‘Je cast hen niet als slechterik in de nieuwste James Bond’: de aanval op Picanol is het resultaat van een complex ecosysteem
De productie bij de Ieperse producent van weefmachines Picanol dreigt de rest van de week lam te liggen nadat een cyberaanval de computerservers platlegde. Zulke aanvallen met ransomware, waarbij losgeld wordt gevraagd, worden steeds professioneler. Hoe gaan de criminelen precies te werk?
Wie zit er achter zulke aanvallen?
Ban het beeld van lijkbleke jongens met acne, een donssnorretje en een veel te grote trui met capuchon voor altijd uit uw hoofd wanneer u het woord hacker hoort. Het cliché houdt niet alleen geen steek, het zorgt ervoor dat hacken nog steeds te veel als een spelletje gezien wordt. De aanval op Picanol is het resultaat van een complex ecosysteem. Of een voedselketen, zoals Tom Van de Wiele, cyberexpert bij het Finse F-Secure, het noemt.
Van de Wiele komt regelmatig in contact met mensen die software schrijven die in aanvallen gebruikt wordt. “De meeste mensen met wie ik sprak, cast je niet als slechterik in de nieuwste James Bond. Het gaat om mensen die in landen wonen waar geen toekomst is als codeur omdat er geen bedrijven zoals Microsoft of Google zijn die een beroep kunnen doen op hun talent.” De enige manier om brood op de plank te krijgen is software schrijven die ze aanbieden op fora en webshops die niet op Google te vinden zijn.
“Maar dat wil niet zeggen dat die webshops niet gebruiksvriendelijk zijn”, zegt ethisch hacker Cédric De Vroey. Hij legt uit dat je er verschillende pakketten kan kopen die ervoor zorgen dat haast iedereen een cyberaanval van A tot Z kan opzetten. “Dat is allemaal heel professioneel opgezet”, benadrukt hij.
Wat is de motivatie van die aanvallers?
Achterhalen wie er achter een aanval zit, is haast onmogelijk. Laat staan dat slachtoffers of politie kunnen achterhalen wat de motivatie van hackers is.
In principe installeert een hacker kwaadaardige software op de systemen van een bedrijf om programma’s en volledige netwerken te versleutelen. Zodra het slachtoffer losgeld betaalt, beloven hackers alle gegevens opnieuw te ontgrendelen. “Maar wij zijn ook al op aanvallen gebotst waarbij er niet eens een sleutel was om de gegevens opnieuw te ontgrendelen”, zegt Van de Wiele. Zulke manoeuvres kunnen veel grotere aanvallen verdoezelen. “Aangezien ransomware alle data versleutelt op een computer, kan het dienen als excuus om iets te laten verdwijnen. Ofwel de data zelf, ofwel de echte en onderliggende bedoeling van de crimineel.”
Herinner u bijvoorbeeld de cyberaanval in 2017 met de NotPetya-software. Die slaagde erin om in één dag bedrijven uit Frankrijk, Duitsland, Italië, Polen, het Verenigd Koninkrijk, de Verenigde Staten, Rusland en Oekraïne lam te leggen. Onder andere bij de Nationale Bank van Oekraïne zaten ze met de handen in het haar. “Het losgeld om een computer te ontgrendelen lag rond de 300 euro”, zegt De Vroey. “In totaal heeft die aanval nauwelijks 1,5 miljoen euro opgebracht. Dan kan je alleen maar concluderen: het financiële aspect van die aanval speelde niet echt een rol.”
Hoe raken aanvallers binnen bij bedrijven?
Of aanvallers nu één specifiek bedrijf willen treffen of eerder een virus willen lossen om verschillende bedrijven in één keer te treffen: de grootste uitdaging voor hackers is binnen raken in een netwerk van een bedrijf.
En daarvoor kunnen criminelen verschillende strategieën aanwenden. Ze gebruiken geen koevoet om de deur open te wrikken, maar gaan op listige wijze op zoek naar achterpoortjes om hun kwaadaardige software los te laten op systemen binnen bedrijven. De meest bekende strategie is phishing of nepmails die werknemers proberen overtuigen om op een bepaalde link te klikken.
