Deze podcast is AI-gegeneerd. (Engels)
Cybercrime blijft zich in hoog tempo ontwikkelen en ransomware vormt daarbij een van de meest ernstige bedreigingen. In de afgelopen jaren hebben cybercriminelen hun methoden verfijnd, waardoor niet alleen bestanden worden versleuteld maar ook gevoelige data worden buitgemaakt en met openbaarmaking wordt gedreigd, het zogenaamde double extortion model. Vier weken geleden verdedigde Tom Meurs zijn proefschrift, een mijlpaal die hij nooit zal vergeten. In zijn werk, ondersteund door een uitgebreide samenwerking met collega’s van de politie, het Openbaar Ministerie en partners in cybersecurity, onderzoekt hij hoe criminelen hun aanvallen financieren en welke risico’s en inspanningen zij bereid zijn te nemen.
Het onderzoek benadrukt dat ransomware aanvallen niet alleen technische problemen veroorzaken maar ook grote financiële schade opleveren. De cijfers laten zien dat een aanval op een groot bedrijf gemiddeld meer dan een half miljoen euro kost, terwijl de schade bij datalekken zelfs verder kan oplopen. Deze kosten drukken zwaar op organisaties en maken een robuuste voorbereiding essentieel. Het doel van dit artikel is om de belangrijkste trends, inzichten en aanbevelingen uit het onderzoek toegankelijk te maken voor een breed publiek, zodat bedrijven en beleidsmakers beter voorbereid zijn op toekomstige cyberaanvallen.
Werking en verdienmodel
Ransomware aanvallen volgen een relatief simpel maar zeer doeltreffend verdienmodel. Cybercriminelen infiltreren een netwerk, versleutelen belangrijke bestanden en eisen vervolgens losgeld in ruil voor de ontsleuteling. Bij double extortion ransomware gaat het een stap verder, omdat de aanvallers niet alleen de bestanden vergrendelen maar ook dreigen met het openbaar maken van gestolen data. Dit verhoogt de druk op slachtoffers en vergroot de kans dat zij tot betaling overgaan.
Uit het onderzoek blijkt dat de aantrekkelijkheid van deze aanvallen voor criminelen voortkomt uit een gunstige combinatie van snel te behalen winsten en een relatief lage pakkans. De beslissing om een aanval uit te voeren wordt beïnvloed door meerdere factoren, zoals de aanwezigheid van een robuuste backup strategie bij het slachtoffer, de omvang van de organisatie en of het slachtoffer verzekerd is. Organisaties met een goede backupstrategie zijn veel minder snel geneigd te betalen, omdat zij hun data zelf kunnen herstellen. Verzekerde bedrijven betalen gemiddeld hogere losgeldbedragen, omdat de verzekering een deel van de kosten dekt en criminelen hierop inspelen door een hogere prijs te vragen. Eveneens speelt de aanwezigheid van data exfiltratie, waarbij gevoelige informatie wordt gestolen, een cruciale rol. Wanneer criminelen dreigen gestolen data openbaar te maken, is de druk op het slachtoffer nog groter, wat resulteert in een gemiddeld hogere losgeldsom.
Naast de klassieke ransomware aanvallen bestaat er een specifieke variant, NAS ransomware. Deze variant richt zich op Network Attached Storage apparaten, die veelal worden gebruikt door particulieren en kleine bedrijven voor gegevensopslag. Omdat deze apparaten vaak direct met het internet zijn verbonden en minder beveiligd zijn, vormen zij aantrekkelijke doelwitten. NAS ransomware aanvallen worden gekenmerkt door een laagdrempelige aanpak, waarbij de losgeldbedragen doorgaans lager liggen en de aanvallen meer geautomatiseerd verlopen. Dit model past binnen een strategie van lage risico’s en minimale inspanning, waardoor criminelen in staat worden gesteld een groot aantal aanvallen te plegen en zo hun winstmarge te maximaliseren.
Het verdienmodel van ransomware is dus nauw afgestemd op de kwetsbaarheden van de doelwitten, en cybercriminelen maken een zorgvuldige afweging op basis van de potentiële winst, de benodigde inspanning en de kans dat zij gepakt worden. Deze economische berekeningen verklaren waarom ransomware aanvallen in de afgelopen jaren zowel in frequentie als in impact sterk zijn toegenomen.
Trends en statistieken
Uit de uitgebreide analyses van politierapporten, incidentresponse bedrijven en leakpages komt naar voren dat de rapportage van ransomware aanvallen vaak achterblijft bij de werkelijke incidenten. Zo wordt bij grote bedrijven slechts ongeveer 41,4 procent van de aanvallen opgemerkt, terwijl dit percentage bij middelgrote bedrijven rond de 40,2 procent ligt. Deze onderrapportage is zorgwekkend, omdat het suggereert dat veel organisaties zich niet volledig bewust zijn van de dreiging, wat weer leidt tot een vertraagde respons en onvoldoende voorbereiding.
