Pim Takkenberg (Northwave Cybersecurity): “Meestal wordt ongeveer 2% van de jaaromzet als losgeldeis neergelegd.”

De ontmanteling van hackercollectief Lockbit in 6 vragen en 4 lessen.

Met de recente ontmanteling van het internationale hackerscollectief Lockbit, dat wereldwijd $120 miljoen aan losgeld heeft opgeëist, wordt de dringende behoefte aan verbeterde cybersecuritymaatregelen duidelijk. Het aantal succesvolle ransomware-aanvallen is het afgelopen jaar toegenomen, en bedrijven worden geconfronteerd met aanzienlijke financiële en operationele schade. Wij stelden 6 vragen over Lockbit en de cyberdreiging voor CFO's aan Pim Takkenberg, General Manager van Northwave Cyber Security.

Hoeveel schade veroorzaken hackers bij Nederlandse bedrijven?

Takkenberg: "Accurate cijfers zijn altijd erg lastig. In Nederland hebben afgelopen jaar in totaal 147 succesvolle ransomware aanvallen plaatsgevonden waarbij in 18% van de gevallen ook losgeld is betaald. Dit betreffen alle bekende ransomware actors en dus niet alleen Lockbit. Uit een andere bron die bijhoudt hoeveel slachtoffers verschijnen op de 'leaksites' van de verschillende ransomware groepen blijkt dat Lockbit in 2023 in totaal van 1038 bedrijven wereldwijd informatie heeft gelekt. Dezelfde bron geeft aan dat het om 15 Nederlandse bedrijven gaat. Meestal wordt ongeveer 2% van de jaaromzet als losgeldeis neergelegd. De schade die bedrijven leiden, is soms dus het losgeldbedrag, maar vooral ook de tijd dat ze niet in bedrijf zijn, kosten van incident response, en eventuele imagoschade en/of verlies van klanten. Lockbit richt zich niet specifiek op bepaalde bedrijven, maar sommige sectoren worden wel vaker door hen aangevallen zoals construction, government, financial service providers en IT security bedrijven."

Wat was het unieke van dit collectief? Wat heeft hen succes gebracht? Hoe gingen ze te werk?

"Wat uniek was aan Lockbit is dat vrijwel iedereen er 'affiliate' kon worden, daar waar dit bij andere groepen veel meer gesloten is. Een 'affiliate' is de benaming voor hacker die bij je inbreekt. En ook een verschil is dat Lockbit het goed vond dat de losgeldbetalingen aan de affiliate werden gedaan en dat hij/zij dan de operator betaalde. Bij veel groepen werkt het precies andersom. We weten op basis van ervaring dat de affiliate 80% van het losgeldbedrag mag houden en de operator 20%."

Lees ook op CFO.nl: Sander Roosendaal, CFO van Northwave: “Statelijke actoren en AI zijn de bepalende factoren voor de komende jaren op het gebied van cybersecurity.”

Verschillende rollen binnen hackerscollectief
"Bij iedere succesvolle ransomware aanval zijn zeven verschillende rollen betrokken (de initial acces broker, de ransomware affiliate, de ransomware developer, de datamanager, de negotiatior, de chaser en de witwasser). Nieuwsuur heeft hier een goed filmpje over gemaakt. Vooral de 'ransomware affiliate' en de ransomware operator (degene die de versleutelingssoftware ter beschikking stelt en ook de digitale infrastructuur heeft) werken nauw samen."
 

 

Is Lockbit nu definitief uitgeschakeld?

"Ik vermoed dat delen van Lockbit na verloop van tijd weer online komen, maar dat het netwerk wel een serieuze slag heeft toegebracht aan het vertrouwen in Lockbit als groep. Los daarvan verwacht ik de komende maanden zeker minder aanvallen van Lockbit. Dit gaat echt serieus impact hebben voor hen. Maar is bij dit soort vormen van criminaliteit hetzelfde als bij andere vormen. Je kunt het nooit helemaal oplossen. Het blijft een ratrace tussen opsporingsdiensten/veiligheidsdiensten en criminelen."

Zijn er vergelijkbare hackersnetwerken werkzaam en welke zijn dat en gaan die nu de plek innemen van dit opgerolde netwerk?

"Die zijn er zeker. Ik schat in dat er zo tussen de 50-70 van dit soort groeperingen zijn die professioneel zijn georganiseerd en wereldwijd aanvallen plegen. Veel affiliates zullen nu overwegen om naar andere groepen over te stappen. Dat hebben we in het verleden al eerder gezien toen bijvoorbeeld Conti is gestopt."

Is het mogelijk om iets van het gestolen geld, terug te krijgen?

"Er is een kleine kans, omdat er bij de internationale actie wel degelijk ook cryptocurrencies in beslag zijn genomen. Maar ik weet niet hoeveel precies en wat het proces is om vast te stellen wie nu precies wat heeft betaald aan deze criminelen. In het verleden heeft de universiteit van Maastricht wel haar geld teruggekregen. De ironie was dat men toen het precieze aantal bitcoins terugkreeg. En de koers van de bitcoin was ondertussen enorm gestegen."

Zijn er door het onderzoek naar Lockbit lessen geleerd die cyberbeveiliging verbeteren?  

"Ik denk niet meer dan wat we al weten. Het belangrijkste voor CFO’s is dat ze het onderwerp cybersecurity hoog op de agenda zetten en behandelen zoals alle andere risico’s waarvoor ze verantwoordelijk zijn. Zorgen dus dat je risicomanagement cyclisch inregelt. Op basis van digitale dreigingen in de buitenwereld kun je bepalen hoe groot de kans is dat een ransomware aanval bij jou plaatsvindt en wat dan de impact is. Op basis daarvan kun je gericht maatregelen treffen. De vier basismaatregelen om ransomware aanvallen tegen te gaan zijn nog steeds: 1) een goede backupstrategie, 2) meerstapsverificatie op ieder account wat toegang krijgt tot het bedrijfsnetwerk, 3) zorgen dat de software updates tijdig worden uitgevoerd en het 4) inregelen van digitale monitoring in je IT landschap."

Gerelateerde artikelen