Analyse-Russische ransomware-aanvallen op Oekraïne gedempt door lekken, verzekeringsellende

De waarschuwingen dat pro-Russische ransomware bendes netwerken in Oekraïne en zijn bondgenoten zouden platleggen, zijn tot nu toe uitgebleven wegens wanorde in de criminele onderwereld die vaak achter dergelijke aanvallen zit en de vrees dat verzekeraars niet zouden uitbetalen.

Conti, een van de beruchtste Russische cybercriminele groepen die bekend staat om het gebruik van ransomware om Amerikaanse en Europese bedrijven miljoenen dollars af te persen, kondigde vorige week aan "volledig achter de regering van president Vladimir Poetin te staan" - een standpunt dat zij later terugbrachten toen zij zelf het slachtoffer werden van een lek.

"Wij sluiten geen bondgenootschap met welke regering dan ook en wij veroordelen de voortdurende oorlog," zei de groep in een latere verklaring op haar website.

Uren later verscheen er een Twitter-account met de naam "ContiLeaks", dat naar eigen zeggen interne chatverslagen van de criminele groepering publiceerde.

De geheime chats waren uitgelekt door een Oekraïense cyberbeveiligingsonderzoeker, volgens Vitali Kremez, de chief executive van het in Florida gevestigde cyberbeveiligingsbedrijf AdvIntel, en Alex Holden, de oprichter van het in Wisconsin gevestigde Hold Security. Reuters kon de echtheid van het materiaal niet onafhankelijk verifiëren.

Kremez en Holden zeiden dat zij beiden contact hadden gehad met de onderzoeker, maar dat hij niet met de media wenste te spreken omdat hij nog in Oekraïne was.

Volgens Kremez had de onderzoeker al enige tijd toegang tot de logboeken, maar de aanleiding om ze openbaar te maken was het besluit van Conti om trouw te zweren aan Moskou toen Russische troepen Oekraïne binnenvielen.

"Hij was beledigd door wat zij zeiden," vertelde hij aan Reuters.

In de maanden die voorafgingen aan de invasie van Poetin in Oekraïne, waarschuwden Westerse inlichtingendiensten voor chaos door een vernietigende "spillover" van eventuele Russische cyberaanvallen op de nationale infrastructuur van Oekraïne.

Vorige maand was de Conti-groep betrokken bij geruchtmakende aanvallen op KP Snacks, een maker van populaire Britse hartige snacks, en op ten minste één olie-opslagbedrijf, waardoor sommige Europese olietransporten vertraging opliepen.

VERZEKERINGSWOEDE

Voor de zekerheid zei de voorzitter van de Amerikaanse senaatscommissie voor inlichtingendiensten, Mark Warner, dat de door de Verenigde Staten geïdentificeerde Russische top-hackgroepen - het A-team zoals hij het noemde - sinds de invasie niet meer voor een grote cyberaanval waren gebruikt. "Het lijkt er niet op dat ze geactiveerd zijn," zei hij maandag tegen Reuters.

Zondag heeft een tweede beruchte ransomware-bende, Lockbit genaamd, waarvan cyberbeveiligingsdeskundigen ook denken dat ze leden in Rusland heeft, een verklaring vrijgegeven waarin ze hun neutraliteit in het conflict met Oekraïne verklaren.

"Voor ons is het gewoon zakelijk en wij zijn allemaal apolitiek. Wij zijn alleen geïnteresseerd in geld voor ons onschadelijke en nuttige werk," zei de groep op haar website.

"Wij zullen onder geen enkele omstandigheid deelnemen aan cyberaanvallen op kritieke infrastructuren van welk land ter wereld dan ook, of ons inlaten met internationale conflicten."

Een van de redenen daarvoor zou een maas in de cyberverzekeringspolissen kunnen zijn.

Deskundigen en industry-watchers zeggen dat de meer geraffineerde digitale afpersingsbendes zich meestal richten op verzekerde organisaties, omdat de slachtoffers al een polis hebben om de uitbetaling te doen, waardoor ze minder geneigd zijn om te onderhandelen over een lager losgeld of weigeren te betalen.

Maar verzekeringspolissen hebben gewoonlijk uitsluitingen voor wat omschreven wordt als een "force majeure event" - zoals een oorlogsdaad.

Het juridische precedent over wat dat precies betekent is nog in ontwikkeling, maar een cyberaanval die opgeëist wordt door een bende die op één lijn staat met een oorlogvoerende mogendheid als Rusland zou gemakkelijk in die categorie kunnen vallen, aldus Holden van Hold Security.

"Bij ransomware-aanvallen bellen de meeste bedrijven hun ransomware-verzekeraar," zei hij. "U kunt zich voorstellen dat verzekeraars dan zeggen: 'overmacht' of 'dit is een geval van oorlogsvoering - wij zullen het niet dekken'."

Er zijn ook andere redenen. Veel bendes zijn lasergericht op het verdienen van geld en - zelfs als hun leden er niet in geïnteresseerd zijn Rusland te verlaten - zijn zij op hun hoede om de negatieve aandacht te trekken die hoort bij het openlijk heulen met een vijandige staat.

"Onze regering zou hen gaan aanmerken als vijandelijke strijders of terroristen," zei Holden.