Onderhandelaar chat met hackers die bedrijven afpersen: „Ik vecht met gelijke wapens”
Hij onderhandelt al jaren met criminelen die online bedrijven afpersen. Onlangs verscheen een boek over het werk van de Belgische cyberveiligheidsexpert Geert Baudewijns. „Als een hacker me uitscheldt voor het vuil van de straat, dan doe ik hetzelfde.”
„Pure horror.” Daarop stuit de baas van een Belgische leverancier van bakkerijgrondstoffen op een vroege vrijdagmorgen in januari 2019. Alle computersystemen liggen plat. Meer dan 300 werknemers kunnen niet aan het werk. Bij een hack die nacht zijn alle 52 servers gewist en de back-ups versleuteld. Alleen als het bedrijf de afperser betaalt, geeft de crimineel een digitale sleutel en kunnen de systemen weer worden opgestart.
Hoewel de politie adviseert de hackers niet te betalen, schakelt de baas van het bakkersbedrijf toch iemand in die contact legt met de onbekende afperser. De onderhandelaar is de Belgische cyberveiligheidsexpert Geert Baudewijns. Hij ontdekt dat de hacker een „einzelgänger” is en zich „vrij gemoedelijk” opstelt. Baudewijns weet het losgeld „te laten zakken” tot 50.000 euro, te betalen in bitcoins. Op zaterdag verschaft de hacker het bedrijf de digitale sleutel en kan de firma weer opstarten.
Het verhaal staat opgetekend in het onlangs verschenen boek ”Onderhandelen in het duister” (Uitgeverij Lannoo). Daarin beschrijft Baudewijns zijn belevenissen als onderhandelaar met online afpersers. Hij is directeur van het internationaal opererende cyberveiligheidsbedrijf Secutec. Naar eigen zeggen groeide Baudewijns de afgelopen acht jaar uit „tot een van de toponderhandelaars van de wereld”.
Met het betalen van 50.000 euro losgeld nam het bakkersbedrijf „de verstandigste” beslissing, vindt Baudewijns. „Betalen was goedkoper dan een heel netwerk opnieuw laten opbouwen. Bovendien was het bedrijf maar even buiten werking, waardoor de schade beperkt bleef.”
„Hackers slaan vaak toe in de nacht van vrijdag op zaterdag, ze weten dat IT-teams dan minder paraat staan” - Geert Baudewijns, cyberveiligheidsexpert
Hackers slaan vaak toe in het weekend, vooral in de nacht van vrijdag op zaterdag, schrijft de onderhandelaar. „Ze weten dat IT-teams dan minder paraat staan en dat het langer duurt voordat hun acties worden ontdekt.”
De online criminelen willen meestal 10 procent van de jaaromzet van het bedrijf dat ze in de greep hebben, weet Baudewijns. „Zodra hackers bij je binnen zijn, kennen ze je exacte omzetcijfers.” Hij verhaalt over een „lastige onderhandeling” waarbij een afperser „exact wist” dat een bedrijf 2,6 miljoen euro winst maakte per jaar. De crimineel eiste een half miljoen. Toen Baudewijns de afperser op de mouw probeerde te spelden dat het bedrijf dat losgeld niet kon betalen, lachte de misdadiger „dat smalend weg. Hij stuurde me een screenshot van de bankrekening van het bedrijf. „Op 2,6 miljoen zal een half miljoen het verschil niet maken”, schreef hij. Gelijk had hij.”
Vuil
In zijn onlinegesprekken met afpersers vecht Baudewijns „met gelijke wapens. Me onderdanig opstellen heeft geen enkele zin. Als een hacker me uitscheldt voor het vuil van de straat, dan doe ik hetzelfde. Ik voel daar niks bij en die hacker ook niet.”
De Belg heeft zo zijn trucs om meer te weten te komen over de criminelen. Baudewijns wenst hackers in de chatsessies bijvoorbeeld welterusten. Een crimineel kan in zijn reactie dan prijsgeven in welke tijdzone, op welk continent hij zich bevindt.
Bij onderhandelingen probeert hij de hacker milder te stemmen. Altijd met als doel het losgeldbedrag omlaag te krijgen. De Belg doet het bijvoorbeeld voorkomen alsof hij „een aardige cent kan verdienen aan onze onderhandeling. Dat is een flagrante leugen, want ik werk met een vaste vergoeding, maar dat hoeven hackers niet te weten. Het schept ergens een band. Hij, de professionele hacker, ik, de professionele onderhandelaar, samen in hetzelfde schuitje.”
Hoewel de meeste onderhandelingen „gortdroog zijn en neigen naar het agressieve”, ontstaat in een uitzonderlijk geval een „bijna amicale” sfeer. Zo bouwt Baudewijns een „vertrouwensband” op met een Indische hacker die het netwerk van een „kleine Vlaamse gemeente” heeft platgelegd. Baudewijns vertelt de hacker dat hij pizza gaat eten met zijn kinderen en zijn zoontje naar voetbal moet brengen. Waarna de hacker wil weten of zoonlief heeft gewonnen. De afperser eist aanvankelijk 20.000 euro, maar neemt uiteindelijk met 10.000 euro genoegen. „Op het eind van die onderhandelingen wilde ik het echt weten: „Wat ga je met die 10.000 euro doen?””
