Mysterieuze ‘Melissa’ eist losgeld van bedrijven na cyberaanval: ‘Betaling loopt in de miljoenen’

In 2017 werd nog geen zevenhonderd keer melding gemaakt van cyberincidenten, afgelopen jaar groeide dit naar meer dan tweeduizend. Dat blijkt uit cijfers die het ADheeft opgevraagd met een beroep op de Wet open overheid bij het Nationaal Cybersecurity Centrum (NCSC).

Vooral de stijging van ransomware-aanvallen baart cyberexperts zorgen. Deze aanvallen leggen hele systemen van organisaties plat door informatie te gijzelen. Vervolgens worden hoge bedragen geëist in ruil voor het vrijgeven van de systemen. Zo zou één bende - die ook Nederlandse instanties raakte - daarmee al zeker 25 miljoen dollar hebben buitgemaakt. Toch belanden nog geregeld gegevens op straat.

Zo belandden in de Gelderse gemeente Buren na een ransomware-aanval paspoortgegevens op het darkweb, een afzonderlijk deel van het internet waar veel criminelen opereren. Cyberexpert Pim Takkenberg van Northwave Cyber Security tegen de krant: ,,Nederland is zich nog altijd niet genoeg bewust van de gevaren.’’

‘Servicebureaus’ die ‘deal’ maken voor criminelen

In een toelichting laat het NCSC weten dat niet alleen de aantallen toenemen, maar dat ook de impact van cyberaanvallen groter is. Cybercriminelen lijken zich steeds meer te gedragen als professionele bedrijven. Zo hebben ze bijvoorbeeld een afdeling personeelszaken en zelfs een ‘medewerker van de maand’.

Mourad Rerhioui van cybersecurity-bedrijf Rubrik: ,,Cybercriminelen vergaren veel geld met hacks en kunnen daarmee een netwerk om zich heen bouwen, zoals een drugsbaas werkt met dealers.” ‘Servicebureaus’ gaan met getroffen organisaties in gesprek om een ‘deal’ te maken voor criminelen. Uit onderzoek van deze site blijkt dat meerdere Nederlandse bedrijven en publieke organisaties onderhandelden met ene ‘Melissa’. Zij eiste in opdracht van verschillende cybercriminelen losgeld voor hackers.

Onderhandelen over losgeld

Hoewel er steeds meer meldingen worden gedaan, gaat het slechts om het ‘topje van de ijsberg’, verklaart cyberexpert Pim Takkenberg. Uit vrees voor een slechte naam wordt lang niet alles gemeld. Zeker 180 cyberaanvallen waren de afgelopen vijf jaar gericht op vitale sectoren, zoals energiebedrijven. Volgens het NCSC worden ook steeds vaker schakels in de keten aangevallen. Zo bleven de kaasschappen bij Albert Heijn leeg in 2021 omdat het bedrijf dat de kaas inpakte een ransomware-aanval voor de kiezen kreeg, niet de supermarkt zelf.

Meerdere Nederlandse overheidsinstellingen en bedrijven zijn na een hack op hun organisatie benaderd door ene ‘Melissa’. Deze ‘dame’ tracht namens criminele organisaties te onderhandelen over losgeld. Er klinkt een vrouwenstem aan de telefoon. Haar boodschap: ,,Uw bedrijf is op dit moment in onderhandeling met onze groep over het herstel van data.’’ De dame aan de telefoon doet zich voor als Melissa’. Zij spreekt Engels met een vreemd accent. De ene keer ontstaan er minutenlange gesprekken, de andere keer laat ze slechts een korte voicemail achter. Wie is deze mysterieuze Melissa en wat beweegt haar?

‘Melissa’ werkt voor wat zij de ‘groep’ noemt. In werkelijkheid is zij actief voor één van de grootste gijzelsoftwarebendes ter wereld, genaamd Conti die in 2019 is ontstaan. Sindsdien rinkelde de telefoon onder meer bij een multinational, weet een Nederlandse cyberexpert die Melissa vorig jaar aan de lijn had. De deskundige wil liever niet met zijn naam in de krant, omdat hij het bedrijf waarvoor hij werkte niet in verlegenheid wil brengen.

