De voorbije week illustreerde verschillende ransomware-incidenten opnieuw de dilemma’s waar een bedrijf voor wordt gezet eens zij het slachtoffer worden van een ransomwarebende. Betalen of doorbijten?
Ieder slachtoffer van een ransomware-aanval gaat anders met het probleem om. De ene partij ziet de beste kans in het onderhandelen met de hackers achter de aanval, terwijl anderen alle middelen benutten om een bedrijf weer operationeel te krijgen.
Betalen op advies
De ransomware-aanval op de KNVB van april 2023 toont als eerste al aan dat de gevolgen lang kunnen nazinderen. Er was lang twijfel of de voetbalbond zou zijn ingegaan op de eis van de hakcers om één miljoen euro aan losgeld te betalen. Het overwegen van de voor- en nadelen van betalen zal veel tijd in beslag hebben genomen, aangezien pas deze week de boodschap kwam dat losgeld betaald werd. Het is niet officieel bekend om welke som het exact gaat.
Lees ook: KNVB betaalt na ransomware: problemen op komst voor Nederlandse bedrijven?
De betaling werd overgemaakt na positief advies te hebben ontvangen van cybersecurity-specialisten. Zij zeggen te verwachten dat de organisatie achter de aanval, LockBit, zich aan de gemaakte afspraken zal houden.
Toekijkende cybersecurity-specialisten reageerden verontwaardigd op de gebeurtenissen. De betaling kan volgens de experten een domino-effect creëren met negatieve gevolgen voor andere Nederlandse bedrijven. Daarnaast hekelden veel experten de timing om slachtoffers in te lichten over de mogelijke verspreiding van private gegevens. De opinie heerst dat er geen reden was voor de voetbalbond om een aantal maanden te wachten om slachtoffers op de hoogte te stellen. Naast de ransomware-problemen kan dus ook het bedrijfsimago schade oplopen.
Identiteitsfraude voorkomen
In Amerika vonden onlangs ransomware-aanvallen plaats bij twee gecombineerde casino’s en hotelketens. Caesars Entertainment maakte melding van de feiten bij de Securities and Exchange Commission (SEC) op 7 september.
Uit het verslag blijkt dat de ransomware-bende gevoelige data kon bemachtigen: “Als resultaat van ons onderzoek hebben we op 7 september 2023 vastgesteld dat de ongeautoriseerde actor een kopie heeft verkregen van onder meer onze loyaliteitsprogrammadatabase, die de rijbewijsnummers en/of burgerservicenummers van een aanzienlijk aantal leden bevat. in de databank. We onderzoeken nog steeds de omvang van eventuele aanvullende persoonlijke of anderszins gevoelige informatie in de bestanden die door de ongeautoriseerde actor zijn verkregen.”
Hackers kunnen de gestolen informatie mogelijks koppelen aan namen en adressen, doordat deze doorgaans eenvoudig op te zoeken zijn via bijvoorbeeld social mediasites. Dat geeft hun de middelen om identiteits- of kredietfraude te plegen. Om dezelfde reden besloot Paramount de slachtoffers van een datalek bij het bedrijf twee jaar identiteits- en kredietbescherming aan te bieden. De hotelketen biedt dezelfde verzekeringen voor alle leden van het loyaliteitsprogramma.
Caesars hoopt de slachtoffers te beschermen door middel van betaling aan de hackersgroep. Volgens The Wall Street Journal zou het gaan om een bedrag van ongeveer 15 miljoen dollar. Dat komt neer op de helft van het bedrag dat als losgeld geëist werd.
Voor de hotelketen houden de kosten, en mogelijks de problemen, echter niet op. “We hebben stappen ondernomen om ervoor te zorgen dat de gestolen gegevens door de onbevoegde actor worden verwijderd, hoewel we dit resultaat niet kunnen garanderen. We houden het internet in de gaten en hebben geen enkel bewijs gezien dat de gegevens verder zijn gedeeld, gepubliceerd of anderszins zijn misbruikt”, duidt het verslag. Na de betaling zal een bedrijf dus nog kosten maken aan het monitoren van het dark web.
MGM Resorts worstelt verder
Officieel advies vanuit overheden of politieke instellingen weerhoudt bedrijven er doorgaans van om betalingen aan hackersgroepen over te maken. Betalingen zouden immers het verdienmodel van ransomware-bendes ondersteunen. Hackers krijgen het teken dat hun operaties werken en beschikken tegelijk over nieuwe middelen om geavanceerdere aanvalstechnieken te ontwikkelen of kopen.
Niet betalen kan dan weer disrupties veroorzaken in de bedrijfswerking. Dat illustreert de ransomware-aanval op MGM Resorts. Zij gingen niet in op de eisen van de hackers en kunnen daardoor al enkele dagen niet in de boekingssystemen. Een journalist van Techzine verbleef in één van de getroffen hotels en getuigt dat voor het inchecken slechts zijn naam op een blad papier werd geschreven. Verder merkte hij op dat de meeste liften in het hotel niet operationeel waren.
Het is onduidelijk of MGM Resorts nieuwe boekingen wel kan verwerken. In ieder geval loopt de keten al flink wat inkomsten mis doordat het zijn casino niet kan openen. Zonder betaling over te maken om de decryptie-sleutel te ontvangen, kan een ransomware-aanval dus nog steeds hoog in kosten oplopen doordat bedrijfsoperaties gedwongen worden stilgelegd.
Deze week toont aan dat een ransomware-aanval in alle gevallen kosten met zich zal meebrengen. Onthoud alleen dat onderhandelingen met hackers geen zekerheid geven over de uitkomst. Een decryptie-sleutel kan misschien niet alle bestanden herstellen en het blijft ook na betaling nog aangewezen om het dark web te controleren op het lekken van verkregen gegevens.
Lees ook: Dagboek van een ransomware-aanval: aanval, wederopbouw, best practices
22 uur geleden
