Om gijzelsoftware uit te roeien is meer nodig dan het verbieden van betalingen aan hackers en cryptobeurzen op een zwarte lijst. Voer de druk op landen die hackers gedogen op, investeer meer in cyberveiligheid en maakt computerprogramma's robuuster.

Het hackerscollectief Play zegt dat het meer dan 500 gigabyte aan data, waaronder persoonlijke gegevens, paspoorten en financiële documenten, heeft buitgemaakt bij een cyberaanval op de stad Antwerpen. Het dreigt die vanaf 19 december publiek te maken als de stad geen losgeld betaalt.

Als je hackers niet mag betalen, zoals Australië overweegt, neem je hun belangrijkste motivator weg. Maar hoe haalbaar is dat in de praktijk? Leidt het echt tot het einde van de ransomwareplaag?

Aanvallen met ransomware of gijzelsoftware zoals die in Antwerpen zijn de jongste jaren uitgegroeid tot een plaag. Vorig jaar betaalde het pijplijnbedrijf Colonial Pipeline in de VS 4,4 miljoen dollar toen het was lamgelegd door de hackers van Darkside. Enkele maanden daarvoor betaalde de Belgische kmo ITxx 300.000 dollar nadat ze was getroffen door een aanval.

Hackers eisen bijna altijd dat het losgeld wordt betaald in cryptomunten zoals de bitcoin of de monero, omdat die betalingen anoniem zijn. De aanvallers hacken zich rijk terwijl ze anoniem blijven.

De essentie De auteur

Tom De Cordier is advocaat. Hij is gespecialiseerd in technologie- en cyberrecht bij CMS Belgium.

De kwestie

Het hackerscollectief Play zegt dat het bergen data heeft buitgemaakt bij een cyberaanval op de stad Antwerpen. Het maakt die publiek als de stad geen losgeld betaalt.

Het voorstel

Het probleem uitroeien vergt meer dan het verbieden van betalingen aan hackers en cryptobeurzen. Voer de druk op landen die hackers gedogen op, investeer meer in cyberveiligheid en maak computerprogramma's robuuster.

Sommigen pleiten ervoor de betaling van losgeld te verbieden. Hun argument is dat je hackers moet raken waar het pijn doet. Als je hen niet mag betalen, neem je hun belangrijkste motivator weg. Nadat enkele Australische bedrijven het slachtoffer werden van ransomwareaanvallen, kondigde de regering vorige maand aan dat ze overweegt het betalen van losgeld te verbieden. Maar hoe haalbaar is dat in de praktijk? En zal het daadwerkelijk leiden tot het einde van de ransomwareplaag?

Nog driester

Een verbod op de betaling van losgeld kan ertoe leiden dat hackers nog meer focussen op de gevallen waar de slachtoffers zo sterk onder druk staan dat losgeld betalen de enige uitweg is. Als een ziekenhuis volledig lamgelegd wordt, heeft de directie twee opties. Ze weigert te betalen omdat dat illegaal is, maar dan vallen er misschien doden, of ze betaalt toch en vermijdt dat er slachtoffers vallen.

Ander voorbeeld: als de betaling van losgeld de enige optie is om een slachtoffer te redden van een faillissement, zal de verleiding groot zijn om te betalen. Een verbod kan als gevolg hebben dat hackers nog driester handelen. Het leidt er wellicht toe dat mensen in het geheim betalen en dat slachtoffers minder geneigd zijn de aanval aan te geven bij de politie. Dat maakt het slachtoffer kwetsbaarder. Wat als de hackers daarna dreigen de betaling wereldkundig te maken, tenzij het slachtoffer extra losgeld betaalt?

Een verbod op de betaling van losgeld invoeren en handhaven is geen sinecure. Je kan het verbod richten op de hackers. Zo staan de WannaCry-hackers op de Amerikaanse zwarte lijst, waardoor aan hen geen losgeld betaald mag worden. Maar de hackerswereld is voortdurend in beweging. Hackersgroepen splitsen zich op in splintergroepen of ontbinden zichzelf om daarna onder een andere naam toe te slaan. Bovendien maken aanvallers almaar meer gebruik van zogenaamde RaaS-diensten (Ransomware as a Service), waardoor nog moeilijker te achterhalen is wie ze zijn. Hackers blacklisten is daardoor een weinig efficiënte methode tegen de ransomwareplaag.

Een andere manier om aanvallen met gijzelsoftware te bestrijden is je pijlen te richten op de exchanges, de cryptobeurzen waarop je cryptovaluta kunt verhandelen. De Amerikanen hebben enkele cryptobeurzen op de zwarte lijst gezet: Suex, Chatex en Garantex. Wie gevraagd wordt te betalen via een adres op een van die beurzen denkt beter twee keer na.

Transparantie

Ook in Europa wordt nagedacht over het reguleren van cryptobetalingen. De Europese Commissie heeft wetsvoorstellen gedaan om transacties in cryptomunten te onderwerpen aan de transparantieverplichtingen die gelden voor conventionele financiële transacties. De toekomstige regels omvatten geen harde sancties, maar bemoeilijken de betaling van losgeld via cryptobeurzen die in Europa zijn gevestigd.

Hoe goedbedoeld dat ook is, het valt te betwijfelen of deze maatregelen de doodsteek zijn voor ransomware. De Europese wetgever is traag en de regels zijn omzeilbaar, want hackers kunnen uitwijken naar beurzen die niet onder de Europese regels vallen.

Als we de ransomwareplaag echt de wereld uit willen, moeten we meer doen dan het verbieden van betalingen aan hackers en cryptobeurzen op een zwarte lijst zetten of het reguleren van cryptotransacties. De diplomatieke druk op landen die hackers gedogen moet worden opgevoerd. Veel hackers houden zich schuil in Rusland en de politie laat hen ongemoeid.