Lamgelegd

Essentiële onderdelen van die firma zijn dan digitaal lamgelegd door de zogenoemde ‘ransomware’. Bij zo’n cyberaanval worden databestanden van bijvoorbeeld bedrijven, gemeenten en rijksoverheden versleuteld. Doel? De data ontsleutelen in ruil voor losgeld: de ransom. ,,Ik heb Melissa gesproken, we zaten in verregaande onderhandeling. Dus ja: ik ken haar. Sterker nog, voor mij staat Melissa symbool voor een ontwikkeling in de cybersecurity. Zij toont aan dat hackers steeds professioneler worden. Zij is het levende bewijs dat er goed georganiseerde structuren achter zitten’’, aldus de ict’er.

Hoe goed georganiseerd de criminelen zijn, is bij gijzelsoftwarebende Conti blootgelegd doordat de hackgroep zélf gehackt is. Ruim 60.000 gesprekken zijn gelekt. Die chats worden wel de ‘Panama papers van de gijzelfsoftware’ genoemd, verwijzend naar de vele vertrouwelijke documenten die ooit werden gelekt over gebruikers van belastingparadijzen. Uit deze chats doemt het beeld op van een professioneel bedrijf. Zo staan er zo’n honderd medewerkers tegelijk op de loonlijst, is er een afdeling personeelszaken en doen ook de criminelen aan een ‘medewerker van de maand’.

Waar Melissa vandaan komt? Op 26 februari van dit jaar geeft Conti een statement waarin de criminelen ‘volledige support’ uitspreken aan de ‘Russische overheid’. De groep wordt op dat moment verdacht van meer dan vierhonderd aanvallen op Amerikaanse en internationale organisaties. Maar dit hoeft volgens de ict-expert niet te betekenen dat Melissa zélf ook Russisch is. ,,We denken dat er een vacature is geweest voor een callcenter-medewerker en dat Melissa daarop is aangenomen. Daarna had ze waarschijnlijk pas door in welk opzicht ze moest gaan bellen.’’

Bedrag met zes nullen

Op de voicemail klinkt Melissa’s stem blikkerig. ,,Maar dit is echt een natuurlijk persoon’’, verzekert de ICT-kenner. ,,Honderd procent zeker! Ik heb haar dertien minuten gesproken.’’ Of het in die situatie ook tot een betaling is gekomen? ,,Ja, dat loopt vaak in de miljoenen. Dat was hier ook zo. Een bedrag met zes nullen.’’ Dergelijke deals zijn omstreden, omdat je het criminele verdienmodel ermee in stand houdt. Zwitserse experts schatten dat deze hackgroep alleen er ruim 25 miljoen dollar buit mee maakte. ,,Op macroniveau hebben mensen gelijk dat we niet moeten betalen’’, erkent de expert. ,,Maar als het jouw zorgvuldig opgebouwde bedrijf is en je bent van zo’n hack af door losgeld te betalen, dan is de afweging anders.’’

Wat de cyberkenner op het moment dat hij met Melissa tot overeenstemming komt nog niet weet, is dat haar rol groter is dan hij vermoedt. Dat wordt dit voorjaar duidelijk in een meeting met de crème de la crème van de Nederlandse cybersecurity. Vanwege corona was die bijeenkomst uitgesteld, maar ruim een half jaar geleden komt het alsnog tot een treffen. Aan tafel zitten grote bedrijven als Northwave Cyber Security, Hunt & Hackett, Trellix, NFIR en ook de brancheorganisatie Cyberveilig Nederland. Zij steken de koppen bij elkaar om van hacks te leren.

