Wat weten we over ransomware-aanvallen op instellingen en bedrijven in Nederland?
In het Cybersecuritybeeld Nederland 2021 is ransomware benoemd als risico voor de nationale veiligheid. Deze kwaadaardige software blokkeert computersystemen of steelt data. Alleen tegen betaling van grote sommen losgeld kunnen de computers worden ontsleuteld of de data worden beschermd. Dit kan grote gevolgen hebben voor de organisatie, maar ook voor de maatschappij en de economie. Om ransomware-aanvallen effectief aan te pakken en te voorkomen is inzicht nodig in deze problematiek: wat zijn de kenmerken van zulke aanvallen, wat is er bekend over de slachtoffers, hoe vaak komen ransomware-aanvallen voor en wat is de impact ervan? Op dit moment is hier geen eenduidig beeld van. Dialogic heeft daarom, in opdracht van het WODC, onderzocht wat op basis van bestaande databronnen kan worden gezegd over de ransomware-aanvallen op instellingen en bedrijven in Nederland in 2020, 2021 en 2022.
In het onderzoek zijn verschillende databronnen geanalyseerd, waaronder van virusscanaanbieders, incident responsebedrijven, cybersecurityverzekeraars, politieaangiftes en websites van ransomware-groepen. Deze bronnen geven niet het eenduidige beeld waar behoefte aan is. Ook is geen enkele bron vrij van beperkingen. Zo zijn de meeste bronnen niet toegespitst op Nederlandse bedrijven. Ook is de informatie die partijen openbaar maken zeer beperkt. Incident response bedrijven melden incidenten aan het Nationaal Cyber Security Centrum (NCSC) en de Autoriteit Persoonsgegevens (AP) beschikt over meldingen van datalekken waarbij slachtoffers kunnen aangeven dat het over een ransomware-aanval gaat. Zowel het NCSC als de AP delen deze data nu niet (ook niet met elkaar). Toch levert het onderzoek inzichten en aanbevelingen op om tot een beter beeld te komen van ransomware-aanvallen. En daarmee tot een effectieve aanpak ervan.
E-mail meest gebruikte methode
Uit het onderzoek komt over de kenmerken van ransomware-aanvallen naar voren dat de ransomware-groepen variëren door de jaren heen. Het oprollen van de ene groep leidt vaak tot het ontstaan van een nieuwe groep met nieuwe software. Ook opereren ransomware groepen steeds meer als bedrijven: ransomware-as-a-service. Daarbij bieden ze ransomware-software aan andere cybercriminelen aan. E-mail is meest gebruikte methode (phishing) om toegang te krijgen tot de systemen.
Aantal aanvallen op ICT-sector verdubbeld
Amerikaanse organisaties worden het vaakst als slachtoffer gepubliceerd op websites van ransomware-groepen. Nederland stond over de jaren 2021 en 2022 op plek 12. Dat is hoger dan grote landen als China, Japan en Mexico. De industriesector en de financiële dienstverlening worden het meest getroffen. Opvallend is een verdubbeling van het aantal aangiftes van ransomware-aanvallen uit de ICT-sector in 2021 ten opzichte van 2020. De toename van het aantal aanvallen op deze sector wordt beaamd door de Autoriteit Persoonsgegevens.
Weinig aangiftes en minder vaak, maar wel meer losgeld betaald
In 2021 en 2022 ontving de politie 107 en 110 aangiftes van ransomware. De politie vermoedt dat slechts weinig slachtoffers aangifte doen. Een gegeven dat ook naar voren komt in de CBS Cybersecuritymonitor. Volgens rapportages van verzekeraars daarentegen is 26% van de Nederlandse bedrijven in 2022 getroffen door ransomware. Dit hoge percentage laat zich lastig verklaren. Mogelijk speelt een commercieel belang hierbij een rol.
Uit verschillende bronnen blijkt dat er in minder gevallen losgeld wordt betaald. Daartegenover staat dat het gemiddelde bedrag aan losgeld is gestegen in de jaren 2020-2022. Uit politieaangiftes blijkt dat de gevraagde losgeldbedragen bij Nederlandse slachtoffers in de ICT- en handelssector boven de miljoen euro uitkomen. De daadwerkelijk geleden financiële schade ligt vaak lager.
Betrouwbaar beeld in de toekomst
De onderzoekers doen verschillende aanbevelingen om op basis van de bestaande databronnen een meer betrouwbaar beeld te vormen van de aard en omvang van de ransomware-problematiek in Nederland. Zo zouden overheidsorganisaties als het NCSC, de AP en de politie hun data kunnen delen met een centraal punt. Het combineren van data over ransomware kan meer inzicht in de problematiek opleveren. Ook kan de overheid in overleg gaan met commerciële partijen over de voorwaarden om ook data te delen. Daarnaast is het belangrijk om te onderzoeken hoe de aangiftebereidheid van slachtoffers van ransomware kan worden vergroot. Aangiftes kunnen meer duidelijkheid geven over kenmerken van slachtoffers en de impact van een ransomware-aanval. Bovendien kunnen trends uit aangiftes helpen bij de opsporing en aanpak van cybercriminelen. Tot slot zien de onderzoekers mogelijkheden om landelijke monitors zoals de CBS Cybersecuritymonitor uit te breiden en te verbeteren.