cybercrime

Zwarte Schermen - Cybercrime bij cumelabedrijven

Datum: 13 november 2020
Laatst bijgewerkt: 13 november 2020
Het overkomt grote en kleine bedrijven: opeens gaan de computers op zwart. Geen boekhouding meer, geen overzicht van het werk en de hele administratie onbereikbaar. Het is het resultaat van hackers die je bestanden gijzelen. Of je nu losgeld betaalt of opnieuw begint met je administratie, het effect is hetzelfde: grote financiële schade en misschien eindelijk maatregelen om het tegen te gaan.

Tekst: Toon van der Stok en Sil Biesbroek - Illustratie: Catherine Willemse

Bij Peter Folkertsma uit Ginnum van het gelijknamige loon- en grondverzetbedrijf gebeurde het zo’n drie jaar geleden. Op een ochtend startte het computersysteem niet meer. De eerste reactie: nog een keer opstarten en dan werkt het wel. Het werkte echter niet. Geen nood, dacht Folkertsma, ik heb mijn back-ups in orde. Elke dag na vijf uur maakte hij namelijk een dubbele back-up op twee aparte NAS’en op vier kilometer afstand, waarmee hij waarschijnlijk al veel meer zorg besteedde aan een back-up dan het gemiddelde cumelabedrijf.

Echt groot werd de schrik toen bleek dat de back-up tot hetzelfde resultaat leidde. Niets lekker verder werken, maar ook zwarte schermen en geen toegang tot de bedrijfsadministratie. De oorzaak zat in het gekozen systeem. De back-up gebeurde ‘s nachts en dus waren de laatste weggeschreven bestanden ook geïnfecteerd. Het enige wat hij terugzag, waren versleutelde bestanden. “Dan stort je wereld in, want je kunt echt nergens meer bij. Je kunt ook helemaal niets meer, want als je alles hebt geautomatiseerd, heb je niets waarop je kunt terugvallen. Zelfs negentig procent van de facturen gaat digitaal, dus ook daar kun je nergens op aansluiten.”

Tientallen bedrijven
Wat Folkertsma overkwam, gebeurt jaarlijks bij tientallen bedrijven, van groot tot klein. Bekende bedrijven die afgelopen jaar werden gehackt, zijn de Universiteit van Maastricht, Apollo Vredestein en Reesink. Daarnaast zijn er ook tientallen kleine en middelgrote bedrijven die dit meemaken. Wat hen overkomt, valt onder de noemer cybercrime. Hackers, vaak uit Oost-Europese landen, weten binnen te dringen in het computersysteem en versleutelen daar alle gegevens. Het gevolg is dat je zelf niet meer bij je data kunt en afhankelijk bent van je back-up of het betalen van losgeld.

Op het gebied van ‘gijzelsoftware’ behoort Nederland wereldwijd tot de meest getroffen landen. Cybercriminelen gaan op dit gebied steeds gerichter te werk. Het afgelopen jaar nam het aantal gevallen met gijzelsoftware af, maar de hoeveelheid losgeld die deze misdadigers ermee verdienden steeg, zo blijkt uit onderzoek van Forrester Consulting. Was in 2019 de gemiddelde schade van een aanval met gijzelsoftware in Nederland nog € 10.800,-, in 2020 steeg dat bedrag naar € 66.420,-.

Alles op slot
Volgens ethisch hacker Remko Hartlief valt dit te verklaren doordat hackers nauwkeuriger te werk gaan, om zo efficiënt mogelijk geld te verdienen. “De duidelijkste ontwikkeling is dat ze nu langer stil blijven en meer tijd nemen om alles in één keer goed op slot te gooien”, zegt hij. Pas wanneer de back-ups ook kunnen worden versleuteld, wordt de gijzelsoftware geactiveerd, legt hij uit.

Het Nationaal Cyber Security Centrum (NCSC) deelt de analyse van Hartlief. Woordvoerder Jaap Stuurwold waarschuwt voor nog een nieuwe ontwikkeling. “Er lijkt een toename te zijn van ransomware-aanvallen waarbij data niet alleen wordt versleuteld, maar ook wordt gekopieerd. Wanneer een organisatie het losgeld niet wil betalen, publiceren criminelen in sommige gevallen de data.”

Nederland is een sterk gedigitaliseerd land en daardoor kwetsbaar voor cyberaanvallen. Gedigitaliseerde processen en systemen raken steeds nauwer verweven met fysieke processen, activiteiten en apparaten. Denk bijvoorbeeld aan het aansturen van machines via taakkaarten. “De afhankelijkheid van gedigitaliseerde processen en systemen neemt daardoor toe”, benadrukt Stuurwold. “Een hacker die je systemen aanvalt, legt zo niet alleen de administratie, maar je hele bedrijf plat.

