RTL Nederland betaalt hackers 8500 euro na ransomwareaanval

RTL Nederland heeft 8500 euro aan cybercriminelen betaald nadat de organisatie slachtoffer werd van een ransomewareaanval. De systemen konden volgens RTL Nederland worden hersteld door middel van back-ups, maar er is besloten om de aanvallers ook te betalen.

RTL Nieuws meldt dat het is ingegaan op de eis van cybercriminelen om omgerekend 8500 euro aan bitcoin te betalen aan de criminelen achter de aanval. Dat terwijl de organisatie de geïnfecteerde systemen kon herstellen met back-ups. Volgens RTL is er geen data buitgemaakt.

Begin deze maand kwamen er berichten naar buiten dat de computersystemen van RTL Nederland getroffen zouden zijn door ransomware. RTL Nederland bevestigt nu dat op 9 september een ransomwareaanval werd ontdekt op het kantoor van RTL in Hilversum. Het redactiesysteem van RTL Nieuws en het systeem om advertenties in te plannen werden getroffen door de aanval. Het zou gaan om de CryTOX-ransomware.

RTL Nederland-cto Giovanni Piccirilli zei in een verklaring tegenover RTL Nieuws: "We hebben onmiddellijk besloten om onze systemen te isoleren om verdere aantasting te voorkomen. We hebben alles kunnen herbouwen met eigen schone back-upsystemen." Volgens Piccirilli was de situatie binnen een 'aantal dagen' onder controle.

Volgens bronnen die bezig zijn met het onderzoek naar de aanval is het geëiste losgeld betaald om zo opsporing van de daders mogelijk te maken. De bitcoinbetaling zou een spoor naar de daders kunnen zijn. De politie adviseert juist om niet in te gaan op geldeisen van criminelen, omdat dit het verdienmodel in stand houdt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Redacteur

23-09-2021 • 19:30

71 Linkedin

Submitter: wildhagen

Reacties (71)

Wijzig sortering
Waarom zou je ze dan betalen? Als ze geen toegang meer hadden, geen data?

Er zit hier echt 0,0 logica in. Of ze vertellen het hele verhaal niet.

Het verhaal om het geld te volgen is ook niet logisch, en dat meld je publiek, dus die 8500 euro is zojuist verdampt.

[Reactie gewijzigd door slijkie op 23 september 2021 19:35]

Het verhaal om het geld te volgen is ook niet logisch, en dat meld je publiek, dus die 8500 euro is zojuist verdampt.
Opsporing is evt mogelijk niet adhv die 8500 euro maar adhv de transactie daarvan, en die kan je niet laten verdwijnen.
Er zijn slechts weinig firma’s die dergelijke opsporingen doen. De software is erg duur. Eén van de toppers op dit moment is Chainalysis en daar mag je qia licentie rekenen op ongeveer 30 000 euro per jaar per gebruiker voor BTC en ETH analyse.

De FBI gebruikt het. Die gaan zich niet bezighouden met een dergelijke kleine buitenlandse zaak.

Dan heb je firma’s zoals Cipherblade. Die starten pas cases vanaf 100K gestolen crypto. Ze vragen 500 euro per uur. Analyse kost minimum 10 uur.

Er is op dit moment dus een groot gat in de markt voor cybersecurity wat betreft ‘kleine’ gestolen bedragen in crypto (kleine = minder dan 25K).

Klacht indienen bij de politie kan altijd maar er gaat helaas veel geld naar trajectcontroles en flitscamera’s maar veel te weining naar opleiding binnen cybersecurity. De computer crime units zijn veel te klein en beperkt in de meeste landen. Er is dus ook geen afschrikeffect voor cybercriminelen.
RTL is een mediabedrijf dus ik zou mij kunnen voorstellen dat deze (mogelijke) boevenjacht straks gewoon als een tv-programma wordt uitgezonden. Ik denk dat zo'n programma best nog wat kijkers zou kunnen trekken. Kortom, het betalen van de hackers en het beveiligingsbedrijf dat de opsporing doet, komt dan gewoon uit het programmabudget.
RTL is een mediabedrijf dus ik zou mij kunnen voorstellen dat deze (mogelijke) boevenjacht straks gewoon als een tv-programma wordt uitgezonden
Hoe denk je dat dit in de praktijk werkt? Een van de redenen waarom ransomware zo'n probleem is is omdat de pakkans uitermate laag ligt helaas. De bendes opereren internationaal en veelal vanuit landen waar geen uitleveringsverdrag bestaat. Daarbij is opsporing an sich al heel erg moeilijk. Van de grote groepen is nog steeds niet bekend wie het zijn. Daarbij zal opsporing niet meewerken aan zo'n programma vermoed ik omdat het zich niet in de kaarten wil laten kijken.
John van den Heuvel vind t vast een uitdaging ;)
Tv is slechts een venster naar de waarheid die men wil laten zien. Als opsporing zich niet in de kaarten wil laten kijken, laten ze gewoon dingen weg of houden ze zaken in het midden. Het zal geen documentaire worden.

