Slachtoffers van ransomware hebben vaak geen keuze: het is betalen of het bedrijf verliezen

‘Betaal gewoon niet, roepen mensen soms. Dan loont dit soort cybercriminaliteit niet. Maar dat is te simpel gezegd”, zegt Tom Meurs.

„In gesprekken met ransomwareslachtoffers en door oude zaken te analyseren leerde ik dat slachtoffers meestal helemaal de keuze niet hebben. Als ze niet betalen zijn ze vaak hun hele bedrijf kwijt. Dat is een verrijkend inzicht dat tot me heeft kunnen doordringen doordat ik zo dicht op de politiepraktijk kon werken.



” Toen Meurs (33) begon aan zijn promotieonderzoek wist hij maar weinig over computers of cybercrime. Hij werkte na zijn studie twee jaar voor de expertisegroep militaire operaties bij TNO. „Ik deed daar projecten voor de politie en defensie”, zegt Meurs.

„Maar het schoot alle kanten op en ik wilde nu eens dieper in één onderwerp duiken.” Op 24 januari promoveerde hij aan de Universiteit Twente op het criminele keuzeproces achter ransomwareaanvallen. Hij onderzocht hoe risico’s, winstgevendheid en benodigde inspanning de criminele besluitvorming beïnvloeden.

Het promotieonderzoek is geïnitieerd vanuit de politie. „Ik ben ook in dienst van de politie”, zegt Meurs. „Onderzoekers van buiten lopen regelmatig tegen een muur aan of moeten lang wachten op gegevens, daar had ik geen last van.

” Bij ransomwareaanvallen breken cybercriminelen in een computersysteem in en ‘gijzelen’ belangrijke bestanden door die te versleutelen. Gebruikers kunnen ze dan niet meer openen. „Het kunnen allerlei bestanden zijn”, zegt Meurs.

„Bij bedrijven bijvoorbeeld personeelsgegevens, de administratie of bestanden met intellectueel eigendom. Bij particulieren versleutelen ze vaak foto’s en administratie.” Na betaling van losgeld krijgen slachtoffers de sleutel om hun bestanden weer beschikbaar te maken.

„De tactiek voor dit soort aanvallen is in de loop van de jaren geëvolueerd”, zegt Meurs. „Het begon bij particulieren, maar bij grote bedrijven bleek veel meer geld te halen. Criminelen kijken naar de omzet van een bedrijf, en passen het bedrag dat ze eisen hierop aan.

” En waar de criminelen eerst alleen bestanden ontoegankelijk maakten, dreigen ze nu vaak ook met het openbaar maken ervan: double extortion -aanvallen, extra vervelend voor slachtoffers. Een aanval is vaak geen handwerk maar gebeurt de laatste jaren met software die de criminelen kant-en-klaar kopen of illegaal downloaden. „Software die gebruikt wordt om beveiliging te testen en zo te verbeteren, kan ook ingezet worden voor aanvallen”, zegt Meurs.

„Er zijn ook criminelen die zich alleen richten op het verkrijgen van toegang, die houden zich niet bezig met de stappen daarna. Er is dus een soort markt ontstaan waarin iedereen zijn eigen rol heeft.” Half januari was de Eindhovense universiteit slachtoffer van cybercriminaliteit.

De aanvallers waren op heterdaad betrapt, meldde de universiteit na enkele dagen. Systemen waren uit voorzorg platgelegd. Meurs is met ouderschapsverlof en de aanval gebeurde bovendien niet in zijn politiedistrict, maar hij las berichten hierover met interesse.

„Op heterdaad betrappen betekent waarschijnlijk dat ze in een vroeg stadium hebben gezien dat criminelen in hun computers zaten. Het komt vaker voor dat ze opgemerkt worden voor ze iets versleuteld hebben. Misschien wilden ze ook niet eens versleutelen, maar bijvoorbeeld de rekenkracht van de universiteitscomputers gebruiken om bitcoins te minen .

Al betrap je een crimineel op heterdaad, dan nog is vaak niet te achterhalen wie erachter zit. Wel zijn soms patronen zichtbaar, een bepaalde criminele groep die steeds eenzelfde set software gebruikt bijvoorbeeld.” Lang niet alle zaken komen uitgebreid in het nieuws.

Vaak worden aanvallen zelfs niet eens opgemerkt, schrijft Meurs in zijn proefschrift. Om een completer beeld te krijgen van hoeveel ransomwarecriminaliteit er is heeft hij naast politiegegevens gekeken naar data van bedrijven die slachtoffers te hulp schieten en naar leak pages , webpagina’s waar criminelen gestolen data openbaar maken. „Ik heb die datasets met elkaar gecombineerd en gekeken wat overlapt en waar blinde vlekken zitten.

Op die manier is een schatting te maken van de totale ijsberg aan ransomwareaanvallen. Het bleek dat het aantal aanvallen op het mkb heel erg onderschat wordt. Zij gaan niet altijd naar de politie en hebben niet het geld om een bureau in te huren om ze te helpen.

” Wat zegt dit over het criminele keuzeproces? „Cybercriminelen proberen zo weinig mogelijk moeite te doen en zo veel mogelijk geld te verdienen”, zegt Meurs. „Een groep die particulieren hackte bleek het proces zo geoptimaliseerd te hebben dat de ontsleuteling al automatisch werd verstuurd nog voor de betaling was voltooid. Daar is de politie een aantal keer tussenin gaan zitten.

Die aanvallen stopten toen. Interventies zoals het offline halen van leak pages , arrestaties doen of geld afpakken hebben zin. Ik heb internationaal gekeken en er waren ongeveer 140 ransomwaregroepen actief.

Er zijn 40 interventies geweest. Als de risico’s toenemen zijn de groepen eerder geneigd te stoppen en als ze wel doorgaan maken ze minder slachtoffers. Ze zijn in ieder geval minder actief op de leak pages.

” Na vier jaar onderzoek is Meurs’ interesse in cybercriminaliteit nog altijd groot. „Ik blijf bij de politie en bij de afdeling cybercrime. Ik hoop dat ik straks nog steeds tijd heb om onderzoek te doen.

De politie heeft toegang tot heel veel gegevens, die voornamelijk gebruikt worden voor opsporing. Maar je kunt er veel meer mee, zoals vragen beantwoorden over effectiviteit van opsporing of een bepaalde aanpak.”.