Gehackt en gegijzeld: hoe MediaMarkt onderhandelde met ransomwarecriminelen
Kijkje achter de schermen

Gehackt en gegijzeld: hoe MediaMarkt onderhandelde met ransomwarecriminelen

19-03-2022 14:02 Laatste update: 21:21

Daniël Verlaan

Mediamarkt werd eind vorig jaar slachtoffer van een grote ransomware-aanval. Er werd twee weken lang onderhandeld met de criminelen. RTL Nieuws wist toegang te krijgen tot stevige onderhandelingen die bijna altijd geheim blijven.

Ransomware heeft een steeds grotere impact op onze maatschappij, maar er is maar weinig bekend over hoe deze cybercriminelen te werk gaan, hun werkzaamheden professionaliseren en slachtoffers onder druk zetten.

RTL Nieuws geeft voor het eerst een exclusief kijkje achter de schermen:

Computers gegijzeld

Het is maandag 8 november 2021 als de computers van de MediaMarkt opeens op slot gaan. Het bedrijf vraagt werknemers om de gegijzelde systemen te mijden en alleen maar producten te verkopen die fysiek in de winkel staan. Het afhalen en retourneren van producten is niet meer mogelijk.

De criminele hackers hebben een volgens de MediaMarkt 'zeer gerichte' aanval op de systemen uitgevoerd, waarbij er op grote schaal Windows-systemen zijn gegijzeld. Het gaat om de computers van de Europese vestigingen, waaronder 49 winkels in Nederland. 

'Kun je alsjeblieft reageren'

Diezelfde dag, nog voordat het nieuws over de ransomware-aanval bekend wordt, is de MediaMarkt al in gesprek met de cybercriminelen. Het bedrijf communiceert met de ransomwaregroep Hive, die sinds juni 2021 bedrijven en organisaties aanvalt en hun computers en bestanden gijzelt. Hive vraagt veelal miljoenen aan losgeld dat moet worden betaald in bitcoin. 

"Hallo en welkom bij Hive. Hoe kan ik je vandaag helpen?", staat er zodra de MediaMarkt een chat start met de cybercriminelen. Ransomwarebendes reageren vaak heel aardig, vertelt Pim Takkenberg van cybersecuritybedrijf Northwave. Hij onderhandelt voor zijn werk regelmatig met ransomwarecriminelen: "Als je netjes bent is de kans groter dat er wordt betaald dan dat je gelijk begint met schelden en afpersen. Je vangt meer vliegen met een lepel stroop dan met een vat azijn."

Links bovenin het scherm staat de naam van het slachtoffer: in dit geval MediaMarkt, de laatste jaaromzet en het aantal werknemers. MediaMarkt vraagt of er iemand aanwezig is, maar het blijft uren stil. "Kun je alsjeblieft reageren", vraagt iemand van MediaMarkt. "Ik zou graag het aanbod willen weten en hoe we de bestanden kunnen terugkrijgen."

De cybercriminelen vragen 50 miljoen euro aan losgeld.

Dit is Hive, de beruchte ransomwaregroep

Veel ransomwaregroepen hebben tijdens de pandemie geen ziekenhuizen aangevallen, maar Hive niet. Het maakt Hive berucht binnen de cybercriminele wereld. Afgelopen augustus gijzelden de cybercriminelen drie Amerikaanse ziekenhuizen waardoor chirurgische ingrepen en radiologische onderzoeken moesten worden geannuleerd.

De ransomwaregroep beschikt over zijn eigen website op het dark web, het verborgen deel van het internet, waar slachtoffers naartoe kunnen gaan om contact te krijgen met de cybercriminelen. Dat is nu heel normaal, legt Takkenberg uit: "Er zitten inmiddels grote criminele organisaties achter ransomwareaanvallen, en die hebben vrijwel allemaal een eigen omgeving waar slachtoffers met hen in contact kunnen komen."

De inloggegevens die nodig zijn om met Hive te chatten staan op elke gegijzelde computer: een tekstbestand op de desktop. "Je netwerk is gehackt en alle data is versleuteld", zo staat in het tekstbestand. "Om weer toegang te krijgen tot alle data moet je onze decryptiesoftware aanschaffen." Dan reageert Hive na vier uur opeens weer: "Om je bestanden weer toegankelijk te maken moet je 50 miljoen dollar in bitcoin betalen."

Dit zagen medewerkers van MediaMarkt op hun computer.

Gratis een paar bestanden testen

De MediaMarkt vraagt hoe het zeker kan zijn dat het bedrijf daadwerkelijk al zijn bestanden terugkrijgt. Dan stelt Hive voor dat het een paar bestanden opstuurt die  gratis toegankelijk worden gemaakt, als een soort bewijs dat Hive wel degelijk de sleutel tot al die gegijzelde bestanden heeft. De Hive-website op het dark web heeft er een speciale sectie voor.

"Bij een ontvoering heb je de foto met een krant met de juiste datum erop als bewijs, bij ransomware heb je het ontsleutelen van een paar bestanden", legt Takkenberg uit. "Deze criminelen vinden dat ze je een dienst verlenen, ze leggen kwetsbaarheden in je systemen bloot en eisen daarvoor geld. Het is voor hen gewoon een soort businessmodel."

Aan de rechterkant van de website verschijnt dan het aanbod: 50 miljoen dollar. Het adres waar de bitcoins naartoe moeten staat erbij. Ook staat er een knop om software te downloaden die de computers weer toegankelijk maakt, maar je kunt pas op de knop drukken als er is betaald. De hoogte van het losgeld berekenen criminelen meestal op zo'n 2 procent van de jaaromzet. Takkenberg: "Maar vaak kun je er nog wel 25 tot 50 procent van de prijs vanaf praten."

