Eddy Willems

Wanneer moet je betalen voor ransomware?

Eddy Willems Security-evangelist bij G Data

Ransomware is een plaag, maar betalen om je data terug te krijgen ligt moeilijk. Zowel aan betalen als niet betalen zijn risico’s verbonden, zegt security-expert Eddy Willems.

In eerdere artikelen hebben Data News en andere magazines al herhaaldelijk aandacht besteed aan hoe je je kan beschermen tegen en hoe je kan herstellen van ransomware aanvallen. Veel bedrijven en particulieren blijven echter met de vraag zitten of ze zouden betalen bij een mogelijke toekomstige ransomware aanval en vooral … wat als ze de betaling zouden overwegen?

Is het een haalbare optie? Wat zijn de risico’s? Moet men dit bekendmaken aan toezichthouders, aandeelhouders of het publiek? Hoe moet je je op deze beslissing voorbereiden? Hoewel ik helemaal niet suggereer dat organisaties losgeld moeten betalen, erken ik wel dat deze optie bestaat. Maar is het wel een goed idee om te betalen?

Ransomware?

Ik denk dat we allemaal ondertussen wel weten wat ransomware is door de vele aanvallen in de laatste paar jaar. Ransomware is een vorm van malware die cybercriminelen gebruiken om de toegang tot of beschikbaarheid van systemen of gegevens te ontzeggen. De criminelen houden systemen of gegevens gegijzeld totdat het losgeld is betaald.

Nadat ze toegang hebben gekregen tot een netwerk, implementeren ze ransomware op gedeelde opslagschijven en andere toegankelijke systemen. Als de eisen niet worden ingewilligd, blijven het systeem of de versleutelde gegevens onbeschikbaar of worden de gegevens verwijderd. Een veelvuldige opkomende tactiek van deze cybercriminelen is het stelen van gevoelige gegevens en het dreigen deze gegevens openbaar te maken als het losgeld niet wordt betaald, waardoor getroffen bedrijven nog verder worden afgeperst. Het meer dan 31 jaar oude ransomware probleem blijft ons echter achtervolgen.

De risico’s

Alhoewel het erop lijkt dat de meeste mensen of bedrijven die betalen een decryptiesleutel ontvangen, garandeert het betalen van losgeld niet dat een organisatie weer toegang krijgt tot hun gegevens. De beslissing om een ransomware-eis te betalen moet zorgvuldig worden genomen, met erkenning en aanvaarding van de risico’s en in overleg met verschillende belanghebbenden waaronder bijvoorbeeld een juridisch adviseur, rechtshandhaving, je cyberverzekeraar en beveiligingsexperts.

Er zijn ook mensen die stellen dat het betalen van losgeld moet worden geëvalueerd als elke andere zakelijke beslissing.

Overheidsdiensten zijn helemaal geen voorstander van het betalen van losgeld, deels omdat het niet garandeert dat een organisatie weer toegang krijgt tot haar gegevens. In sommige gevallen hebben slachtoffers die losgeld betaalden nooit de beschikking gekregen over decryptiesleutels. Bovendien is het mogelijk dat slachtoffers als gevolg van gebreken in de encryptiealgoritmen van bepaalde malwarevarianten zelfs met een geldige decryptiesleutel niet in staat zijn sommige of al hun gegevens te herstellen.

Een ander probleem is dat de betaling van losgeld door het bedrijf of de verzekeraar vragen oproepen of de betaling zou kunnen neerkomen op het financieren van criminele groeperingen, terrorisme, schurkenstaten en/of het overtreden van de antiwitwaswetgeving. Een probleem dat recent aangekaart werd in de VS.

Daarboven op komt het feit dat het betalen van losgeld criminelen aanzet om andere organisaties of bedrijven als doelwit te nemen. Het is natuurlijk begrijpelijk dat wanneer bedrijven niet meer kunnen functioneren, leidinggevenden alle opties zullen overwegen om hun aandeelhouders, werknemers en klanten te beschermen.

De gemiddelde ransomware aanval kan ook weken duren en er zijn natuurlijk reële kosten verbonden aan het dagenlang offline houden van een bedrijf. Je moet natuurlijk alle kosten trachten af te wegen, van het herstellen van het netwerk tot de kosten van consultants en de vraag of deze het losgeld zullen dekken. Andere factoren die moeten worden afgewogen, zijn onder meer het verlies aan merkreputatie, de klanttevredenheid en mogelijke juridische aansprakelijkheid.

Soms blijkt het dat het betalen van losgeld vaak de minst dure optie is en het is vooral deze mogelijke waarheid die de meeste bedrijven over de streep zal halen om te gaan voor deze korte pijn.

