Het is uniek te noemen, de openheid van de Universiteit Maastricht over de cyberaanval. Dat gebeurt normaal gesproken niet of weinig, zegt cyberexpert Frank Groenewegen, die bij het onderzoek naar de hack betrokken was. "De universiteit wil dat andere bedrijven lessen trekken en beter voorbereid zijn op een digitale gijzeling."
De universiteit zag zich gedwongen om 30 bitcoin te betalen aan de aanvallers. Op dat moment was dat 200.000 euro. Veel bedrijven zijn daar helemaal niet open over, zegt Groenewegen. "Er is vooral veel schaamte. Bedrijven vinden het ingewikkeld te laten zien dat ze hun zaakjes niet op orde hadden en willen er daarom liever niet over praten."
Criminele cybergroepen
Uit het onderzoek naar de hack in Maastricht blijkt dat de aanval begon met twee phishing-mails. Toen medewerkers van de universiteit daarop klikten, konden de aanvallers via een virus binnenkomen op het netwerk. Ze plaatsten gijzelsoftware waardoor inloggen onmogelijk werd en mensen niet meer bij hun bestanden konden. Belangrijke back-ups maakten ze ontoegankelijk.
Die aanvallers zijn Groenewegen bekend. "Ze behoren tot een wereldwijd opererende groep cybercriminelen, met vooral Oost-Europeanen. De groep heeft voor zover nu bekend 170 slachtoffers gemaakt."
Slachtoffers van gijzelsoftware moeten steeds dieper in de buidel tasten, zegt Groenewegen. "Een andere groep heeft met 3000 gevallen zeker 65 miljoen euro buitgemaakt. Ten opzichte van vijf jaar geleden zijn de bedragen enorm opgelopen."
Als bedrijven niet betalen, bestaat het risico op chantage. Dat werkt zo: "Een cybercrimineel heeft data buitgemaakt bij een hack en chanteert het niet-betalende slachtoffer. Hij dreigt bijvoorbeeld met het openbaar maken van privé-gegevens vanuit het systeem. En als dat gebeurt kan een bedrijf bijvoorbeeld een enorme boete krijgen omdat het zich niet goed aan de privacy-regels gehouden heeft."
Betalen soms 'goedkoper'
In Maastricht eisten de aanvallers losgeld. Betaalde de universiteit niet, dan kreeg die geen toegang meer tot de bestanden. Dan zouden salarissen niet kunnen worden uitbetaald, studenten geen tentamen kunnen doen en onderzoeken stil komen te liggen. En dus betaalde de universiteit de geëiste twee ton aan bitcoin.
Groenewegen: "Grote bedrijven zijn bereid te betalen omdat het ontzettend veel geld kost als je bedrijf stilligt. Dan is het soms 'goedkoper' om de cybercriminelen te betalen."
Je zou bijna kunnen zeggen dat deze hackers ethisch zijn.
Volgens Groenewegen is er na betalen weinig risico op nieuwe gijzelingsacties van dezelfde hackers. "Eigenlijk is de code onder deze criminelen: als er betaald is, help je met ontsleutelen zodat bedrijven verder kunnen."
"Je zou bijna kunnen zeggen dat ze ethisch zijn. Dat heeft ook nut voor hen. Ze willen betrouwbaar zijn, anders gelooft niemand ze meer."
Digitale brandoefening
Wat zouden bedrijven en instellingen volgens Groenewegen het beste kunnen doen om gijzelaanvallen te voorkomen? "Veel bedrijven denken dat ze alles wel goed beveiligd hebben, maar vaak laat de basisbeveiliging al veel te wensen over. Daarnaast moeten ze ook regelmatig een digitale 'brandoefening' doen om zeker te weten of alles nog op orde is."
Groenewegen ziet ook een rol voor de politie. "Die moet opsporen en aanhouden en die opsporing veel grootschaliger en internationaler gaan organiseren."