Ook kunnen de criminelen het geld dat ze verdienen gebruiken voor nieuwe aanvallen. “Wij zien in onderzoeken dat het geld dat door het ene slachtoffer wordt betaald, direct wordt geïnvesteerd in infrastructuur en middelen”, zegt Matthijs Japsers van de ransomware-taskforce van de politie.
“We zouden graag zien dat verzekeraars het losgeld niet vergoeden, maar we zien dat het soms toch gebeurt, omdat het goedkoper is dan alle herstelwerkzaamheden.”
Betalen
Hoe vaak bedrijven betalen, is niet bekend. Beveiligingsexpert Frank Groenewegen van Deloitte, die gehackte bedrijven bijstaat, zegt dat het in zijn ervaring in zes op de tien de gevallen gebeurt.
Uit onderzoek van verzekeraar Hiscox blijkt ook dat 58 procent van de succesvol aangevallen bedrijven betaalt. Dat onderzoek ging onder meer over Nederland; specifieke cijfers over de Nederlandse situatie zijn niet bekend.
Ook de politie heeft geen exacte cijfers. “We zien alleen het topje van de ijsberg, omdat bedrijven uit angst voor reputatieschade vaak geen aangifte doen.”
Ondernemers of instellingen die het losgeld betalen, willen vaak niet in de publiciteit, uit angst voor diezelfde reputatieschade of om opnieuw doelwit te worden. Een van de weinige bekende Nederlandse gevallen is de Universiteit Maastricht, die de aanvallers 200.000 euro betaalde. Een van de bekendste voorbeelden is de Braziliaanse vleesverwerker JBS, die de aanvallers 11 miljoen dollar betaalde.
“Soms hebben ze geen andere keuze”, zegt Groenewegen. “In de meeste gevallen die ik zie, zien ondernemers echt geen andere optie.” De gevallen waarbij losgeld wordt betaald uit een zakelijke afweging – herstel is wel mogelijk, maar duurder – zijn volgens hem zeldzamer.
“Ik heb veel bedrijven bijgestaan waar echt alle data weg was. Die hebben dan de keuze: betalen, of weken tot maanden bezig zijn met herstellen en soms zelfs failliet gaan.”
Bestanden gelekt
Intussen zetten aanvallers steeds meer druk op bedrijven om wél te betalen. Niet alleen de bedrijfsnetwerken worden versleuteld, de aanvallers stelen ook gegevens van medewerkers en klanten. Die publiceren ze vervolgens als bedrijven weigeren te betalen.
Het overkwam ROC Mondriaan, een MBO-scholengemeenschap in de regio Den Haag met 25.000 studenten. Op internet zijn nu interne documenten te zien, zoals de personeelsdossiers van leraren, gemelde klachten en financiële stukken.
“De aanvallers eisen vier miljoen euro”, zegt Hans Schutte, de voorzitter van de raad van bestuur. “Dat is natuurlijk absurd veel geld.”
Ondanks de gelekte documenten heeft de organisatie ervoor gekozen om niet te betalen. “We hebben nooit betaling overwogen. Principieel hebben we gezegd: wij betalen niet.”