Ik snap dat opsporing moeilijk zal zijn, maar een Bitcoin-trail is een mooi begin. :)

@NLAnaconda En inderdaad: John van den Heuvel staat vast al klaar. :+
Dat is best een slim idee Fred!
Het is inderdaad peanuts voor RTL NL. Zowel de betaling als de hier genoemde kosten. Eerlijk? Als ik CTO was van een dergelijk groot bedrijf en ik had alles terug kunnen krijgen uit backups... dan had ik ook nog die 8500 betaald. Waarom? niks zo vervelend als erachter komen dat je backups net niet ver genoeg terug gingen en het hele feest begint opnieuw. dan kun je beter de decrypter hebben.

En voor de rest kan dit (jouw opmerking) best wel eens de invalshoek zijn. Wie weet zit er een leuk programma in, ongeacht of je de daders vindt. En dan is 30K+8.5K een niet zo grote investering.
Wat is de garantie dat jij die van criminelen krijgt, daarnaast maakt dat RTL ook een criminele organisatie in mijn ogen.
Er is natuurlijk geen enkele garantie dat je de decrypter van de criminelen krijgt, maar aan de andere kant: dit is wel hun verdienmodel. Als zulke criminele organisaties zich laten betalen en dan de decrypter niet prijsgeven, dan zullen toekomstige 'klanten' ook niet meer zo snel geneigd zijn om te betalen.
en zelfs dan krijg je enkel wallet adressen. Als die wallets niet op een KYC platform zitten dan kan je er vaak nogsteeds weinig mee.

En dat gat is er niet helaas, er zit gewoon veel te veel tijd in en niet genoeg werk.
Experts rekenen makkelijk 5-6k aan om enkel maar te kijken wat het probleem is (welke ransomware etc).
Als er betaald moet worden dan worden daar weer andere bedrijven voor ingeschakeld, er moeten checks worden gedaan bij internationale lijsten (zodat je niet per ongeluk ISIS of Noord Korea financieert), daar zit ook weer makkelijk een paar K aan verbonden.

Voordat je goed en wel klaar bent met het initieel onderzoek zit je snel op 7-8k en dan is nog geen BTC aan ransom betaalt. Daarna moet je dus die experts gaan betalen om te zoeken waar ze geld voor vragen. en als ze dan eindelijk vinden om wie het gaat, doet de politie er geen zak mee want ze weten niet wat ze ermee moeten. die gasten zitten in Rusland, Zuid Amerika, China etc.

nee, als het om 'kleine' scams/ransomware gaat dan is het geld simpelweg verdwenen en is het beter om dat te accepteren. verzekeringen zijn echter wel bezig om sommige schade te dekken dus misschien dat daar in de toekomst verandering in komt

source: ik werk voor een cybersecurity bedrijf dat dagelijks met ransomware te maken heeft
De Nederlandse politie lijkt ook Chainalysis te gebruiken, zie: https://jjoerlemans.com/2...entieoverzicht-juni-2020/
Het 'verdienmodel' voorziet dus ook de uitvoerders van legale activiteiten van een flinke beloning. }>
Opsporing is evt mogelijk niet adhv die 8500 euro maar adhv de transactie daarvan, en die kan je niet laten verdwijnen.
Dan zou je het hele bedrag niet hoeven te betalen. Wel betalen om te roepen "we gaan jullie opsporen" klinkt niet heel slim. Daarbij heb ik twijfels over de hoogte van het losgeld bedrag. Dit is echt laag, zeker voor de meer georganiseerde ransomware aanvallen waarbij de hoogte afhangt van de draagkracht.
Misschien dat het herstellen dmv backups tijd kostte, en het betalen van een relatief klein bedrag weer sneller toegang gaf tot de data?
Zodra je betaald beloon je de gijzelaars. Dat werkt dus meer ransomware aanvallen in de hand. Ik weet niet hoe moeilijk het is om dit without a trace op te nemen. Maar mogelijk is natuurlijk dat er een geld ezel tussen zit die verder van niks weet.

