Het ‘duivelse dilemma’ bij ransomware is een excuus om betalen goed te praten

DoorFleur van Leusden
Het ‘duivelse dilemma’ bij ransomware is een excuus om betalen goed te praten cover

Betalen rondom ransomware wordt vaak geportretteerd als een ‘duivels dilemma’; betalen of ten onder gaan. Maar klopt dit wel?

‘Criminelen houden zich aan afspraken’ is wishful thinking

Voorstanders zeggen vaak dat criminelen die ransomware gebruiken belang hebben bij het zich houden aan gemaakte afspraken. Hun verdienmodel zou op het spel worden gezet als zij de data na betaling alsnog zouden lekken [1]. Maar met criminelen is het slecht afspraken maken.

Zo leidde een intern conflict in een groep van ransomware criminelen ertoe dat data van Change Healthcare na het betalen van 22 miljoen dollar losgeld, alsnog lekte [2]. In Nederland hadden we de casus van Clinical Diagnostics. Waarbij ransomwaregroep Nova na betaling alsnog dreigde de data te publiceren, omdat Clinical Diagnostics een afspraak met hen zou hebben geschonden [3].

Ransomware groepen zijn veelal fluïde in opmaak. Groepen werken regelmatig met een soort onderaannemers die de ransomware verspreiden of de onderhandelingen over betalingen doen. De kernorganisatie kan misschien een bepaalde reputatie hebben opgebouwd, maar de onderaannemers kunnen zich laten leiden door kortetermijn-prikkels. Dit is hoe we nu terecht zijn gekomen bij namen als “Scattered Lapsus ShinyHunters / The Com” [4]. Interne ruzies, exit scams of politie ingrijpen maken “betrouwbaarheid” twijfelachtig. Dat maakt dat de reputatie van een bepaalde groep ook in mindere mate nog relevant is.

‘Bewijs van wissen’ is geen bewijs van vernietiging

Dan nog het argument dat je een (live) video kunt krijgen waarop te zien is dat na betaling de data gewist worden [5]. Dat is alsof een crimineel een kopie van je paspoort boven een versnipperaar houdt en zegt: “Als je betaalt, gooi ik ’m erin!” Stel dat je betaalt en hij laat het papiertje door de versnipperaar gaan. Wie zegt dat er niet nog tien kopieën in een lade liggen? Of dat er al scans zijn doorgestuurd? Je ziet één vel verdwijnen, maar je hebt nul zicht op de rest.

Digitale data is eindeloos kopieerbaar. Eén druk op de knop en er bestaan meerdere versies, verspreid over servers en tussenpersonen. Vernietiging is niet verifieerbaar of afdwingbaar. Dan cirkelen we weer terug naar “maar het is hun verdienmodel om betrouwbaar te zijn”.

Versleuteling vs. datadiefstal: twee totaal andere afwegingen

Dan maakt het wat mij betreft ook nog uit wat voor type afpersing we over praten. Bij het door versleuteling platleggen van een bedrijf spelen mijn inziens andere afwegingen een rol dan als er ‘alleen’ data gestolen is en dreigt gepubliceerd te worden. Het wordt wel eens vergeleken met het hebben van een pistool tegen je hoofd [6]. De vraag is in hoeverre deze vergelijking opgaat als de data vooral is gelekt en niet versleuteld.

In zekere zin is de schade in dat geval dan feitelijk al geleden. De data is buiten je controle. Je kunt hoogstens met betalen proberen de impact te dempen, maar daarmee betaal je mee aan de volgende aanval op een ander (of misschien wel jezelf) [7]. Uit een onderzoek van Cybereason uit 2024 bleek bijvoorbeeld dat in 78% van de gevallen, slachtoffers van ransomware opnieuw werden gehackt. Waarbij in 63% van die gevallen, er ook opnieuw losgeld werd geëist [8].

Wanneer betalen wél verdedigbaar is

Wanneer vind ik dat je zou moeten betalen? In mijn ogen zou dit alleen een valide optie zijn als er letterlijk mensenlevens in direct gevaar zouden zijn en betaling de enige reële kans biedt om die levens te redden. Er zijn echter niet veel scenario’s die ik daar onder zou scharen.

Dat jouw bedrijf voelt als een kind waar je liefdevol voor hebt gezorgd en dat ten onder dreigt te gaan als je niet betaalt, is iets waar ik begrip voor heb. En vanuit individueel perspectief is betalen dan ook te begrijpen. Maar dat het te begrijpen is, maakt het in mijn ogen nog niet verstandig of iets wat je moet willen aanmoedigen als security expert. En of het “ten onder gaat” heeft ook te maken met of er sprake is van versleuteling of “slechts” een gestolen dataset.

Ik wil voorkomen dat ik hier alle bekende argumenten opnieuw ga benoemen. Maar het in stand houden van een crimineel verdienmodel snijdt in mijn ogen zeker hout.

Zou betalen verboden moeten worden? Dat vind ik ingewikkeld te beantwoorden. Het maakt ons land wellicht minder aantrekkelijk, maar het kan bedrijven ook vindingrijker maken in de manier van betaling om onder de radar te blijven. Dat is nu al niet wenselijk, met het oog op transparantie en voor de betrokkenen wiens data is gestolen, die daar schade van kunnen ondervinden.

Waarom het anti-betalen kamp groter voelt

We blijven binnen (en inmiddels ook buiten) security twee kampen houden, in mijn ervaring. Het kamp pro-betalen en het (in mijn idee grotere) kamp anti-betalen. De reden dat ik denk dat het anti-betalingskamp groter is, is wellicht omdat ons rechtvaardigheidsgevoel zegt dat criminaliteit niet zou moeten lonen.

Daar hebben we meer begrip voor in situaties waarin iemand fysiek ontvoerd en gegijzeld is, omdat losgeld daar nog daadwerkelijk een mensenleven kan redden, waar het bij ransomware veelal gaat om reputatieschade of het lekken van data, of hoogstens het failliet gaan van een bedrijf. Dat vinden we denk ik niet opwegen tegen het principe dat criminaliteit niet zou moeten lonen.

Investeer in weerbaarheid, niet in losgeld

Ik hoop dat niet betalen in elk geval leidt tot structurele maatregelen bij bedrijven. Offline backups, toegangsbeperking, monitoring… Het verbeteren van je strategische positie ten opzichte van deze criminelen verdient budget en aandacht. Besteed het geld in plaats van aan losgeld, liever aan betere beveiliging. Want zoals FBI directeur William Webster ooit zei: “security is always seen as too much, until the day it’s not enough.”

​[1] ‘Betaal niet aan cybercriminelen’, waarom doen bedrijven dat toch?
[2] Change Healthcare Finally Admits It Paid Ransomware Hackers—and Still Faces a Patient Data Leak | WIRED
[3] ‘Betaal niet aan cybercriminelen’, waarom doen bedrijven dat toch?
[4] Please Don’t Feed the Scattered Lapsus ShinyHunters – Krebs on Security
[5] Gaat Odido nu betalen? Hangt ervan af hoe ‘betrouwbaar’ de hackers zijn
[6] Bedrijf in Helmond ‘gegijzeld’ door hackers: ‘Opeens zit je op het Darkweb en betaal je losgeld in Bitcoins’ | Helmond | ED.nl
[7] Repeat Ransomware Attacks – Axcient
[8]Repeat Ransomware Attacks – Axcient

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten