Politie houdt ransomware-groepen in bedwang met gerichte dataverzameling
De Nederlandse politie slaagt erin ongeveer de helft van de ransomware-groepen die ze aanpakt te verstoren. Volgens onderzoeker Tom Meurs speelt de systematische verzameling van data over deze aanvallen hierbij een belangrijke rol.
Politie-interventies tegen ransomware-groepen blijken verrassend effectief. Dat concludeert Tom Meurs, die na vier jaar embedded onderzoek binnen politie-cybercrimeteams onlangs promoveerde aan de Universiteit Twente. Waar in de buitenwereld het beeld heerst dat de politie weinig kan uitrichten tegen cybercrime, laat Meurs' onderzoek zien dat gerichte interventies meetbare resultaten opleveren.
“Door van binnenuit mee te kijken, zag ik hoe complex ransomware-bestrijding werkelijk is”, vertelt Meurs. “Ransomware-onderzoeken zijn lastig en tijdrovend. Criminelen gebruiken geavanceerde anonimisatietechnieken waardoor het jaren kan kosten om één groepering op te sporen. Tegelijkertijd doen slachtoffers vaak geen aangifte omdat ze denken dat de politie toch niets kan doen.”
Deze inzichten brachten Meurs tot een cruciale conclusie: effectieve bestrijding vereist betere data-integratie. “Om patronen te kunnen zien, heb ik bijna een half jaar fulltime besteed aan het centraliseren van alle ransomware-aangiftes uit verschillende politiesystemen”, legt hij uit.
Deze systematische dataverzameling vormt een belangrijk element in de Nederlandse aanpak. "Uit gesprekken die ik een tijd geleden voerde met enkele collega's uit omringende landen, kreeg ik de indruk dat de informatie toen nog vaak versnipperd was over verschillende systemen," licht Meurs toe.
Interventies verstoren criminele ecosystemen
Met deze verbeterde datapositie kon Meurs de effectiviteit van politie-interventies meten. De resultaten zijn veelbelovend: “Ongeveer de helft van de ransomware-groepen stopt volledig na een gerichte interventie. Bij de overige groepen zien we een significante afname van activiteiten, waarbij ze minder en kleinere slachtoffers maken.”
De politie hanteert vijf interventiestrategieën: arrestaties, sancties, het vrijgeven van decryptors, het neerhalen van leakpagina's en het bevriezen van cryptotegoeden. “Het meest verrassende was de beperkte misdaadverplaatsing”, legt Meurs uit. “Tegen de verwachting in stapten criminelen na een interventie niet simpelweg over op andere methoden. Dit bevestigt dat gerichte verstoringen het verdienmodel daadwerkelijk ondermijnen.”
Een concreet succes is de recente internationale actie tegen LockBit, de groep die in 2023 ook de KNVB aanviel. “Bij LockBit hebben we gezien hoe krachtig een gecombineerde aanpak kan zijn”, zegt Meurs. “Door internationale samenwerking konden verschillende politiediensten tegelijk toeslaan: er werden arrestaties verricht én cryptotegoeden bevroren. Dit soort gecoördineerde acties hebben de grootste impact.”
Maar het onderzoek bracht ook een zorgwekkende blinde vlek aan het licht: kleine bedrijven worden vaker slachtoffer, maar komen minder in beeld bij autoriteiten.
“MKB'ers vinden het moeilijk om naar de politie te stappen”, vertelt Meurs. “Ze denken: 'ik ben maar een klein bedrijf, wat kan de politie voor mij doen?' Incident-responseteams zijn voor hen vaak te duur, en ze komen bovendien zelden op leakpagina's terecht omdat ransomware-groepen vooral grote bedrijven daar publiceren om naam te maken.” Het gebrek aan informatie over getroffen kleinere bedrijven belemmert de effectieve bestrijding voor deze kwetsbare groep.
Online aangiftes moeten drempel verlagen
De politie werkt inmiddels aan verschillende initiatieven om de aangiftedrempel te verlagen. “Er zijn meerdere specifieke projecten in ontwikkeling om het MKB beter te bereiken, maar daar kan ik op dit moment nog niet in detail over spreken”, zegt Meurs. “Wat ik wel kan delen is dat we werken aan mogelijkheden voor online aangifte, wat het proces toegankelijker moet maken. Particulieren kunnen al online aangifte doen van ransomware en we bekijken of dit ook voor bedrijven mogelijk kan worden.”
Hij benadrukt het belang van aangifte met een concreet voorbeeld: “Bij één ransomware-groep konden we ongeveer 200 sleutels terugkrijgen, maar we konden die alleen teruggeven aan slachtoffers die aangifte hadden gedaan.”
Dit illustreert de brede aanpak van de politie, die naast opsporing ook inzet op verstoring en slachtofferhulp. “We vertellen het publiek: doe aangifte, want dat geeft ons een beter beeld, het kan informatie opleveren die ons helpt om criminelen op te sporen, én het kan helpen bij brede bestrijding.”
Verdienmodel onder druk
Het ransomware-landschap blijft in beweging, stelt Meurs. “We zien een duidelijke ontwikkeling in dit soort aanvallen in reactie op de verbeterde beveiliging van organisaties en politie-interventies. Omdat steeds meer bedrijven herstelbare back-ups hebben, verschuift de focus van criminelen naar data-diefstal en afpersing. Versleutelde bestanden zijn immers minder effectief als drukmiddel wanneer goede en herstelbare back-ups beschikbaar zijn.”
Ook de organisatiestructuur van cybercriminelen verandert. “De grote ransomware-groepen met meer dan honderd leden die we voorheen zagen, vallen vaak uiteen door interne conflicten over geldverdeling en operationele beslissingen”, legt Meurs uit.
“Voor de komende jaren verwacht ik daarom meer kleinere, wendbare groepen die minder zichtbaar opereren maar nog steeds lucratieve doelwitten selecteren. Ze blijven jagen op organisaties die bereid zijn fors te betalen – een Amerikaans bedrijf heeft recent nog 22 miljoen dollar losgeld betaald. Met zulke bedragen blijft ransomware helaas een aantrekkelijk verdienmodel.”
Preventie blijft essentieel
Met deze ontwikkelingen moeten organisaties hun securitystrategie kritisch tegen het licht houden, benadrukt Meurs. “De evolutie van ransomware vereist specifieke preventieve maatregelen. Gewone back-ups zijn niet meer voldoende, omdat criminelen deze doelbewust opsporen en verwijderen voordat ze toeslaan. Je hebt oplossingen nodig waar aanvallers niet bij kunnen, zoals offline opslag, immutable cloud backups of tape-backups.”
Een ander cruciaal aandachtspunt is het inzicht in de eigen infrastructuur, iets dat niet iedere organisatie voldoende heeft. “Veel succesvolle aanvallen beginnen bij vergeten of slecht beheerde systemen”, waarschuwt Meurs.
“We zien regelmatig organisaties die door fusies, overnames of wisselingen van IT-leverancier het overzicht kwijt zijn geraakt. Ze hebben geen idee dat er ergens nog een server met verouderde software draait die criminelen een perfecte toegangspoort biedt.”
De strijd tegen ransomware blijft een kat-en-muisspel. Terwijl criminelen hun tactieken verfijnen, boekt de Nederlandse politie vooruitgang door slimmer samen te werken en informatie te centraliseren. Of dit voldoende is om het tij te keren, hangt mede af van de bereidheid van slachtoffers om aangifte te doen. “Zonder die aangiftes”, concludeert Meurs, “blijven we in het duister tasten.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee