De politie gaat zich met de oprichting van een Ransomware Taskforce nadrukkelijker richten op de bestrijding van deze vorm van criminaliteit, waarbij slachtoffers losgeld moeten betalen om hun computers weer te kunnen gebruiken.

“Professionele bendes gebruiken gijzelsoftware om belangrijke bestanden vast te zetten tot er losgeld wordt betaald”, zegt Marijn Schuurbiers van Team High Tech Crime (THTC). “Ransomware bestaat al een aantal decennia. Een aantal jaar geleden hadden criminelen het vooral voorzien op thuiscomputers, waarbij mensen toegang tot hun systemen voor 200 à 300 euro weer konden terugkopen. Criminelen hebben hun doelwit intussen verschoven naar bedrijven en zetten met gijzelsoftware complete netwerken op slot.”

Krachten bundelen
De politie doet onderzoek naar de criminele organisaties die hierachter zitten. Schuurbiers: “We kijken naar het hele criminele proces rond ransomware, bijvoorbeeld waar fouten zitten in de achterliggende infrastructuur. Die gebruiken we om het criminele netwerk neer te halen.”
Met de oprichting van de Ransomware Taskforce – een initiatief van de Eenheid Oost-Brabant – bundelt THTC zijn krachten met de regionale cybercrimeteams. “De taskforce werkt aan bestrijding van het fenomeen. Doel is om schade en slachtoffers te voorkomen, het criminele proces te verstoren en daders op te sporen. Dat doen we samen met publieke en private partners en in internationaal verband”, licht Matthijs Jaspers van Cybercrimeteam Oost-Brabant toe. Hij is samen met zijn collega Schuurbiers nauw betrokken bij de oprichting van de taskforce.

Keten van aanvallen
Daders zijn vaak jong als ze ermee beginnen, maar sluiten zich aan bij internationaal opererende groepen, weet Schuurbiers. Je kunt volgens hem eigenlijk niet meer spreken van een ransomware-aanval. “Het criminele landschap is verworden tot een ondergrondse markteconomie met tal van specialisaties. Het is een hele keten geworden van aanvallen. Eén groep richt zich op het verschaffen van toegang tot bedrijven, een andere op de diefstal van data en weer een andere op de boel op slot te zetten. Dat is het moment dat je het als bedrijf pas opmerkt, maar in werkelijkheid zit men dan al veel langer binnen.”
Volgens Schuurbiers gaan de bendes pragmatisch te werk. Als groep vallen ze die bedrijven aan waarvan de beveiliging het zwakst is. Vervolgens zoeken ze op wat de marktwaarde van dat bedrijf is en passen het gevraagde losgeld hierop aan. De georganiseerde groepen zitten vaak in het buitenland, zoals Oekraïne en Rusland.”

Installeer 2FA
“Maar als bedrijf kun je ook zelf stappen nemen om de kans op gijzelsoftware te verkleinen”, benadrukt Jaspers. “Bijvoorbeeld door two-factor authentication (2FA) te gebruiken. We zien dat criminelen de bedrijven die hiervan gebruikmaken links laten liggen. Het omzeilen ervan kost de criminelen te veel moeite en er is een groot aanbod aan potentiële slachtoffers die geen 2FA hebben. Als Nederlandse bedrijven 2FA structureel gaan toepassen, zal dat impact hebben op het aantal gedupeerden.”

‘Betaal niet’
Mocht een bedrijf onverhoopt toch slachtoffer worden, dat blijft het advies om niet te betalen, waarschuwt Schuurbiers nadrukkelijk. “Het gevraagde losgeld komt vaak neer op tonnen en stijgt soms boven een miljoen uit. We zien in onderzoeken dat die opbrengsten worden hergebruikt voor de financiering van nieuwe aanvallen op andere bedrijven. Daarmee blijft de criminele cirkel in stand. En betaal je toch, dan is dat geen garantie dat je uit de problemen bent. De gestolen bedrijfsdata blijven in criminele handen waardoor slachtoffers het risico lopen om nog een tweede keer te worden afgeperst.”

Software updates, antivirus en backups
“Zorg er daarom voor dat bedrijfsgegevens continue beveiligd blijven”, adviseert Jaspers. “Dat betekent actueel gepatchte sofware en up-to-date antivirus software. Maar ook voorlichting van het personeel is belangrijk. Laat weten dat zij moeten blijven opletten bij het openen van mogelijk kwaadaardige e-mails. Het stelen van data kan ook moeilijker worden gemaakt door je netwerk in aparte delen in te richten en 2FA te implementeren.”

Meld het bij de politie
Jaspers en Schuurbiers roepen bedrijven die slachtoffer zijn geworden op zich kenbaar te maken bij de politie, ook als een bedrijf toch betaald heeft. “Door gegevens van verschillende aanvallen te stapelen, zoals gebruikte IP-adressen en bitcoin-gegevens, wordt het criminele landschap voor ons inzichtelijk. Dit geldt voor de opsporing van criminelen, maar ook voor het verstoren van het criminele proces. Jezelf niet kenbaar maken, houdt het criminele proces in stand en dan is je buurman de volgende. Als we de krachten van bedrijven en politie bundelen kunnen we samen het tij keren in de strijd tegen ransomware.”

Podcast
Meer weten over ransomware? Beluister dan ook de BNR podcastserie De Cyberstelling. Hierin discussiëren cyberexperts over de grootste bedreigingen van dit moment op het gebied van cybersecurity. Marijn Schuurbiers van Team High Tech Crime geeft advies in de aflevering over ransomware.