Belgische bedrijven die door ransomware werden getroffen hebben criminelen achter de aanvallen zeker 30 miljoen euro betaald om hun data terug te krijgen. Het werkelijke bedrag bedraagt mogelijk 100 miljoen euro per jaar. Dat liet de ceo van een securitybedrijf dat ransomwarebetalingen faciliteert tijdens een hoorzitting aan de Belgische Kamercommissie Economie weten.

De hoorzitting ging over de bestrijding van financieel-economische internetfraude. Eén van de aanwezige experts was Geert Baudewijns van securitybedrijf Secutec, dat bij ransomware-infecties met de verantwoordelijke criminelen onderhandelt. Baudewijns stelde dat zijn bedrijf twee a drie meldingen per week ontvangt van bedrijven die door ransomware zijn getroffen.

Zelf heeft het bedrijf volgens Baudewijns al 30 miljoen euro aan betalingen aan criminelen afgehandeld. Hij schat dat Belgische bedrijven jaarlijks 100 miljoen euro betalen om hun versleutelde data te laten ontsleutelen. Secutec behandelt alleen betalingen met een maximum bedrag van 75.000 euro. Voor hogere losgeldbedragen zijn er andere bedrijven in België actief.

Baudewijns liet tijdens de hoorzitting weten dat zo'n dertig procent van de slachtoffers betaalt. Het gaat dan meestal om kleinere ondernemingen. Het onderhandelen met de criminelen neemt gemiddeld drie tot vier dagen in beslag. Daarbij bepaalt altijd de klant of er tot betaling wordt overgegaan. "Als ze niet betalen, is er vaak sprake van (grote) economische schade, die hoe dan ook een kostprijs heeft", aldus Baudewijns.

Olivier Bogaert van de Federal Computer Crime Unit van de federale politie liet de Kamercommissie weten dat bedrijven met een cyberverzekering een deel van de schade vergoed krijgen en daardoor minder geneigd zijn om aangifte bij de politie te doen. Angst voor imagoschade speelt hierbij ook een rol. Daardoor zijn cijfers over cybercrime niet altijd compleet (pdf).