De lange lat tegen ransomware

Wat is ransomware en hoe groot is het probleem?

Ransomware (letterlijk: gijzelprogrammatuur) is een criminaliteitsvorm waarbij misdadigers op afstand systemen onklaar maken en gegevens versleutelen om losgeld (ransom) te eisen van het slachtoffer. Hierbij worden ook aangesloten back-ups beschadigd. Om de data terug te krijgen, moet het slachtoffer betalen. Steeds vaker dreigen de criminelen daarnaast om gevonden vertrouwelijke informatie te publiceren. Soms worden ook klanten, partners of andere partijen afgeperst. Nadat het slachtoffer heeft betaald (vaak via cryptogeld zoals bitcoins) zou de bedrijfsvoering hersteld moeten zijn, beweren de criminelen. In praktijk gebeurt dat lang niet altijd of blijven er achterdeurtjes achter waarna – een poos later – een nieuwe afpersing volgt.

Hoe werkt een ransomware-aanval?

Een ransomware-aanval is onderdeel van een breder proces in een groot crimineel ecosysteem[2]. Er zijn cybercriminelen die zich richten op het aanvallen van veel individuen en kleine bedrijven in één golf, terwijl professionele groepen soms maanden investeren in het binnendringen en onderzoeken van de financiële bewegingsruimte van één groot bedrijf, uiteindelijk leidend tot een op maat vastgestelde losgeldeis, die dan in de tonnen of zelfs miljoenen kan lopen. Vanwege het financiële gewin is er sprake van een volwassen, transnationale schaduweconomie waar kopers en verkopers handelen, investeren en diensten aan elkaar verlenen. Elke aanval kent verschillende fases met eigen stappen en technieken.[3] Zo heb je een Initial Access Broker die toegang verkoopt tot gekraakte netwerken, waarbij vaak via phishing de allereerste toegang is geforceerd. Er is een Affiliate die de daadwerkelijke aanval uitvoert en gegevens doorsluist. Dan is er de Operator die de software beheert en de gegevens versleutelt. Ook is er een team voor ‘klantcontact’ om de transactie te laten slagen. Ten slotte moet het afgeperste geld worden witgewassen voor je het kunt uitgeven; ook daar is dienstverlening voor.

Afbeelding 1: verschillende stappen in Ransomware

verschillende stappen in Ransomware

Hoe groot is het probleem in onze samenleving?

Ransomware is ‘big bad business’. Het wordt inmiddels gezien als de meest voorkomende en lucratieve vorm van cybercrime, met doorlopende aanvalsgolven vanuit georganiseerde criminele netwerken[4]. Alleen al het verhandelen van toegang tot gehackte computersystemen die vervolgens aangevallen kunnen worden is een industrie op zichzelf geworden. Vanwege het gemak van cryptovaluta en het solide verdienmodel wordt digitale afpersing steeds populairder. Wereldwijd was er sprake van een explosieve groei van 715% van het aantal meldingen van ransomware-gevallen tussen 2019 en 2020.[5]

Aan de andere kant staan de slachtoffers. Schattingen van de totale schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten, lopen wereldwijd in de miljarden euro’s per jaar en dit bedrag groeit exponentieel.[6] Naast de reputatieschade en de financiële kosten kunnen door keteneffecten veel bedrijven niet meer werken na een aanval elders. Dit heeft impact op de rest van de samenleving. Een voorbeeld uit 2021 is de aanval op een logistiek bedrijf, die leidde tot lege schappen in de supermarkt (de ‘kaas-hack’).[7] In dezelfde tijd zorgde de aanval op de Colonial Pipeline voor een stijging in de brandstofprijs in de Verenigde Staten.[8] Ransomware vormt aldus een risico voor de publieke sector, voor vitale processen en voor de daar gehuisveste gevoelige informatie.