"We kunnen je niet vertrouwen dus besluit maar: of je geeft ons een redelijk aanbod of je krijgt helemaal geen geld", stelt de MediaMarkt. "De schade is nu toch al aangericht. We kunnen 50 miljoen dollar bij lange na niet betalen. Dat een bedrijf een hoge omzet heeft betekent ook niet dat we zoveel winst maken." Hive vraagt dan aan MediaMarkt wat het bereid is te betalen.

Zo ziet de 'helpdesk' van Hive eruit.

Waar komen ransomwarecriminelen vandaan?

Het grootste deel van de ransomwarecriminelen komt uit Rusland of een voormalig Russische staat, vertelt Takkenberg: "Ongeveer 75 procent van al het losgeld gaat naar Russisch sprekende landen. De criminelen adverteren vaak op Russische fora, zoeken veelal Russisch sprekende medewerkers en ze vallen geen Russische landen aan. Simpel gezegd: de Russische overheid laat je met rust als je geen Russische staten aanvalt."

Stiekem meelezen

Het blijft een paar dagen stil. Dan zegt de MediaMarkt dat het 'geen aanbod' kan doen omdat het bedrijf nog een aantal vragen heeft. Allereerst: hoe is Hive binnengekomen en ontvangt het, als er wordt betaald, een 'gedetailleerde samenvatting' hoe het bedrijf is gehackt om de digitale gaten te dichten? De MediaMarkt vervolgt: "De directie geeft niet echt om de privégegevens van onze klanten of werknemers. We zouden graag een voorbeeld zien van welke data ons in de problemen zouden brengen als jullie het zouden publiceren. Als jullie deze informatie delen, denken we na over een aanbod."

Als de MediaMarkt er op 11 november achter komt dat onbevoegden mogelijk stiekem meelezen met de onderhandelingen, vraagt het aan Hive of er een nieuwe gebruikersnaam en wachtwoord kan worden aangemaakt. Deze gegevens worden gestuurd naar een speciaal door MediaMarkt aangemaakt e-mailadres. De onderhandelingen worden vervolgens voortgezet.

Het losgeld werd verlaagd naar 108 bitcoin, nog altijd ruim 6 miljoen euro. Met een druk op de knop kun je het aanbod van de cybercriminelen accepteren. Na de betaling kun je de sleutel downloaden.

Backups herstellen

De MediaMarkt benadrukt dat het niet aan de losgeldeis van Hive kan voldoen: "Door corona en de winkels die moesten sluiten hebben we niet het geld om dit bedrag te betalen." Ook zegt het bedrijf in gesprek te zijn met de verzekeraar om te kijken of de losgeldbetaling kan worden vergoed. Er wordt gevraagd hoe Hive kan helpen bij het toegankelijk maken van de gegijzelde computers en of het nog steeds toegang heeft tot het netwerk. 

Op de achtergrond is de MediaMarkt druk bezig om backups terug te zetten. "Wij hebben op volle kracht gewerkt om de getroffen systemen te identificeren en volledig te herstellen", stelt een woordvoerder van het bedrijf. Meer wil het bedrijf niet over de aanval kwijt: "Voor ons is de zaak opgelost en wij zullen geen verdere mededelingen doen."

Een paar dagen later vertelt MediaMarkt aan Hive dat het bezig is om de backups te herstellen en vraagt of het een lager bedrag kan betalen als Hive maar een deel van de gegijzelde computers weer toegankelijk maakt. Dan komt op 22 november het laatste bericht van de MediaMarkt: dat het bijna alle systemen heeft hersteld, en wat Hive nu een redelijk bedrag vindt om te betalen voor de laatste gegijzelde computers. 

"Hoe gaat het ermee", vraagt Hive na een aantal dagen stilte. Het blijft stil. 

De criminelen van Hive doen nog één laatste poging.

Hoe vaak wordt er betaald?

Dat is lastig te zeggen. Volgens Chainalysis, dat Bitcoin-transacties in de gaten houdt, is er vorig jaar voor zo'n 600 miljoen euro aan losgeld betaald. Takkenberg ziet wel een dalende trend van bedrijven die betalen: vorig jaar was het nog 80 procent van de getroffen bedrijven die bij Northwave aankloppen, nu telt dat aantal ongeveer 60 procent. 

In de media lees je vaak de verhalen van bedrijven en organisaties die weigeren te betalen, degenen die betalen willen dat liever niet naar buiten brengen. RTL Nieuws meldde eerder dat RTL Nederland 8500 euro aan losgeld heeft betaald aan de criminelen achter de ransomwareaanval afgelopen september.

Een laatste poging

Hive voegt MediaMarkt toe aan zijn lange lijst met slachtoffers die niet hebben betaald. De namen staan verzameld op een website op het dark web. Als er ook gevoelige gegevens zijn gestolen, kun je die daar downloaden. Bij sommige bedrijven zie je kopieën van paspoorten van werknemers, contracten met andere organisaties en andere bedrijfsgeheime informatie. 

Bij MediaMarkt staat er geen downloadknop voor gegevens: de bevestiging dat Hive alleen bestanden heeft versleuteld en ze niet ook nog heeft gestolen. "Daarmee missen de criminelen een belangrijk middel om druk uit te oefenen", vertelt Takkenberg. "Je ziet dat er regelmatig wordt betaald omdat het bedrijf bang is dat zeer gevoelige data uitlekt die grote imagoschade kan opleveren. Maar als je voldoende backups hebt en er is geen data gestolen, dan is de beste optie om niet te betalen."

MediaMarkt heeft geen losgeld aan de cybercriminelen betaald. Begin december, als het al twee weken stil is geweest, doet Hive een laatste poging om toch nog geld van MediaMarkt te krijgen: "Kijk, als je nog steeds toegang nodig hebt kunnen we er echt wel over praten."