Overheid in actie tegen betalen van losgeld aan ransomware-criminelen
De overheid zit in zijn maag met bedrijven die losgeld betalen aan ransomware-criminelen. Het ministerie van Justitie en Veiligheid onderzoekt onder meer de mogelijkheden om verzekeraars te verbieden om losgeld te vergoeden. Dat melden bronnen aan de NOS.
Als een bedrijf wordt platgelegd door een ransomware-aanval, kan een verzekeraar er nu voor kiezen om het losgeld te vergoeden zodat de ondernemer snel weer aan de slag kan. Dat is in veel gevallen goedkoper dan wanneer een bedrijf een paar weken stil ligt en de verzekeraar die kosten moet vergoeden. Eerder zei minister Grapperhaus liever niet te zien dat verzekeraars losgeld betalen.
"We onderzoeken hoe we losgeldbetalingen kunnen verminderen", bevestigt een woordvoerder van het ministerie. "Daarover hebben we nog geen besluit genomen."
Waarom alleen betalingen door verzekeraars aan banden zouden worden gelegd, en niet alle losgeldbetalingen, is onduidelijk; het ministerie heeft vragen daarover niet beantwoord.
Vreemd, verbied losgeldbetalingen dan voor alle bedrijven
Yasin Chalabi van verzekeraar Hiscox, die ook cybercrime-verzekeringen aanbiedt, vindt die keuze vreemd. "Verbied losgeldbetalingen dan voor alle bedrijven, want de meeste bedrijven hebben geen verzekering."
Het Verbond van Verzekeraars is ook kritisch: "We snappen het politieke sentiment, maar men moet niet over één nacht ijs gaan." Niet mogen betalen kan namelijk grote gevolgen hebben en kan bedrijven in gevaar brengen.
Criminele ecosysteem
Bij een ransomware-aanval wordt een bedrijf platgelegd totdat er geld wordt betaald aan de aanvallers. Daarbij gaan ze geniepig te werk: ook back-ups worden vaak uit de lucht gehaald, waardoor herstel moeilijk of zelfs bijna onmogelijk is.
Als geen enkel bedrijf losgeld zou betalen, zou het voor criminelen niet zinvol zijn om bedrijven aan te vallen, is de gedachte. "De betalingen houden het criminele ecosysteem in stand", zegt hoofdofficier van justitie Michiel Zwinkels.
Hoe werkt een ransomware-aanval eigenlijk? In deze video leggen we het je uit:
Ook kunnen de criminelen het geld dat ze verdienen gebruiken voor nieuwe aanvallen. "Wij zien in onderzoeken dat het geld dat door het ene slachtoffer wordt betaald, direct wordt geïnvesteerd in infrastructuur en middelen", zegt Matthijs Jaspers van de ransomware-taskforce van de politie.
"We zouden graag zien dat slachtoffers niet betalen, maar we zien dat het soms tóch gebeurt omdat het goedkoper is dan alle herstelwerkzaamheden."
Betalen
Hoe vaak bedrijven betalen, is niet bekend. Beveiligingsexpert Frank Groenewegen van Deloitte, die gehackte bedrijven bijstaat, zegt dat het in zijn ervaring in zes op de tien de gevallen gebeurt.
Uit onderzoek van verzekeraar Hiscox blijkt ook dat 58 procent van de succesvol aangevallen bedrijven betaalt. Dat onderzoek ging onder meer over Nederland; specifieke cijfers over de Nederlandse situatie zijn niet bekend.
Ook de politie heeft geen exacte cijfers. "We zien alleen het topje van de ijsberg, omdat bedrijven uit angst voor reputatieschade vaak geen aangifte doen."
Ondernemers of instellingen die het losgeld betalen, willen vaak niet in de publiciteit, uit angst voor diezelfde reputatieschade of om opnieuw doelwit te worden. Een van de weinige bekende Nederlandse gevallen is de Universiteit Maastricht, die de aanvallers 200.000 euro betaalde. Een van de bekendste voorbeelden is de Braziliaanse vleesverwerker JBS, die de aanvallers 11 miljoen dollar betaalde.
"Soms hebben ze geen andere keuze", zegt Groenewegen. "In de meeste gevallen die ik zie, zien ondernemers echt geen andere optie." De gevallen waarbij losgeld wordt betaald uit een zakelijke afweging - herstel is wel mogelijk, maar duurder - zijn volgens hem zeldzamer.
"Ik heb veel bedrijven bijgestaan waar echt alle data weg was. Die hebben dan de keuze: betalen, of weken tot maanden bezig zijn met herstellen en soms zelfs failliet gaan."
Bestanden gelekt
Intussen zetten aanvallers steeds meer druk op bedrijven om wél te betalen. Niet alleen de bedrijfsnetwerken worden versleuteld, de aanvallers stelen ook gegevens van medewerkers en klanten. Die publiceren ze vervolgens als bedrijven weigeren te betalen.
Het overkwam ROC Mondriaan, een MBO-scholengemeenschap in de regio Den Haag met 25.000 studenten. Op internet zijn nu interne documenten te zien, zoals de personeelsdossiers van leraren, gemelde klachten en financiële stukken.
"De aanvallers eisen vier miljoen euro", zegt Hans Schutte, de voorzitter van de raad van bestuur. "Dat is natuurlijk absurd veel geld."
Ondanks de gelekte documenten heeft de organisatie ervoor gekozen om niet te betalen. "We hebben nooit betaling overwogen. Principieel hebben we gezegd: wij betalen niet."