Ransomware is een lucratief crimineel businessmodel geworden. Professionele bendes gebruiken dit soort gijzelsoftware om belangrijke bestanden vast te zetten tot er losgeld wordt betaald. Volgens Marijn Schuurbiers van Team High Tech Crime werken gespecialiseerde criminele bendes nu meestal samen, om als groep gericht bedrijven te targeten, waar ze denken veel geld te kunnen halen.
"Als je als individu slachtoffer bent, moet je misschien 100 of 500 euro betalen om je computer te unlocken. Voor grote bedrijven ligt het gevraagde losgeld zo op tonnen of soms boven een miljoen."
Bedragen die je volgens Schuurbiers beter niet kunt betalen, omdat je daarmee de criminaliteit in stand houdt. "Wij als politie adviseren om niet te betalen. Het is ook geen garantie dat je daarmee uit de problemen bent, want we zien vaak dat er ook al data is gestolen en dat slachtoffers daarna een tweede keer worden afgeperst, maar nu met de dreiging die data alsnog te publiceren."
NOS op 3 zocht uit hoe die criminelen samen werken:
Schuurbiers: "Het is een crimineel ecosysteem geworden waarbij bendes zich specialiseren in een fase van een ransomware-aanval. De een doet bijvoorbeeld alleen maar de infectie van het systeem, de ander plaatst de daadwerkelijke ransomware." Die vinden elkaar online en samen vormen ze dan een aanvalsgroep.
Dat deze vorm van criminaliteit steeds meer een geoliede machine is, ziet ook Sanne Maasakkers van cyber security bedrijf Fox-IT. "Sommige groepen hebben zelfs een klantenservice in het Nederlands, die je kunt bellen voor als het niet lukt met de betaling."
Het is een crimineel ecosysteem geworden
Maar hoeveel daders of slachtoffers er precies zijn, is lastig vast te stellen. Het gaat vaak om internationale criminaliteit en relatief gezien komen niet veel daders voor de rechter. Toch zijn alle deskundigen het over een ding eens: het is een snel groeiend probleem. "Ransomware is mainstream geworden. Een paar jaar geleden werd het nog door een klein groepje gedaan, inmiddels is het criminele landschap veranderd en heb je allerlei criminelen die zich ermee bezig houden," zegt Schuurbiers.
Jonge daders
Team High Tech Crime probeert door sporenonderzoek en internationale samenwerking een beeld te krijgen van wie die daders zijn. Schuurbiers: "Soms zijn het individuen: zo hebben ze twee jongens uit Amersfoort en een jongen uit Utrecht opgepakt. Maar de georganiseerde groepen zitten vaker in het buitenland, bijvoorbeeld Oekraïne, Rusland of Nigeria."
Het type daders is jong, zegt Schuurbiers. "Tussen de 12 en 42, opgegroeid in deze tijd, zeg maar. Wat we zien is dat jongens soms relatief onschuldig beginnen, bijvoorbeeld door elkaars systeem plat te leggen tijdens het gamen. Maar ze worden steeds beter en gaan uiteindelijk bijvoorbeeld andere criminelen faciliteren."
Als het snel geld oplevert, zie je dat jonge criminelen hun carrière doorzetten, zegt Schuurbiers. "Er is een geval bekend van een groep die publiekelijk bekend maakte dat ze met pensioen gingen omdat ze genoeg hadden verdiend, maar dat was een uitzondering."
Achter de recente aanval op de Universiteit van Maastricht zat de Oost-Europese groep Grace-RAT (ook bekend als TA505) bleek uit onderzoek van Fox-IT. De groepering is al langer actief in de cybercrime en wordt verantwoordelijk gehouden voor het digitaal gijzelen van verschillende publieke instellingen over de hele wereld.
Phishing-mail
In Maastricht kwamen de hackers binnen door het sturen van een malafide mail. Nadat medewerkers daarop klikten, zaten criminelen ruim twee maanden in het netwerk van de universiteit, om daarna toe te slaan.
Een methode die je volgens Maasakkers vaker ziet bij ransomware-aanvallen. "Ze proberen binnen te komen via phishing-mail. Als ze in het systeem zitten, hebben ze de rechten van de gebruiker, bijvoorbeeld degene die het mailtje heeft geopend. Ze kunnen zo informatie inzien in het systeem en uiteindelijk de gijzelsoftware starten die zorgt dat het systeem op slot gaat."
Volgens de Autoriteit Persoonsgegevens komen dit soort aanvallen steeds vaker voor.
In de NOS op 3 Techpodcast vertelt Marijn Schuurbiers uitgebreid over zijn werk bij Team High Tech Crime.
Luister hier (vanaf 00:14:38):