Afgelopen jaar hebben hackers 147 keer succesvol een ransomware-aanval uitgevoerd tegen Nederlandse bedrijven. Bijna één op de vijf slachtoffers (18 procent) betaalde losgeld aan de aanvallers om weer toegang te krijgen tot hun data. Dat is waarschijnlijk slechts het topje van de ijsberg. Dat blijkt uit cijfers die de politie en beveiligingsbedrijven deze week openbaar hebben gemaakt, zo schrijft NU.nl (1).
Ransomware of gijzelsoftware is een vorm van malware die hackers en cybercriminelen gebruiken om bedrijfsgegevens achter slot en grendel te stoppen. De enige manier om weer toegang te krijgen tot deze informatie, is met een decryptiesleutel. Om deze te krijgen moeten slachtoffers losgeld betalen aan de aanvallers. Doen ze dat niet, dan dreigen de hackers de buitgemaakte gegevens openbaar te maken. Of op het dark web door te verkopen aan de hoogste bieder.
Naast het betalen van losgeld is er nog een manier om weer toegang te krijgen tot de versleutelde gegevens: via back-upbestanden. Hiermee kunnen gedupeerde bedrijven en organisaties hun systemen herstellen en de bedrijfsvoering hervatten alsof er nooit iets is gebeurd. Voorwaarde is wel dat de aanvallers de back-ups niet hebben geïnfecteerd met de gijzelsoftware. In praktijk komt het voor dat de back-upbestanden eveneens worden gegijzeld.
De cijfers van de politie en beveiligingsdiensten over ransomware-aanvallen in 2023 geven echter niet het volledige beeld. Om te beginnen gaan ze alleen over Nederlandse bedrijven die meer dan honderd werknemers in dienst hebben. Kleinere organisaties worden beschouwing gelaten, maar kunnen uiteraard net zo goed slachtoffer zijn van gijzelsoftware. Bovendien melden niet alle gedupeerden zich bij de politie, veelal uit angst voor reputatieschade.
Willem Zeeman, digitaal forensisch onderzoeker bij cybersecuritybedrijf Fox-IT, bevestigt dit. Hij vertelt dat het percentage slachtoffers dat losgeld betaalt na een cyberaanval de afgelopen jaren fors is gedaald. “Gijzelsoftware is de afgelopen jaren een steeds bekender fenomeen geworden. Veel grote bedrijven beschikken nu over een goed herstelplan”, verklaart hij tegenover NU.nl.
De X-Force Threat Intelligence Index 2024 van IBM laat een vergelijkbaar beeld zien. De meest recente cijfers tonen aan dat het aantal cyberaanvallen vorig jaar daalde met bijna 12 procent. Voornaamste reden hiervoor is dat bedrijven en organisaties er vaker voor kiezen om geen losgeld te betalen. Verder laat het rapport zien dat een derde van alle cyberaanvallen in Europa plaatsvonden (2) en dat driekwart van alle aanvallen gericht was op de vitale infrastructuur.
Zeeman is eveneens te spreken over het neerhalen van de digitale infrastructuur van LockBit (3). De Britse National Crime Agency (NCA), FBI, Europol en handhavingsinstanties uit Nederland, Duitsland, Frankrijk, Zwitserland, Zweden, Finland, Canada en Japan haalden wereldwijd 34 servers offline die door de hackersgroep werden gebruikt voor hun criminele praktijken. Dertien daarvan stonden in Dronten en Naaldwijk. Verder werden er 14.000 frauduleuze rekeningen gesloten en beslag gelegd op 200 cryptowallets. Tot slot werden er twee verdachten aangehouden tijdens operatie Cronos.
Ondanks het succes van de internationale politieactie is Zeeman er niet gerust op dat dit einde oefening betekent voor LockBit. “Het ging om een omvangrijke organisatie en er zijn tot dusver maar twee aanhoudingen verricht. Bovendien zien we vaak dat dit soort gijzelsoftware later weer onder een andere naam opduikt”, aldus de beveiligingsspecialist. Daar kan hij zomaar eens gelijk in hebben: een vertegenwoordiger van de hackersgroep zinspeelde erop dat de back-upbestanden veilig zijn.
(1) https://myprivacy.dpgmedia.nl/consent/?siteKey=ucf98legs1caotgh&callbackUrl=https%3A%2F%2Fwww.nu.nl%2Fprivacy-gate%2Faccept%3FredirectUri%3Dhttps%253A%252F%252Fwww.nu.nl%252Ftech%252F6302490%252Feen-op-de-vijf-nederlandse-bedrijven-betaalt-losgeld-na-aanval-met-gijzelsoftware.html
(2) https://www.vpngids.nl/nieuws/ibm-meeste-cyberaanvallen-gericht-op-europa/
(3) https://www.vpngids.nl/nieuws/handhavingsinstanties-halen-infrastructuur-lockbit-offline/