VK overweegt verbod op ransomwarebetalingen door instanties in publieke sector

Het Verenigd Koninkrijk overweegt om ransomwarebetalingen door instanties in de publieke sector te verbieden. Op die manier wil de Britse overheid het aantal ransomwareaanvallen op essentiële diensten terugdringen.

Het Britse Home Office, vergelijkbaar met het Nederlandse ministerie van Binnenlandse Zaken, heeft dinsdag drie voorstellen gepubliceerd voor de bestrijding van ransomwareaanvallen. Een van die voorstellen is het verbod op ransomwarebetalingen door bijvoorbeeld de National Health Service. Er is al een verbod op betalingen door overheidsdepartementen, zoals ministeries. Met het uitgebreide verbod zou 'de aanval op essentiële diensten onaantrekkelijker worden voor cybercriminelen'.

Ook pleit de Home Office voor een betalingspreventieplan. Deze moet de National Crime Agency, de landelijke politiedienst, helpen bij het in kaart brengen van ransomwareaanvallen die gaande zijn en het adviseren van slachtoffers. Ten slotte stelt de Home Office voor om het melden van ransomwareaanvallen te verplichten.

Het Britse National Cyber Security Centre heeft tussen september 2023 en augustus 2024 430 cyberincidenten afgehandeld. Daarvan waren 13 incidenten ransomwareaanvallen die 'een grote, nationale dreiging vormden en schadelijk waren voor essentiële diensten of de economie'. Volgens de gegevens van de NCA is het aantal Britten waarvan de gegevens zijn gelekt via ransomwaresites sinds 2022 verdubbeld.

Door Loïs Franx

Redacteur

14-01-2025 • 15:47

99

Submitter: Fox

Reacties (99)

Sorteer op:

Weergave:

Lijkt me prima plan, en het zou van mij uitgebreid mogen worden naar ook commerciele bedrijven. En in de EU mag men dit in mijn optiek ook overnemen.

Door te betalen houdt je ransomware aanvallen wel in stand, en wordt het een lucratief business model. Dat is iets wat je (imho) niet zo moeten willen faciliteren.

Ja, ik snap dat je je data wil terughebben, maar imho kan je discussieren of dit de juiste manier is, als je hiermee ransomware(-aanvallen) juist in stand houdt.

Tel daarbij op dat als je betaalt dit nog altijd geen garantie geeft dat de data niet alsnog publiek gemaakt wordt. Diverse ransomware-groeperingen, waar LockBit één bekend voorbeeld van is/was, hebben in het verleden bijvoorbeeld data asnog gepubliceerd (deels of volledig) na betaling, en eisen dan weer geld om het alsnog offline te halen.
Prima plan tot er een berg publieke gegevens niet meer toegankelijk zijn en er een heleboel boze burgers zijn.
Wil je nog meer boze burgers krijgen door de hackers geld te geven om meer hacks uit te laten voeren?
Uiteraard zien we dat geld liever naar preventie gaan dan naar hackers. Maar als het gebeurd, dan heb ik liever dat ze zo snel mogelijk terug operationeel zijn. Als je dan moet kiezen tussen potentieel duizenden ambtenaren die wekenlang hun werk niet kunnen doen of betalen en doorgaan, dan zou ik wel eens een kosten/baten analyse willen zien van wat op termijn het meeste zal kosten.
Er is weinig garantie dat het operationeel wordt.
Echter is er wel de garantie dat het geld gebruikt gaat worden voor de volgende hack waar je weer opnieuw risico loopt.
Bor Coördinator Frontpage Admins / FP Powermod @Bender15 januari 2025 08:34
Echter is er wel de garantie dat het geld gebruikt gaat worden voor de volgende hack waar je weer opnieuw risico loopt.
Is dat zo? Hoeveel geld is er nodig voor een ransomware aanval? Het is een business model dus er zal waarschijnlijk een deel van de buit terugvloeien naar nieuwe aanvallen maar de rest is pure winst. Dat geld wat gebruikt wordt voor nieuwe aanvallen hoeft niet afkomstig te zijn van aanvallen uit jouw land / regio maar kan daar wel worden ingezet. Dit is echt een wereldwijd probleem. Wanneer slechts 1 land de beslissing neemt om betalingen te verbieden biedt dat geen enkele garantie dat de aanvallen daar ook gaan stoppen. Wanneer de keuze is betalen of omvallen dan wordt er toch wel gezocht naar creatieve manieren.
Wanneer slechts 1 land de beslissing neemt om betalingen te verbieden biedt dat geen enkele garantie dat de aanvallen daar ook gaan stoppen.
Sterker nog, wetende dat dergelijke partijen nooit zullen mogen betalen, kan juist weer aanlokkelijk zijn voor kwaadwillende aanvallers.

