Bedrijven betalen hackers 100 miljoen euro losgeld

Bijna een op de drie Belgische bedrijven die het slachtoffer zijn van zulke gijzelsoftware betaalt de computerhackers. Veel bedrijven die het slachtoffer zijn van ransomware stappen niet eens naar de politie. Olivier Bogaert van de Federal Computer Crime Unit van de federale politie wijst erop dat ondernemingen zich verzekeren tegen cyberfraude en zo een deel van de schade laten vergoeden, waarna ze minder geneigd zijn nog naar de politie te stappen, uit vrees voor imagoschade.

De Kamercommissie kreeg wel een blik achter de schermen via
Secutec, een van de privéspelers in ons land die optreden als een soort onderhandelaar tussen hackers en slachtoffers. ‘Achter de criminele organisaties die aan ransomware doen, schuilt een hallucinant businessmodel’, getuigde CEO Geert Baudewijns.

Secutec is elk jaar betrokken bij zo’n 30 miljoen euro aan betalingen door bedrijven die het slachtoffer zijn van ransomware. Het heeft zo’n 30 procent van die ‘markt’ in België en behandelt alleen gevallen waarbij maximaal 75.000 euro losgeld wordt gevraagd. ‘Voor hogere bedragen zijn nog andere bedrijven actief in België.’

‘Soms kan het slachtoffer niet anders dan betalen omdat hij anders geen toegang meer heeft tot zijn gegevens. De klant bepaalt dat uiteraard zelf. Het gaat meestal om kmo’s. Als ze niet betalen, is er vaak (grote) economische schade, die sowieso een kostprijs heeft.’

Buiten Europa

Van de miljoenen euro’s losgeld die bedrijven betalen, wordt zeer weinig teruggevonden, bevestigen politie en gerecht. De daders zitten meestal buiten Europa en worden amper gevat.

Openbaar aanklager Robrecht De Keersmaecker, hoofdcoördinator van het Expertisenetwerk Cybercrime, ziet ook weinig mogelijkheden om gevallen van ransomware te onderscheppen door patronen te herkennen of door die te blokkeren via de internetproviders.

Het verslag van de Kamercommissie Economie over de ‘financieel-economische internetfraude’ schetst een weinig opbeurend beeld. Niet alleen over ransomware. Ook met CEO- of factuurfraude, waarbij toplui en bedrijven worden bestookt met valse facturen, verdienen de cybercriminelen in België zo'n 65 miljoen euro per jaar.

‘De daders hoeven niet eens kundig te zijn in informatica. Er is een bloeiende markt ontstaan van plug-and-play hardware en software om internetfraude te faciliteren. Daardoor neemt internetfraude exponentieel toe’, vertelde de Antwerpse openbaar aanklager Robrecht De Keersmaecker, hoofdcoördinator van Expertisenetwerk Cybercrime, aan de Kamercommissie.

Tsunami

De politie zag het aantal dossiers van internetfraude in 2019 nog maar eens stijgen met 29 procent. Het gerecht moest vorig jaar liefst 600.000 vorderingen uitsturen om nummers en andere eenheden te identificeren, waarbij in 200.000 gevallen meer dan 10 gegevens werden nagetrokken.

‘Als  rechtshandhavers kunnen we deze tsunami nooit bolwerken met de beschikbare middelen', waarschuwt De Keersmaecker. 'Daders gebruiken de nieuwe technologieën om in heel korte tijd een massa slachtoffers te bereiken met een minimale moeite. De daders kunnen ook ongehinderd over de staatsgrenzen heen opereren. Ze kunnen hun illegale vermogensvoordelen met een muisklik onderbrengen in verre bestemmingen nadat ze vlot meermaals van vorm gewisseld zijn. Het opstellen van Europese onderzoeksbevelen of internationale rechtshulpverzoeken leidt tot vertraging in het onderzoek, als überhaupt wordt meegewerkt.’

‘Onderzoeken naar internetfraude leiden relatief zelden tot rechtszaken in België, omdat veel daders in het buitenland zijn gevestigd. De daders van internetfraude ten koste van ondernemingen zijn vaak gevestigd buiten Europa’, stelde Olivier Bogaert, commissaris bij de Federal Computer Crime Unit van de federale politie. ‘Soms kunnen gelden worden gerecupereerd. Maar dat wil nog niet zeggen dat de daders, die zich soms bevinden in landen als India of Pakistan, worden gevat.’

Volgens De Keersmaecker moet dan ook maximaal ingezet worden op preventie bij alle potentiële slachtoffers én op cyberveiligheid, door verdachte websites en mails zo snel mogelijk aan de bron te blokkeren. Ook de boetes die technologiebedrijven riskeren als ze niet met justitie meewerken, zijn volgens De Keersmaecker een ‘lachertje’ voor zulke multinationals. Ze riskeren maximaal 80.000 euro. De belangrijkste sanctie is hen de toegang ontzeggen tot Belgische gebruikers, maar de blokkering van domeinnamen is in België alleen mogelijk voor de beperkte duur van het strafonderzoek. Daar komt bij dat er zowel bij de politie als bij de parketten meer gespecialiseerde onderzoekers moeten komen. ‘Zonder bijkomende aanwervingen in die zin blijft dit alles een dode letter’, besluit de magistraat.

Muilezels

De private beveiligingsspecialisten die onze bedrijven helpen, moeten dan weer vaak in een ‘grijze zone’ werken. Als ze een bepaalde website proberen plat te leggen, zullen ze dat doen vanuit bijvoorbeeld Israël, omdat zo'n operatie vanuit België of een ander Europees land vaak niet snel en doeltreffend genoeg kan gebeuren. Als ze phishingcampagnes bestrijden door duizenden valse accounts op te zetten, waarop die campagnes geen effect hebben, werken ze eigenlijk op de grens van wat toegelaten is. Daardoor staan de Belgische banken, in tegenstelling tot de Amerikaanse, nog huiverachtig tegenover die praktijk.

Ook het wegsluizen van buitgemaakt geld op de bankrekeningen van ‘muilezels’ die de criminelen inschakelen, kan efficiënter bestreden worden, meent Geert Baudewijns, de CEO van beveiligingspecialist Secutec. ‘Elke bank weet welke van haar rekeningen worden gebruikt als ‘money mule accounts’. Per dag behandelt Secutec gemiddeld 1.000 gevallen van fraude voor de Belgische banken. Maar de Algemene Verordening Gegevensbescherming staat de banken niet toe gegevens uit te wisselen met betrekking tot zulke accounts. Nochtans zou zo fraude veel vlugger aan banden kunnen worden gelegd.’

Premier Alexander De Croo (Open VLD) belooft in zijn beleidsverklaring dat België ‘tegen 2024 in het cyberdomein één van de minst kwetsbare landen van Europa wordt’. Afwachten of hij die belofte kan inlossen.