“Bij phishing gaat het al lang niet meer om eenvoudige e-mails”, zegt Michel Coene van beveiligingsstart-up NVISO. “Zeker in de VS zie je dat het steeds vaker om gerichte aanvallen gaat. Er kruipt meer tijd in, maar ze zijn ook rendabeler. De losgelden liggen een pak hoger.”
Soms zijn zulke goed uitgedachte e-mails niet eens nodig. “Als puntje bij paaltje komt, is een aanval in 99 procent van de gevallen te herleiden tot een menselijke fout”, zegt cyberexpert Kurt Callewaert (Howest). “Zo maken bedrijven voor installateurs van software weleens snel een admin-paswoord aan. Ik heb weet van zo’n – veel te simpel – paswoord dat acht jaar nadien aan de basis lag van ransomware.”
Wat is het precieze doelwit van aanvallers?
Hackers zijn niet geïnteresseerd in de computer van een bankbediende, een journalist of administratief medewerker. Die computers zijn in de eerste plaats de toegang tot het netwerk. Hackers azen op beheerdersrechten binnen een organisatie.
Dat kan door wachtwoorden te doorzoeken die op computers zijn opgeslagen of door beheerders om de tuin te leiden en hen via telefoon of valse invullijsten wachtwoorden te ontfutselen. Soms creëren hackers zelfs een nepstoring in het netwerk om een netwerkbeheerder naar een besmette computer te lokken.
Zodra ze die beheerdersrechten te pakken hebben, kan het echte werk beginnen. “Verouderde domeinservers zijn de goudpot voor hackers, weet De Vroey. “Als je daarop binnen raakt, kan je via die servers de opdracht geven om tegen morgenvroeg, wanneer iedereen zijn computer opnieuw openklapt, kwaadaardige software te installeren die alles versleutelt.”
Hackers voegen steeds meer logica toe aan hun ransomware. “Zo hebben we al software ontdekt die in het netwerk van een bedrijf eerst en vooral op zoek gaat naar alle bestanden die met back-up te maken hebben”, zegt Van de Wiele. “Die bestanden worden dan vernietigd. Nadien zal de kwaadaardige software de computers in het netwerk beginnen te versleutelen. Zo proberen criminelen de kans te verhogen dat ze effectief losgeld zullen ontvangen.”
Hoe kunnen bedrijven zich beschermen?
De bescherming van bedrijven tegen cyberaanvallen schiet in vele gevallen tekort. “De IT-infrastructuur kan meestal niet volgen op de realiteit binnen een bedrijf”, zegt Van de Wiele. Bedrijven breiden hun activiteiten uit, kopen nieuwe software en doen overnames. Het beveiligen van al die stappen komt meestal pas op de tweede plaats.
Het gevolg: de meeste bedrijven zijn zogenaamde platte netwerken. De software die de airco regelt staat geregistreerd op hetzelfde IP-adres als de software die klantenbestanden beheert. Zulke infrastructuur maakt het hackers wel heel gemakkelijk zodra ze erin geslaagd zijn om het netwerk binnen te dringen.
“Het komt erop neer om voldoende sluizen te installeren tussen verschillende delen van het netwerk”, zegt Van de Wiele. En installeren an sich is niet voldoende. Crisissituaties oefenen is minstens zo belangrijk. “Bij elke oefening die we bij klanten begeleiden, komen er wel nieuwe problemen naar boven.” Zo had containerbedrijf Maersk wel voldoende back-ups gemaakt, maar toen men die na de NotPetya-aanval wilde installeren, had niemand het wachtwoord nog.
De experts benadrukken ook: train werknemers op het herkennen van phishingcampagnes. Want zelfs wie het gevaar van cyberaanvallen niet onderschat, is maar zo sterk als zijn zwakste schakel. Zo wees computerwetenschapper Jeroen Baert (KU Leuven) er op Twitter op dat de chief information officer van Picanol, Philip De Bie, in 2017 nog een presentatie gaf met maatregelen die Picanol nam om zich te beschermen tegen cybercriminaliteit. Die hebben niet mogen baten.