Je weet dan immers dat je de continuïteit maximaal verstoren kunt, geld komt er niet, chanteren kan dan immers ook niet met het lekken van gevoelige data (als dat ook buit gemaakt is). Maar je kunt dan dus wel een bedrijf of instantie maximaal stilleggen en als kers op de taart ook nog eens hun gevoelige data lekken, want ja, ze voldeden immers niet aan de eis om te betalen.

Overigens zijn dergelijke betalingen vaak ook in cryptovaluta, die sowieso niet zozeer land gebonden zijn, traceability is sowieso ook een stuk lastiger dan, dus aan de andere kant heb ik wel mijn vraagtekens in hoeverre zo'n verbod effectief gaat zijn.
kan juist weer aanlokkelijk zijn voor kwaadwillende aanvallers.
Dat zal wel meevallen.
Dit soort hacks gebeuren zijn bedrijfsmodellen, hetzelde als de scam callcenters. En hebben business modellen die dus geld op moeten brengen.

Het verbod zal effectief zijn. Hoe je betaald, crypto of niet, is simpelweg verboden.
Dus nadat je gehackt bent zou je dus ook fraude gaan plegen en andere verboden zaken gaan doen, dat lijkt me sterk want dan heb je nog een groter probleem.
(je bedrijf eenmalig redden van een hack, om daarna de overheid 15 jaar achter je aan te hebben zou niet logisch zijn)
Tja, handel in diverse soorten producten met bepaalde landen is ook aan banden gelegd, toch zullen er echt wel omwegen zijn (handelen via een tussenpartij die niet dergelijke limitaties heeft bijvoorbeeld), waardoor deze producten alsnog in de handen van ongewenste landen terecht zullen komen. Zo geldt dat ook hier, het maakt zo'n aanvaller echt niet uit wie er betaald, zolang er maar betaald wordt, immers.

Het gaat de aanvallers in eerste instantie vooral om de continuïteit en niet direct het lekken van de files. Het lekken van de files of informatie, is natuurlijk pas interessant als je daadwerkelijk iets schadelijks of gevoeligs hebt, anders heeft het geen waarde om dergelijke informatie of data te lekken. De reden hiervoor is heel simpel, door een succesvolle aanval weet je in elk geval 100% zeker dat de files of filesystemen encrypted zijn en jij (ook) over hun data beschikt. Daarmee leg je dan dus een organisatie of bedrijf lam, omdat zij niet meer over die data beschikken, dat is dus (voor de aanvaller) een zekerheid, wanneer een partij in de val gelokt is.

Stap twee is dan de data (alsnog) doorverkopen aan de hoogste bieder, of publiekelijk maken, omdat de data toch wel dusdanig interessant of schadelijk is voor het bedrijf of instantie als de informatie alsnog naar buiten komt, al dan niet via chantage en dus wederom niet betalen.

[Reactie gewijzigd door CH4OS op 15 januari 2025 12:03]

Bor Coördinator Frontpage Admins / FP Powermod @CH4OS15 januari 2025 11:33
Je verschuift dan dat motivatie van financieel voordeel via afpersing naar een soort terreur. Een interessante stelling wat mij betreft.
Ik denk echter wel dat het per situatie verschilt. Het ene slachtoffer is het andere niet, dus de data die je ontvangt / steelt verschilt net zo goed. Dat kan dus ook betekenen dat de data van het ene slachtoffer wel interessant kan zijn, maar het andere niet. In de tussentijd liggen beide slachtoffers wel lam en kunnen eigenlijk praktisch niets meer.
Echter moet die terreur wel gefinancieerd worden, dat zal vast gebeuren maar is een andere tak welke nu ook al plaatsvindt.
Is dat zo?
Ja, het zijn bedrijven (wat je zelf al zegt , het is een business model).

