Criminelen zijn binnengeraakt in je computersystemen. Ze hebben je data versleuteld en eisen geld. En dan begint het. Over ransomware-onderhandelingen doen nogal wat mythes de ronde. We overlopen enkele hardnekkige met een cyberonderhandelaar. “Mijn belangrijkste taak is dan om de som van het losgeld naar beneden te krijgen. Want betalen zal je bijna altijd.”
Aan het woord is Geert Baudewijns, zowel CEO van het Belgische beveiligingsbedrijf Secutec als fulltime ransomware-onderhandelaar. Acht jaar lang doet hij dit onderhandelingswerk al en daarin moest hij naar eigen zeggen al ruim 450 keer persoonlijk tussenbeide komen. “Twee à drie keer per jaar word ik ingeschakeld door een groot bedrijf met minstens 2.500 werknemers, en dat vaak voor grote bedragen”, stelt hij.
Toch tracht hij de job wat af te bouwen. “Want het vergt veel van je privéleven”, stelt Baudewijns, die over zijn ervaringen recent ook een boek schreef ‘Onderhandelen in het duister’, dat recent ook werd vertaald naar het Engels en het Frans. En met onder meer deze mythes die worden ontkracht.
Misverstand 1: de ransomware-industrie is een gigantische industrie
Inzake de bedragen die er in omgaan mogelijk wel. In 2024 ligt het mediane losgeldbedrag dat cybercriminelen eisen op 1,2 miljoen euro. Dit is bijna een verdubbeling ten opzichte van 2023, toen het bedrag nog op 664.000 euro lag, zo blijkt uit het uit het nieuwste Incident Response Report van UNIT 42, de onderzoeksgroep van Palo Alto Networks.
Een miljoenenbusiness dus, maar niet zozeer inzake aantal actoren. “Wereldwijd bestaan er tussen de 150 à 200 ransomware-organisaties”, schat Geert Baudewijns. Het gaat volgens hem dan om kleine organisaties, die het niveau van de individuele techneut overstijgen.
En als je kijkt naar de partijen met impact, dan wordt het clubje nog selectiever. Uit cijfers van Check Point blijkt bijvoorbeeld dat de top 10 groepen, met RansomHub en LockBit op kop, verantwoordelijk zijn voor iets meer dan de helft van de aanvallen. Helemaal selectief wordt het als we kijken naar de onderhandelaars. “Ik deel soms mijn ervaringen met andere ransomware-onderhandelaars, waarvan de meesten werken voor cyberverzekeraars. In totaal gaat het om een twintigtal onderhandelaars op wereldschaal.”
Misverstand 2: je moet altijd weigeren om criminelen te betalen
Betalen of niet: het is vaak de hamvraag. Maar in de praktijk zal je volgens Baudewijns als getroffen organisatie niet anders kunnen dan de geldbuidel bovenhalen. Sommige organisaties betalen principieel geen losgeld. Meestal hebben overheidsorganisaties dit beleid, uit ethische principes. “Een onderhandeling zonder betaling heeft geen nut, maar je kan wel onderhandelen over de prijs”, stelt hij.
Bedrijven die ransomware-hackers over de virtuele vloer krijgen, krijgen de twijfelachtige eer van een vermelding of publicatie op het dark net. “Op basis van zo’n zogenaamde wall of shame van die ransomware-groepen zien wij dat gemiddeld 7 op de 10 slachtoffers betalen. Zodra je betaalt, verdwijn je in principe van zo’n wall.”Uit recent onderzoek van Unit 4 blijkt dat hackers doorgaans een losgeldsom hanteren die neerkomt op 2 procent van de jaarlijkse omzet van een organisatie. Maar soms is de winst de maatstaf voor het losgeld. “Winstcijfers zijn overigens moeilijker te vinden, maar als hackers die hebben, zit je als onderhandelaar in een vervelende positie. Want dan weten hackers hoeveel een bedrijf echt kan betalen.”
Misverstand 3: je moet vooral de prijs naar beneden zien te krijgen
Er is een groot verschil tussen het bedrag dat wordt gevraagd en het bedrag dat organisaties uiteindelijk neertellen. Het daadwerkelijk betaalde bedrag ligt volgens het onderzoek van Unit 4 een stuk lager, met een mediaan van 255.000 euro. Toch is dit nog steeds 28.650 euro meer dan in 2023.