Betalen in bitcoins
Over wat je dan moet doen als je bent gehackt, verschillen de meningen. Waar officiële instanties aanraden om niet te betalen om criminaliteit niet te belonen, zijn er weer anderen die aangeven wel te betalen om in elk geval hun gegevens terug te krijgen. Zeker grote ondernemingen kunnen namelijk niet zonder de data. Dat geldt echter ook voor kleine bedrijven, zoals Folkertsma. Hij besloot uiteindelijk om wel in onderhandeling te gaan met de hackers. Dat betekende bitcoins kopen en die overmaken naar de hackers. Bewust wordt er daarbij voor bitcoins gekozen, omdat dit munten zijn die niet naar iemand te herleiden zijn. Het wordt niet voor niets het geld van de onderwereld genoemd. Dat bleek niet in één stap te lukken, want na de betaling kwamen de aanvullende eisen. Niet helemaal verrassend voor Folkertsma, want dat was ook gebeurd bij Mechielsen. Ook daar was het onderhandelen over de prijs, maar werden na het betalen van een tweede bedrag de bestanden vrijgegeven.

Nadat Folkertsma was ingegaan op de aanvullende eis kwam uiteindelijk de verlossing en kon hij weer aan het werk met de herstelde bestanden. Daarvoor betaalde hij uiteindelijk een bedrag van ongeveer € 5000,-. Hij had er ook wel vertrouwen in dat dit voldoende zou zijn. “Het is voor de hackers ook een verdienmodel. Als bekend is dat betalen niet helpt, houdt het ook op en dan is hun business verloren.”

Niet betalen
Om criminelen niet te belonen, besloot Loonbedrijf Van Diepen uit Spanbroek juist om niet te betalen. Dit bedrijf werd In 2019 getroffen door een cyberaanval. Jack van Diepen koos ervoor niet in onderhandeling te gaan met de hackers en geen losgeld te betalen. Volgens hem heb je geen enkele garantie dat je je gegevens ooit nog terugziet als je betaalt. Het is voor Van Diepen ook een principiële keuze om niet te betalen. “Wanneer je betaalt, steun je de criminaliteit”, zegt hij hierover.

Van Diepen had geluk bij een ongeluk. Een ICT-specialist lukte het om een sleutel te vinden waardoor hij een groot deel van zijn gegevens toch terug wist te krijgen. Desalniettemin was de financiële schade groot: tienduizenden euro’s voor het opnieuw inrichten van zijn administratie en uitzoeken wat er wel en niet was geadministreerd.

Folkertsma weet inmiddels wel hoe ze bij hem zijn binnengekomen. Het bleek een openstaande poort op de server die nodig was omdat het bedrijf een eigen e-mailserver gebruikte. “Dat adviseerden ze toen nog, omdat de e-mailprogramma’s zoals Outlook niet goed waren beveiligd. Dat hebben we echter snel veranderd, zeker omdat bijvoorbeeld Microsoft dat nu wel goed voor elkaar heeft.”

Drastische maatregelen
​​​​​​Naast het veranderen van e-mailprogramma veranderde hij ook het maken van back-ups drastisch. “We zetten de gegevens nu op twee losse schijven, die we elke keer loskoppelen. Dat is namelijk iets wat we wel hebben geleerd: je moet de draadjes doorknippen. Eén keer had hij daar al profijt van, toen de hackers er weer in slaagden binnen te komen. “Het bleek dat bij het uitvoeren van een update toch weer een poort open was blijven staan. Toen waren we weer gegijzeld. Gelukkig konden we toen alles wel gelijk vanaf de back-up terugzetten. Vanaf een ander IP-adres hebben we toen nog wel onderhandeld, gewoon om te kijken of we nog wat meer te weten konden komen.”

Hij hoopte met deze actie een nieuw lijntje te kunnen leggen naar de daders, maar het bleek uiteindelijk zinloos. Politie, internationale opsporingsorganisaties en overheden doen er weinig aan of kunnen er weinig aan doen. De enige boodschap die zowel Folkertsma als Van Diepen mee krijgen, is dat het een eigen verantwoordelijkheid van bedrijven is om de beveiliging van de eigen software op orde te brengen en te houden. Het betekent zorgen voor goede antivirussoftware en hoe dan ook de back-ups op orde houden.

Bij Van Diepen komt nu elke vier à vijf weken zijn ICT-man een dag op kantoor om alles te controleren. Er zijn meer kosten aan verbonden, maar volgens van Diepen is dat een kwestie van je aanpassen aan de nieuwe wereld. Sinds de aanval is hij een stuk strikter wat betreft cyberveiligheid. “Je bent alerter op je sloten, ook in je gebouwen en alles wat elektronisch is gekoppeld. Op de computer is alles nu strikt beveiligd en is dat ook ingesteld. Als iemand er bijvoorbeeld tien minuten niet is, gaat het scherm op zwart en moet diegene opnieuw inloggen.”

Antivirussoftware
Voor Folkertsma was de aanval reden om over te stappen op andere antivirussoftware en de beveiliging flink op te schroeven. “Als wij bijvoorbeeld inloggen bij de bank gaan bij ons alle andere poorten dicht. Dan willen we niet dat iemand op welke manier dan ook kan meekijken.”

Terugkijkend denkt hij dat hij het net als veel andere bedrijven heeft onderschat. “Je denkt dan het jou niet overkomt en je ziet het beveiligen dan als overbodig werk, maar als je dit hebt meegemaakt, is geen stap je meer te veel. Uiteindelijk waren dit namelijk de twee ergste weken uit mijn leven: overgeleverd aan anderen en niets meer kunnen. Dat wil ik nooit meer meemaken.”

cybercrime

Beveiliging tegen ransomware

Bij een ransomware-aanval versleutelen cybercriminelen de data van jouw bedrijf en eisen ze losgeld voor je gegijzelde gegevens. De basis van een goede bescherming is vrij simpel: gebruik antivirusprogramma’s en installeer tijdig updates van je software en besturingssystemen. Maak daarnaast regelmatig back-ups van je gegevens, als het kan op verschillende plekken.

Helaas ben je hierdoor nog niet volledig beveiligd tegen een aanval met gijzelsoftware. Criminelen hebben sluwe manieren om de ransomware in je systeem te installeren. Eén klik op de verkeerde link of het openen van een phishing-e-mail kan al voldoende zijn om bij je binnen te komen. Wees je hiervan bewust en zorg dat je personeel dat ook is. Verifieer in het geval van verdachte e-mails en links eerst wie de afzender is voordat je die opent.

Wanneer je gegevens zijn versleuteld, zijn er maar weinig mogelijkheden om deze terug te krijgen. Volgens de politie is er een mogelijkheid dat je de decryptie-sleutel van jouw soort ransomware kunt vinden op de website www.nomoreransom.org.

Zelfs bij Cumela

Hoe gemakkelijk medewerkers in een zogenaamde phishing-e-mail trappen, bleek afgelopen maand bij Cumela. Eén van de medewerkers ging in op een Engelstalige uitnodiging om op een link te klikken voor een belangrijke boodschap. Hoewel hij achteraf besefte dat iedereen er altijd voor waarschuwt dat niet te doen, klikte hij toch. Het gevolg was een gehackt LinkedIn-account en hetzelfde mailtje waarop hij had geklikt dat naar al zijn contacten ging. Wat er toen gebeurde, verbijsterde nog veel meer. Verschillende collega’s van Cumela gingen ook in op de uitnodiging. In no time waren er minimaal vijf collega’s gehackt. Gelukkig bleek dit alleen om het LinkedIn-account te gaan en waren de gegevens van Cumela goed beveiligd.

Achteraf slaat iedereen zichzelf voor zijn hoofd, maar heeft iedereen ook wel een verklaring. “Je krijgt zo vaak een berichtje van iemand met een link, dat je er eigenlijk nauwelijks meer aandacht aan besteedt. Vooral op je mobiel - en daar komen de berichten ook binnen - klik je heel snel iets aan.”

Wat dit in elk geval laat zien, is dat medewerkers heel snel reageren op een vertrouwd ogend bericht. Hou daar rekening mee en gebruik dit ook als waarschuwing aan je eigen medewerkers. Blijf altijd kritisch en argwanend als iets anders is dan anders, hoe vertrouwd ook.

Verzekeren mogelijk

Het is tegenwoordig mogelijk om je te verzekeren tegen de gevolgen van een digitale inbraak. Onder andere via Cumela Verzekeringen wordt een verzekering aangeboden waarmee je direct hulp krijgt als je wordt gehackt en waarbij je wordt geholpen om waar mogelijk gegevens terug te krijgen en klanten te waarschuwen in geval van een datalek. Ook helpt de verzekeraar bij het doen van onderzoek naar de oorzaak en levert die extra ICT-ondersteuning. Al deze diensten zijn 24/7 beschikbaar. De jaarlijkse premie voor een dergelijke verzekering begint bij ongeveer € 500,- per jaar.