Dan kom je waarschijnlijk weinig verder en heb je wel betaald en het uiteindelijke doel van de gijzelnemers verwezenlijkt.

Ik vind persoonlijk dan ook raar dat er betaald is als men toch via backups prima kon herstellen.

Mochten mijn aannames toch onjuist zijn dan hoor ik het graag in een reply (worden we allemaal beter van ✌️)
Gewoon een briefje ophangen; "We zijn overgestapt op Linux". :P
Dat helpt (not)

https://phoenixnap.com/blog/linux-ransomware

Dat Linux geen target en helemaal veilig is, een allang doorgeprikte illusie.

[Reactie gewijzigd door hansotten op 24 september 2021 09:01]

Natuurlijk is het niet onmogelijk om troep op Linux te krijgen.
Geen enkel OS kan je beschermen tegen trojans omdat die afhankelijk zijn van de menselijke factor.
Echter gezien betere defaults dan Windows met minder troep dat out of de box draait is het in de praktijk wel veiliger.

MITS goede wachtwoorden en je de updates bij houd.
En voor servers dat je brute-force beveiliging hebt zodat ze het oneindig kunnen blijven proberen

[Reactie gewijzigd door hackerhater op 24 september 2021 10:00]

Linux:
-Heeft betere defaults
-Is modulairder
-Iedereen kan in de code kijken
Allemaal redenen waarom Linux gemiddeld veiliger is (als de markt 50% Linux zou zijn, en 50% Windows).
Bij Windows is het altijd geweest: nieuwe features zijn belangrijker dan security. Logisch dat Microsoft zo denkt, want als je OS meer kan (en er meer softwarepakketten voor zijn), krijg je ook meer klanten.
Alsnog zijn er zat features die node worden gemist in Windows (zoals een snellere repeteerbaarheid van keystrokes en een kolom 'Map grootte' e.d. in de verkenner).

[Reactie gewijzigd door kimborntobewild op 25 september 2021 18:54]

De vraag is hoe vers deze backups zijn en of deze bakups nog wel te vertrouwen zijn. Aangezien er ransomsoftware geinstalleerd was zou het zo maar kunnen zijn dat deze software er al een tijdje in het systeem zat.
Geldt natuurlijk ook voor het ontsleutelde netwerk na betaling. Hoe weet je 100% dat er niets iets is toegevoegd.
0Anoniem: 100047
@jpsch24 september 2021 10:16
Niet ;) Zaken met criminelen is nooit een goede optie.
Als ze liegen hebben ze grotere problemen bij de AP.
Uiteindelijk is 8500 EUR is super klein bedrag en is het misschien meer een "achja, better safe than sorry" verhaal
Ik vind 8500 euro sowieso (te) weinig. Misschien hadden de aanvallers niet door wie ze te pakken hadden?
Ze hebben waarschijnlijk goed onderhandeld over de prijs.
Ik kan wel makkelijk wat redenen verzinnen waarom het toch een logisch verhaal kan zijn.

De backups hoeven niet volledig te zijn.
Als je nachtelijke backups hebt mis je een dag.
Als je backups hebt van de belangrijkste folders en databases, kun je altijd nog wat directories of systemen missen.
Dus dan hebben ze misschien het gros teruggezet uit backups, en kleinere delen niet.

Het kan ook zijn dat ze initieel hebben betaald, maar later besloten dat ze het toch niet aandurfden verder te werken met hun geunlockte systemen (bijvoorbeeld omdat een security consultancy bedrijf ze dat afraadde).
Inderdaad, totale onzin. Kunt voor opsporing (als dat al lukt) ook 1 cent overmaken in crimicoin..

Het lijkt er overduidelijk op dat ze gewoon betaald hebben en zo de data teruggekregen hebben.
De criminelen hebben vast een nieuwe wallet aangemaakt om dit geld te ontvangen. Als er iemand 1 cent overmaakt gaan ze natuurlijk geen moeite doen om dat wit te wassen en raken ze die wallet nooit meer aan. Het lijkt inderdaad dat ze hebben betaald om de data terug te krijgen. Spijtig.
Ransomware is echt een professionele industrie. Uiteraard zal er altijd een oppertunist zijn die her en der toe zal slaan, maar er zitten ook echt professionele organisaties achter, die soms maanden onderzoek doen om zo de marktwaarde van hun slachtoffer vast te kunnen stellen.

