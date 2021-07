Bedrijven gijzelen door hun computersystemen af te grendelen is ‘het meest succesvolle businessmodel’ dat cybercriminelen op dit moment kennen. De groep die afgelopen weekend wereldwijd honderden bedrijven gijzelde, kan de komende dagen wellicht weer tientallen miljoenen bijschrijven. Met dat geld kunnen zij nieuwe gereedschappen ontwikkelen of kopen zodat ze nog meer miljoenen kunnen stelen, stelt Bernold Nieuwesteeg, CLECS-directeur (Centre for the Law and Economics of Cyber Security) bij de Erasmus Universiteit.

Dat is een gevaarlijke ontwikkeling. Criminelen kunnen met hun gijzelsoftware havens, telecomaanbieders, energiecentrales en ziekenhuizen platleggen. Dat ondervond een Duitse vrouw vorig jaar. Ze lag in een ambulance die met spoed naar een ziekenhuis reed. Dat ziekenhuis kon geen spoedeisende hulp verlenen omdat de systemen door een aanval van criminelen plat lagen. Ze moest snel naar een ander ziekenhuis, maar dat redde ze niet. De vrouw overleed.

Bij gijzelingsacties met software is de pakkans klein, zegt Nieuwesteeg. Veel groepen zitten namelijk in Rusland, waar de rechtshandhaving op dit gebied niet zo streng is.

Steeds lucratiever

Daarnaast zijn de gijzelingsacties steeds lucratiever, stelt Nieuwesteeg. “Aanvallers weten beter welke bedrijven ze wel en niet moeten hebben”, zegt hij. “Ze controleren welke bedrijven goed in hun geld zitten en kijken wie een cyberbeveiliging heeft waar zij doorheen kunnen komen. Dan kom je uit op het mkb. Die bedrijven zijn groot genoeg om flink wat geld te hebben en groot genoeg om zelf ICT in te kopen. Zoals Mandemakers Keukens, dat vorige week slachtoffer was. Zij hebben een eigen ICT-systeem, maar dat is niet zo goed beveiligd als bij grote bedrijven zoals ING.”

De gijzelaars die afgelopen weekend toesloegen, behoren tot een groep die zich REvil noemt. Vanuit Rusland maken zij over de hele wereld slachtoffers. REvil voert niet zelf de aanval uit. Zij stellen de software ter beschikking aan de echte gijzelaars, in ruil voor een deel van de buit.

Opmerkelijke timing

Voor de cybercriminelen is het beter als er niet te veel aandacht is voor hun acties. Het liefst blijven ze onder de radar, zegt Nieuwesteeg. Des te opmerkelijker is daarom de timing van de huidige aanval, zeggen diverse deskundigen. Vorige maand namelijk gijzelden de criminelen van REvil het Amerikaanse vleesverwerkingsbedrijf JBS. Voor 11 miljoen dollar kreeg JBS de sleutel om het slot van hun systeem te halen. Tot ergernis van de Amerikaanse president Joe Biden. Hij zou er met zijn Russische collega Vladimir Poetin over hebben gesproken.

Betalen is iets dat Nieuwesteeg afraadt. “Als alle bedrijven samen zouden beslissen: we betalen niet, dan haal je het businessmodel weg onder de aanvallen. Maar dat weten de aanvallers ook, dus maken zij het hun slachtoffers makkelijk om te betalen. Ze vragen geen absurde bedragen, anders wordt het alternatief van niet-betalen te aantrekkelijk.”

Maak niet-betalen aantrekkelijker

Het antwoord van de samenleving moet volgens Nieuwesteeg dus zijn: maak niet-betalen aantrekkelijker. “Dat kan door een verzekering die geld of middelen aanbiedt om de schade te herstellen. Zo’n verzekeraar kan er ook voor zorgen dat bedrijven in een soort pool op elkaar kunnen bouwen. Voorbeeld. Toen anderhalf jaar geleden de universiteit van Maastricht was gehackt, konden medewerkers van Maastricht bij ons in Rotterdam terecht zodat zij verder konden met hun onderzoek.”

Dat is niet het hele antwoord. Nieuwesteeg benadrukt dat alles begint bij een goede beveiliging. Dat betekent investeren in politie en justitie en mkb’ers die zorgen dat hun back-up in orde is.

Nederlandse vrijwilligers hadden de wereldwijde ransomware-aanval bijna voorkomen

Een Nederlandse stichting heeft de wereldwijde ransomware-aanval nét niet kunnen voorkomen. Vrijwilligers van het Dutch Institute for Vulnerability Disclosure (DIVD) hadden eerder al kwetsbaarheden ontdekt in de software van de getroffen producent Kaseya en het bedrijf op de hoogte gesteld. De oplossing waaraan Kaseya werkte kwam helaas te laat, zegt het DIVD.