De vuist van de politie tegen ransomware

Sinds 2012 investeert de politie gericht in de aanpak van cybercrime. Dit stelt het korps in staat om, net als de criminelen, gestructureerd maatwerk te ontwikkelen voor diverse typen cyberdelicten. De Nederlandse politie behaalt regelmatig internationale successen. Zo werden in 2021 verdachten van de ransomware-aanval op de Universiteit Maastricht opgepakt in Oekraïne[9] en haalden Driebergse politiehackers het grootste ransomware-verspreidende netwerk ter wereld, Emotet, op afstand neer.[10]

De transitie vanuit aangifte-gedreven opsporing richting een meer fenomeengerichte aanpak vormt het fundament voor deze succesvolle aanpak. Dit betekent dat de politie niet naar één dadergroep kijkt, maar naar de gehele criminele keten (de zogenoemde killchain) en alle onderdelen wil begrijpen om ze te kunnen aanpakken. Door patronen te onderzoeken en aanwijzingen uit individuele zaken te combineren, kan focus worden aangebracht om in te grijpen op de meest bepalende elementen.

In de Emotet-casus leidde deze analyse naar een criminele server die in Nederland stond. Op basis van haar bevoegdheden wist de politie onopvallend tientallen terabytes aan gegevensverkeer van deze machine af te vangen. Zo kregen de digitaal specialisten zicht op het netwerk en de zwakke plekken.

Anders en samen ingrijpen

Andersoortige criminaliteit vraagt om meer dan alleen boeven vangen. De politie richt zich op andere manieren van misdaadbestrijding als aanvulling op het opsporen van cybercriminelen. Naast vervolging kan de samenleving immers ook worden geholpen met het voorkomen of verstoren van het strafbare feit. De politie probeert hierbij zicht te krijgen op daders, slachtoffers en criminele gelegenheidsstructuren (zoals Emotet). Het doorgronden van het criminele proces zorgt ervoor dat de politie kan afwegen wat de meest effectieve interventie is op dat moment.

Samen sta je sterk. Het oorspronkelijk Nederlandse verstorings-initiatief NoMoreRansom.org is, vijf jaar later, beschikbaar in tientallen talen. Op de site kunnen slachtoffers van ransomware kosteloos terecht voor mogelijke oplossingen vanuit de hele wereld. Miljoenen mensen met versleutelde machines hebben hier gratis tegengif gevonden tegen één van 150 ransomware families. Sinds 2016 is zo bijna een miljard euro uit handen van criminelen gehouden.[11] Ook kan via deze site (afhankelijk van het land) aangifte worden gedaan, leidend tot een betere informatiepositie van de politie wereldwijd.

Doorgronden met data

De digitalisering van de samenleving zorgt ervoor dat ook de politie meer uit data kan halen voor haar onderzoeken. Concreet betekent dit dat ze vaker onderzoek doet om, naast het aanpakken van het delict zelf, een onderdeel van de ransomware-killchain beter te begrijpen. Zo zijn er eind 2021, vanuit een nieuwe Ransomware Taskforce, landelijk opererende werkgroepen geformeerd die per stap in de killchain gericht inzichten verzamelen. De bundeling van deze delictkennis zorgt, in samenwerking met de juiste partners, voor nieuwe kansen in de effectieve bestrijding van deze criminaliteitsvorm.

De grootte van de bijbehorende datasets leidt wel tot aanvullende uitdagingen. Zo verkent de politie momenteel welke rol ze zou moeten hebben in het bereiken van mogelijk miljoenen mensen, volgens de goede richtlijnen, met de waarschuwing dat die slachtoffer zijn van een digitale inbraak. Een kleine insluiping kan later de opmaat vormen voor een ransomware- of andere aanval. Naast de mogelijke schaalbaarheid van een dergelijke politiecompetentie ligt hier ook een belangrijke privacy-afweging. Wat voor impact heeft het op het gevoel van vrijheid en veiligheid als burgers en bedrijven regelmatig hack-waarschuwingen krijgen van de politie?

Wat is er nodig om verdere bestrijding te verbeteren?

De politie is steeds beter in staat om een antwoord te geven op ransomware, via een gestructureerde aanpak met aantoonbare successen. Toch gaat de enorme uitdaging voor de samenleving niet weg. Behalve ransomware wint ook andere digitale criminaliteit terrein van de traditionele vormen; cybercriminaliteit als geheel blijft een professioneel, uitdijend en snel veranderend speelveld.[12]

Allereerst ligt er een uitdaging voor de strafrechtketen om nieuwe interventies naast het klassieke opsporen van een verdachte te omarmen. Dit is uitdagend voor bestuur en gezag, voor de maatschappij en voor een deel van de politieprofessionals. Verouderde prikkels belonen succes in kleine zaken soms beter dan een structurele verbetering als gevolg van doorgronding en aanpak van de criminaliteitsvorm. De inzet kan nog meer worden gericht op samenhang en samenwerking, impact en kwalitatieve resultaten. Dit levert idealiter een nieuwe manier van verantwoorden en sturen op.