Daarbij moet ook gemeld worden dat de ransomware tegenwoordig niet uitsluitend is het decrypten van je data. Als dat het geval is, is inderdaad zoals je aangeeft het terugzetten en vertrouwen op je backupdata genoeg.

Er zijn nog 2 scenarios die tegenwoordig aangetroffen worden:
* Het versleutelen van je data, plus de dreiging dat je bepaalde gegevens publiceert. (extortion)
--> in dit geval heb je dus weinig aan je eigen backups, als hiermee gevoelige data op straat komt te liggen (denk aan persoonlijke info, HR systemen, contractafspraken, eigen fraudeinformatie, etc)

* Het versleutelen van je data, plus het extorten van een 3rd party, zoals klanten die in eveneens met (gevoelige) data in het lek staan.

Er zijn dus meer scenarios denkbaar waarbij het betalen in het geval van ransomware een goed businessmodel is, ook al heb je goede backups.
Dat RTL het hele verhaal niet verteld lijkt me wel logisch. Liegen is natuurlijk gewoon orde van de dag.

Zal wel iets te maken hebben met imago, aandeelhouders of onderzoek.

Voor zo'n groot bedrijf is 8500 euro minder dan €8,50 voor mij. Dat betaal ik ook wel om mijn backups iets makkelijker te maken en te kijken wat er daadwerkelijk gebeurt.
...vanwege imago...
Dat is eigenlijk ook een zichzelf in stand houdende mythe. Alsof je image wordt aangetast dat er is 'ingebroken'... maar nee - liegen lijkt dan beter... 8)7 Waarbij het vervolgens meer vragen oproept en daarmee de geloofwaardigheid aantast. Terwijl dat nu juist het belangrijkste zou moeten zijn.
Maar omdat 'we' allemaal liegen is het normaal om deze route te kiezen....waanzin. |:(

Belangrijkste is toch: er was wat mis maar het is opgelost?

Aandeelhouders iets anders voorhouden dan werkelijk is gebeurd is daarbij ook nog strafbaar.
Voor zo'n groot bedrijf is 8500 euro minder dan €8,50 voor mij. Dat betaal ik ook wel om mijn backups iets makkelijker te maken en te kijken wat er daadwerkelijk gebeurt.
Teveel mensen hebben geen principes... dáárom hebben we die ransomeware-criminelen! Als niemand ooit ene cent zou betalen aan die criminelen, zouden ze er niet zijn - behalve als het gaat om vandalisme of terrorisme; maar dan maakt 't niet uit of het wel of niet ransomeware betreft en maakt het niet uit of je wel of niet betaalt. Je moet dus gewoon nooit betalen. Dat gaat niet gebeuren zolang het legaal is te betalen. Dus moet er een wet komen die het verbiedt te betalen aan ransomeware-criminelen.
8500 euro…. dat is weinig.
Maar goed, dat is een bedrag waarvan een bedrijf niet over valt, goedkoper dan een handjevol consultants het probleem laten oplossen.

[Reactie gewijzigd door sokolum01 op 23 september 2021 19:57]

Het bedrag is dermate laag dat je je mag afvragen of het klopt en of hier wel een van de bekendere / grotere ransomware groepen achter zit. Heel geloofwaardig is het niet.
Nou ja dit is wel hoe je ermee wegkomt.
Ik zou als RTL niet slechter slapen, ze hebben in principe voor 8500 een security pentest gehad, een best redelijke prijs en nu zullen ze voortaan altijd op security letten.

Als baas zou ik bijna mensen inhuren en zeggen dat ze de 8500 euro krijgen nadat het systeem plat licht.
Lijkt wel een actie van een of andere scholier die 8500 euro heel veel geld vindt? Voor een “pro” hacker kan dit niet eens uit lijkt me..
Dat idee had ik ook. Welk weldenkend mens neemt nou dit risico voor een fooi van 8500? Dat is net aan 2x een modaal maandsalaris...
Eh wordt er in Nederland zo veel verdiend dan?? 4200 netto modaal?

