Sinds juli 2018 hebben 1800 grote bedrijven gemeld dat zij getroffen zijn door een nieuw soort aanval met ransomware. Tot de slachtoffers behoren ook Nederlandse bedrijven die van belang zijn voor de vitale infrastructuur, aldus het Nationaal Cyber Security Centrum (NCSC) dat de kwestie heeft onderzocht.

Volgens het NCSC is het werkelijke aantal slachtoffers waarschijnlijk nog veel groter. Niet elke organisatie maakt melding van een aanval met ransomware. Soms wordt het losgeld betaald, als daarmee nog grotere schade door productieverlies kan worden voorkomen. Een andere keer beschikt het slachtoffer over goede back-ups en kan het de schade zelf herstellen. Er is echter een zorgwekkende kentering te zien. Aanvankelijk schoten de verspreiders van ransomware met hagel om zoveel mogelijk slachtoffers te maken. Met relatief weinig losgeld kon dan toch heel veel worden verdiend. De laatste tijd vinden echter meer gerichte aanvallen plaats op organisaties waarvan bekend is dat die zonder ICT zeer veel schade ondervinden en dat die zeer hoge bedragen aan losgeld kunnen betalen. Zo werd bij de recente aanval onder andere een internationaal chemiebedrijf getroffen dat een belangrijke toeleverancier is voor de vitale infrastructuur van Nederland.

Maatschappij ontwrichten
Volgens Frank Groenewegen van FoxIT kan de situatie vergeleken worden met drugscriminelen die over eigen raketwerpers beschikken. Het NCSC gaat ervan uit dat de aanvallers over methodes beschikken, waartegen nog geen beveiliging bestaat. In de ICT spreekt men dan over ‘zero day vulnerabilities’. Er zijn voorbeelden bekend waarbij eerst de back-up-bestanden van bedrijven werden versleuteld en daarna pas de operationele systemen. De encryptie die de criminelen gebruiken is van een zodanig niveau, dat betaling van losgeld de enige manier is om de data terug te krijgen. In die gevallen is geld de drijfveer van de criminelen. De overheid maakt zich echter zorgen dat dezelfde technieken ingezet gaan worden om de maatschappij te ontwrichten. Het is al voorgekomen dat bedrijven getroffen werden door ransomware, zonder dat er losgeld werd geëist. Niet alleen de overheid zelf wordt aangevallen; dat gebeurt ook met bedrijven die een belangrijke toeleverancier zijn voor vitale sectoren, zoals de drinkwater- en elektriciteitsvoorziening. Het NCSC zegt een paar keer bedrijven op tijd gewaarschuwd te hebben, nadat was gesignaleerd dat de netwerken waren gehackt ter voorbereiding op een aanval met ransomware. Andere keren ging het mis en moesten bedrijven soms miljoenen euro’s aan losgeld betalen.

Gespecialiseerde groepen
De gevaarlijkste soorten ransomware zijn volgens het NCSC Lockergoga, Ryuk en MegaCortex. Daarnaast vinden vaker aanvallen plaats met software waarmee data gestolen kan worden. Wie achter die aanvallen zitten, is volgens het NCSC niet duidelijk. De verdenkingen gaan uit naar Russische groeperingen, maar het kan ook zijn dat de aanvallers via Rusland werken om opsporingsinstanties te misleiden. Het zou ook gebeuren dat verschillende gespecialiseerde groepen elkaar ondersteunen. De ene groep breekt in op een netwerk, waarna de andere groep een aanval met ransomware uitvoert. Met beide acties valt veel geld te verdienen. Er zijn zelfs bedrijven die hun criminele diensten aanbieden aan derden, die zelf niet over voldoende ICT-kennis beschikken om een aanval uit te voeren. Soms is die kennis overigens niet eens nodig. Volgens het NCSC zijn er nog steeds veel bedrijven en instellingen die niet de moeite nemen om hun software regelmatig te updaten en goede back-ups te maken.