De Universiteit Maastricht, die vlak voor kerst door een cyberaanval werd getroffen, maakte vorige week bekend 197.000 euro losgeld te hebben betaald aan de hackers. Hoewel het een organisatie voor een enorm dilemma kan stellen, raadt de politie het in dergelijke ransomware-zaken toch af om te betalen. ‘Anders houden we het verdienmodel van de criminelen in stand.’
Een grote ransomware-aanval legde op 24 december 2019 al het emailverkeer en de Windows-systemen van de Universiteit Maastricht (UM) plat. ‘De gijzelsoftware zorgde ervoor dat zowel de medewerkers als de studenten geen toegang meer hadden tot hun wetenschappelijke gegevens’, zegt teamleider Metten Bergmeijer van het Limburgse cybercrimeteam.
Aangifte
‘Het heeft er alle schijn van dat de aanval in de kerstperiode zorgvuldig gepland was’, zegt Bergmeijer. ‘Mede daardoor werd het laat ontdekt en kon het zo groot worden. De universiteit deed pas na twee dagen – in de namiddag van tweede kerstdag – aangifte bij ons. We hebben hele korte lijnen met het Team High Tech Crime (THTC) van de Landelijke Eenheid en konden we een beroep doen op hun expertise. Zij hebben ons toen direct ondersteund met het opnemen van de aangifte en het veiligstellen van een aantal sporen.’
Opsporingsindicatie
Het Limburgse cybercrimeteam is volgens Bergmeijer nog steeds met de zaak bezig. ‘We hebben op een aantal terreinen opsporingsindicatie. Er zat duidelijk veel tijd en voorbereiding achter’, zegt hij. ‘Bij dit soort meer ingewikkelde ransomware-zaken zie je dat daders eerst een systeem infecteren en dan rustig gaan meekijken op het netwerk. Zo bepalen ze waar ze het beste hun slag kunnen slaan. Criminelen begeven zich hiervoor soms maandenlang ongemerkt in het netwerk. Door die uitgebreide research wordt de aanval zo verwoestend mogelijk. We zijn nog aan het uitzoeken of dat hier ook zo is. Daarvoor volgen we een aantal sporen; naar de malware zelf, maar ook andere.’
Betalen
‘Wij hebben als politie van meet af aan laten weten op het standpunt te staan niet te betalen’, zegt Bergmeijer. ‘Maar we respecteren en begrijpen in het licht van de dilemma’s ook wel weer de keuze van de universiteit.’
Verdienmodel
Ook teamleider Marijn Schuurbiers van THTC raadt het slachtoffers af om de hackers te betalen. ‘We begrijpen natuurlijk wel dat dit een enorm dilemma kan zijn, wanneer – zoals in Maastricht – alles stil ligt of wanneer je als bedrijf een enorm verlies lijdt. Aan de andere kant houdt zo’n betaling het verdienmodel van deze cybercriminelen in stand. We zien in concrete onderzoeken dat het betaalde geld deels gebruikt wordt om weer nieuwe aanvallen op te zetten. Daarnaast geeft betalen sowieso geen garanties dat daarmee de problemen verholpen zijn. Collectief en structureel niet betalen kan een belangrijke oplossing zijn om dit verdienmodel in Nederland minder aantrekkelijk te maken.’
NoMoreRansom.org
Schuurbiers legt uit dat de bestrijding van ransomware verder gaat dan alleen het jagen op de daders. Zo richtte het Team High Tech Crime de inmiddels wereldwijd bekende website NoMoreRansom.org op waar internationale politie en cybersecurity organisaties voortdurend oplossingen publiceren om systemen gratis te bevrijden in plaats van ervoor te betalen.
Daarnaast zijn meldingen heel belangrijk, benadrukt Schuurbiers. ‘Daarbij werken we heel nauw samen met de cybercrimeteams in de regionale eenheden’, zegt hij. ‘Samen met hen brengen we al die gegevens bij elkaar en houden die onder meer tegen internationale zaken aan.’ Volgens Schuurbiers zitten de daders veelal in het buitenland. ‘Maar we hebben ook eerder twee broers in Amersfoort aangehouden die zich hiermee bezighielden en korter geleden nog een jongen uit Utrecht die malware maakte en verkocht die als basis kan dienen voor dit soort aanvallen.’
Meer informatie over ransomware vindt u hier.
Software waarmee u mogelijk uw computer kunt bevrijden, vindt u op de website Nomoreransom.org.