Echter maakt het wel degelijk verschil of in een land het verboden wordt, want daarmee wordt ook duidelijk gemaakt dat het geen zin heeft om de VK een hack te doen want je kunt toch niet betaald worden.
Het gaat niet alleen om de kosten maar ook om het fenomeen in stand houden. Als ze toch al weten dat een instantie niet kan betalen (ook niet via de cyber verzekering die dat meestal doet!) dan zullen ze ook niet zo snel zo'n instantie aanvallen. Daarmee voorkom je dus veel kosten in de toekomst. Het gaat niet om een enkel incident.
Hoe boos zou u zijn als u op straat komt te leven omdat men even niet meer bij u gegevens kan en hoe boos zal u zijn dat de overheid weer eens een emmertje geld verspilt?

Vermenigvuldig dit maal X.
Een hypothetische situatie waarbij er geen enkele aanleiding is dat dit kan voorkomen.

Daarnaast geeft het betalen geen enkele garantie dat het daarmee opgelost is, echter geef je ze wel geld om bij een ander organisatie te gaan hacken waardoor je op straat kan komen te staan (volgens jou hypothetische situatie).

In het kort:
Wil je 1x het risico om op straat te staan, of wil je voortdurend het risico om op straat te staan omdat daarvoor betaald wordt?
Niets hypitethisch aan, immers het onderwerp van het artikel is het bewijs.

Dat overheden geen onderzoeken publiceren over de gevolgen van dit soort aanvallen is een oorzaak dat hier geen duidelijkheid over is.

De kans is groot dat overheden verder ook niet op zoek zullen gaan voor publicatie.
Dat veranderd niks aan het feit dat je hackers aan het betalen bent voor de volgende hack die je dakloos maakt.

Ik zie echter niet waar je het bewijs ziet dat mensen anders dakloos worden? Daarna geef je aan dat er geen onderzoek over gepubliceerd is dus hoe kan er dan bewijs zijn?

[Reactie gewijzigd door Bender op 14 januari 2025 17:39]

Zoals ik al zei, die bewijzen over de gevolgen van dit soort aanvallen zullen er ook niet komen want overheden gaan zichzelf niet schuldig vinden aan de gevolgen uit eigen onderzoek.

Het lijkt mij verder niet zo moeilijk om in te beelden wat de gevolgen kunnen zijn als bepaalde diensten voor hun een bepaalde tijd niet toegankelijk zijn.

Het is maar een voorbeeld van de gevokgen die bij burgers kunnen ontstaan, een voorbeeld over hoe boos mensen kunnen worden met dit soort gevallen.
Ik begrijp je punt denk ik niet.

Jij wil dus dat ze betaald worden om iets vrij te geven (daar ga je dan van uit), terwijl je weet dat dat geld gebruikt gaat worden om de volgende ministerie te hacken?
Nee, mijn punt is dat het hier niet alleen om bestraffen van crminelen gaat, maar ook om de mogelijkheid dat er een grote groep mensen in serieuze problemen kunnen raken als er een set officiële diensten voor hun niet toegankelijk zijn voor een bepaalde periode.

Het gaat hier niet alleen om geld.
Okay, dus je hebt een constatering van iets wat in het artikel beschreven staat.. Een soort opsomming van het artikel?
Aangevuld met een hypothese..

Dan heb eigenlijk geen idee waar je heen wilt met je punt.
Dan heb eigenlijk geen idee waar je heen wilt met je punt.
Volgens mij is het punt dat er grotere belangen kunnen zijn dan criminelen dwars zitten.

Zeker bij de overheid die een grote verantwoordelijkheid heeft om voor burgers te zorgen. Je kan niet zomaar een ziekenhuis sluiten of een paar weken geen uitkeringen betalen zonder levens te verwoesten.
Het grotere belang is dus het niet funden van hackers.

