Duitse autoriteiten hebben deze week een Russische man gezocht in een grote ransomwarezaak. Het onderzoek strekt zich uit over meerdere EU-landen en raakt ook België. Justitie wil duidelijkheid over mogelijke Belgische slachtoffers en infrastructuur. De zaak raakt aan meldplichten onder de AVG en nieuwe regels uit NIS2, en werpt vragen op over de inzet van AI-analyses door opsporingsdiensten onder de Europese AI-verordening.
Europees onderzoek verbreedt
Het Bundeskriminalamt en Duitse justitie hebben een opsporingsverzoek uitgezet voor een Russische verdachte in een ransomwaredossier. De aanvallen zouden publieke instellingen en bedrijven in verschillende landen hebben geraakt. Opsporingseenheden vragen om tips en forensische data die de routes van het losgeld en de gebruikte servers kunnen blootleggen.
Het onderzoek richt zich op een crimineel netwerk dat systemen versleutelde en losgeld eiste, vaak met extra druk via datadiefstal. Zulke groepen werken internationaal en wisselen tools en infrastructuur uit. Daardoor liggen sporen verspreid over hostingpartijen, betaalkanalen en tussenpersonen in meerdere rechtsgebieden.
Omdat de verdachte zich mogelijk buiten de EU bevindt, is aanhouding juridisch en praktisch lastig. In dat geval spelen een Interpol-notering en wederzijdse rechtshulp een rol, en kan een Europees aanhoudingsbevel worden ingezet zodra iemand in de EU opduikt. Duitsland stemt hierover af met Europol en Eurojust voor gecoördineerde vervolgstappen.
Opsporingsdiensten gebruiken steeds vaker data-analyse en algoritmen om patronen in malware en cryptobetalingen te herkennen. Zulke AI-gestuurde forensische systemen zoeken overeenkomsten in code, infrastructuur en gedrag over dossiers heen. Dit versnelt de analyse, maar vereist zorgvuldige documentatie zodat bevindingen standhouden in de rechtbank.
Belgisch spoor onderzocht
In België bekijken het Federaal Parket en de Federal Computer Crime Unit op het moment van schrijven of er directe verbanden zijn met de Duitse zaak. Dat kan gaan om Belgische slachtoffers, gebruikte servers of financiële stromen die hierdoor liepen. Het Centrum voor Cybersecurity België waarschuwt al langer dat overheid en zorg extra kwetsbaar zijn voor dit type aanvallen.
België kent een reeks incidenten bij lokale besturen, ziekenhuizen en kmo’s, met grote impact op dienstverlening. Ransomware legt vaak cruciale processen stil, van afspraakmodules tot patiëntensystemen. Herstel kost weken en dwingt organisaties tot dure noodoplossingen.
In lopende dossiers vragen autoriteiten organisaties om logbestanden veilig te stellen en elk incident snel te melden. CERT.be fungeert als eerste aanspreekpunt en helpt bij technische coördinatie. Zo blijft de bewijsvoering intact en vergroten onderzoekers de kans op koppeling met internationale sporen.
Voor publieke diensten en vitale aanbieders weegt dit extra zwaar, omdat continuïteit en vertrouwelijkheid wettelijk zijn verankerd. Met NIS2 krijgen ook meer middelgrote bedrijven een meld- en zorgplicht rond cyberbeveiliging. Het Belgische toezicht intensiveert daarom controles op basishygiëne, zoals patchbeleid en back-ups.
Hoe ransomware werkt
Ransomware is kwaadaardige software die bestanden versleutelt en losgeld eist voor een digitale sleutel. Vaak stelen aanvallers eerst data en dreigen ze met publicatie om druk te verhogen. Betalingen verlopen meestal via cryptovaluta en worden verhuld via wisseldiensten en mixers.
Ransomware versleutelt systemen en eist losgeld; zonder sleutel kan herstel weken duren en blijven gegevens vaak ontoegankelijk.
