Ransomware-dreigingen en M&A
Door David Schreuders
Het Amerikaanse Federal Bureau of Investigation (FBI) publiceerde op 1 november 2021 een ‘Private Industry Notification’ over een verhoogd risico op ransomware in relatie tot belangrijke financiële gebeurtenissen. Daarvan werd als voorbeeld ‘fusies en overnames’ genoemd. Ransomware is malware (een samentrekking van malicious software, kwaadaardige computerprogrammatuur) die de databestanden van gebruikers versleutelt en dus ontoegankelijk of onbruikbaar maakt, om die pas na het betalen van het losgeld (vaak in crypto-currency zoals Bitcoin) weer te ontsleutelen. De Nederlandse term is ‘gijzelsoftware’, ofwel ‘ransomware’.
Het ontoegankelijk maken kan zich ook voordoen in de vorm van het stelen van intellectuele eigendommen of persoonsgegevens. Een ransomware aanval bestaat meestal uit twee fasen: in de eerste fase wordt malware (in jargon: een trojan) geplaatst die zorgt voor verkenning van het geïnfiltreerde IT-systeem. Deze fase kan soms heel lang duren, waarbij de hackers echt de tijd nemen om digitaal rustig rond te kijken. De tweede fase is die van de eigenlijke versleuteling en het eisen van een losgeldbetaling in ruil voor het weer toegankelijk maken van de data.
Amerikaanse case studies
Het onderzoek dat ten grondslag lag aan de waarschuwing van de FBI liet zien dat de malware vaak op grote schaal door cybercriminelen werd ingezet, maar dat niet alle slachtoffers van een trojan ook slachtoffers werden van ransomware. Kennelijk vond tijdens de eerste fase van de verkenning een proces plaats van het zeer gericht zoeken naar niet-publieke informatie, waarvan openbaarmaking als dreigement of drukmiddel werd gebruikt in het kader van het eisen van het losgeld. Ophanden zijnde gebeurtenissen die van invloed zijn op de waarde van de aandelen van een bedrijf, zoals bekendmakingen en fusies en overnames, waren voor ransomware-aanvallers zeer interessante factoren bij het uitkiezen van hun ‘targets’.
De notification van de FBI beschrijft een aantal concrete gevallen van ransomware die zich in de periode tussen 2020 en april 2021 hadden voorgedaan. In een van die gevallen werd gedreigd met het lekken van informatie naar de NASDAQ, om vervolgens te bezien wat er dan met de koers zou gebeuren. In een ander geval werd gedreigd met premature bekendmaking van cijfers om de koers te beïnvloeden. Met betrekking tot M&A werd gewezen op in elk geval drie in fusies en overnames actieve, beursgenoteerde, Amerikaanse bedrijven die het slachtoffer waren van ransomware tijdens het voeren van hun onderhandelingen. Bij twee van de drie lopende fusietrajecten ging het nog om onderhandelingen in de vertrouwelijke sfeer.
De situatie in Nederland
Wat de FBI in de Private Industry Notification beschrijft, sluit goed aan bij wat het Nationaal Cyber Security Centrum (NCSC) in het jaarlijks te verschijnen Cybersecuritybeeld Nederland (CSBN) laat zien. Het NSCS is een onderdeel van het Ministerie van Justitie en Veiligheid en heeft zijn wettelijke basis in de Wet beveiliging netwerk- en informatiesystemen (Wbni). In het CSBN 2021 wordt gewezen op ‘Big Game Hunting’. Daarbij gaat het om gerichte ransomware-aanvallen op grote organisaties en wordt met maatwerk gepoogd om tot maximaal financieel gewin te komen.
Ook in Nederland wordt veel kennis over de ontwikkelingen op het gebied van cybercrime in het algemeen en ransomware in het bijzonder geput uit opsporingsonderzoeken. Uit het in 2021 door politie en Openbaar Ministerie offline gehaalde Emotet-botnet kwam het beeld naar voren dat inderdaad sprake was van een twee-fasen ransomware-aanval. De eerste fase werd door andere cybercriminelen uitgevoerd dan door de uiteindelijke afpersers, doordat eerstgenoemden (de zogenaamde ‘access brokers’) eerst vele computers ongericht met spam gingen besmetten. De toegang die zij bij slecht beveiligde netwerken verkregen, werd doorverkocht aan derden die vervolgens hun malware plaatsten. Dit wordt ook wel ‘ransomware as a service’ (‘RaaS’) genoemd.