Het klein belang is deze hack 'omkeerbaar' maken, het grotere belang is ze geen geld geven voor toekomstige hacks.
Er is geen huis meer of minder als gevolg van het niet beschikbaar zijn van data.
Hmm... wat als het hele kadaster verloren zou gaan. Zouden we dan een hoop ellende hebben? Zou het oplosbaar zijn?
Probleem is dat je data hoe dan ook op straat ligt, of je nu betaalt of niet. Wie zegt dat de boel later niet opnieuw gechanteerd wordt nadat je hebt betaalt? Onderhandelen met criminelen is altijd een slecht plan, hoe dan ook.
Het publiceren van gegevens is niet het doel van een ransomware aanval, het publiceren van een gedeelte is een stuk bewijs dat men de aanvaller is aan wie er betaald moet gaan worden.

Bij een Randomware aanval is dus niet het probleem dat de data gepubliceerd wordt maar dat een organisatie of bedrijf zelf geen toegang meer heeft tot haar eigen data.
Dat was een aantal jaar geleden zo ja.

Tegenwoordig is ransomware echter lang niet altijd meer primair gericht op het encrypten van data zodat die ontoegankelijk wordt. Sommige ransomware doet dat zelfs in het geheel niet meer, of het is een secundair doel geworden.

De focus van ransomware attacks ligt juist wel steeds vaker op het (veel winstgevender) extortion gedeelte, dus juist wel het dreigen met het openbaar maken van (delen van) de data, tenzij je betaalt. En dat betalen is géén garantie dat de data niet alsnog (deels) openbaar gemaakt wordt.

[Reactie gewijzigd door wildhagen op 14 januari 2025 16:35]

Nee u haalt hier twee verschillende doelwitten door elkaar.

Voor sommige bedrijven is het publiceren van research en/of data over het beleid desastreus, omdat de concurrentie met deze gegevens het bedrijf kan doen opdoeken.

Voor andere (kleinere) bedrijven is een inkomsten uitval van enkele maanden, omdat zij niet bij de data kunnen, al voldoende.

Voor overheden die burgerzaken voor klanten moeten bedienen, is de rek nog het kortst vermoed ik.

Dit zijn verder geen nieuwe ontwikkelingen maar de aanvallen worden dus steeds wel wat efficienter en meer gericht op het bereiken van het einddoel.
Tja., als je criminaliteit blijft belonen zal het alleen maar vaker voorkomen. en als je als bedrijf gewillig acht te betalen blijkt dat je vaker doelwit gaat worden.

Criminele willen snel geld. Als iets geen geld oplevert gaan ze naar iets anders.

Bedrijven die vinden dat ze dusdanig sensitieve zaken ontwikkelen en competitie zo hoog is (en bereid is IP te stelen) moet je goed nadenken over je beveiliging en fragmentatie van informatie in plaats van moedwillig criminelen belonen.
Ik denk dat uw preferentie om enkele criminelen te kunnen bestraffen niet gelijk is aan de rechten van een grote groep burgers.

Als het beheer van de ICT te complex is geworden door allerlei cloudbelangenverstrengeling, is het wellicht verstandiger om te kijken naar versimpeling van ICT gebruik in plaats van steeds verder van de doelen te zoeken.

Maar ik vermoed dat de oplossing gezocht gaat worden in meer AI om de complexiteit te kunnen blijven bedienen.
Diezelfde burgers worden ook boos als je met belastinggeld (want dat is het immers!) criminelen beloond en hiermee verdere criminaliteit (in de vorm van nieuwe ransomware-aanvallen) in stand houdt.

Want uiteindelijk worden die criminelen dus beloond met belastinggeld, als je het onder de streep bekijkt.

Dit is een typisch geval van 'damned if you do, damned if you don't'.

Die gegevens kan je in princiipe terughalen uit de laatste niet-besmette backup. Dat geld ben je definitief kwijt, én je krijgt er in de toekomst nog meer aanvallen door (die dus óók weer betaald moeten worden). Op die manier creër je dus een vicieuze circel waarmee steeds meer belastinggeld naar deze criminele groeperingen stroomt.

Dat zul je toch een keer moeten zien te doorbreken. Ja dat kan op korte termijn pijn doen. Op lange termijn pakt het wellicht juist gunstig uit, doordat dit soort aanvallen minder aantrekkelijk worden. Of kunnen worden.
U vergist zich hier wat het woord 'boos' betekend als voor een grote groep mensen de samenleving niet meer toegankelijk is.

We hebben het hier niet over vervelende vetragingen, maar potentieel desastreuze gevolgen voor mensen als bepaalde diensten niet meer toegankelijk zijn voor hun.

