Toen begin dit jaar enorme hoeveelheden gevoelige data werden gestolen bij Odido, besloot het bedrijf om niet in te gaan op de losgeldeisen van de aanvallers, waarna die de data publiceerden. De beslissing om niet te betalen is conform de  richtlijnen van de overheid. Toch is het vaak makkelijker gezegd dan gedaan voor bedrijven om deze richtlijnen ook daadwerkelijk na te leven. Betalen of niet is altijd een keuze met technologische, juridische en strategische afwegingen. Kunnen systemen binnen een acceptabele tijd en veilig worden hersteld vanaf back-ups? Zijn gevoelige data daadwerkelijk gestolen en zo ja, wat is de waarde hiervan? Hebben de aanvallers banden met entiteiten die gesanctioneerd zijn, waarmee betaling illegaal is? En wellicht het belangrijkste: zal betaling het probleem daadwerkelijk oplossen of verdere cybercriminele acties stimuleren?

Om een goede afweging te kunnen maken is een goed incident response plan, inclusief ondersteuning van ervaren ransomware-onderhandelaars cruciaal. Hierbij is onderhandelen niet enkel reactief, maar is het een complexe discipline dat raakt aan cybersecurity, risicobeheer en crisisbesluitvorming.

Hoe werkt het onderhandelen met cybercriminelen?

In tegenstelling tot wat vaak wordt gedacht, is een losgeldonderhandling geen ad-hoc uitwisseling van berichten met aanvallers. Het is een gestructureerd proces dat begint met het verzamelen van informatie. Incident responders proberen eerst de dader achter de aanval goed in kaart te brengen voordat er ook maar sprake is van een gesprek over betaling. Dit is belangrijk aangezien sommige ransomwaregroepen banden hebben met terroristische organisaties of landen waarop sancties rusten. In zulke gevallen is elke vorm van betaling volgens het internationaal recht verboden en moet de communicatie direct worden stopgezet.

Als onderhandelen wettelijk is toegestaan, is de volgende stap het beoordelen van de aard van de aanval. In zo’n 98% van de ransomware-incidenten stelen aanvallers ook data. Hierdoor verschuift de dynamiek van een incident van enkel een operationele verstoring naar reputatie- en regelgevingsrisico’s, zoals bij Odido ook het geval was. Organisaties betalen vaak niet om weer toegang tot hun systemen en data te krijgen, maar om te voorkomen dat gevoelige data openbaar worden gemaakt. Onderhandelaars zullen dan ook de beweringen van de aanvallers valideren. Hierbij vragen ze om bewijs van de gestolen data en beoordelen ze of de gestolen data daadwerkelijk waardevol zijn. Dit is belangrijk, omdat organisaties onder druk de impact van een inbreuk kunnen overschatten. Als de aanvallers geen waardevolle (juridische) data kunnen laten zien, is de aanbeveling doorgaans om niet te betalen.

Als er wel wordt bevestigd dat de data waardevol zijn, dan gaan de onderhandelaars proberen om het gevraagde losgeldbedrag te verlagen. De expertise van onderhandelaars is hierbij doorslaggevend, aangezien ransomwaregroepen zich verschillend kunnen gedragen. Sommige groepen weigeren helemaal om te onderhandelen, anderen zijn bereid om de het geëiste bedrag enigszins te verlagen en een klein aantal accepteert soms zelfs minder dan 10% van het oorspronkelijke geëiste losgeldbedrag.

Professionele onderhandelaars maken een meetbaar verschil door hun kennis en ervaring van onderhandelingspatronen en gedrag van cybercriminelen, onderhandelingstactieken en hun vermogen om snel te schakelen. Uit ons onderzoek blijkt dat gestructureerde onderhandelingen losgeldbetalingen met gemiddeld 67% kunnen verlagen, met een totale besparing die oploopt tot 94% wanneer ook incidenten worden meegerekend waarin betaling volledig werd voorkomen. Daarentegen betalen organisaties die incidenten zelfstandig proberen op te lossen vaak het gevraagde bedrag of zelfs meer vanwege transactiekosten gerelateerd aan cryptovaluta. 

Het veranderende gedrag van cybercriminelen

Veel cybercriminelen opereren tegenwoordig op dezelfde manier als legitieme bedrijven. Ze specialiseren zich, werken samen en verfijnen hun tactieken voortdurend op basis van wat effectief blijkt te zijn. Onderhandelingen worden hierdoor steeds complexer. Daarnaast veranderen aanvallers ook hun aanvalstechnieken en stelen ze bijvoorbeeld steeds vaker enkel data zonder dat ze overgaan op versleuteling van systemen. Sommige groepen versleutelen zelfs al helemaal niks meer omdat dit de kans op ontdekking vergroot. Het verlaagt hun operationele risico terwijl ze wel hun invloed op slachtoffers behouden. 

Tegelijkertijd gaan cybercriminelen steeds verder met hun druktactieken, waarbij ze soms verder gaan dan enkel digitale dreigingen. In sommige, gelukkig nog uitzonderlijke, gevallen werken ransomwaregroepen samen met lokale criminele netwerken om slachtoffers fysiek te intimideren. Deze zogenaamde ‘violent crime-as-a-Service’ omvat intimidatie, bedreigingen bij woningen en andere vormen van druk uitoefenen met de bedoeling om beslissingen over betalingen te versnellen. Deze trend onderstreept waarom anonimiteit en operationele veiligheid cruciaal zijn voor iedereen die bij onderhandelingen betrokken is. 

Het blijft daarnaast belangrijk om je bewust te blijven dat cybercriminelen geen betrouwbare gesprekspartners zijn. Zelfs als er wordt betaald, is er geen garantie dat de gestolen data daadwerkelijk worden verwijderd. Er zijn gevallen bekend waarin het slachtoffer dacht dat hun data was verwijderd nadat zij hadden betaald, maar waarbij deze data alsnog werden ontdekt op de infrastructuur van de aanvallers. Dit brengt het risico met zich mee dat een aanvaller hun slachtoffer meerdere keren afperst met dezelfde data.

Voorkomen is beter dan genezen

Hoewel onderhandelen in bepaalde scenario’s een noodzakelijk kwaad kan zijn, is het natuurlijk beter om dit helemaal te vermijden.

Deze versturen we 3-4x per jaar.