Ten slotte werd op gerichte wijze ransomware ingezet op strategische plekken, waarbij men in staat was om op reële wijze in te schatten wat de maximale losgeldeis kon zijn, zo schrijft het NCSC. In het CSBN 2021 stelt het NCSC dat de totale economische schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten, moeilijk is vast te stellen. Hoe groot de schade voor Nederland is, valt voorlopig niet te zeggen. Wel kan worden geconstateerd, dat zowel Raas- als Big Game Hunting-aanvallen de laatste jaren flink toenemen, met een scherpe stijging van de wereldwijde schade van miljarden euro’s per jaar.
Tijdens het schrijven van dit artikel is niet alleen de cybersecurity sector in Nederland, maar ook die in de rest van de wereld in rep en roer vanwege de ontdekking van een ernstige kwetsbaarheid die recentelijk is gevonden in Apache Log4j. Dit is software die veel wordt gebruikt in webapplicaties en allerlei andere systemen, waaronder computerspelletjes zoals het populaire Minecraft. Volgens onderzoekers zijn diensten van onder meer Apple, Amazon en Twitter kwetsbaar gebleken. Het NCSC heeft een digitale lijst opgesteld met mogelijk kwetsbare software, waar bedrijven als Oracle, Cisco, Microsoft en Siemens op staan. In de media wordt gesproken van ‘een clusterbom’ (NRC, 15 december 2021), ‘crisisoverleg’ van de Nationale cyberwaakhond met beveiligers (FD, 12 december 2021) en ‘The internet is on fire’ (WIRED Magazine, 10 december 2021).
Het NCSC waarschuwt op zijn website voor potentieel grote schade en adviseert organisaties om zich goed voor te bereiden op een cyber-aanval. Expliciet wordt gewezen op het gevaar dat door de kwetsbaarheid een ransomware-aanval kan worden uitgevoerd. Diverse cybersecurity experts hebben in de media de verwachting uitgesproken dat ransomware-aanvallen in de komende weken zullen toenemen. Wat door hen op dit moment namelijk wordt gezien, is een verhoogde activiteit van de access brokers in de hiervoor al beschreven eerste fase van een ransomware-aanval. Door deze recente ontwikkelingen en de wijze waarop door deskundigen en de toezichthouder publiekelijk wordt gereageerd, kan redelijkerwijs gezegd worden dat het gevaar van een aanval met ransomware niet alleen beursgenoteerde bedrijven aangaat, er dus ook niet alleen een verhoogd risico bestaat voor grote organisaties in het kader van Big Game Hunting, maar dat ook private equity en bedrijven van relatief kleinere omvang nu serieus met ransomware risico’s rekening moeten houden. Ook zij zouden zich daartegen moeten wapenen.
Tegenmaatregelen
De FBI geeft in de notification uit november een achttal aanbevelingen om ransomware aanvallen te voorkomen, waaronder het offline plaatsen van essentiële data (bijvoorbeeld in de cloud of op externe locaties en gegevensdragers), het regelmatig updaten van anti-virus en anti-malware software, het niet gebruiken van openbare wifi-netwerken en het instellen van two-factor authentication. Het NCSC kiest, genoodzaakt door de crisis rond de ontdekte Log4j kwetsbaarheid, voor een ruimere aanpak en gaat veel verder met de aanbevelingen. Op de website wordt een onderscheid gemaakt tussen het verkleinen van de kans op misbruik (met een stappenplan bestaande uit vier onderdelen) en het zich voorbereiden op misbruik. Bij dat laatste onderwerp adviseert het NCSC een negental maatregelen, waaronder het klaar hebben liggen van een ‘incident response’ draaiboek en het treffen van de juiste voorbereidingen tegen een ransomware-aanval. In dat verband wordt verwezen naar de Factsheet Ransomware uit juni 2020 die eveneens op de NCSC website te vinden is (Factsheet Ransomware | Factsheet | Nationaal Cyber Security Centrum (ncsc.nl).
Duivels dilemma: betalen of niet?
De overheid raadt het betalen van losgeld bij een ransomware-aanval af. Op zichzelf is dat ook heel logisch: door het losgeld te betalen, wordt het verdienmodel van de ransomware-actoren in stand gehouden en worden zij dus beloond voor en gestimuleerd in hun criminele activiteiten. Daar komt nog bij, dat geen enkele garantie bestaat dat na de betaling de sleutel of het wachtwoord ook daadwerkelijk wordt overhandigd. Soms bleken er programmeerfouten in de malware te zitten waardoor de versleuteling niet meer ongedaan kan worden gemaakt.
