Hackercollectief Lockbit heeft maar liefst 300 gigabyte aan data buit gemaakt bij de KNVB. Momenteel worden zij gechanteerd om deze data openbaar te maken. AllSports Radio interviewde onze security-expert Daan Keuper over dit voorval.
Hacks zoals deze komen steeds vaker voor. Nu wordt de sportbranche geraakt, is dat voor het eerst?
Het is mij niet bekend of er veel sportverenigingen geraakt zijn, maar ik kan me niet voorstellen dat dat de KNVB de eerste sportorganisatie wereldwijd is die door zo’n hack wordt geraakt.
Dit soort aanvallen gebeuren wereldwijd, het betekent nu niet dat zo’n collectief als Lockbit uit Nederland komt toch?
Lockbit wordt vooral geassocieerd met Rusland, dit soort organisaties voeren aanvallen uit over de hele wereld. Ze kijken gewoon waar ze kunnen binnenkomen. Het is vaak niet zo dat ze een target lijst hebben. Het is een beetje sleepnetten. Kijken bij welke bedrijven ze dit trucje kunnen uitvoeren. Vervolgens kijken ze of de organisatie wil betalen of niet. Als een organisatie niet wil betalen dan is dat niet meteen een probleem, want ze hebben vaak meerdere operaties tegelijkertijd lopen.
Wat kan je zeggen over dit hackercollectief, Lockbit?
Het is één van de grotere spelers en ze staan er ook om bekend veel losgeld te vragen. Je hebt ook een hele hoop kleinere groeperingen, maar Lockbit is één van de serieuzere spelers in de markt.
Nu zijn ze dus toevallig binnengekomen bij de KNVB. Wat voor informatie zou daar liggen en wat kunnen ze daarmee?
Lockbit heeft natuurlijk zelf niet veel aan die data. Maar ze gaan gewoon kijken hoeveel waarde de KNVB hecht aan die data, zodat deze niet wordt vrijgegeven. Lockbit heeft een aantal bewijsstukken aangeleverd waarmee ze aantonen tot welke informatie ze toegang hebben. Dan gaat het over informatie over tuchtzaken, over communicatie met de UEFA en de FIFA. Welke informatie daar precies in staat kan natuurlijk alleen de KNVB ons vertellen. Maar ik kan me voorstellen dat het privacygevoelige informatie is.
Ze eisen nu losgeld om het niet openbaar te maken. Weet jij om hoeveel geld het gaat?
Ik durf het niet te zeggen. Maar Lockbit staat er dus wel om bekend meer losgeld te vragen dan de kleinere spelers. Vaak is er wel onderhandelingsruimte om het bedrag naar beneden te krijgen.
Denk je dat het gaat om miljoenen of tonnen? Of gaat het om maar 10.000 euro?
Ik denk dat het zeker wel om tienduizenden euro’s gaat. Maar of het over tonnen of miljoenen gaat dat is onbekend. (Inmiddels hebben meerdere bronnen bevestigd dat het om meer dan 1 miljoen euro gaat: red.)
Hoe wordt zo’n hack normaal gesproken opgelost?
Als een bedrijf geraakt wordt dan versleutelen zij alle bestanden en vragen ze losgeld om die bestanden weer te kunnen ontgrendelen. Daarnaast vragen ze een tweede keer losgeld om de data niet te lekken. Als wij op dat moment een organisatie gaan helpen dan kijken we eerst wat de herstelopties zijn. Zijn er bijvoorbeeld back-ups die we terug kunnen zetten. Soms kom je erachter dat betalen de enige manier is om een bedrijf te redden van faillissement. Dat kan wanneer er geen goede back-ups zijn of als die ook zijn versleuteld. Daarna gaat het om het kijken hoe gevoelig die data zijn waar de aanvallers toegang tot hebben gehad. We kijken dan wat de schade is als die data worden gepubliceerd. Is het dermate risicovol, dan wordt er tot betalen overgegaan. Of het wordt geaccepteerd dat gegevens publiek worden.
De kans op betalen is in dit geval dus best wel groot?
De kans op betalen is relatief groot. Het lekken van data is relatief nieuw. Waarschijnlijk is dat omdat bedrijven beter gewapend zijn tegen dit soort aanvallen. Ze maken betere back-ups. Dus data kunnen vaker hersteld worden na een ransomware aanval door de back-ups terug te zetten, waardoor ze niet hoeven te betalen. Daarom storten dit soort organisaties zich op een nieuw verdienmodel en dat is door losgeld te vragen, maar dan voor het niet lekken van de data.
Bedrijven beveiligen zich dus beter, maar de KNVB blijkbaar niet goed genoeg?
Security is complex en hackers hebben soms aan een klein lek genoeg om toegang te krijgen tot data. Iedereen valt wel een keer ten prooi aan een cyberaanval. De vraag is dan natuurlijk in welke mate. Je hebt aanvallen waarbij maar een klein deel van een systeem geraakt wordt of waarbij maar een klein deel van de data beschikbaar wordt. Je hebt ook grotere aanvallen waarbij de hele bedrijfsvoering stil komt te liggen. In principe kan ieder bedrijf dit overkomen.
Ook al ben je nog zo goed beveiligd?
Je kan heel goed beveiligd zijn, maar in de loop van de tijd kan er natuurlijk altijd iets gebeuren. Je bent ergens net een keer te laat met het installeren van een beveiligingsupdate of er wordt per ongeluk een systeem van het internet gekoppeld die onvoldoende beveiligd is. Daar kan je allerlei maatregelen voor verzinnen en dat houdt ook een groot deel van de aanvallers buiten de deur. Maar IT blijft ook mensenwerk en af en toe worden er fouten gemaakt of dingen over het hoofd gezien. Als zo’n aanvaller precies op dat moment voorbijkomt dan kan dit gebeuren.
Lockbit dreigt alles te publiceren indien de KNVB niet vóór 26 april over de brug komt met losgeld. In hoeverre wordt openbaar of ze wel of geen losgeld hebben betaald?
We kunnen straks mogelijk zien of de gegevens wel of niet publiek zijn. Misschien komt de KNVB later met een statement. Ik kan me voorstellen dat de KNVB nu intern aan het evalueren is welke data precies zijn gestolen en wat het risico is als die data publiek worden. Ik kan me ook voorstellen dat ze aan het onderhandelen zijn met de aanvallers. In sommige gevallen doe je dat omdat je daadwerkelijk over wil gaan tot betalen. Wij adviseren om altijd het gesprek aan te gaan met de aanvallers, want het minimale wat je ervoor terugkrijgt is meer tijd. Als de KNVB gaat proberen te onderhandelen over het losgeldbedrag of meer bewijslast gaat opvragen dan kunnen ze extra dagen winnen. Die dagen kunnen ze gebruiken om zich voor te bereiden op het feit dat die data misschien publiek geplaatst gaan worden. Dus dan kunnen ze betrokken partijen al informeren of voorwerk doen.
Vanuit de KNVB zullen ze wel proberen de tanden op elkaar te houden?
Ik kan me voorstellen dat de KNVB dat doet, maar we zullen merken wat ze hierover naar buiten gaan brengen. Voor nu is het als buitenstaander afwachten.