Door de aanwezigen wordt er vervolgens geheimzinnig gedaan over wat die samenwerking behelst. ,,Daar ga ik geen antwoord op geven. Het is een gentlemen’s agreement dat we daar niet over spreken’’, aldus een aanwezige. Alle experts verwijzen naar Cyberveilig Nederland. Die belangenorganisatie doet minder geheimzinnig. Directeur Petra Oldengarm bevestigt de samenkomst. ,,We hebben inderdaad bij elkaar gezeten eerder dit jaar om intensiever te gaan samenwerken bij het bestrijden van cyberaanvallen en gijzelsoftware. Daar kwamen we erachter dat iedereen zo’n zelfde mevrouw tegenkomt in het onderhandelingsproces.’’

Burgemeester: ‘Ik heb echt in de afgrond gekeken’

Incidentexpert Mattijs van Hunt & Hackett verwacht dat kennis delen nuttig is voor de cybersecurity. ,,Zo zien we nu dat de aanpak van gijzelbendes verandert: waar voorheen data of één systeem werd versleuteld, zijn dat nu hele netwerken.’’ Ook is er volgens hem steeds vaker sprake van een drietrapsraket, de zogenoemde ‘triple extortion’. ,,Daarbij persen criminelen je eerst af door je een sleutel te laten kopen om gegevens terug te krijgen. Dan zeggen ze: oh je wilt niet betalen? Dan lekken we je data. Als je dan nóg niet betaalt, leggen ze je systeem plat met een ddos-aanval. Drievoudige afpersing dus.’’

Als er één iemand is in Nederland, die zich uiterst bewust is van de risico’s van gijzelsoftware, dan is het de burgemeester van de Gelderse gemeente Lochem, Sebastiaan van ’t Erve. ,,Ik heb echt in de afgrond gekeken’’, blikt hij terug op het moment waarop zijn ruim 33.000 inwoners tellende gemeente werd getroffen. ,,De donderdag voor het pinksterweekend zijn wij gehackt. Back-up van de gegevens terugzetten en over tot de orde van de dag, dachten we.’’

Maar de cyberaanval bleek zo ernstig dat ‘terugzetten onvoldoende was’, het hele netwerk was versleuteld. ,,Daardoor moesten we het hele systeem weggooien en alles opnieuw opbouwen’’, aldus de burgemeester. ,,Dat systeem behelst al onze gegevens: van uitkeringen tot trouwerijen tot paspoorten en rijbewijzen.’’ De openheid waarmee deze burgemeester spreekt over wat hem is overkomen, is ongekend. Een rondgang leert dat velen er juist het zwijgen toe doen. Maar Van ’t Erve nam zich juist voor om er open over te zijn, zodat hij ook anderen kan waarschuwen voor de grote risico’s.

Wanhoop bij bedrijven en bestuurders

En dat is nodig, blijkt uit nieuwe gegevens over het aantal meldingen van cyberincidenten. Instellingen en overheden kampen immers steeds vaker met ransomware en andere online sabotage- en chantageacties. Of het nu gaat om een Nederlandse kaashandelaar, een mbo-opleiding of gemeenten: allemaal hebben ze last van gijzelsoftware gehad. Daardoor lag er bij de Albert Heijn geen kaas in de schappen, konden studenten en docenten niet bij hun gegevens of lagen extreem fraudegevoelige gegevens zoals kopietjes van paspoorten op straat.

Het drijft bedrijven en bestuurders soms tot wanhoop. ,,Wat als de rioolgemalen stilstaan en mensen daardoor niet naar de wc kunnen? Hoe lang kun je dat volhouden? Een half uurtje? Een uurtje misschien?’’ Over dat soort scenario’s moeten gemeenten volgens Van ’t Erve veel beter gaan nadenken. Een andere kwestie die hem bijkans klotsende oksels bezorgde: ,,Hoe gaan we de ruim vierhonderd uitkeringsgerechtigden betalen? Dat gaat gemiddeld om zo’n 1200 euro dus in totaal over vier à vijf ton’’, benadrukt de burgemeester. ,,Wat doen we als onze software niet op tijd weer klaar is? Hebben we een papieren lijst met adressen van die mensen? Moeten we dan echt uitkeringen cash met geldwagens gaan uitrijden? We moeten ons veel beter bewust zijn van de risico’s.’’