Woensdag 22/03/2023

InterviewGeert Baudewijns

Waarom onderhandelen met hackers altijd eindigt met betalen: ‘Het is gewoon kiezen tussen pest en cholera’

IT-expert Geert Baudewijns over de cyberaanval op de stad Antwerpen. Beeld Photo news/EPA
IT-expert Geert Baudewijns over de cyberaanval op de stad Antwerpen.Beeld Photo news/EPA

Vier tot zes gehackte bedrijven per week: zoveel kloppen er tegenwoordig bij Geert Baudewijns aan. Als CEO van het gespecialiseerde IT-bedrijf Secutec is hij intussen haast voltijds onderhandelaar met hackers. Ook met Play, het collectief dat momenteel de stad Antwerpen gijzelt, kreeg hij eerder al te maken.

Stefan Vanderstraeten

“Weet je wat opvallend is?”, stelt Geert Baudewijns tijdens ons gesprek. “Tussen afgelopen mei en augustus waren er beduidend minder hackeraanvallen. Omdat de koers van de bitcoin zo laag stond en hackers altijd via die weg betaald willen worden. Hoe beter de cryptokoers, hoe rendabeler het dus voor hen is. Daarom zijn er sinds september weer meer cyberaanvallen.”

Vraag het maar aan de stad Antwerpen, die nog tot 19 december heeft om hackerscollectief Play losgeld te betalen wil het 557 gigabyte aan gegevens terugkrijgen. Als CEO van Secutec - één van de grootste Belgische IT-bedrijven gespecialiseerd in cyberveiligheid - voert Baudewijns intussen bijna dagelijks onderhandelingen met hackers. Bij die van Antwerpen is hij niet betrokken, maar met Play kreeg hij intussen wel al te maken - vorige maand op vraag van een gehackte organisatie in Oostenrijk.

En weet ù intussen al wie achter Play zit?

“Naar mijn aanvoelen gaat het om een afscheuring van Conti, begin dit jaar nog één van de machtigste hackerscollectieven ter wereld. Tot dat collectief zich bij het begin van de oorlog in Oekraïne openlijk ‘pro Poetin’ uitsprak - de leiders waren duidelijk Russen - maar het nadien in amper vier dagen volledig uiteenviel. Wellicht waren enkele andere leden het niet eens met die steunbetuiging en hebben ze met Play hun eigen collectief opgericht.

“Al moet je dat nu ook niet als té gestructureerd willen zien. Ik vergelijk het graag met een piramide, waarvan zeker op de laagste niveaus de hackers elkaar niet eens kennen, zelfs niet bij naam. Ook hun onderlinge communicaties op een beveiligd platform voeren ze altijd met nicknames."

Lees ook

De geslaagde cyberaanval op de Antwerpse systemen moet alle alarmbellen doen afgaan, tot ver buiten de stadsgrenzen

Hoe komt zo'n hackerscollectief dan in godsnaam bij de stad Antwerpen terecht?

“Bijna altijd begint zo’n cyberaanval bij één hacker. Een freelancer, zo je wil. Die heeft bij een groot bedrijf of belangrijke organisatie een ‘lek’ en dus toegangssleutel gevonden én gaat daarmee in de schimmige uithoeken van het internet op zoek naar het meestbiedende hackerscollectief. Dat maakt intussen zijn huiswerk en bestudeert de grootte en het omzetcijfer van het ‘aangeboden’ bedrijf. Loont het de moeite, dan kopen ze de toegangssleutel over en starten enkele leden van het collectief de eigenlijke cyberaanval.”

En als die cyberaanval lukt, en het IT-systeem van bedrijf of organisatie gegijzeld wordt, dan kloppen die laatste bij u aan. Wat is dan uw taak?

“Vooraf heb ik van het gegijzelde bedrijf of organisatie al het mandaat gekregen om losgeld te betalen. In België is dat niet verboden: zoals familieleden van een ontvoerde persoon losgeld mogen betalen, kunnen ook bedrijven dat doen. Zolang de hackers niet aantoonbaar tot een terreurorganisatie behoren, want dan is het wel illegaal. Mijn taak is dan de uiteindelijke som van het losgeld zo laag mogelijk te krijgen.”

