In ons land wordt elk jaar zo’n honderd miljoen euro betaald aan cybercriminelen die bedrijven gijzelen met ransomware. Dat staat in een rapport van de Kamercommissie Economie waarover De Tijd bericht. Ongeveer een op de drie slachtoffers betaalt losgeld.
‘Een hallucinant businessmodel.’ Zo omschreef Geert Baudewijns, ceo van Secutec, in een verklaring voor de Kamercommissie het criminele circuit dat achter de ransomware-aanvallen schuilgaat. . Secutec is een bedrijf dat regelmatig als ‘onderhandelaar’ optreedt tussen cybercriminelen en de bedrijven die ze tot slachtoffer hebben gemaakt. Jaarlijks is het bedrijf betrokken bij zowat dertig miljoen euro aan betaald losgeld, volgens eigen schatting ongeveer een derde van het totaal. Overigens treedt Secutec enkel op bij gevallen waar maximaal 75.000 euro gevraagd wordt. Voor nog hogere bedragen zijn nog andere spelers actief.
De reden waarom bedrijven betalen laat zich eenvoudig samenvatten: omdat niet betalen nog grotere economische schade meebrengt. Meestal gaat het ook om kmo’s. Eens het geld uitbetaald wordt, is het haast niet meer terug te vinden omdat de daders bijna altijd van buiten Europa opereren en zelden gevat worden. Computergenie hoef je tegenwoordig ook niet meer te zijn om ransomware-aanvallen uit te voeren. Er zijn op het internet kant-en-klare kits te koop om zo’n aanval op te zetten.
Witgewassen
De Antwerpse openbaar aanklager Robrecht De Keersmaecker, hoofdcoördinator van Expertisenetwerk Cybercrime, waarschuwt dat Justitie de middelen niet heeft om de daders aan te pakken. Ze gebruiken de nieuwste technologie en maken moeiteloos een veelheid aan slachtoffers in zeer korte tijd. Het verdiende geld wordt snel en zonder veel moeite witgewassen en geparkeerd op bestemmingen waar het gerecht er niet meer aan kan. Doordat veel onderzoeken internationaal gevoerd moeten worden, verlopen ze traag en inefficiënt, als er al buitenlandse medewerking is.
De Keersmaecker pleit voor gespecialiseerde onderzoekers bij de politie en hogere boetes voor technologiebedrijven die niet aan de onderzoeken meewerken. Nu riskeren die maximaal tachtig duizend euro, een ‘lachertje’. Ook de wetgeving zou beter aan de praktijk moeten aangepast zijn. Zo is het platleggen van een website vanuit een Europees land vaak werk in een grijze zone, net zoals het bestrijden van phishingcampagnes door valse accounts op te zetten.
