Twee medewerkers van gerenommeerde cybersecuritybedrijven hebben schuld bekend aan ransomware-aanvallen op bedrijven. Ze incasseerden miljoenen dollars, waaronder meer dan een miljoen van een ziekenhuis in Florida. De zaak roept pijnlijke vragen op over interne veiligheid in de beveiligingsbranche.
Het klinkt als een slechte film: de experts die bedrijven moeten beschermen tegen cyberaanvallen, blijken zelf de daders. Toch is het bitter ernst. Twee voormalige werknemers van cybersecuritybedrijven hebben toegegeven jarenlang ransomware-aanvallen te hebben uitgevoerd, waarbij ze miljoenen dollars afpersten van slachtoffers. “Stropers zijn de beste boswachters,” luidt het gezegde, maar dit verhaal laat zien dat sommige boswachters stiekem gewoon blijven stropen.
Van verdediger naar aanvaller
De twee verdachten waren niet zomaar IT’ers. De ene werkte als incident response-supervisor bij Sygnia Consulting, een bedrijf dat gespecialiseerd is in het bestrijden van cyberaanvallen. De andere was ransomware-onderhandelaar voor DigitalMint, een functie waarbij je juist bemiddelt tussen slachtoffers en criminelen. Beiden zaten dus in een positie waarin ze dagelijks met de mechanismen achter ransomware-aanvallen te maken hadden – en maakten daar blijkbaar dankbaar gebruik van.
Volgens gerechtelijke documenten, waar persbureau Bloomberg toegang toe kreeg, hebben beide mannen schuld bekend aan “samenspanning om de handel te dwarsbomen via afpersing”. Een derde persoon zou bij de aanvallen betrokken zijn geweest, maar wordt in de stukken nog niet bij naam genoemd. Of deze persoon ook in de cybersecurity-wereld actief was, is vooralsnog onduidelijk.
Medisch bedrijf voor miljoenen gegijzeld
De aanvallen die de mannen uitvoerden, waren bepaald niet kleinschalig. In één geval wisten ze meer dan een miljoen dollar in cryptocurrency af te persen van een medisch bedrijf in Florida. De werkwijze was klassiek maar effectief: ze versleutelden alle bedrijfsdata en gaven die pas vrij nadat het losgeld was betaald.
Voor een zorginstelling is zo’n aanval extra ingrijpend. Patiëntendossiers, afsprakenplanningen, medische systemen – alles kan platliggen. De druk om te betalen is dan ook enorm, zeker wanneer levens potentieel in gevaar zijn. Dat de daders precies wisten hoe ze deze druk moesten opvoeren, is veelbetekenend. Hun dagelijkse werk gaf hen immers een uniek inzicht in de zwakke plekken van organisaties en de psychologie achter ransomware-onderhandelingen.
Banden met Russische ransomware-groep
De twee cybersecurity-professionals werkten niet in hun eentje. Ze gebruikten ransomware-software van ALPHV BlackCat, een berucht programma dat wordt ontwikkeld door een groepering met vermoedelijke Russische banden. In ruil voor het gebruik van de software deelden ze hun “inkomsten” met de ontwikkelaars – een veelvoorkomend verdienmodel in de ransomware-industrie, bekend als Ransomware-as-a-Service (RaaS).
Dit businessmodel maakt het voor criminelen steeds makkelijker om aanvallen uit te voeren, ook zonder diepgaande technische kennis. Maar in dit geval hadden de daders díe kennis juist wel, wat hun aanvallen waarschijnlijk des te effectiever maakte.
Werkgevers: “We wisten van niets”
DigitalMint, de werkgever van een van de verdachten, haastte zich om afstand te nemen van de zaak. In een verklaring benadrukte het bedrijf dat de aanvallen “buiten werktijd” plaatsvonden en dat zij totaal niet op de hoogte waren van de criminele activiteiten. De werknemer in kwestie is inmiddels ontslagen.
Het is een begrijpelijke reactie, maar roept wel vragen op. Hoe kon een ransomware-onderhandelaar – iemand die dus professioneel met criminelen communiceert – jarenlang zelf criminele activiteiten ontplooien zonder dat dit opviel? Had het bedrijf geen mechanismen om verdacht gedrag te detecteren? En wat zegt het over de screening en monitoring van personeel in een sector die draait om vertrouwen?
Ook Sygnia Consulting heeft zich nog niet inhoudelijk uitgelaten over de zaak, al is de reputatieschade voor beide bedrijven aanzienlijk. Klanten die hun meest gevoelige systemen toevertrouwen aan cybersecurity-experts, willen zekerheid dat die experts integer zijn. Deze zaak ondermijnt dat vertrouwen op pijnlijke wijze.
Een wake-up call voor de sector
Het verhaal van de twee cybersecurity-professionals die zelf ransomware-aanvallen uitvoerden, is niet alleen schokkend vanwege de directe schade die ze aanrichtten. Het legt ook een fundamenteel probleem bloot in de beveiligingsbranche: wie bewaakt de bewakers?
Cybersecurity-experts hebben per definitie toegang tot gevoelige informatie en diepgaande kennis over kwetsbaarheden. Dat maakt hen waardevol, maar ook potentieel gevaarlijk. Bedrijven in deze sector zullen na deze zaak ongetwijfeld hun interne controlemechanismen tegen het licht houden. Achtergrondchecks, gedragsmonitoring, strikte scheiding van taken – het zijn allemaal maatregelen die nu extra aandacht zullen krijgen.
Voor consumenten en bedrijven die afhankelijk zijn van cybersecurity-diensten, is de boodschap minder geruststellend. Je kunt de beste beveiliging inkopen, maar als de experts zelf niet te vertrouwen zijn, waar sta je dan? Het antwoord ligt waarschijnlijk in transparantie, onafhankelijke audits en een cultuur waarin integriteit net zo belangrijk wordt gevonden als technische expertise.
Of deze zaak een incident is of het topje van een ijsberg, zal moeten blijken. Voorlopig is één ding zeker: het vertrouwen in de cybersecurity-sector heeft een flinke deuk opgelopen.