Het loont dus om over je prijs te onderhandelen, maar weet dat als getroffen organisatie je losgeld slechts één element is dat op tafel ligt. “Je moet bovenal de juiste sleutels krijgen om de gegevens te decrypteren, en die van de belangrijkste data eerst”, stelt hij.
Andere doeleinden zijn mogelijk zelfs nog belangrijker. “De belangrijkste is namelijk te weten komen of en welke data de hackers precies hebben gestolen en gekopieerd, zodat je als onderhandelaar voor je klant beter kan inschatten wat het risico is”, vertelt hij. “En voorts moet je op papier krijgen via welke route de hackers hun weg naar binnen vonden, zodat we die zwakheden in het systeem kunnen beveiligen.”
Misverstand 4: in één keer gelijk oversteken
Bij onderhandelingen duikt vaak een bekende hacker-truc op, weet Baudewijns uit ervaring: “Je betaalt het afgesproken bedrag en de hacker zendt je één sleutel waarmee je slechts een deel van de data kan recupereren”, stelt hij. “Hackers willen het bedrag in één keer ontvangen, maar dat is te riskant. Dus betaal ik per sleutel, wat ze meestal eerst weigeren.”
Maar uiteindelijk komt het wel in orde. “In die meer dan vierhonderd onderhandelingen die ik voerde, heb ik altijd mijn sleutels ontvangen”, oppert hij. Zeker professionele ransomware-groepen maken er, volgens hem, een erezaak van dat een organisatie na betaling zijn data kan recupereren. “Het is nu eenmaal hun business model.”
Misverstand 5: ransomware-onderhandelingen zijn het lastigste deel
Een onderhandeling duurt volgens Baudewijns gemiddeld anderhalve week. Maar dan begint het pas echt. “Bij bedrijven die betalen, kan het gemiddeld drie tot vier weken duren vooraleer ze terug operationeel raken”, beweert hij. “Maar als je niet betaalt, neemt het al snel vier maanden in beslag. Mede daarom kiezen bedrijfsleiders er uiteindelijk voor om toch te betalen, ook al druist dat in tegen hun principes.”
Data ontsleutelen is trouwens één deel van het verhaal. “Zo moet je het netwerk ook helemaal weer opnieuw opbouwen. Dat is onvermijdelijk, want anders zit de hacker in geen tijd weer bij je binnen.”
Misverstand 6: Iedereen kan onderhandelen met hackers
Dat is het niet. Je moet wat van IT en cybersecurity kennen. Je moet onderhandelingstechnieken onder de knie hebben. En bovenal: je moet het vertrouwen genieten van je opdrachtgever, want die legt zijn hele bedrijf bij jou in de schaal. “De stress die je ervaart als onderhandelaar is soms enorm”, benadrukt Baudewijns.
Bovendien is het ook een eenzaam beroep. “Je zit uren aan je computer gekluisterd, te staren naar een zwart scherm. Ik onderhandel namelijk na mijn uren, ’s avond dus en van thuis uit. Tijdens die uren verdwijnt de rest van de wereld, wat niet altijd even eenvoudig is voor mijn gezin”, vertelt hij.
In zijn boek duikt ook de anekdote op dat zijn gezin voor vakantie naar het zuiden van Frankrijk reed, met Baudewijns op de achterbank met laptop op de schoot. En dat voor een dringende onderhandeling voor een klant die met zijn handen in het haar zat, en waar het systeem was gehackt en data versleuteld.
Misverstand 7: Ransomwarebetalingen zijn domme en verloren kosten
Vaak wel, maar ook niet altijd. Je kunt het ook beschouwen als leergeld dat je betaalt. En meer dan eens is zo’n ransomware-situatie een aanleiding om de IT-beveiliging eindelijk eens echt serieus te nemen.
En bovendien is er nog een boekhoudkundig aspect. “Het is als bedrijf niet illegaal om hackers te betalen. Meer nog: losgeld is volledig fiscaal aftrekbaar. Dat komt in de boekhouding als een gewone factuur”, weet hij.
Het enige wat niet mag, is betalen aan een terroristische organisatie. “En voor zover ik weet, heeft geen enkele van de gekende ransomware-organisaties banden met terroristische organisaties. Maar bij einzelgängers kun je dat helaas nooit helemaal uitsluiten.”
Lees ook: Ransomwarebetalingen daalden in 2024 ondanks grote cyberaanvallen