“Als startsom mikken de hackers altijd op 10 tot 12% van de bedrijfsomzet. Ze leggen die altijd bewust hoog om zich uiteindelijk tevreden te stellen met zo’n 4 à 5%. Hoe ze hun losgeld voor een stad als Antwerpen dan hebben berekend? Dat is het uitzonderlijke aan deze zaak. Hier kan niemand zich baseren op omzetcijfers. Zelf schat ik het startbedrag voor Antwerpen op 500.000 tot hooguit 750.000 dollar (474.000 tot 711.000 euro, red.). Om na onderhandelingen te landen op 150.000 tot 200.000 dollar (142.000 tot 190.000 euro, red.).”

Hoe verlopen zulke onderhandelingen dan precies?

“Meestal zeer sec, via niet te traceren chatkanalen. Zeker met die grote collectieven gebeurt dat als een zakengesprek, waarbij dat lang kan aanslepen. Veel hangt af van de grootte van het bedrijf en dus het bijhorende startbod. Vragen ze voor pakweg een gegijzelde KMO om te beginnen 50.000 tot 60.000 dollar (47.000 tot 57.000 euro, red), dan bereik ik meestal op drie-vier dagen aan akkoord rond 15.000 tot 20.000 dollar (14.200 tot 19.000 euro, red.).”

Maar gaat het om een multinational, waarvoor die hackers als startgeld 20 miljoen dollar (19 miljoen euro, red.) eisen en de klant maar 1 miljoen dollar (950.000 euro, red.) wil betalen, dan ben ik toch gauw vier-vijf weken bezig. Niet continu, hè. Soms laten die hackers twee, drie dagen lang niets meer van zich horen, waarna er opnieuw een tegenvoorstel in twee zinnetjes wordt gedaan.”

Zijn die hackerscollectieven eigenlijk mannen van hun woord?

“Altijd, zeker de grote collectieven. Eens een deal is geklonken, houden ze zich daar ook aan. Het is een groot fabeltje dat die hackers én het losgeld innen én intussen ook de gestolen data doorverkopen. Mijn ervaring leert: als de hackers uiteindelijk betaald worden, dan doen ze verder niets meer met die gestolen bedrijfsgegevens. Maar omgekeerd zijn het òòk mannen van hun woord. In dit geval: betaalt de stad Antwerpen niet, dan liggen de gegevens op 19 december op straat. Gegarandeerd!”

Ziet u het aantal cybergijzelingen in België de komende tijd nog toenemen?

“Momenteel krijg ik 4 tot 6 onderhandelingsmandaten per week, dat zegt veel. Ik schat dat slechts 20 procent van de Belgische bedrijven en organisaties - en daar reken ik sowieso banken bij - vandaag voldoende beschermd zijn tegen deze gijzelingen. Maar omgekeerd beseffen de meeste bedrijven dus nog niet dat er voor hun eigen veiligheid meer nodig is dan klassieke antivirussoftware. Om je als bedrijf écht te beschermen tegen cyberaanvallen zoals in Antwerpen heb je vandaag echt wel ‘next-generation endpoint protection & response’ of EDR nodig. Eenvoudig uitgelegd: waar antivirussoftware enkel beschermt op basis van een lijst van bekende virussen, zal EDR actief zoeken naar verdacht gedrag in je netwerk en meteen actie ondernemen.”

U zal dus nog niet meteen zonder werk komen te zitten?

“Elke euro die naar een criminele organisatie gaat, is een verkeerde euro. Want daarmee ‘sponsor’ je die. Soms wrijven concullega’s me dat ook in én ergens hebben zij gelijk. Maar het is gewoon kiezen tussen de pest en de cholera. Want aan de andere kant staat een klant die zijn bedrijf niet verder kan runnen. Hoe vaak bedrijfsleiders nadien al niet zichtbaar dankbaar, met de tranen in de ogen, naar me toegekomen zijn: ‘Bedankt, want zonder jou zou mijn bedrijf vandaag niet langer bestaan.’ Vergis je niet: die macht hebben hackerscollectieven wel degelijk.”

In het nieuws

Net binnen

meer
Meer In het nieuws

Instellingen

Personaliseren

Meer De Morgen

Vragen & Contact

Rubrieken

Ontdek

Rubrieken

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen

Algemeen

Service

Volg De Morgen

Navigeer

Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234

Raad voor de Journalistiek GoPress License 2 Publish Jury voor Ethische Praktijken Centrum voor Informatie over de Media