English | Français | Deutsche | Español | Meer talen
Eind december 2019 was de cyberaanval op de Universiteit Maastricht groot nieuws. In de maanden na de ‘hack’ is er door de Universiteit hard gewerkt aan het herstel van het netwerk. Daarnaast hebben het cybercrimeteam van de politie Limburg en het Openbaar Ministerie stevig geïnvesteerd in het opsporingsonderzoek. Dat heeft onder meer geleid tot het volgende succes, namelijk de in beslagname van cryptovaluta ter waarde van plus minus 500.000,- euro.
De aanval
Op maandag 23 december 2019 werd de Universiteit Maastricht slachtoffer van een grote ransomware-aanval. De Windows-systemen werden hiermee platgelegd. Zowel studenten als medewerkers werden daardoor getroffen. Dat was voor de onderwijsinstelling, de politie en het OM in Limburg de start van een intensieve samenwerking. Waar laatstgenoemde partijen aan de slag gingen met een opsporingsonderzoek, nam de Universiteit een cybersecuritybedrijf in de hand om het netwerk en de systemen samen met de eigen medewerkers weer operationeel te krijgen. Hier lees je meer over de aanval.
Sporenonderzoek
De start van het onderzoek begon met de aangetroffen sporen. Metten Bergmeijer, teamleider van het cybercrimeteam van politie Limburg: “Iedere vorm van criminaliteit laat sporen achter, ook criminaliteit in de digitale wereld. Dankzij een goede samenwerking met de Universiteit en het door hen ingehuurde cybersecuritybedrijf hebben we gebruik kunnen maken van de door hen veilig gestelde sporen. Een dergelijke samenwerking is essentieel om een goed opsporingsonderzoek te kunnen doen”, legt Metten Bergmeijer uit. “Je kunt het vergelijken met een woninginbraak. Wij repareren als politie niet de deur die de inbrekers vernield hebben, maar zijn in ons onderzoek wel geïnteresseerd in de vingerafdrukken of andere sporen die op die deur zijn achtergelaten.” Op enig moment zag de Universiteit zich genoodzaakt 197.000 euro losgeld aan de hackers te betalen. Metten Bergmeijer: “We hebben altijd het standpunt gehad dat er niet betaald moest worden. Maar we respecteren en begrijpen in het licht van alle dilemma’s deze keuze.”
Internationale samenwerking
Het onderzoek van het OM en de politie baseerde zich op digitale, financiële en tactische invalshoeken. Criminaliteit stopt niet bij de grens van een eenheid of land en zeker cybercriminaliteit niet. Dat bleek in deze zaak niet anders. Die sporen brachten het onderzoeksteam al snel over de grens. Daardoor ontstond een nauwe internationale samenwerking met diverse landen. Bij een groot aantal partijen in het buitenland werden gegevens gevorderd. Ook de betaling die de universiteit deed, liet sporen na die het onderzoeksteam weer een stap verder bracht. Via een (digitale) zoektocht die vele landen doorkruiste, is er een persoon in Oekraïne bij het onderzoeksteam in beeld gekomen. Het onderzoeksteam is in 2021 afgereisd naar Oekraïne waar de Oekraïense autoriteiten op verzoek van het onderzoeksteam een doorzoeking in een woning hebben gedaan en met betrokkenen gesproken hebben. Het onderzoek daar heeft de weg vrij gemaakt om uiteindelijk de cryptovaluta in beslag te kunnen nemen.
Wallet bevroren
In februari 2020 werd er door het onderzoeksteam een wallet bevroren waar een deel van het betaalde losgeld naartoe is gegaan. Op dat moment was de waarde van de cryptovaluta die daarin stonden ongeveer 40.000 euro. Het bevriezen van de wallet garandeert dat er met het geld niets meer kan gebeuren omdat de eigenaar van de wallet er geen toegang meer toe heeft. Om vervolgens daadwerkelijk beschikking over de wallet te krijgen, moet een juridische traject tot formele inbeslagname leiden. Daartoe moesten onder meer vorderingen en rechtshulpverzoeken bij internationale partners gedaan worden. Een weg van de lange adem, die er uiteindelijk toe geleid heeft dat in april 2022 de cryptovaluta formeel door het OM in beslag werd genomen. Door de koerswijzigingen van de cryptovaluta is de waarde gestegen tot ongeveer 500.000 euro. Méér dan de Universiteit destijds betaalde.
