Internationale opsporingsdiensten jagen op de vermoedelijke leider van ’s werelds grootste ransomware-netwerk. De man zou zo’n 100 miljoen euro hebben verdiend met digitale afpersing van bedrijven en overheden. Hij verblijft naar verluidt in Rusland, terwijl de druk van Europol, de Britse National Crime Agency en de FBI recent is opgevoerd. De zaak is urgent omdat aanvallen in Europa blijven toenemen en ook Nederlandse organisaties raken.
Netwerk draait op afpersing
Ransomware is gijzelsoftware die bestanden versleutelt en pas na betaling weer vrijgeeft. Criminelen eisen losgeld in cryptovaluta en dreigen ook met het lekken van gestolen data, de zogenoemde “dubbele afpersing”. Deze werkwijze raakt ziekenhuizen, gemeenten en industriële bedrijven, die vaak slecht zonder hun systemen kunnen.
Het verdienmodel heet “ransomware-as-a-service”: makers leveren het pakket, zogeheten affiliates voeren de aanvallen uit en delen de buit. Bekende namen zijn LockBit, REvil, Conti en Evil Corp, waarbij campagnes soms jaren doorlopen. De opbrengsten worden gewassen via tussenpersonen en mixers, wat opsporing bemoeilijkt.
De gezochte spil wordt door onderzoekers gelinkt aan grootschalige campagnes met miljoenenomzet per jaar. Zijn organisatie gebruikt geautomatiseerde tools, phishing en gestolen inloggegevens om binnen te komen. Daarna volgt snelle versleuteling met sterke cryptografie, waardoor herstel zonder sleutel vaak onmogelijk is.
Ransomware: gijzelsoftware die data versleutelt en losgeld eist om toegang te herstellen.
Europese diensten trekken samen
Europol, de NCA en de FBI delen forensische data, sleutels en inlichtingen over infrastructuur op het darkweb. Recente operaties tegen LockBit en aanhoudingen rond REvil tonen dat samenwerking werkt, al keren groepen vaak onder nieuwe namen terug. Het Nederlandse Team High Tech Crime levert daarbij technisch onderzoek en ontcijferingstools.
Het publiek-private initiatief NoMoreRansom, gestart door Europol en de Nederlandse politie, biedt gratis decryptietools en uitleg om losgeld te voorkomen. Slachtoffers kunnen er controleren of hun versleuteling al te kraken is. Dat scheelt kosten en ontmoedigt betalingen aan dadergroepen.
Toch blijft internationale rechtshulp lastig als verdachten in Rusland of andere landen zonder uitleveringsverdrag verblijven. Digitale infrastructuur wisselt snel van locatie en valt soms buiten Europese jurisdictie. Daardoor richten acties zich vaak op servers, geldstromen en partners die wel bereikbaar zijn.
Nederlandse regels sturen aanpak
Bij een datalek door ransomware geldt in Nederland de AVG: organisaties moeten ernstige incidenten binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dat dwingt tot sneller feitenonderzoek en communicatie met betrokkenen. Het helpt ook om patronen te herkennen en waarschuwingen te delen via het Nationaal Cyber Security Centrum (NCSC-NL).
De Europese NIS2-richtlijn vergroot op het moment van schrijven de beveiligings- en meldplicht voor veel meer sectoren, zoals zorg, logistiek en digitale diensten. Bedrijven moeten risico’s beperken met basismaatregelen zoals multi-factor-authenticatie en netwerksegmentatie. Boetes en toezicht worden strenger, wat investeringen in weerbaarheid versnelt.
Voor overheden betekent dit dat inkoop en uitbesteding expliciet naar cyberhygiëne kijken. Dataminimalisatie, versleuteling en back-ups worden basiseisen in contracten. Zo verkleint één gehackt account de schade voor hele ketens.
Betalen wordt juridisch riskanter
Losgeld betalen is in Nederland niet expliciet verboden, maar risicovol. Als de ontvanger op een sanctielijst staat van de EU, het VK of de VS, kan betaling strafbaar zijn. Banken en verzekeraars voeren strengere controles uit onder de anti-witwasregels (Wwft).
De VS-sancties op Evil Corp en recente Britse/EU-sancties tegen Trickbot- en Conti-leden vergroten dat risico. Bedrijven moeten dus vooraf juridisch toetsen of een transactie mag. Vaak zijn de voorwaarden onduidelijk, zeker als dadergroepen schuilnamen en tussenwallets gebruiken.
Verzekeraars stellen hogere eisen aan preventie en incidentrespons, en vergoeden losgeld steeds minder. Ze vragen logbestanden, tijdlijnen en een forensisch rapport. Dat stimuleert organisaties om eerst herstel en decryptie te proberen via NoMoreRansom en leveranciers.
Aanvallen blijven technisch slim
Aanvallers combineren kwetsbaarheden, gestolen wachtwoorden en misleiding via e-mail. Ze automatiseren verkenning met scripts en scannen op onveilige systemen. Steeds vaker zien we “living off the land”: misbruik van standaardbeheerhulpen die al op het netwerk aanwezig zijn.
Kunstmatige intelligentie speelt dubbel: criminelen maken overtuigendere phishingteksten, terwijl verdedigers afwijkend netwerkgedrag sneller opsporen. Zulke algoritmen leren van logdata om patronen te herkennen. Toch helpt AI niet tegen achterstallige updates of zwakke wachtwoorden; basismaatregelen blijven nodig.
Organisaties die segmentatie, offline back-ups en strikte rechten hanteren, herstellen sneller. Zero-trust-instellingen beperken zijwaartse beweging in het netwerk. Een geoefend crisisteam verkort de uitval en voorkomt onnodige betalingen.
Wat dit betekent voor Nederland
De jacht op de topcrimineel gaat door, maar slachtoffers moeten rekenen op eigen weerbaarheid. Voor Nederlandse bedrijven is een incidentplan met rollen, meldpaden (NCSC-NL, AP) en juridische checks essentieel. Stel vooraf vast wanneer u externe hulp inschakelt en hoe u besluit over wel of niet betalen.
Gebruik de tooling van NoMoreRansom en sectorale CERT’s voor snelle triage. Leg vast welke data echt bedrijfskritisch is en versleutel die ook in rust. Test back-ups regelmatig en bewaar één kopie offline.
Publieke organisaties moeten rekening houden met de gecombineerde druk van AVG, NIS2 en aanbestedingsregels. Dit vraagt om continu risicobeheer in plaats van losse projecten. Zo verkleint Europa de speelruimte van netwerken die miljoenen verdienen aan digitale afpersing.