Waarop de afperser antwoordde: „Een paard kopen. Ik wil ontzettend graag een manege maar dat is hier onbetaalbaar. Zodra ik genoeg paarden heb, stop ik met hacken en begin ik mijn eigen rijschool.”
Openbaar
Gehackte bedrijven moeten niet meteen van de kook raken als criminelen dreigen buitgemaakte gegevens openbaar te maken, geeft Baudewijns aan. Hackers zullen die informatie namelijk niet of zelden op het gewone internet droppen, want dan zijn ze eenvoudig te traceren.
Wel kunnen de criminelen de gestolen informatie op het darkweb plaatsen, dus de minder toegankelijke onderwereld van het web. Als bijvoorbeeld een concurrent van het gegijzelde bedrijf de door criminelen onthulde gegevens al kan vinden op het darkweb, dan nog kost het hem „zes à zeven dagen om al die gegevens te downloaden”. Vaak gaat het om pakketten van „500 à 600 gigabyte”.
De waarschuwing van de politie dat hackers na het ontvangen van het losgeld hun belofte breken en de digitale sleutel niet overhandigen, is niet zo aan Baudewijns besteed. Hij schrijft dat het hem na „400 succesvolle onderhandelingen nog nooit overkwam” dat de crimineel de sleutel weigerde te geven.
Muur
Er bestaan zo’n 150 tot 200 ransomwareorganisaties (netwerken die bedrijven afpersen met gijzelsoftware) met minstens 20 tot 25 „medewerkers”. Een beruchte club is LockBit 3.0, ontstaan in 2019. Bij zo’n 40 procent van hacks van grote organisaties is LockBit 3.0 betrokken, stelt Baudewijns.
Grote bendes hebben op het darkweb elk hun eigen „wall of shame” (soort schandpaal, JV), betoogt Baudewijns. „Zodra het losgeld is betaald, halen ze het slachtoffer van hun muur.”
Niet zelden zijn hackers afkomstig uit Rusland. Russische hackers verpozen zich in „grote villa’s rond de Zwarte Zee”, noteert Baudewijns. „In Rusland mogen cybercriminelen zowat alles, behalve het eigen systeem aanvallen, natuurlijk. Alle info die ze vinden moeten ze doorspelen aan de Russische overheid.”
„Als één ontevreden IT-werknemer zijn weg naar LockBit 3.0 vindt, dan hang je sowieso”
Bedrijven die hun cyberveiligheid goed op orde hebben kunnen niet op hun lauweren rusten, waarschuwt Baudewijns. Zo vormen wraakzuchtige IT-werknemers, die de bedrijfssystemen van haver tot gort kennen, een risico. „Je kunt het best beveiligde netwerk ter wereld hebben, maar als één ontevreden IT-werknemer zijn weg naar LockBit 3.0 vindt, dan hang je sowieso.”
Zorgwekkend is dat criminelen met AI-technieken mensen om de tuin kunnen leiden. Een hacker kan zogenaamd uit naam van de directeur een leidinggevende een dringende mail sturen met het verzoek om een groot geldbedrag over te maken. Als vervolgens de hacker de leidinggevende belt en een stem weet te fabriceren die als twee druppels water lijkt op de stem van de directeur, kan de leidinggevende in de val trappen en het geld overmaken.
Criminelen
Baudewijns beschrijft de ethische dilemma’s rond het in zee gaan met hackers die bedrijven platleggen. „Vaak is de enige manier om zonder al te veel kleerscheuren uit zo’n rotsituatie te raken, betalen. In het beste geval een lager bedrag dan eerst wordt gevraagd, maar toch, betalen. Aan criminelen, ja. Dat wringt, heel zeker, maar als je niet betaalt, bestaat de kans dat je bedrijf failliet gaat. Waar sta je dan met je ethische principes?”
Anderzijds schrijft hij: „Soms is de afkeer om toe te geven aan de chantage van criminelen zo groot dat de economische belangen ondergeschikt worden. Ook dat dwingt een soort van respect af, het is een keuze.” (Zie ook: ”Betaal hackers geen losgeld”.)
Baudewijns ontkent niet dat hij werkt in een „grijze zone”. Hoewel malware aanschaffen „strikt genomen niet mag”, bestelt hij de gijzelsoftware toch. „Op die manier kun je een veel ruimer beeld krijgen van die criminele wereld. Noem het een passie, een ver doorgedreven nieuwsgierigheid, maakt niet uit. Het ding is dat ik die onderwereld wil vatten.”
De Belg voerde afgelopen jaren losgeldonderhandelingen met honderden hackers. Een gemiddelde onderhandeling duurt anderhalve week. „Een verslavende job.” Snelle actie is altijd geboden, computersystemen liggen immers plat. Om bedrijfsleiders bij te staan in „wat doorgaans de donkerste dagen van hun carrière zijn”, moet hij op de gekste momenten opdraven. Zo reed zijn vrouw zijn gezin ooit naar het vakantieadres in Frankrijk. In de auto zat Baudewijns met de laptop op schoot met een hacker te chatten. „De tol van deze job is een extreem onvoorspelbaar leven.”