Toen begin dit jaar enorme hoeveelheden gevoelige data werden gestolen bij Odido, besloot het bedrijf om niet in te gaan op de losgeldeisen van de aanvallers, waarna die de data publiceerden. De beslissing om niet te betalen is conform de richtlijnen van de overheid. Toch is het vaak makkelijker gezegd dan gedaan voor bedrijven om deze richtlijnen ook daadwerkelijk na te leven. Betalen of niet is altijd een keuze met technologische, juridische en strategische afwegingen. Kunnen systemen binnen een acceptabele tijd en veilig worden hersteld vanaf back-ups? Zijn gevoelige data daadwerkelijk gestolen en zo ja, wat is de waarde hiervan? Hebben de aanvallers banden met entiteiten die gesanctioneerd zijn, waarmee betaling illegaal is? En wellicht het belangrijkste: zal betaling het probleem daadwerkelijk oplossen of verdere cybercriminele acties stimuleren?
Om een goede afweging te kunnen maken is een goed incident response plan, inclusief ondersteuning van ervaren ransomware-onderhandelaars cruciaal. Hierbij is onderhandelen niet enkel reactief, maar is het een complexe discipline dat raakt aan cybersecurity, risicobeheer en crisisbesluitvorming.
Hoe werkt het onderhandelen met cybercriminelen?
In tegenstelling tot wat vaak wordt gedacht, is een losgeldonderhandling geen ad-hoc uitwisseling van berichten met aanvallers. Het is een gestructureerd proces dat begint met het verzamelen van informatie. Incident responders proberen eerst de dader achter de aanval goed in kaart te brengen voordat er ook maar sprake is van een gesprek over betaling. Dit is belangrijk aangezien sommige ransomwaregroepen banden hebben met terroristische organisaties of landen waarop sancties rusten. In zulke gevallen is elke vorm van betaling volgens het internationaal recht verboden en moet de communicatie direct worden stopgezet.
Als onderhandelen wettelijk is toegestaan, is de volgende stap het beoordelen van de aard van de aanval. In zo’n 98% van de ransomware-incidenten stelen aanvallers ook data. Hierdoor verschuift de dynamiek van een incident van enkel een operationele verstoring naar reputatie- en regelgevingsrisico’s, zoals bij Odido ook het geval was. Organisaties betalen vaak niet om weer toegang tot hun systemen en data te krijgen, maar om te voorkomen dat gevoelige data openbaar worden gemaakt. Onderhandelaars zullen dan ook de beweringen van de aanvallers valideren. Hierbij vragen ze om bewijs van de gestolen data en beoordelen ze of de gestolen data daadwerkelijk waardevol zijn. Dit is belangrijk, omdat organisaties onder druk de impact van een inbreuk kunnen overschatten. Als de aanvallers geen waardevolle (juridische) data kunnen laten zien, is de aanbeveling doorgaans om niet te betalen.
Als er wel wordt bevestigd dat de data waardevol zijn, dan gaan de onderhandelaars proberen om het gevraagde losgeldbedrag te verlagen. De expertise van onderhandelaars is hierbij doorslaggevend, aangezien ransomwaregroepen zich verschillend kunnen gedragen. Sommige groepen weigeren helemaal om te onderhandelen, anderen zijn bereid om de het geëiste bedrag enigszins te verlagen en een klein aantal accepteert soms zelfs minder dan 10% van het oorspronkelijke geëiste losgeldbedrag.
Professionele onderhandelaars maken een meetbaar verschil door hun kennis en ervaring van onderhandelingspatronen en gedrag van cybercriminelen, onderhandelingstactieken en hun vermogen om snel te schakelen. Uit ons onderzoek blijkt dat gestructureerde onderhandelingen losgeldbetalingen met gemiddeld 67% kunnen verlagen, met een totale besparing die oploopt tot 94% wanneer ook incidenten worden meegerekend waarin betaling volledig werd voorkomen. Daarentegen betalen organisaties die incidenten zelfstandig proberen op te lossen vaak het gevraagde bedrag of zelfs meer vanwege transactiekosten gerelateerd aan cryptovaluta.
