Het afgelopen jaar zijn verschillende organisaties het slachtoffer geworden van gijzelsoftware. Om het fenomeen te bestrijden, heeft de Eenheid Oost-Brabant een werkgroep opgericht: de Ransomware Taskforce. Samen met het Team High Tech Crime gaan ze achter cybercriminelen aan die bedrijven, onderwijsinstellingen en andere organisaties afpersen.
Dat schrijft de politie in een persbericht.
Verschuiving ransomware-aanvallen van particulieren naar multinationals
Bij een ransomware-aanval weten hackers de servers of het bedrijfsnetwerk van een organisatie te infiltreren. Eenmaal binnen zetten ze belangrijke documenten en andere bestanden achter slot en grendel. Medewerkers van het bedrijf kunnen deze niet langer raadplegen of bewerken.
Om het slot te verwijderen, hebben de gedupeerden een sleutel of decryptor nodig. Alleen als het slachtoffer losgeld betaalt, krijgen ze deze. Doen ze dit niet, dan dreigen de aanvallers om de buitgemaakte informatie openbaar te maken. Uit angst voor schade en het feit dat iedere dag dat er niet gewerkt kan worden bakken met geld kost, kiezen slachtoffers er vaak voor om het gevraagde losgeld te betalen. Afhankelijk van de grootte van het bedrijf kan dit bedrag in de miljoenen lopen.
Het gebruik van ransomware of gijzelsoftware om organisaties of mensen af te persen, bestaat al jaren. In de begindagen werden voornamelijk particulieren uitgebuit. Hackers verdienden daar per geval gemiddeld een paar honderd euro mee. Vandaag de dag richten cybercriminelen zich op ondernemers, veelal grote multinationals die wereldwijd opereren en jaarlijks een miljardenomzet behalen. Grote bedrijven als Capcom, Foxconn en Mattel zijn met ransomware afgeperst.
Ransomware Taskforce gaat ransomware-aanvallen onderzoeken
De politie doet regelmatig onderzoek naar de criminele organisaties die verantwoordelijk zijn voor de ransomware-aanvallen. Om zijn werk effectiever te kunnen uitvoeren, bundelen de Eenheid Oost-Brabant en het Team High Tech Crime hun krachten in de nieuwe Ransomware Taskforce. “De taskforce werkt aan bestrijding van het fenomeen. Doel is om schade en slachtoffers te voorkomen, het criminele proces te verstoren en daders op te sporen. Dat doen we samen met publieke en private partners en in internationaal verband”, legt Matthijs Jaspers van het Cybercrimeteam Oost-Brabant uit.
Marijn Schuurbiers van het Team High Tech Crime is eveneens nauw betrokken bij de oprichting van de stuurgroep. Volgens hem zijn de daders vaak erg jong als ze met gijzelsoftware aan de slag gaan. Na enige tijd sluiten ze zich aan bij internationaal opererende bendes. Hij stelt dat het criminele landschap een ‘ondergrondse markteconomie’ is geworden, waarin iedere boef zijn specialisatie heeft. “Eén groep richt zich op het verschaffen van toegang tot bedrijven, een andere op de diefstal van data en weer een andere op de boel op slot te zetten. Dat is het moment dat je het als bedrijf pas opmerkt, maar in werkelijkheid zit men dan al veel langer binnen”, aldus Schuurbiers.
Volgens Schuurbiers gaan de bendes pragmatisch te werk. “Als groep vallen ze die bedrijven aan waarvan de beveiliging het zwakst is. Vervolgens zoeken ze op wat de marktwaarde van dat bedrijf is en passen het gevraagde losgeld hierop aan.” De criminele bendes opereren veelal vanuit het buitenland, zoals Oekraïne en Rusland.
Met deze tips houd je ransomware-aanvallen buiten de deur
Om de kans te verkleinen dat je het slachtoffer wordt van ransomware, kan iedere organisatie maatregelen treffen. Jaspers adviseert om tweefactorauthenticatie (2FA) te gebruiken. Naast een gebruikersnaam en wachtwoord heb je tevens een inlogcode nodig. Deze code wordt vaak naar een vertrouwd apparaat verstuurd, via een sms, WhatsApp-bericht en authenticatie-applicatie. “We zien dat criminelen de bedrijven die hiervan gebruikmaken links laten liggen. Het omzeilen ervan kost de criminelen te veel moeite en er is een groot aanbod aan potentiële slachtoffers die geen 2FA hebben. Als Nederlandse bedrijven 2FA structureel gaan toepassen, zal dat impact hebben op het aantal gedupeerde”, vertelt Jaspers.
Verder raadt Jaspers organisaties aan om hu software up-to-date te houden om kritieke beveiligingslekken te dichten. Het installeren van een antivirusprogramma, inschakelen van een firewall en regelmatig maken (en testen) van back-ups zijn eveneens belangrijk om je informatiebeveiliging goed te regelen. “Ook voorlichting van het personeel is belangrijk. Laat weten dat zij moeten blijven opletten bij het openen van mogelijk kwaadaardige e-mails. Het stelen van data kan ook moeilijker worden gemaakt door je netwerk in aparte delen in te richten en 2FA te implementeren.”
Betaal geen losgeld bij ransomware-aanval
Mocht je toch getroffen worden door gijzelsoftware, dan is het volgens Schuurbiers onverstandig om losgeld te betalen. “Het gevraagde losgeld komt vaak neer op tonnen en stijgt soms boven een miljoen uit. We zien in onderzoeken dat die opbrengsten worden hergebruikt voor de financiering van nieuwe aanvallen op andere bedrijven. Daarmee blijft de criminele cirkel in stand.” Dat de problemen de wereld uit zijn als je betaalt, is allerminst zeker. De hackers kunnen het nogmaals proberen, omdat ze weten dat je bereid bent om te betalen. En wie zegt dat ze op een later tijdstip niet nogmaals dreigen om de gestolen gegevens op internet te publiceren?
Niet betalen is tevens het officiële standpunt van de regering. Minister van Justitie en Veiligheid Ferd Grapperhaus vroeg verzekeraars afgelopen jaar al om geen losgeld te betalen aan cybercriminelen. Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops zei begin dit jaar dat het betalen van losgeld ‘zeer onwenselijk’ is, omdat dit het criminele verdienmodel stimuleert. Het Nationaal Cyber Security Centrum (NCSC) deelt deze mening. “Er is geen enkele garantie dat de sleutel of het wachtwoord aan u wordt overhandigd nadat u het gevraagde losgeld heeft betaald. Daarnaast zijn er cases bekend waarbij na betaling hetzelfde slachtoffer nogmaals werd geraakt”, aldus het adviesorgaan.