(Ik neem immers niet aan dat de dief deze "werkzaamheden" bij de belastingdienst gaat opgeven :') )

Ik vind het ook heel vreemd laag hoor, maar het is denk ik wel 4x modaal maandsalaris.

[Reactie gewijzigd door GekkePrutser op 23 september 2021 23:32]

De meeste aanvallers vallen geen bedrijven in hun eigen land aan, om de opsporing te bemoeilijken.
In andere landen zal zo'n bedrag wellicht eerder 'rendabel' zijn.
Al blijft het bizar laag, mogelijk hadden ze niet door wat voor grote speler ze geraakt hadden. Nog een argument dat het geen Nederlandse aanvaller is...
Boel werkt nog steeds niet goed volgens mij. Zo zijn de uitzendingen van rtlz voorbeurs en rtlz niet meer terug te vinden in de app en website. Ging tot hack probleemloos. Nog wat werk te verzetten......ook webinair met Willem middelkoop geannuleerd ik neem aan met dit als oorzaak jammer
De RTL XL plus app op mijn samsung TV doet het sinds de hack ook niet lekker. Eerst kwamen er geen nieuwe programma's meer bij. Vervolgens werkte inloggen niet meer. Had je de juiste login en ww, dan kwam je weer terug op het welkomstscherm met de melding in te loggen.
Op dit moment (gister voor het laatst gekeken) kom je wel door de login heen, maar loopt de boel vast en verschijne er geen tumbnails van de programma's.

De oude RTL app die het tot de hack nog gewoon deed meldt nu dat deze app niet meer ondersteunt word.
Naar eigen zeggen heeft RTL het geëiste losgeld toch betaald om zo opsporing van de daders mogelijk te maken.
Dit soort statements zijn vragen om problemen denk ik. De volgende aanval zal wellicht minder "vriendelijk" zijn. De hoogte (of eerder gezegd de laagte) van het losgeld valt op maar ook dat het hele bedrag betaald zou zijn met als enige doel opsporing mogelijk te maken. Of gaat het hier om een betaling zodat de aanvallers het doelwit met rust laten?
€8500 is echt een schijntje gezien hoe kapitaalkrachtig RTL is en leidt inderdaad tot vermoeden dat het of een bewuste actie van RTL is, of de crimineel snapte niet hoeveel de ransomware hem/haar op had kunnen leveren.

Aangezien in het criminele circuit er hele ransomware economics bestaan, dat wil zeggen degene die de exploit misbruikt om toegang te krijgen tot het netwerk allang niet meer dezelfde persoon is die de ransomware besmetting op het netwerk plaatst, en dan heb je toch al snel met een verdienmodel waar dit bedrag niet echt lonend is denk ik. En het is ook niet dat RTL dit soort keuzes zelf maakt, die volgen Fox IT of een andere beveiligingsfirma.

Hopelijk leidt het tot arrestaties.
Volgens bronnen die bezig zijn met het onderzoek naar de aanval is het geëiste losgeld betaald om zo opsporing van de daders mogelijk te maken.
Yeah right, als dat onderzoek nog loopt dan heeft het toch geen enkel nut om dit nu bekend te maken?
8500euro :X wat een nephackers.
8,5K creditcard fraude daar komt de politie niet eens voor langs, laat staan als het nu een crypto betaling is. Daarnaast is 8,5k een schijntje voor vrijwel elk bedrijf van deze grote en is niet eens het afwegen waard voor een CTO/CSO.

Ook is er een andere mogelijkheid, er zijn onder de radar best wat criminelen welke 0 verstand hebben hiervan maar op het Darkweb een HaaS (hack as a service) kunnen bestellen, dat is in feite een groot visnet welke random een bedrijf kan infecteren met bijvoorbeeld Ransomware, het lijkt erop dat ze hier "geluk" hebben gehad door een redelijk groot en bekend bedrijf te treffen.
Wie zet er nou zijn vrijheid op het spel voor een grote ransomaanval op zo'n grote organisatie als RTL en vraagt dan om 8500 euro :? Dat is een kwart bitcoin ofzo.

Doet me denken aan die scene uit Austin Powers waarin jaren '70 Dr. Evil naar de toekomst reist en de VN in de jaren 2000 belt en ze vraagt om 1 miljoen dollar en iedereen in lachen uitbarst omdat dat bedrag zo weinig waard is geworden :')

[Reactie gewijzigd door GekkePrutser op 23 september 2021 23:37]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee