Politie adviseert slachtoffers van ransomware niet te betalen
Gisteren werd bekend dat de Universiteit Maastricht criminelen 197.000 euro heeft betaald voor het ontsleutelen van bestanden die door ransomware waren versleuteld. Vandaag herhaalt de Nederlandse politie het al vaker gegeven standpunt om bij ransomware niet te betalen.
"Hoewel het een organisatie voor een enorm dilemma kan stellen, raadt de politie het in dergelijke ransomware-zaken toch af om te betalen. Anders houden we het verdienmodel van de criminelen in stand", zo stelt de politie. Volgens Metten Bergmeijer, teamleider van het Limburgse cybercrimeteam, heeft het er alle schijn van dat de aanval in de kerstperiode zorgvuldig gepland was. De aanvallers waren twee maanden onopgemerkt in het universiteitsnetwerk actief voordat ze de ransomware op 23 december uitrolden.
"Mede daardoor werd het laat ontdekt en kon het zo groot worden. De universiteit deed pas na twee dagen – in de namiddag van tweede kerstdag - aangifte bij ons", laat Bergmeijer weten. Het Limburgse cybercrimeteam is nog steeds bezig met de zaak. "We hebben op een aantal terreinen opsporingsindicatie. Er zat duidelijk veel tijd en voorbereiding achter", gaat Metten verder, die opmerkt dat de politie vanaf het begin achter het standpunt stond om niet te betalen. "Maar we respecteren en begrijpen in het licht van de dilemma’s ook wel weer de keuze van de universiteit", zo laat de teamleider weten.
Ook Marijn Schuurbiers, teamleider van het Team High Tech Crime (THTC) van de Landelijke Eenheid, raadt slachtoffers af om het losgeld te betalen. "We begrijpen natuurlijk wel dat dit een enorm dilemma kan zijn, wanneer - zoals in Maastricht - alles stil ligt of wanneer je als bedrijf een enorm verlies lijdt. Aan de andere kant houdt zo’n betaling het verdienmodel van deze cybercriminelen in stand. We zien in concrete onderzoeken dat het betaalde geld deels gebruikt wordt om weer nieuwe aanvallen op te zetten." De THTC-teamleider benadrukt dat collectief en structureel niet betalen een belangrijke oplossing kan zijn om het verdienmodel van de criminelen in Nederland minder aantrekkelijk te maken.
Vooral ophalen van broodje shoarma.
Een medewerker van een advocatenkantoor vertelde gisteravond op TV (in Nieuwsuur meen ik) dat zij, nadat ransomware al hun bestanden had versleuteld, geweigerd hadden om te betalen. Geconfronteerd met de vraag wat zij gedaan zouden hebben als de cybercriminelen zouden hebben gedreigd hun bestanden te publiceren, kwam er geen duidelijk antwoord - maar duidelijk was wel dat de schade dan wel eens veel groter zou kunnen zijn.
Persoonlijk denk ik dat de discussie - vooral op een site als security.nl - primair moet gaan over het voorkomen dat aanvallen slagen, en in de tweede plaats over het opsporen en berechten van de betrokken cybercriminelen (waaronder het maken van betere internationale afspraken). Wat mij betreft komt pas daarna de discussie over wel/niet betalen van losgeld aan de orde.
Iedereen die 2 meter nadenkt snapt dat spotgoedkope spullen kopen (off-line / on-line) eigenlijk ergens iemand in de keten van productie tot verkoop "pijn" doet. Toch doen we het en zal het blijven gebeuren. Idem met ransomware.
200K is voor iedere persoon een smak geld. Voor een organisatie van deze grootte orde valt dat best nog wel mee.
Over het aspect of het al dan niet over belastinggeld gaat kan je ook stellen dat het openstellen van het symposium via live stream en/of achteraf, van grote waarde is voor vele andere organisaties.
In de eerste plaats moet dit gelden voor onderwijsinstellingen. Met hun zeer wisselvallige eindgebruikers. Daarnaast VERBIEDEN om de crooks te spekken. (Het blijft 'ons' geld)
De politie moet niet alleen vrijblijvend adviseren, maar ook daadkracht tonen door de overheid wakker te schudden. Gelijk aan het vuurwerkdebat. Dat terwijl digitale veiligheid meer urgentie heeft.
200K is voor iedere persoon een smak geld. Voor een organisatie van deze grootte orde valt dat best nog wel mee.
Over het aspect of het al dan niet over belastinggeld gaat kan je ook stellen dat het openstellen van het symposium via live stream en/of achteraf, van grote waarde is voor vele andere organisaties.
200K valt voor de UM best mee? Het is al sappelen door de bezuinigen. Daarbij wordt dat risico van 200K ingecalculeerd bij het collegegeld van die arme tieners. Dat openstellen van het symposium is naast adviseren en demonstreren hoe-het-niet-moet, voor een groot deel damage control. Het is slechts wachten op de volgende aanval na een genegeerde patch en lekke back-ups als gevolg van de verkeerde bezuinigen en een slapende ICT.
die inmiddels 2 ton heeft overgemaakt aan de criminelen.
NL-NU2020
Of Rutte ...
?Of Maxima ...?
Of Alex ...?
Zou Bergmeijer het fijn vinden als de overheid losgeld zou betalen om zijn vrouw vrij te kopen?
Nee, lekker makkelijk.
De politie moet gewoon veel meer capaciteit hebben om de geldstromen te volgen. De gemene hackers zijn maar voetvolk, iemand zal ze aan sturen en het geld ontvangen. Wellicht is men bang in Noord-Korea or Iran uit te komen en tja, dan is er inderdaad weinig te halen.... Rusland en Oostblok willen mondjesmaat nog wel eens mee werken aan veroordelingen.
Het is nuttiger om op preventie te hameren want daar ging de universiteit op diverse punten aardig de mist in.
Voorbeeldje: macro's toestaan voor (alle?) eindgebruikers, niet ondersteunde OS versie met een bekende ongepatchte vulnerability (uit 2017....), AV uitschakelen zonder centrale notificatie of niet opgevolgd door personeel, beheerders welke niet onder admin rechten beheertaken mochten uitvoeren maar het toch deden (resultaat: wachtwoord(hash?) in het geheugen), weinig tot geen monitoring op verdacht verkeer extern en intern, etc.
Of Rutte ...
?Of Maxima ...?
Of Alex ...?
Zou Bergmeijer het fijn vinden als de overheid losgeld zou betalen om zijn vrouw vrij te kopen?
Nee, lekker makkelijk.
Bij Rutte zeker niet betalen ;-)
De Universiteit van Maastricht heeft een afweging gemaakt om niet te betalen maar dat zou meer problemen met zich meebrengen dan enkel de hogere kosten. Studenten moeten op tijd examens doen en dat zou dan niet kunnen.
Niet betalen heeft als gevolg dat de bedrijfsvoering in het geding komt. Zolang het losgeld relatief laag is zal er altijd betaald worden. Waarschijnlijk hadden ze in Maastricht niet betaald wanneer er 50BTC was geëist.
200K valt voor de UM best mee? Het is al sappelen door de bezuinigen. Daarbij wordt dat risico van 200K ingecalculeerd bij het collegegeld van die arme tieners. Dat openstellen van het symposium is naast adviseren en demonstreren hoe-het-niet-moet, voor een groot deel damage control. Het is slechts wachten op de volgende aanval na een genegeerde patch en lekke back-ups als gevolg van de verkeerde bezuinigen en een slapende ICT.
Dat bedrag moet je inschatten op jaarlijks een veelvoud van dat genoemde bedrag.
Het kosten baten verhaal met duizenden servers met extern beheerde die ook vrije toegang hebben, het is zeer gecompliceerd.
Persoonlijk denk ik dat de discussie - vooral op een site als security.nl - primair moet gaan over het voorkomen dat aanvallen slagen, en in de tweede plaats over het opsporen en berechten van de betrokken cybercriminelen (waaronder het maken van betere internationale afspraken). Wat mij betreft komt pas daarna de discussie over wel/niet betalen van losgeld aan de orde.
Dat gedoe met os flaming helpt niet, het is een oorzaak waardoor er zo weinig van de grond komt.
Dat zou je wel willen hè karma4? Dat de nummer 1 oorzaak van heel veel problemen met mal- en ransomware - namelijk Microsoft Windows - in de doofpot wordt gestopt onder de noemer van 'OS flaming'. Nu, het aan de kaak stellen van dergelijke problemen kan je geen flaming noemen! Nee, het is eenvoudigweg benoemen van het probleem!
Waar bemoeit de politie zich mee??
Het is aan het slachtoffer, niet aan de poltie, om te beslissen of die zijn data tegen betaling wil terughalen.
En het is onredelijk om op het slachtoffer de druk te leggen van "geef je persoonlijke bezittingen toch op ten gunste
van het algemeen nut". Dat moet iedereen zelf beslissen en zonder opgelegde druk, en al zeker van de politie.
Het zou hooguit de politiek kunnen zijn die iets in die richting zou moeten doen. De politie moet opsporen en de
orde handhaven, met het beleid en het verdienmodel van criminelen hebben zij helemaal niets te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
