Cryptovaluta zijn een belangrijk instrument voor ransomwarebendes. Niet voor niets klinkt regelmatig de roep om dit digitale betaalmiddel te verbieden. Maar dat lost het probleem niet op. Wat dan wel?
Gijzelsoftware is een van de grote uitdagingen van deze tijd. Ransomware-aanvallen richten jaarlijks voor vele miljarden euro’s aan schade aan. Tachtig procent van de organisaties wereldwijd werd in de afgelopen twee jaar aangevallen, zo blijkt uit onderzoek van Mimecast. In Nederland is dat zelfs 87 procent. Het geëiste losgeldbedrag varieert van duizenden tot miljoenen euro’s in bitcoins of een andere cryptomunt.
Er zijn goede argumenten om géén losgeld te betalen. Zo biedt betaling geen garantie dat de getroffen organisatie weer toegang tot de gegevens krijgt. Soms worden de gegevens alsnog verkocht of gelekt, of krijgt de organisatie later een nieuwe aanval over zich heen. En door te betalen, houden slachtoffers het verdienmodel in stand. Toch betaalt ongeveer de helft van de getroffen Nederlandse organisaties het volledige bedrag.
Meer aanvallen op mkb
Tot op zekere hoogte is dat begrijpelijk, omdat organisaties de bedrijfscontinuïteit moeten waarborgen. Het losgeld valt meestal in het niet bij de totale kosten van een aanval: van operationele downtime en gegevensverlies tot reputatieschade.
Kleinere organisaties hebben vaak geen andere keus dan het losgeld te betalen. Zij beschikken doorgaans over beperkte financiële reserves, waardoor ze een langdurige verstoring van de bedrijfsvoering niet overleven. Daarom schat Mimecast in dat het mkb op de middellange en lange termijn vaker doelwit wordt. Ook is het mkb een eenvoudige ‘oefenprooi’ voor beginnende cybercriminelen die via het darkweb een ransomware-kit aanschaffen (ransomware-as-a-service).
Dit maakt de bestrijding van ransomware extra complex. Instanties zoals het NCSC en het Team High Tech Crime hebben nu al beperkte middelen om het bedrijfsleven te beschermen. Een grote organisatie heeft vaak een eigen securityteam of kan forensisch specialisten inschakelen. Omdat het mkb dat niet kan, dreigen daar ransomware-aanvallen een straffeloos vergrijp te worden, net als fietsendiefstal.
Verbod op losgeldbetalingen
In de zoektocht naar een oplossing wordt onder meer gekeken naar een verbod op losgeldbetalingen. Zo onderzocht het ministerie van Justitie en Veiligheid de mogelijkheden om verzekeraars te verbieden om losgeld te vergoeden. En in de Verenigde Staten kwam een congreslid met een wetsvoorstel dat financiële instellingen verbiedt om losgeld boven de honderdduizend dollar te betalen.
Cryptovaluta zijn inderdaad handig voor cybercriminelen, omdat veel consumenten al een cryptowallet hebben. Dat maakt het betalen van losgeld laagdrempeliger. Transacties zijn te traceren, maar dit vereist de nodige expertise en is een arbeidsintensief proces. Bij kleine bedragen is dit vaak niet de moeite waard, zelfs voor de politie niet.
Ransomware-aanvallen zullen waarschijnlijk niet verdwijnen als we cryptovaluta verbieden. Crypto is ‘slechts’ een betaalmiddel. Voorheen werd crimineel geld weggesluisd via anonieme bankrekeningen in Zwitserland of op de Kaaimaneilanden, of zelfs via een ander betaalsysteem, maar nu gebeurt dat via crypto. Ransomware is een uiterst succesvol verdienmodel voor cybercriminelen. Het is zeer onwaarschijnlijk dat zij met deze activiteiten stoppen als een van de betaalmethoden verboden wordt.
Alternatieve betaalmethoden
Als we crypto verbieden, vallen ransomware-bendes terug op alternatieven. En die zijn er genoeg, ook buiten het traditionele banksysteem. De recente koersdalingen van veel cryptovaluta hebben waarschijnlijk ook geen groot effect op ransomware. Cybercriminelen eisen gewoon meer cryptomunten of maken gebruik van een andere betaalmethode. Voor de getroffen organisatie blijft de schade gelijk.
De vraag is ook of het criminaliseren van crypto praktisch uitvoerbaar is. Als we crypto verbieden, dan gaat het simpelweg ondergronds. Om dezelfde reden zal ook een algemeen verbod op losgeldbetalingen waarschijnlijk niet werken. Aan het einde van de dag wil een door ransomware getroffen organisatie toch zo snel mogelijk back in business zijn. Dit is een zakelijke afweging. Overleven weegt zwaarder dan principes.
Investeren in cybersecurity
Wat moet er dan wel gebeuren? Het grote probleem is niet dat organisaties losgeld betalen of dat ze dat in crypto doen, maar dat veel organisaties nog niet weerbaar genoeg zijn tegen ransomware. Ransomware-aanvallen vormen een ernstige bedreiging voor het bedrijfsleven. Het is dan ook cruciaal dat dit een prioriteit in elke bestuurskamer is.
Elke organisatie moet zorgen voor een effectieve, gelaagde beveiliging tegen ransomware en een goed geoefend incident-responseplan. Andere belangrijke aanbevelingen zijn het integreren van cyberrisico’s in de overkoepelende risicoanalyses en continuïteitsplanning, het frequent aanbieden van security-awarenesstrainingen voor het personeel en het maken van robuuste backups.
Wordt de organisatie toch getroffen door een ransomware-aanval? Dan is het zaak hier open en eerlijk over te communiceren met de stakeholders.