De financiële impact van ransomware is enorm. Gemiddeld kost een aanval een slachtoffer meer dan 500.000 euro, en aanvallen waarbij data exfiltratie een rol speelt, kunnen zelfs leiden tot schade van meer dan twee miljoen euro. Deze hoge kosten benadrukken niet alleen de economische risico’s voor bedrijven maar hebben ook bredere maatschappelijke implicaties. De impact strekt zich uit tot het verlies van vertrouwen in de digitale infrastructuur en verhoogt de druk op zowel de private als publieke sector om de cyberbeveiliging te verbeteren.
Statistische analyses laten eveneens zien dat de beslissing om al dan niet te betalen vaak samenhangt met de voorbereiding van het slachtoffer. Organisaties die investeren in goede backupsystemen en robuuste beveiligingsmaatregelen rapporteren minder betalingsbereidheid, omdat zij minder afhankelijk zijn van de diensten van cybercriminelen. Verzekerde bedrijven daarentegen betalen gemiddeld een veel hoger losgeldbedrag, omdat zij rekenen op financiële dekking door de verzekering. Deze bevindingen onderstrepen het belang van preventieve maatregelen en een gedegen risicoanalyse binnen organisaties.
Een opvallende trend is de voortdurende evolutie van cybercriminelen. Zodra bepaalde maatregelen aanslaan, vinden de daders snel nieuwe manieren om hun aanvallen uit te voeren. Deze dynamische omgeving vraagt om een even dynamische respons van zowel bedrijven als handhavingsinstanties. De voortdurende cyclus van aanval en reactie benadrukt dat het verbeteren van cybersecurity een doorlopend proces is, waarbij investeren in innovatie en samenwerking essentieel is om de dreiging effectief te beperken.
Wetshandhaving en preventie
Het bestrijden van ransomware vereist een integrale aanpak die zowel technische, juridische als organisatorische maatregelen omvat. Een belangrijk inzicht uit het onderzoek is dat het simpelweg verbieden van betalingen niet voldoende is om de ransomware problematiek op te lossen. Vaak bevinden organisaties zich in een positie waarin hun IT infrastructuur zo ernstig beschadigd is dat betaling de enige optie lijkt om faillissement te voorkomen. Daarom is het essentieel dat bedrijven proactief investeren in preventieve maatregelen, zoals het opzetten van robuuste backup systemen en het voortdurend evalueren en verbeteren van hun cybersecurity beleid.
Samenwerking speelt hierbij een cruciale rol. Het onderzoek toont aan dat een gecoördineerde aanpak tussen politie, het Openbaar Ministerie, incidentresponse bedrijven en andere betrokken partijen significant bijdraagt aan het effectief bestrijden van ransomware. Interventies zoals het bevriezen van cryptovaluta, het neerhalen van leakpage servers en het arresteren van verdachten hebben een meetbare impact op de activiteiten van cybercriminelen. Toch blijft het een uitdaging, omdat daders zich snel aanpassen en nieuwe methoden ontwikkelen om de impact van deze maatregelen te omzeilen.
Naast de technische en operationele aspecten is er een belangrijke juridische dimensie. Strengere wet en regelgeving, zowel nationaal als internationaal, kan een preventieve drempel opwerpen voor cybercriminelen. Een stevige juridische aanpak kan ervoor zorgen dat de risico’s voor daders aanzienlijk worden verhoogd, wat mogelijk een afschrikkend effect heeft. Het is daarbij van belang dat er internationale samenwerking is, omdat ransomware aanvallen vaak grensoverschrijdend zijn en de daders zelden rekening houden met nationale grenzen.
Ook binnen organisaties speelt bewustwording een sleutelrol. Regelmatige trainingen en simulaties kunnen medewerkers helpen alert te blijven op phishingpogingen en andere vormen van social engineering, die vaak als toegangspoort dienen voor ransomware aanvallen. Door een cultuur van cybersecurity bewustzijn te bevorderen, kunnen bedrijven niet alleen de kans op een succesvolle aanval verkleinen maar ook de impact van een incident aanzienlijk beperken.
Effectieve preventie en bestrijding van ransomware is geen eenmalige inspanning maar een continu proces. Cybercriminelen ontwikkelen zich voortdurend en het is aan zowel organisaties als beleidsmakers om hier proactief op in te spelen. Door te investeren in innovatie, samenwerking en een geïntegreerde aanpak kan de weerbaarheid tegen ransomware geleidelijk worden vergroot. Dit vraagt niet alleen om technische investeringen maar ook om een hernieuwde focus op preventieve maatregelen en juridische kaders die de slagkracht van cybercriminelen verminderen.
De toekomst van cybersecurity hangt in belangrijke mate af van de bereidheid om te leren van eerdere incidenten en de inzichten uit onderzoek van Tom Meurs toe te passen. Organisaties moeten niet alleen hun technische infrastructuur versterken maar ook hun interne processen en samenwerkingsverbanden optimaliseren. Alleen op die manier kan de digitale samenleving zich effectief wapenen tegen de steeds veranderende dreigingen van ransomware.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek, voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt. Heb je advies of hulp nodig, Digiweerbaar
Bron: Politie | Tom Meurs