Veel groepen hanteren een “Ransomware-as-a-Service”-model: ontwikkelaars leveren kant-en-klare pakketten, en “affiliates” voeren de aanvallen uit. De winst wordt gedeeld, wat snelle schaalvergroting mogelijk maakt. Deze opsplitsing bemoeilijkt strafrechtelijk bewijs, omdat rollen en verantwoordelijkheden per incident verschillen.
Verdediging vraagt om meerdere lagen: offline back-ups, multifactor-authenticatie en netwerksegmentatie. Endpoint-beveiliging gebruikt steeds vaker machinelearning om afwijkend gedrag te detecteren, zoals massale bestandsversleuteling. Toch blijft menselijk toezicht nodig om valse alarmen te duiden en snel te reageren.
Autoriteiten en verzekeraars raden betalen af, omdat dit criminaliteit financiert en geen herstel garandeert. Onder de AVG geldt een ransomware-incident vrijwel altijd als datalek, met een meldplicht binnen 72 uur aan de Gegevensbeschermingsautoriteit. Slachtoffers moeten ook betrokkenen informeren als er een hoog risico op misbruik van persoonsgegevens is.
Regels en EU-samenwerking
Europol en Eurojust ondersteunen lidstaten met gezamenlijke onderzoeksteams en snelle datadeling. Zo kunnen inbeslagnames, arrestaties en server-takedowns gecoördineerd plaatsvinden. Deze aanpak bleek eerder effectief bij het ontmantelen van internationale criminele infrastructuren.
Voor organisaties betekenen incidenten juridische en organisatorische stappen tegelijk. De AVG verplicht tot dataminimalisatie, goede versleuteling en tijdige meldingen bij datalekken. Contractueel moeten ook leveranciers aantoonbaar passende beveiligingsmaatregelen treffen.
NIS2 versterkt dit verder met risicobeheer, continuïteitsplannen en strakkere termijnen voor incidentmelding aan het nationale CSIRT. Lidstaten moeten NIS2 uiterlijk 17 oktober 2024 omzetten; in België loopt die implementatie op het moment van schrijven. Boetes en persoonlijk toezicht op bestuurders worden zwaarder, zeker bij essentiële en belangrijke entiteiten.
De Europese AI-verordening raakt de inzet van opsporingsalgoritmen voor digitale forensiek. Bepaalde systemen kunnen als hoog risico gelden en vereisen documentatie, menselijk toezicht en duidelijke werking. Voor overheden is het belangrijk dat gebruikte analysetools uitlegbaar zijn, zodat resultaten bruikbaar blijven in bewijsvoering.
Wat organisaties nu doen
Inventariseer kritieke systemen en test herstel via offline back-ups, minimaal wekelijks. Sluit bekende kwetsbaarheden, vervang verouderde software en verplicht multifactor-authenticatie. Monitor laterale beweging in het netwerk om stille aanvallen snel te stoppen.
Leg procedures vast: wie meldt aan CERT.be, wie communiceert met klanten en wie beslist over juridische stappen. Oefen dit met crisissimulaties, zodat teams weten wat te doen onder tijdsdruk. Documenteer alles zorgvuldig voor verzekeraar, toezichthouder en eventueel strafrechtelijk onderzoek.
Beperk dataverzameling tot het noodzakelijke (dataminimalisatie) om schade bij inbraak te verkleinen. Versleutel gevoelige data en scheid toegangsrechten strikt, ook bij toeleveranciers. Controleer of contracten voldoen aan AVG- en NIS2-eisen, inclusief auditrechten en incidentmeldplichten.
Tot slot: houd rekening met social engineering en AI-gegenereerde phishingmails die overtuigend lijken. Train medewerkers op herkenning en meldplicht bij verdachte signalen. Kleine fouten aan de voordeur voorkomen vaak grote problemen achteraf.
