Im vergangenen Jahr haben Cyberkriminelle ständig Medienunternehmen angegriffen. Genau diese Unternehmen sind für Hacker attraktiv.
Dit artikel is afkomstig uit Trouw. Elke dag verschijnt een selectie van de beste artikelen uit de kranten en tijdschriften op NU.nl. Daar lees je hier meer over.
Ineens ligt het complete systeem plat. De redacties, kantoren en kantine sluiten en medewerkers krijgen te horen dat zij voorlopig vanuit huis moeten werken. Dinsdag 20 december is een dag die medewerkers van de Britse krant The Guardian niet snel zullen vergeten. Hackers weten het systeem binnen te dringen. Om de schade zoveel mogelijk te beperken, schakelen ICT-medewerkers alle systemen en computers uit. Zij zorgen ervoor dat er de volgende dag in elk geval wel weer een krant is, en een gevulde website. Maar werken op de redactie of kantoor kan pas weer op 23 januari, schrijft de leiding in een memo.
The Guardian is volgens cijfers van NCC Group, het Britse moederbedrijf van het Nederlandse vooraanstaande cybersecurity bedrijf Fox-IT, één van 62 mediagroepen die het afgelopen jaar moest afrekenen met criminelen in hun ICT-systemen. Volgens Global Head of Threat Intelligence bij NCC Group Matt Hull zijn er „een aantal hackers en ransomware-bendes die zich recentelijk op mediagroepen hebben gericht, waaronder BlackCat, dat banden heeft met Rusland, LockBit en Hive,“ zo schrijft hij in antwoord op vragen.
Klantenbestanden publiceren
BlackCat, LockBit en Hive zijn groepen cybercriminelen die bedrijven, instellingen en overheden afpersen door ransomware of gijzelsoftware op computers te plaatsen. De getroffen organisatie kan dan niet meer functioneren. Criminelen bieden een sleutel aan om de gijzelsoftware te verwijderen, tegen betaling. Soms dreigen de criminelen om grote klantenbestanden op het darkweb te publiceren, het deel van internet dat niet zichtbaar is voor zoekmachines. Dat is bijvoorbeeld een zorg voor mediabedrijven. Zij hebben gegevens van lezers, luisteraars en kijkers.
„Mediabedrijven zijn over het algemeen een gewild doelwit omdat deze organisaties groot zijn“, zegt hoofd informatiebeveiliging Thomas Colyn van DPG Media, de uitgever van onder meer Trouw, de Volkskrant, Algemeen Dagblad, Nu.nl, Libelle en eigenaar van radiostation Q-Music. „Niet alleen wij zijn groot, dat geldt bijvoorbeeld ook voor Mediahuis (NRC en De Telegraaf) en Talpa en RTL. Er is in die bedrijven niet één mediamerk, maar een bundel van merken. Deze bundels bereiken een groot publiek, en dat maakt het voor hackers interessant om onze data te stelen.“
Prestige
Er zijn naast de omvang nog twee redenen waarom mediabedrijven aantrekkelijk zijn voor cybercriminelen. „Wij zijn heel zichtbaar“, zegt Colyn. „Dat speelt een rol bij wat men ‚price hacking‘ noemt. Als je een nieuwssite als Nu, Trouw of Volkskrant offline kunt halen, dan kun je als groepering zeggen: dat waren wij. Op het darkweb wordt daar soms over gesnoefd. Dat gebeurt ook als hackers televoting van een radio of tv-programma om zeep helpen. Dat soort acties op media zijn zichtbaar. Als hackers een groot logistiek bedrijf een paar uur onbereikbaar maken, dan zorgt dat voor minder ophef. Een mediabedrijf binnendringen is dus een vorm van reclame voor jezelf, van prestige.“
Dat stelt ook Hull van NCC Group. Hij voegt daar aan toe dat ’spraakmakende aanvallen kunnen helpen nieuwe hackers voor hun zaak te rekruteren‘.
Bedrijf stilleggen kost veel geld
De andere reden die Colyn noemt voor de aandacht van criminelen voor mediabedrijven is de combinatie van winstgevendheid en noodzaak om snel weer in de lucht te zijn. „Grote mediabedrijven in Nederland en België hebben mooie winstcijfers. Daarbij moeten mediabedrijven het hebben van een bepaalde snelheid van handelen. Wij kunnen onze processen geen week of twee weken stilleggen. Wij willen elke dag een krant publiceren of radio of tv maken, anders verliezen wij miljoenen. Dus hebben we de noodzaak om zo snel mogelijk terug te komen. De winstcijfers en de noodzaak om snel weer in de lucht te zijn, maakt van mediabedrijven ideale kandidaten voor ransomware.“
Weerloos zijn mediabedrijven niet tegen criminelen. Zij brengen allerlei vormen van bescherming aan. Ook is er informeel overleg tussen media- en andere bedrijven en het Nederlandse Nationaal Cyber Security Centrum van het ministerie van justitie over hoe je cybercriminelen het beste buiten kunt houden.
Toch lukte het criminelen om The Guardian te treffen. Vorig jaar september was RTL Nederland aan de beurt en eerder, in februari, News Corp van Rupert Murdoch. De Amerikaanse mediagigant kreeg te maken met een groep hackers die vermoedelijk een link heeft met de Chinese overheid. Het doel was om persoonlijke gegevens van journalisten in handen te krijgen.
Hacken door vijandige staten
Dat laatste gebeurt vaker. Volgens Hull was een aantal van de 62 mediagroepen die in 2022 getroffen werden door cybercriminelen slachtoffer van ‚door de staat gesponsorde activiteiten tegen mediagroepen en journalisten, mogelijk om de nieuws- en communicatie-infrastructuur van een land te verstoren. Maar de grootste motivatie bij deze aanvallen is bijna altijd financieel gewin.‘
De cybercriminelen kunnen op verschillende manieren binnenkomen. De meest gebruikelijke toegangsmethoden die hackers tijdens aanvallen gebruiken, zijn volgens Hull hergebruik van eerder gekraakte wachtwoorden en phishing-campagnes. Dat zijn vervalste mails met een link waarmee mensen onbedoeld schadelijke software downloaden.
Spil Rusland
Een belangrijke spil in de internationale cybercrime is Rusland. Diverse groepen voeren vanuit dat land aanvallen uit. Iets dat goed was te merken toen Rusland vorig jaar Oekraïne binnenviel. Het aantal aanvallen op bedrijven nam flink af, waarschijnlijk omdat Russische cybercriminelen de aandacht verlegden naar militaire doelen van Oekraïne en hun bondgenoten. „Vanaf september en oktober zien we weer een stijging van het aantal aanvallen“, zegt Colyn.
„Als aanvallen uit Rusland komen, doen de cybercriminelen niet eens moeite om dat te maskeren. Datzelfde geldt voor aanvallen vanuit andere landen waarmee geen internationaalrechtelijke afspraken zijn gemaakt. Welke personen er precies achter een aanval zitten, is nauwelijks te achterhalen. Dat laat direct zien hoe klein de pakkans is, terwijl er wel enorme winst valt te halen. Als je het aantal succesvolle cyberaanvallen optelt en vergelijkt met het bruto nationaal product van een land, dan zal het land ‚cyberaanvallen‘ de vierde grootste economie van de wereld zijn. Cybercrime is veel lucratiever dan de internationale drugshandel.“