Tussen 2019 en juli 2022 heeft de Nederlandse politie 353 meldingen van ransomware-aanvallen ontvangen. Bij 51 aanvallen bleek dat er daadwerkelijk data was gestolen door hackers. In 73 gevallen was hoogstwaarschijnlijk geen data buitgemaakt. Een op de vijf slachtoffers betaalt losgeld als er gegevens zijn gestolen.
Dat schrijft Cyberveilig Nederland in de whitepaper ‘Data-exfiltratie bij een ransomware-aanval’ over data-exfiltratie in Nederland. Dat is een samenwerkingsverband tussen het Nationaal Cyber Security Centrum (NCSC), de politie, het Openbaar Ministerie en slachtoffers.
Economische, psychologische en maatschappelijke impact van ransomware
Ransomware is momenteel een van de meestvoorkomende en meest lucratieve vorm van cybercriminaliteit. Aanvallen met gijzelsoftware vinden continu plaats en dit kost het bedrijfsleven jaarlijks honderden miljoenen euro’s. De daders vragen veelal een losgeldbedrag dat tussen de 0,4 en 2 procent van de jaaromzet ligt. Naast financiële schade veroorzaakt ransomware ook psychologische schade: het schaadt het vertrouwen in de medemens.
Vanwege de economische en maatschappelijke impact van gijzelsoftware, heeft Cyberveilig Nederland een whitepaper hierover gepubliceerd. Hiermee willen de opstellers meer bewustwording creëren, het bedrijfsleven in staat stellen om zich beter tegen gijzelsoftware te beveiligen, en bedrijven handvaten geven om snel en adequaat te reageren wanneer ze slachtoffer worden van een ransomware-aanval.
Ruim 350 ransomware-aanvallen gemeld bij de politie
Met behulp van ransomware stoppen hackers bestanden in een digitale kluis. Het slachtoffer kan er niet bij zolang hij niet over de decryptie- of decoderingssleutel beschikt. Deze overhandigen de aanvallers niet zomaar: het slachtoffer zal eerst losgeld moeten betalen.
Om de druk op te voeren dreigen de aanvallers veelal om de buitgemaakte gegevens – variërend van privacygevoelige privégegevens van klanten tot vertrouwelijke en concurrentiegevoelige bedrijfsinformatie – openbaar te maken. Via hackersfora op het dark web bieden ze de gestolen data te koop aan. De gegevens gaan naar de hoogste bieder.
Ransomware-aanvallen komen regelmatig voor in ons land. In de periode 2019 – juli 2022 ontving de politie 353 meldingen van digitale aanvallen met gijzelsoftware. 51 keer werden er daadwerkelijk gegevens gestolen, in 73 gevallen hoogstwaarschijnlijk niet. Van de overige 188 aanvallen is geen informatie bekend over data-exfiltratie.
Politie: ‘Doe altijd aangifte’
Verder blijkt uit de gegevens van de politie dat 21,9 procent van de slachtoffers losgeld betaalde als er gegevens waren buitgemaakt. Ruim een kwart (27,5 procent) betaalde terwijl er geen data waren gestolen. De hoeveelheid gegevens waar hackers de hand op weten te leggen, ligt tussen de 60 GB en 730 GB. De tijd tussen data-exfiltratie en versleuteling ligt gemiddeld rond de 40 uur.
Losgeld betalen, ook als er geen gegevens zijn gestolen, klinkt tegenstrijdig. Volgens de onderzoekers is het echter eenvoudig te verklaren. Slachtoffers bij wie vertrouwelijke informatie werd bemachtigd, zijn minder geneigd om naar de politie te gaan. Tegelijkertijd hebben gedupeerden de neiging om de politie niet te vertellen dat ze losgeld hebben betaald. Tot slot is de onderzoekspopulatie erg klein, waardoor de analyse minder betrouwbaar is.
De politie adviseert om altijd aangifte te doen als je het slachtoffer bent van een ransomware-aanval. Daarnaast ben je bij een datalek waarbij persoonsgegevens zijn betrokken verplicht om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens.
Met deze tips beperk je de impact van een ransomware-aanval
Om de impact van data-exfiltratie tijdens een ransomware-aanval te minimaliseren, geeft Cyberveilig Nederland diverse tips. Om te beginnen doen bedrijven en organisaties er goed aan om hun eigen netwerk nauwlettend te monitoren. “Aangezien data-exfiltratie voor veel netwerkverkeer zorgt, kan bij goeie monitoring data-exfiltratie in een vroeg stadium onderkend worden”, aldus de onderzoekers.
Daarnaast adviseren de auteurs om back-ups te maken van logbestanden. Zo is het eenvoudiger om te achterhalen of er gegevens zijn gestolen, en zo ja welke. Het plaatsen van kanarie-bestanden is een derde tip. Kanarie-bestanden zijn nepdocumenten die tussen echte documenten worden geplaatst. Deze dummybestanden geven een signaal als een ongeautoriseerd iemand data kopieert, aanpast of verplaatst.
Daarmee samenhangend kunnen bedrijven er ook voor kiezen om grote hoeveelheden nepgegevens op hun netwerk te plaatsen. Zo maken ze het voor hackers een stuk lastiger om authentieke data te stelen. “Niet alleen moeten de criminelen meer gegevens exfiltreren, waardoor er meer tijd is om de waarschuwingssoftware te laten werken. Ook is de marktwaarde van de data belangrijk. Wanneer de data een mix van valse en echte informatie bevat, daalt de marktprijs van de gestolen data”, benadrukken de onderzoekers.
Veel servers hebben vrijwel nooit toegang tot het internet nodig en kunnen zodoende worden geblokkeerd. Dat maakt data-exfiltratie door hackers weliswaar niet onmogelijk, maar wel een stuk lastiger. Tot slot raden de onderzoekers aan om back-ups te maken volgens het 3-2-1 principe: 3 back-ups, op 2 locaties, waarvan 1 offline (buiten het eigen netwerk).
