Bedrijven, organisaties of overheden die getroffen worden door ransomware krijgen al snel de keuze: binnen enkele dagen losgeld betalen in bitcoin, of hun bestanden zijn voorgoed verloren. Veel organisaties zijn daarom in paniek: ze willen hun bestanden terug, maar willen soms niet dat daar hackers voor worden betaald.

ProPublica deed onderzoek naar twee bedrijven die beloven dat ze met hun eigen technologie gegijzelde bestanden konden bevrijden, weliswaar tegen betaling. Specifiek gaat het om SamSam, ransomware die in Noord-Amerika en het Verenigd Koninkrijk rondging en onder meer de haven van San Diego en het bestuur van de steden Atlanta en Newark trof.

ProPublica noemt Proven Data Recovery uit de Amerikaanse staat New York als een bedrijf dat jarenlang regelmatig betalingen uitvoerde naar hackers om hun klanten van een ransomware-infectie te bevrijden. De site sprak daarover met ex-medewerker Jonathan Storfer die de praktijk bevestigt, maar het kon ook vier betalingen in 2017 en 2018 traceren naar het bitcoinadres van de ransomware-verspreiders. Ook een verklaring van de FBI die ProPublica kon inkijken bevestigt die aanpak.

Ook MonsterCloud hanteert volgens hen een gelijkaardige aanpak waarbij de ransomware niet met speciale tools wordt verwijderd, maar waar het beveiligingsbedrijf gewoon betaalt om de bestanden vrij te krijgen.

Niet uniek, wel verzwegen

Op zich zijn ze niet de enige bedrijven die dat doen, nuanceert ProPublica. Ook andere beveiligingsbedrijven betalen hackers om snel een ransomware-infectie te verhelpen. Vaak doen ze dat omdat hun klanten niet technisch onderlegd zijn om een bitcoinbetaling op te zetten, of uit angst om rechtstreeks met de hacker contact op te nemen.

Het grote verschil is dat zij er wel openlijk voor uitkomen, waar MonsterCloud en Proven Data Recovery doen alsof ze een oplossing hebben voor het probleem waarbij er niet moet worden betaald aan de hackers. De zaak wordt extra pijnlijk als blijkt dat niet alleen het losgeld aan de slachtoffers (of hun cyberverzekeraar) wordt doorgerekend, maar ook extra kosten voor de dienstverlening zelf.

In een reactie aan Propublica zegt MonsterCloud dat haar aanpak van zaak tot zaak verschilt, maar dat het niet in detail wil gaan. Proven Data Recovery geeft wel toe dat het regelmatig betaalde, maar nuanceert dat het soms nodig is. Bijvoorbeeld wanneer een ziekenhuis wordt geïnfecteerd en er daarom levens op het spel staan.

Iran

Vandaag kunnen Amerikaanse bedrijven niet langer betalen aan de hackers achter SamSam en dat heeft een heel andere reden: het bitcoinadres dat de betalingen ontving wordt beheerd vanuit Iran en werd intussen alweer verder versluisd via andere adressen. Door de Amerikaanse embargo's tegen Iran die sinds eind vorig jaar van kracht zijn, mogen Amerikaanse bedrijven daarom niet langer betalingen uitvoeren naar het adres. Naar wie het geld precies ging is tot vandaag niet met zekerheid bekend.