Minister Grapperhaus van Justitie en Veiligheid heeft recentelijk nog het standpunt van het (demissionair) kabinet zeer helder verwoord in zijn antwoordbrief op kamervragen (7 oktober 2021, Vergaderjaar 2021-2022, Aanhangsel nr. 225): het ‘dringende advies’ is om geen losgeld te betalen. Hij is zich er niettemin terdege van bewust dat het niet betalen kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd, gepaard gaand met kosten die vaak groter zijn dan het geëiste losgeldbedrag.
Hij stelt ook dat op dit moment geen voornemen bestaat om losgeldbetalingen wettelijk te verbieden, omdat de nadelige gevolgen van een algemeen verbod zeer groot kunnen zijn vanwege de impact die het niet alleen op het slachtoffer heeft, maar ook op diens klanten en gebruikers. Wel wordt de mogelijkheid onderzocht van een verbod op het vergoeden van ransomware-betalingen door verzekeraars. De voorkeur van de minister gaat uit naar preventie en het vergroten van de cyberweerbaarheid, bijvoorbeeld met behulp van tools, kennisproducten en adviezen van het onlangs opgerichte Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat.
De FBI heeft in de eerder besproken waarschuwing laten weten het betalen van losgeld ‘niet aan te moedigen’. Toch kan ook de FBI begrip opbrengen voor de positie waarin bedrijven en hun management zich plotseling kunnen bevinden: wanneer die bedrijven geconfronteerd worden met een onmogelijkheid om te kunnen functioneren, zullen de bestuurders alle opties naast elkaar zetten om de aandeelhouders, werknemers en klanten te beschermen. Aangeraden wordt echter, net zoals onze minister heeft gedaan, om niet te betalen maar strafrechtelijke aangifte te doen.
Maar wat, als…?
Het antwoord op de vraag hoe op een ransomware-aanval het best kan worden gereageerd, wordt in de praktijk gevonden in een goede voorbereiding. Naast het zo goed mogelijk inrichten van de digitale beveiliging, krijgt die voorbereiding veelal gestalte in de vorm van een draaiboek. Het NCSC geeft als eerste aanbeveling voor een adequate voorbereiding op een incident als gevolg van de kwetsbaarheid in de Apache Log4j software, het gereed hebben van een incident response draaiboek: weet wie gecontacteerd moet worden, zorg dat het team paraat staat, etc.
Maar een ransomware-aanval kan ook een geheel eigen en niet alledaagse dynamiek krijgen, waardoor de directie allerlei praktische vragen op zich af ziet komen. Wat nu als de hulp in het kader van het No More Ransom-project (een publiek-private samenwerking van de Nationale Politie, Europol, Kaspersky en McAfee) ontoereikend is? Als betaling de enige optie is: hoe weten we dat we aan de juiste partij betalen? Hoe voer je eigenlijk de onderhandelingen? Hoe komen we zo snel aan bitcoins? Los van deze praktische vragen zijn er ook nog allerlei juridische kwesties waar een bedrijf rekening mee moet houden. Dan is het dus verstandig om daar vooraf over te hebben nagedacht, in plaats van er voor het eerst ter plekke mee te worden geconfronteerd.
Ter afsluiting
De minister van Buitenlandse Zaken liet op 6 oktober 2021 in zijn brief aan de Tweede Kamer over ‘Tegenmaatregelen ransomware-aanvallen’ (BZDOC-1235421577-13) onder meer weten dat veel ondernemers, met name in het MKB, zichzelf niet als potentieel slachtoffer van ransomware zagen. Laten we hopen dat er, gelet op de ontdekte kwetsbaarheid, geen stortvloed aan ransomware-aanvallen komt, waarvoor de overheid en cyber experts waarschuwen. Overkomt het de ondernemer onverhoopt toch, dan is het essentieel om goed voorbereid te zijn, want de tijd dat bedrijven kunnen denken dat het hun niet zal overkomen is helaas voorbij. Kan de schade niet geheel worden voorkomen, dan is het een plicht die toch zoveel mogelijk te beperken.
David Schreuders is advocaat en partner Dispute Resolution bij Simmons & Simmons LLP
Lees ook: Aandacht voor corruptierisico's bij M&A due diligence