk maar wat malware de wereld in slingeren in de hoop dat er iemand hapt. We hebben te maken met heuse organisaties inclusief managementstructuren, “klanten”service  en  HR-beleid. En met ketens van cybercrime-organisaties: de ene organisatie is goed in het verkrijgen van toegang, zij verkopen de toegang aan een groep die goed is in het binnendringen van een netwerk, die verkoopt het weer aan een groep die goed is in afpersing, etc. Om het verhaal nog dreigender te maken: slachtoffers worden zorgvuldig getarget, het losgeld wordt nauwkeurig bepaald en zelfs de onderhandelingstechnieken zijn steeds verfijnder. Allemaal gericht op maximaal financieel gewin.

 

Cybercriminaliteit: een kijkje achter de schermen

Mocht je slachtoffer zijn van ransomware, denk dan niet dat je pech had omdat je per ongeluk een verkeerd mailtje opende of te laat was met updaten. Je kunt er vanuit gaan dat de cyberbende – jouw opponent – het huiswerk goed heeft gedaan. Tenminste, dat blijkt uit onderzoek van Check Point Research naar de ransomware economie. Dit onderzoek biedt een interessant kijkje achter de schermen van deze ‘bedrijfstak’. Verbazingwekkend, bijvoorbeeld door de weergave van chatgesprekken binnen een ransomware bende, maar ook afschrikwekkend en verontrustend. De onderzoekers keken bijvoorbeeld naar de verliezen van slachtoffers en de winsten van de cybercriminelen.

 

Cybercriminelen versleutelen niet meteen je data als ze binnengedrongen zijn. Soms verkeren ze maandenlang in een netwerk om stukje bij beetje informatie te verzamelen. Zo brengen ze de kwetsbaarheden in een IT-omgeving in kaart en verkrijgen ze alle informatie over de organisatie. De onderzoekers ontdekten dat het startpunt voor de financiële dynamiek van ransomware meestal is gebaseerd op de jaarlijkse inkomsten van het slachtoffer.  Met andere woorden: de geschatte inkomsten van het slachtoffer bepalen de hoogte van het losgeld. Een realistische vraagprijs blijkt ook in deze ‘business’ de belangrijkste factor voor een succesvolle onderhandeling. Bij die schattingen gaan de criminelen niet over één nacht ijs. Er wordt gekeken naar beschikbare gegevens in openbare bronnen zoals ZoomInfo en DNB. Maar ze zullen ook in de gegijzelde data zoeken naar bijvoorbeeld boekhoudingen en bankgegevens.

 

De onderhandelingsstrategie

Ook als het gaat om onderhandelen, gaan cybercriminelen doordacht te werk. Het onderzoek onderscheidt vijf stappen in de gemiddelde strategie.

  • Het start altijd met dreiging. Hiervoor worden de gestolen gegevens van het bedrijf doorzocht op gevoelige bestanden. Worden die gevonden, dan dreigt de bende deze openbaar te maken als het slachtoffer niet snel betaalt.
  • Stap twee is het aanbieden van kortingen voor snelle betaling. Ja, dat lees je goed. Uit het onderzoek blijkt dat sommige slachtoffers 20 tot 25 procent korting kregen wanneer ze binnen een aantal dagen betaalden. Criminelen zijn blijkbaar gebaat bij snelle onderhandelingen.
  • Wat vervolgens vaak gebeurt, is dat slachtoffers gaan onderhandelen via derden. Ze proberen op allerlei manieren de betaling te vertragen of zelfs extra korting te krijgen. Cyberboeven houden hier allang rekening mee in hun strategie. Het zal ze dus niet afschrikken. Het zal alleen maar leiden tot een volgende stap.
  • Nieuwe bedreigingen waarbij vaak (kleine) gedeelten van de gevoelige informatie worden gelekt om de dreiging kracht bij te zetten.
  • Uiteindelijk resulteren de onderhandelingen in een van de volgende scenario’s: het losgeld wordt betaald, de gegevens worden openbaar gemaakt of na betaling van losgeld wordt je later weer geconfronteerd met afpersing. In alle gevallen is er één slachtoffer: jij als ondernemer. Afhankelijk van de informatie die lekt, is de kans groot dat er meerdere slachtoffers zijn, zoals je klanten, leveranciers of personeel.

 

Benieuwd hoe zo’n onderhandeling verloopt? Lees hier hoe hier retailer FatFace onderhandelde met cybercrime-organisatie Conti (bron: ComputerWeekly).

 

Met verzekering nog aantrekkelijker

“Maar ik kan me toch verzekeren tegen dit soort risico’s”, zul je nu wellicht denken. Nou, dan heeft het onderzoek nog een laatste verrassing in petto: organisaties mét een cyberverzekering zijn vaak aantrekkelijker als doelwit. Ze bieden immers een grotere kans op betaling van het losgeld. Hackers zoeken daarom altijd als eerste naar eventuele documenten met betrekking tot cyberverzekeringen. Voorkomen blijkt dus ook in dit geval altijd de beste remedie. Krijg je toch te maken met ransomware, onderschat je tegenstander dan niet. Maar bedenk ook dat je, hoe geavanceerd de aanvals- en afpersingsmethoden ook zijn, nog steeds te maken hebt met mensen. Je kunt dus eventuele schade beperken met duidelijke communicatie en zorgvuldige onderhandelingsplanning. Wil je meer weten over dit onderwerp? Neem dan contact op met één van onze cybersecurityspecialisten. Die zijn altijd te vertrouwen!

 

Lucas Vousten | +31 (0)40 240 9516 | lvousten@joanknecht.nl

Ties Meesters | +31 (0)40 240 9459 | tmeesters@joanknecht.nl