Schadeloos stellen
Georges van den Eshof (officier van justitie cybercrime): “Er moeten nog juridische stappen gezet worden, maar het OM gaat er alles aan doen om dit gehele bedrag bij de Universiteit te krijgen. Zij hebben destijds ongeveer 200.000 euro aan losgeld betaald, maar de door hen geleden schade was natuurlijk veel groter. Denk aan de aanschaf van nieuwe systemen en de werkzaamheden om het netwerk weer operationeel te krijgen. De hoofddoelstelling van de inbeslagname is de Universiteit zoveel mogelijk schadeloos te stellen. Dat was ook een van de doelen in het ons opsporingsonderzoek.” Naast dit mooie resultaat, leerden de politie en het OM ook lessen van dit onderzoek. Metten Bergmeijer: “Dit is destijds door het cybercrimeteam Limburg opgepakt. De afgelopen jaren hebben we van dit en andere onderzoeken geleerd dat incident gedreven werken minder effectief is dan werken vanuit het grotere geheel. Dat is de reden voor de oprichting van de Ransomware Taskforce.”
Aangifte doen loont
Metten Bergmeijer: “In het domein van cybercrime, en zeker waar het gaat om ransomware, is gebleken dat het aanhouden van verdachten weinig kansrijk is. Die bevinden zich immers vaak in landen waar Nederland geen internationale samenwerking mee heeft. We moeten dus uit een ander vaatje tappen. Aangiftes geven ons een cruciaal deel van de informatie die we daarvoor nodig hebben. Het helpt ons de criminaliteit beter te begrijpen en zo de plaatsen te vinden waar we criminelen het hardst kunnen raken. Criminelen moeten bijvoorbeeld met elkaar communiceren, hun geld witwassen of toegang krijgen tot systemen. We moeten onze pijlen richten op het verstoren, frustreren en voorkomen van het criminaliteitsproces. Deze aanpak passen we op dit moment toe in de Ransomware Taskforce waarin specialisten van de regionale cybercrimeteams en het Team High Tech Crime van de Landelijke Eenheid samenwerken aan de verstoring, opsporing en preventie van ransomware volgens dit principe. We onderzoeken als politie of deze methodiek ook toepasbaar is voor de aanpak van andere vormen van cybercriminaliteit. Dit doen we als politie niet alleen. We sluiten hiervoor slimme allianties met onder andere bedrijven en onderwijsinstellingen in binnen en buitenland.”
Bron: politie.nl, om.nl
Meer ransomware nieuws
"Bad guys sponsoren" Stelling: Ransomware moet uitgesloten worden van verzekeringsdekking
Nederlandse bedrijven sluiten wereldwijd de hoogste verzekeringen af tegen schade door ransomware-aanvallen. Gemiddeld zijn ze voor 5,77 miljoen euro gedekt voor gijzelsoftware. Dat is een hoger bedrag dan in de VS en Japan. Critici willen een verbod op de verzekeringen omdat ze naast de gevolgschade ook losgeld dekken. Daardoor houden ze het verdienmodel van cybercriminelen in stand, luidt de kritiek.
Verdwijning ransomware cybercriminelen 'REvil' een mysterie
De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.
Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer
Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen.
Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug
Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval?
11 miljoen, betalen aan cybercriminelen lijkt de norm!?
De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel.
Cybercrime kartels flink in opmars
Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten. De winst die wordt gemaakt met losgeld operaties wordt vaak gebruikt om zowel tactieken als malware te bevorderen om hun succes te vergroten.