Het veranderende gedrag van cybercriminelen
Veel cybercriminelen opereren tegenwoordig op dezelfde manier als legitieme bedrijven. Ze specialiseren zich, werken samen en verfijnen hun tactieken voortdurend op basis van wat effectief blijkt te zijn. Onderhandelingen worden hierdoor steeds complexer. Daarnaast veranderen aanvallers ook hun aanvalstechnieken en stelen ze bijvoorbeeld steeds vaker enkel data zonder dat ze overgaan op versleuteling van systemen. Sommige groepen versleutelen zelfs al helemaal niks meer omdat dit de kans op ontdekking vergroot. Het verlaagt hun operationele risico terwijl ze wel hun invloed op slachtoffers behouden.
Tegelijkertijd gaan cybercriminelen steeds verder met hun druktactieken, waarbij ze soms verder gaan dan enkel digitale dreigingen. In sommige, gelukkig nog uitzonderlijke, gevallen werken ransomwaregroepen samen met lokale criminele netwerken om slachtoffers fysiek te intimideren. Deze zogenaamde ‘violent crime-as-a-Service’ omvat intimidatie, bedreigingen bij woningen en andere vormen van druk uitoefenen met de bedoeling om beslissingen over betalingen te versnellen. Deze trend onderstreept waarom anonimiteit en operationele veiligheid cruciaal zijn voor iedereen die bij onderhandelingen betrokken is.
Het blijft daarnaast belangrijk om je bewust te blijven dat cybercriminelen geen betrouwbare gesprekspartners zijn. Zelfs als er wordt betaald, is er geen garantie dat de gestolen data daadwerkelijk worden verwijderd. Er zijn gevallen bekend waarin het slachtoffer dacht dat hun data was verwijderd nadat zij hadden betaald, maar waarbij deze data alsnog werden ontdekt op de infrastructuur van de aanvallers. Dit brengt het risico met zich mee dat een aanvaller hun slachtoffer meerdere keren afperst met dezelfde data.
Voorkomen is beter dan genezen
Hoewel onderhandelen in bepaalde scenario’s een noodzakelijk kwaad kan zijn, is het natuurlijk beter om dit helemaal te vermijden. Een goede voorbereiding is immers het halve werk. Organisaties zouden ten eerste een goede back-upstrategie moeten hebben, waarbij back-ups regelmatig worden gemaakt, getest en ook offline worden opgeslagen. Als een organisatie zelfstandig systemen kan herstellen tijdens een ransomware-aanval, dan kan de organisatie makkelijker een losgeldeis weigeren. Daarbij helpt het ook om gevoelige data standaard te versleutelen. Als data dan worden gestolen, zijn ze niet bruikbaar en niets waard voor de aanvallers – mits de versleuteling sterk genoeg is.
Even belangrijk is het hebben van een goed incident responsplan dat expliciet besluitvorming rond losgeldscenario’s omvat. Dit plan moet rollen, escalatieprocedures en juridische overwegingen bevatten, inclusief hoe sanctierisico’s moeten worden beoordeeld. Cyberverzekeringen kunnen ook een rol spelen, niet alleen voor het dekken van financiële verliezen, maar ook voor het bieden van toegang tot gescreende experts.
Organisaties moeten bovendien investeren in preventie en detectie. Multi-factor authenticatie, endpoint-security, continue monitoring en trainingen van personeel blijven belangrijk. Meer dan de helft van de securityalerts vinden plaats buiten kantooruren, wat aantoont dat 24/7 monitoring cruciaal is. In sommige gevallen kunnen aanvallen worden gestopt voordat ransomware wordt ingezet of grote hoeveelheden data worden gestolen, waardoor de situatie beperkt blijft tot een isolatie- en onderzoeksoperatie in plaats van een losgeldeis.
Advies is en blijft om niet te betalen, maar de keuze ligt bij slachtofferorganisatie
De Odido-zaak laat zien hoe moeilijk het is om een afweging over een losgeldeis te maken na een cyberaanval. Wij adviseren om geen losgeld te betalen aan cybercriminelen, maar de uiteindelijke keuze blijft altijd bij de slachtofferorganisatie. Onderhandelen moet worden gezien als een laatste redmiddel en worden benaderd met hetzelfde niveau van expertise en structuur als elke andere kritieke bedrijfsfunctie.
Dit is een ingezonden bijdrage van Arctic Wolf. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.