Het hele probleem met ransomware aanvallen is natuurlijk dat de backups vaak ook besmet zijn, alleen zo werkt de ransomware aanval goed.

Ja het kan allemaal opgelost worden, maar dat zou wel eens maanden kunnen duren, zoals dat werkt met bureaucratie.
Ik ben banger dat er een berg niet publieke gegevens, publiek wordt eigenlijk.
Bor Coördinator Frontpage Admins / FP Powermod @rko4u15 januari 2025 08:49
Ik ben banger dat er een berg niet publieke gegevens, publiek wordt eigenlijk.
Dat is een logische gedachte maar wat als informatie binnen bv de zorg niet meer toegankelijk is en men daardoor op den duur geen goede zorg meer kan leveren (of zorg in een direct levensbedreigende situatie)? Is dan de vertrouwelijkheid nog steeds belangrijker dan de beschikbaarheid; ook voor de persoon waar het om draait?

Bij informatiebeveiliging draait het om de BIV: Beschikbaarheid - Integriteit en Vertrouwelijkheid. Alle drie deze peilers zijn belangrijk.
Bor Coördinator Frontpage Admins / FP Powermod @fevenhuis15 januari 2025 08:00
Of wanneer daarmee mensenlevens gemoeid kunnen gaan zoals in sommige sectoren. Een verbod op betaling klinkt heel logisch maar is het dat wel? Met een verbod teken je mogelijk het doodsvonnis van het bedrijf dat het slachtoffer is en zorg je er mogelijk voor dat men alsnog gaat betalen om te overleven maar dan op een minder transparante manier. Als slachtoffer heb je niet altijd een makkelijke keuze.
Gewoon behandelen als een brand. Ransomware aanval = brand, data kwijt = pech. Backups beter op orde hebben. Geld daar aan besteden en niet achteraf mekkeren.
Of behandelen als een terreuraanval. Weet je wie er achter zit, dan is het einde oefening voor die persoon. Geheime dienst er op af.
Denk je dat dit James Bond is ofzo? Als ze weten wie erachter zit dan zit het meestal in Rusland, China or Noord Korea.

Ze zullen er politie op afsturen ja...
Bor Coördinator Frontpage Admins / FP Powermod @sympa15 januari 2025 08:03
Het probleem is hierbij dat men veelal niet precies weet wie er achter zit en wanneer men hier wel achter komt dan blijken de aanvallers in een land te zitten dat geen mensen uitlevert en wat geen bevriende staat is. Het vervolgen in dergelijke gevallen is zeer ingewikkeld.
Er zijn landen die dat heel brutaal oplossen via een geheime dienst die dan een operatie uitvoert.
En aangezien ransomware lijkt op een soort oorlogvoering is dat wat mij betreft dan geheel terecht.
Tel daarbij op dat als je betaalt dit nog altijd geen garantie geeft dat de data niet alsnog publiek gemaakt wordt.
Het gaat er dan ook niet per se om dat het gevoelige data is dat niet publiekelijk mag worden. Natuurlijk, dat is ook zeer vervelend, maar het versleutelen van de data heeft meer tot doel dat de continuïteit stil ligt. Dat is (zeker voor bedrijven) veel kostbaarder (want wel mensen aan het werk en geen omzet dat gemaakt wordt) dan bepaalde gevoelige gegevens die op straat komen, dat wordt immers meestal afgekocht met een boete.

Daarom denk ik dat een dergelijk verbod maar weinig zin gaat hebben, het doel is niet primair om gevoelige informatie te stelen (en dus een hele leuke bijvangst als het wel gebeurd voor de partij die (ook) over de data beschikt), maar om te zorgen dat partijen tijdelijk stil komen te liggen.