Betalen

De vraag – hoeveel procent van de bedrijven betalen losgeld – is altijd moeilijk te beantwoorden, vooral omdat een heleboel ransomware slachtoffers het ransomware incident niet melden of openbaar maken ondanks de GDPR en andere meldplicht regels in de verscheidene landen. Verschillende peilingen van enkele bedrijven in de security industrie geven aan dat dit percentage tussen de 30% en 55% zou zitten. Mijn persoonlijk gevoel en mijn kennis van de wereldwijde bedrijfswereld geeft aan dat het eerder rond die 55% zal zitten, als het niet meer is.

En dat is net het probleem. Zou jij als bedrijf ook niet investeren in een ‘idee’ waar je meer dan 50% zeker bent dat het zal opbrengen. Op de koop toe is de investering van de cybercriminelen klein. Ja je hebt kosten: het maken van de malware, het encryptie algoritme, het opzetten van het mogelijk botnet voor de verspreiding van de phishing-mail waardoor de malware geïnstalleerd zal worden, of het zoeken naar de ongepatchte servers die op het internet aanwezig zijn. En dan de tijd die nodig is om het netwerk te verkennen en de data van het netwerk te halen. Op de koop toe gaan de criminelen delen van de code verhuren zodat ze zelf uit de kosten komen. Mooi business plan!

De katalysator

En dan komt de katalysator van die ganse ransomware industrie in de kijker en dat … is de Bitcoin of laten we het gewoon bij de cryptomunten houden. De cash van de 21e eeuw… en dan willen we allemaal afgeraken van cash, is het niet? Digitale cryptomunten is gewoon digitale cash in een mooie verpakking genaamd blockchain. Maar cryptomunten zorgen helaas – net als cash – voor het ontraceerbare element, het anonieme aspect van de ontvanger, tenzij je natuurlijk in de gaten kan houden ‘wie’ er achter bepaalde wallets zitten.

Mochten cryptomunten (en het gemak ervan om er mee te betalen) niet bestaan dan denk ik dat wij geen ransomware meer zouden zien. Geld overmaken naar andere rekeningen is via de oude weg zo gemakkelijk te volgen. We zouden ervan verlost zijn maar ik vrees dat we dit niet meer kunnen terugdraaien.

Moet je dan betalen? Persoonlijk zou ik zeggen NOOIT! Omdat je werkelijk de verkeerde (lees criminele) economie blijft ondersteunen. Betaal je miljoenen euro’s aan degenen die je aanvielen? Je krijgt misschien de decoderingssleutel om je te helpen je systemen te herstellen… maar het moedigt ook anderen aan om in de toekomst ransomware aanvallen uit te voeren, niet alleen tegen uw eigen bedrijf maar ook tegen andere organisaties of bedrijven over de hele wereld.

Je kan natuurlijk altijd onderhandelen met de criminelen om een goedkopere prijs te bewerkstelligen. Werkelijk? Er zijn ook (Belgische) ‘security’ bedrijven die je daarbij kunnen helpen.

Die helpen je dus bij de betaling en de onderhandeling met de cybercriminelen die toch niet altijd zo makkelijk is voor sommige bedrijven. Op zichzelf heel handig, maar mogelijk zal men je ook een upgrade aanbieden voor een betere beveiliging achteraf. Had je dat niet kunnen voorkomen kan je je afvragen? Uiteindelijk ook weer ‘meer’ geld dat bij die aanbieder (lees ‘legale helper’) zal terechtkomen. Ook een mooi business model maar deontologisch op (of er zelfs over) het randje, vind ik.

Voorkomen? En oplossen?

De meeste ransomware aanvallen zijn werkelijk af te slagen en te voorkomen. Het is een combinatie van een goede security-policy, backups, patching, verschillende gelaagde security oplossingen en vergeet ook niet de mens (de typische zwakste schakel) in het verhaal aan te pakken via security awareness trainings.

Maar hoe lossen we het ransomware vraagstuk nu eindelijk op:

  1. Schaf cryptomunten af of leg het aan banden. Ik vrees echter dat dit een utopie is.
  2. Maak het betalen van losgeld verboden, wereldwijd.
  3. Bekijk een ransomware aanval niet als een ordinaire cyber of malware aanval maar bekijk het als een aanslag, in sommige gevallen een terreur aanslag (vb. als er infrastructuur of een ziekenhuis bij betrokken is) daardoor zorg je er voor dat cybercriminelen deels hun terrein verleggen of misschien stoppen.

Dat laatste is waar men aan denkt in de US nadat het bedrijf Colonial Pipeline, die de grootste pijplijn in de US uitbaat, een week dicht moest (Mei 2021) na een ransomware aanval.

Alle punten zijn problemen voor de overheden die misschien niet zo makkelijk aan te pakken zijn, laat staan dat we dit wereldwijd willen toepassen. Wie weet, misschien iets voor de EU? Onrealistisch zegt u? Laten we de discussie over 7 jaar nog eens voeren. De technologie lost dit wel op? Dan heb je de menselijke factor toch aardig onderschat.

Losgeld betalen doe je ‘NOOIT’ … wel, misschien als er mensenlevens van afhangen. Of moeten we toch naar meer Netflix series kijken waar dit wordt afgeraden?

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content