Ransomware is de schrik van elk bedrijf. Criminelen dringen er systemen mee binnen om vervolgens alle bestanden te ‘gijzelen’. Die geven ze alleen nog vrij als er losgeld wordt betaald. Uit wetenschappelijk onderzoek van Tom Meurs (cyberspecialist Eenheid Oost-Nederland) blijkt dat de helft van de politie-interventies effectief te noemen is. Hij promoveerde vrijdag 24 januari aan Universiteit Twente op het onderwerp ransomware. Op welke manier pakt de politie deze vorm van criminaliteit aan?
Zodra bedrijven of organisaties slachtoffer zijn van ransomware, staan ze met de rug tegen de muur. Als ze niet betalen komt hun IT-infrastructuur volledig lam te liggen of publiceren de criminelen gevoelige data op een openbare website. Dit soort aanvallen kunnen de maatschappij ontwrichten, denk maar aan doelwitten als ministeries, ziekenhuizen of drinkwatervoorzieningen.
Er is dus veel aan gelegen om bedrijven en organisaties te beschermen tegen ransomware. In dat kader hebben het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse private partijen uit de cybersecuritysector in 2023 het convenant ‘Melissa’ ondertekend. Project Melissa is een samenwerkingsverband tussen deze publieke en private partijen om ransomware-aanvallen te bestrijden. Ze wisselen op structurele basis informatie met elkaar uit en delen en bespreken frequente actuele ontwikkelingen. Het gezamenlijke doel is om Nederland een onaantrekkelijk doelwit te maken voor ransomware-criminelen. De intensieve samenwerking heeft al tot verschillende succesvolle operaties geleid, waarbij versleutelde gegevens van slachtoffers weer kon worden vrijgegeven.
Ook internationaal slaan opsporingsdiensten en partners de handen ineen. Binnen Operation Endgame ontmantelden in 2024 meer dan 14 landen en partners wereldwijd meerdere botnets, die een sleutelrol hadden in de internationale cybercriminaliteit. Cyptovaluta-wisseldiensten die veel verschillende geldstromen faciliteerden, zoals ransomware, zijn offline gebracht en is er beslag gelegd op cryptovaluta ter waarde van 7 miljoen euro. Met het gelijktijdig neerhalen van deze belangrijke botnets is de aanvoerlijn van cybercrimeslachtoffers grondig en voor langere tijd verstoord.
Dankzij de nauwe samenwerking van meerdere partijen kregen cybercrimele kopstukken voor het eerst sancties opgelegd. De tegoeden in de EU van deze individuen werden bevroren, inreizen naar de EU is voor hen niet meer mogelijk en het aangaan van transacties werd hen verboden. Het doel van deze maatregelen is afschrikking en het tegengaan van cybercriminaliteit, zowel richting individuen als opdrachtgevers. Met deze sancties zenden we ook een signaal uit aan staten die cybercriminelen onderdak bieden waardoor zij onbezorgd hun gang kunnen gaan.
In de strijd tegen ransomware is aangifte doen van cruciaal belang, omdat de technische gegevens uit de aangifte zeer waardevolle informatie opleveren. De politie verkrijgt dankzij een aangifte soms missende informatie om het systeem te ontgrendelen en zo weer toegang te geven tot systemen en bestanden. Ook helpt het bij het vinden van verdachten. In diverse zaken arrestaties verricht waarbij informatie uit een aangifte van groot belang was.
Er is nog geen wondermiddel om ransomware te stoppen, ondanks dat veel interventies grote impact hebben. Uit het promotieonderzoek van Meurs blijkt dat vooral de combinatie van diverse interventies effectief is. Denk daarbij aan sancties tegen criminelen, het verstrekken van decryptors (hulpmiddelen om bestanden terug te krijgen zonder te betalen), arrestaties, het bevriezen van cryptomunten en het neerhalen van leakpage-servers, die het mogelijk maken om gevoelige informatie in het openbaar te publiceren.
Het is een constante puzzel om te kijken welke interventies wanneer wel en wanneer niet goed werken. Door intensieve samenwerkingen en een strategische (inter)nationale aanpak kunnen maatregelen steeds beter afgestemd worden om ransomware minder aantrekkelijk te maken voor criminelen.
Bedrijven met meer dan 250 werknemers hebben jaarlijks 1,3 procent kans om direct getroffen te worden en betalen de hoogste bedragen, zo blijkt uit het onderzoek van Meurs. Kleinere bedrijven (minder dan vijftig werknemers) melden minder incidenten, maar dat komt deels door een lage aangiftebereidheid. Veel mkb-bedrijven lopen achter op het gebied van cyberweerbaarheid. Vanuit de politie wordt met meerdere partijen gekeken naar de mogelijkheid om een loket op te richten om mkb’ers bewuster te maken van de risico’s, preventieve maatregelen en het belang van aangiftes.