Bovendien zullen alle publieke en private partijen in dit veld naar een duurzamer, zaaksoverstijgende relatie moeten gaan. De politie kan daartoe meer structureel kijken hoe zij met anderen kan samenwerken bij het bewaken en beschermen van de samenleving tegen cybercriminelen, voor zover capaciteit en wettelijke kaders dit toestaan. Op hun beurt moeten andere partijen beseffen dat zij zelf waardevolle data hebben die de politie kan helpen, bijvoorbeeld als men direct of indirect slachtoffer is geworden. De uitdagingen komen onder meer bij elkaar in het vraagstuk van de noodzaak en wenselijkheid van het waarschuwen van (potentiële) slachtoffers. Dit is ook een vraag voor de samenleving.

Als de politie met haar partners een gedeeld antwoord weet te geven op dergelijke vragen, kan ze een nog grotere vuist maken tegen ransomware. En dan kan uiteindelijk in heel Nederland de vlag uit.

Afbeelding 2 interventiematrix

interventiematrix

[1] Cyber Security Beeld Nederland: toegenomen dreiging Ransomware | politie.nl (2021). Geraadpleegd van: https://www.politie.nl/nieuws/2021/juni/28/00-cyber-security-beeld-nederland-toegenomen-dreiging-ransomware.html

[2] Cyberveilig Nederland. (2021). Whitepaper Ransomware. Cyberveilig Nederland, Augustus 2021.

[3] Cyberveilig Nederland. (2021). Whitepaper Ransomware. Cyberveilig Nederland, Augustus 2021.

[4] Cyberveilig Nederland. (2021). Whitepaper Ransomware. Cyberveilig Nederland, Augustus 2021.

[5] Bitdefender. (2020). Mid-Year Threat Landscape Report 2020, Bitdefender, https://www.bitdefender.com/files/News/CaseStudies/study/366/Bitdefender-Mid-Year-Threat-Landscape-Report-2020.pdf

[6] Osborne, C. (2021). The cost of ransomware attacks worldwide will go beyond $265 billion in the next decade. Geraadpleegd van:https://www.zdnet.com/article/the-cost-of-ransomware-around-the-globe-to-go-beyond-265-billion-in-the-next-decade/

[7] NOS. (2021). ‘Kaas-hack’ opgelost, ging om gijzelsofware. Geraadpleegd van: https://nos.nl/artikel/2376425-kaas-hack-opgelost-ging-om-gijzelsoftware

[8] NOS. (2021). Stilleggen oliepijplijn VS veroorzaakt door gijzelsoftware van Darkside. Geraadpleegd van: https://nos.nl/artikel/2380207-stilleggen-oliepijplijn-vs-veroorzaakt-door-gijzelsoftware-van-darkside

[9] Algemeen Dagblad. (2021). Verdachten achter ransomware-aanval op Universiteit Maastricht in Oekraïne gearresteerd. Geraadpleegd van: https://www.ad.nl/limburg/verdachten-achter-ransomware-aanval-op-universiteit-maastricht-in-oekraine-gearresteerd~ab3a69b1/

[10] Internationale politieoperatie Ladybird: wereldwijd botnet Emotet ontmanteld | politie.nl. (2021). Geraadpleegd van: https://www.politie.nl/nieuws/2021/januari/27/11-internationale-politieoperatie-ladybird-botnet-emotet-wereldwijd-ontmanteld.html

[11] Bracken, B. (2021). No More Ransom Saves Victims Nearly €1 billion over 5 years. Threatpost, 2021. Geraadpleegd van: https://threatpost.com/no-more-ransom-saves-victims-e1-5-years/168192

[12] Politie ziet verdubbeling van digitale criminaliteit | Security management. (2021). Geraadpleegd van: https://www.securitymanagement.nl/politie-ziet-verdubbeling-van-digitale-criminaliteit/

Download artikel

Naar het rapport

Highlights