RansomwareMediaMarkt-hack

Hoe het is om te onderhandelen met hackers: ‘Altijd rustig blijven’

Elektronicaketen MediaMarkt is deze week doelwit geworden van cybercriminelen, naar eigen zeggen zijn er geen klantgegevens gestolen.  Beeld ANP
Elektronicaketen MediaMarkt is deze week doelwit geworden van cybercriminelen, naar eigen zeggen zijn er geen klantgegevens gestolen.Beeld ANP

Elektronicaketen MediaMarkt is deze week gehackt. Pim Takkenberg, algemeen directeur van digitaal beveiligingsbedrijf Northwave, onderhandelt namens gehackte bedrijven met de cybercriminelen. Vaak zijn het Russen die om losgeld vragen.

Barbara Vollebregt

Als bedrijven Pim Takkenberg bellen, dan is dat bijna nooit om gezellig bij te kletsen. Nee, dan is er paniek in de tent. Dan zijn ze doelwit van een cyberaanval, legt hij zijn baan als ‘digitale brandweer’ uit.

Takkenberg onderhandelt namens gehackte bedrijven met de hackers, die niet zelden miljoenen euro’s aan losgeld eisen. En de laatste tijd is het steeds vaker raak. Begin oktober lukte het cybercriminelen om auto- en busfabrikant VDL dagenlang plat te leggen en deze week is elektronicaketen MediaMarkt de klos, de hackers zouden 43 miljoen euro aan losgeld eisen.

“Hackers gebruiken gijzelsoftware. Daarmee plaatsen ze als het ware een digitale achterdeur in de systemen van een bedrijf. Zo dringen ze binnen en kunnen ze de boel op slot gooien.” En dat merkt een bedrijf snel genoeg, zegt hij. “Meestal verschijnt dan op alle computerschermen een tekstbestandje. Daarin staat dan iets als: ‘U bent gehackt, als u geholpen wil worden ga dan naar deze site’. Dat is altijd een site op het darkweb - het deel van het internet, dat niet direct te vinden is via zoekmachines. Van daaruit kun je berichten sturen naar een chatbot of contact opnemen via email. Op die manier kom ik in gesprek met de hackers en hoor ik hun eisen”, legt de onderhandelaar uit.

Losgeld altijd in crypto's

Hij doorloopt zijn onderhandelingsstappenplan. “Eerst alle systemen die gehackt zijn zo snel mogelijk uit de lucht halen”, zegt hij. “En dan kijken of er backups zijn waardoor het bedrijf toch nog bij de versleutelde bestanden kan komen én er zo snel mogelijk achter komen of er ook (gevoelige) data is gestolen”, zegt hij over zijn werkwijze.

Welke bedrijven hij precies helpt, kan hij niet zeggen. Wat hij wel kan zeggen, is dat zijn klanten tussen de tientallen en honderden miljoenen euro’s omzet draaien. De grotere bedrijven dus, want daar richten hackers zich steeds vaker op. Hoeveel losgeld er wordt gevraagd, verschilt per hack. Maar gemiddeld ligt de eis tussen de 0,4 en 2 procent van de jaaromzet van het bedrijf. Die omzet zoeken de cybercriminelen op voordat ze de systemen platgooien. Zo weten ze zeker dat hun eis niet onrealistisch is.

De hackers willen het losgeld altijd in crypto's. En dan vragen ze meestal om bitcoins of monero's, legt Takkenberg uit. Zijn cyberbedrijf heeft afspraken met De Nederlandsche Bank en hun huisbank - die hij niet bij naam noemt - over de mogelijkheid dit soort transacties te kunnen doen. “Zij weten dat we voor onze klanten soms snel en veel digitaal geld moeten inslaan. Bij andere bedrijven zouden bij het opnemen van zulke bedragen meteen de alarmbellen afgaan.”

Algemeen directeur Pim Takkenberg van digitaal beveiligingsbedrijf Northwave. Beeld Pim Takkenberg
Algemeen directeur Pim Takkenberg van digitaal beveiligingsbedrijf Northwave.Beeld Pim Takkenberg

De hackers zijn vaak vriendelijk van toon. “Aanvallers blijven aardig, want ze willen de beste deal. En ik ook, want ik wil de beste deal voor mijn klant”, legt Takkenberg uit. Maar zodra ze doorkrijgen dat je niet van plan bent te betalen slaat de sfeer wel om, geeft hij toe.

Dan worden ze geniepig, dreigen ze ook klanten en leveranciers te gaan hacken en leggen ze daar haarfijn alle nare gevolgen van uit, zegt Takkenberg. “Ondertussen probeer ik er dan achter te komen hoe ze binnen zijn gedrongen, en of het aannemelijk is dat ze ook kunnen doen waar ze mee dreigen”, zegt hij.

Altijd vragen om bewijs

Soms bluffen ze. Daarom vraagt hij altijd om bewijs. “Ik vraag ze om me een deel van de data terug te sturen zodat ik zeker weet dat ze iets hebben. En ik stuur ze ook vaak een viertal versleutelde bestanden op en vraag ze om die onversleuteld naar me terug te sturen, zodat ik zeker weet dat zij de sleutel hebben”, legt hij uit. Al moet hij dan wel weer oppassen, dat in die bestanden geen nieuwe aanval - malware - verstopt zit.

“Op basis van al die informatie adviseren we onze klant over de afweging die ze moeten maken: wel of niet betalen.” Zijn klanten pakken er dan vaak een bierviltje bij en beginnen daarop sommen te maken. “Wat is de digitale data je waard, is dan eigenlijk de vraag. Voor sommige bedrijven is niet betalen eigenlijk geen optie”, zegt Takkenberg. En dat weten de hackers ook.

Niet voor niets richten cybercriminelen zich steeds vaker op grote bedrijven in de distributie of logistiek, waar de hele productie stil komt te liggen als de digitale systemen uitvallen. Zo waren de kaasschappen bij de Albert Heijn rond Pasen een tijdje leeg door een hack bij logistiek bedrijf Bakker.

Soms is zijn advies dat ze de sleutel van de hackers moeten kopen. Dan gaat het om pijnlijk veel geld, zegt Takkenberg. Of hij daarmee geen criminele activiteiten in stand houdt? “Ik word ingehuurd door bedrijven en voor sommige bedrijven betekent niet meer bij hun data kunnen het einde van hun zaak. Dan is het kiezen tussen twee kwaden.”

De hack bij MediaMarkt

Elektronicaketen MediaMarkt werd maandag slachtoffer van een aanval door hackers. Klanten kunnen er nog wel winkelen, ook online. Maar door de hack is het niet mogelijk om online bestellingen af te halen in de winkel of terug te sturen naar het magazijn. Ook kan er niet worden betaald met tegoed- en cadeaukaarten. Het bedrijf laat weten dat er geen klantgegevens zijn gestolen. Intern zijn er nog wel problemen. Een derde partij helpt MediaMarkt om de situatie aan te pakken. Dat is niet het bedrijf van Pim Takkenberg.

Lees ook:

Computermisdaad: deze keer is de MediaMarkt de klos

Hackers hebben weer toegeslagen bij een groot bedrijf. Na auto- en busfabrikant VDL is nu winkelketen MediaMarkt het doelwit van cybercriminelen.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2022 DPG Media B.V. - alle rechten voorbehouden