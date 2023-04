De KNVB heeft tot 19:42 op de avond van 26 april om te voorkomen dat cybercriminelen van Lockbit gegijzelde data publiceren. Contracten, gegevens van werknemers en voetballers, en financiële bedrijfsinformatie verschijnen dan op het internet – als de voetbalbond niets doet. Moet de KNVB gewoon betalen? Of valt er te onderhandelen?

Deskundigen in Zeist analyseren momenteel de situatie. Ze willen niets zeggen over de aanval, ze werken aan digitaal forensisch onderzoek. Op basis daarvan kunnen ze een onderhandelingsstrategie kiezen. Wie is de vijand? En wat weten ze?

Sommige leden van Lockbit hebben banden met de Russische overheid

Lockbit is een collectief van cybercriminelen, bekend van ‘ransomware-aanvallen’. De hackers dringen computersystemen binnen om informatie te versleutelen en daarmee onbereikbaar te maken. Daarna eisen ze geld van het bedrijf. Lockbit viel de afgelopen jaren meer grote organisaties aan, de Deutsche Bank bijvoorbeeld en de Belgische gemeente Geraardsbergen. Recentelijk werd een Canadees kinderziekenhuis slachtoffer. Sommige leden van de groep hebben banden met de Russische overheid; crimineel hacken wordt in dat land gedoogd.

Nu hebben ze informatie van de KNVB in handen. Lockbit stuurde verschillende screenshots naar de voetbalbond om het te bewijzen. Toch was de aanval geen voltreffer. De KNVB liet eerder weten dat het personeel gewoon door kan werken. Interne systemen, zoals de mail, doen het nog.

Afdingen helpt

Dat geeft een betere uitgangspositie voor de onderhandelingen, zegt Bart Schermer, hoogleraar privacy & cybercrime aan de Universiteit van Leiden. De KNVB krijgt ook relatief lang de tijd om te betalen, de hackers vragen cryptomunten.

Afdingen op de prijs helpt; meestal zijn criminelen bereid korting te geven. Uit onderzoek van Fox-IT bleek in 2021 dat de helft van de getroffen partijen korting kreeg.

Hackers gaan vaak berekenend te werk, zegt Schermer. “Ze kijken naar financiële draagkracht van het slachtoffer, de gevoeligheid van de informatie en hoeveel tijd de hack kost. Op basis daarvan onderhandelen partijen als Lockbit”. De criminelen houden zich aan hun woord: wie betaalt, wordt gespaard. Volgens Schermer kunnen bedrijven en instellingen het losgeld meestal wel opbrengen; gemiddeld gaat het om 2 procent van de jaaromzet.

Hoe gaat de prijs omlaag?

Om de prijs te verlagen hebben cybersecurity-bedrijven speciale onderhandelaars in dienst. Allereerst moet de voetbalbond zien te achterhalen wat Lockbit allemaal weet. Het zou gaan om 305 gigabyte. Hoe minder informatie van spelers of hun makelaars gestolen is, hoe minder geld ze zullen bieden. Bart Schermer verwacht niet dat het bedrag in de miljoenen zal lopen, zelfs niet bij de rijke KNVB.

De onderhandelingen zijn ook belangrijk voor de opsporing van de criminelen. Als het langer duurt is er meer tijd om te ontdekken wie er achter de aanval zit. De criminelen weten dit, en houden gesprekken daarom kort en de deadline in stand. Al zijn het meer een soort chat-conversaties, via een website die de locatie van de criminelen verbergt. Lockbit is de naam van het platform waar de gesprekken plaatsvinden en de gestolen documenten uiteindelijk gelekt kunnen worden. De ontwikkelaar van dit platform krijgt ongeveer 20 procent van de buit. De criminelen die de informatie stalen, huren zelf ook vaak slimme onderhandelaars in.

De KNVB kan de gestolen informatie niet zomaar laten lopen. Gedupeerde partijen, van wie gegevens op straat liggen, kunnen schadeclaims indienen. In het verleden waren zulke claims succesvol; zo kan het de KNVB alsnog geld kosten.