[Reactie gewijzigd door CH4OS op 14 januari 2025 16:21]

Lijkt me juist enkel op papier een goed idee. Volkomen mee eens dat het dit 'business model' in stand houdt, maar de realiteit is nog steeds dat niet betalen in bepaalde gevallen veel duurder en veel meer impact heeft dan wel betalen. Dan heb ik het er niet over dat het "veel werk en tijd is" om iets te herstellen, maar dan gaat het in mijn ogen om niet re-produceerbare data. Dat is een teken dat je als organisatie je IT niet op orde hebt, maar dat is altijd achteraf praten.
Het lijkt me dat er echt wel betere manieren zijn om instanties te motiveren om het fatsoenlijk te regelen.
Voor de publieke sector zijn de zakken doorgaans dieper dan voor een (klein) commercieel bedrijf. Dat loopt kans failliet te gaan als ze essentiele gegevens missen. Ik denk dat de wet een beetje te veel wensdenken in zich heeft.
Klinkt leuk en aardig, tot je door hebt dat je hierdoor faillisement veroorzaakt, zeer gevoelige gegevens openbaar maakt en noem maar op.

Stel je voor dat de lokale gemeente, die VEEL info heeft, slachtoffer wordt en niet betaald. Ineens komt alle data vrij. Data van wie waar woont, inc misschien mensen die slachtoffer zijn van huiselijk geweld. Of mensen die LBGTQ+ zijn en die data is ineens beschikbaar voor kwade doeleinden. Of mensen hun geloof etc. Dan nog maar niet te praten over een advocaten kantoor, huisarts praktijk etc

Ik snap wat je bedoelt en ben het op bepaald vlak ook zeker eens, als het de bakker om de hoek is ofzo (die betalen meestal toch niet), maar je kan het niet over 1 kam scheren
Ik bedenk me net trouwens ook: natuurlijk is niet betalen inderdaad het beste, het wordt dan immers ook niet beloond. Maar laten we ook awareness niet vergeten, de meeste ransomeware aanvallen zijn mogelijk doordat er slechte beveiliging is, maar daar bovenop ook omdat veel gebruikers gewoon nog steeds in valse e-mails met malafide linkjes trappen. Zolang dat niet een stuk beter 'op peil' is, zullen dit soort aanvallen blijven (en dus verdien modellen) bestaan. Het is dus niet alleen een kwestie van het in stand houden van het verdienmodel door ervoor te betalen, maar preventie van dit soort aanvallen is net zo belangrijk en daar schort ook nog een hele hoop aan!

Ik heb de afgelopen paar jaar (sinds 2015) redelijk wat verschillende werkgevers gehad in verschillende vakgebieden. Gelukkig is cybersecurity wel steeds meer een ding geworden, ook in verband met privacy e.d, maar preventie is echt nog altijd een onder geschoven kindje, niet alleen bij overheid overigens. Er valt dus ook op het gebied van preventie meer dan genoeg te winnen en dus een hele grote kans om dit soort aanvallen dus te voorkomen.
Ik vind het een verschrikkelijk naïef besluit als dat verbod er zou komen.
Zodra er een flink ministerie wordt gepakt of een andere belangrijke overheidsinstantie gaat er echt wel betaald worden. Ze kunnen hun diensten niet weken op zwart laten.
Denk dat het meer naïef is om te denken dat je criminelen kunt vertrouwen ook al heb je betaald.

Er zijn verhalen over het alsnog publicerenvan de data, data niet vrijgeven en herhaalde attacks.

https://www.infosecurity-...repeat-ransomware-paying/
https://www.forbes.com/si...dont-get-their-data-back/
https://www.helpnetsecurity.com/2021/04/28/ransom-paid/

Nee, hoe vervelend ook ransom moet NOOIT betaald worden beter backups managen en security op order hebben is altijd rendabeler.
Vaak wordt een ransom aanval al een tijdje op de achtergrond voorbereid, zodat je backups ook opeens versleuteld zijn.
Nee, hoe vervelend ook ransom moet NOOIT betaald worden beter backups managen en security op order hebben is altijd rendabeler.
Ik ben het met je eens dat het beter is om de zaken vooraf goed te regelen, maar daar heb je niks aan op het moment dat het toch fout gaat. Een afperser betalen is altijd uit wanhoop, omdat het alternatief veel pijnlijker is. Zelfs als je niet weet of de afperser woord zal houden heb je soms geen andere realistische optie dan het te proberen.

Laten we de druk op security flink opvoeren maar dat moeten we doen op het moment het systeem gebouwd wordt en het budget vastgesteld. Daarna wordt het steeds lastiger om nog te verbeteren.
De big boys komen hun afspraken over het algemeen na. Waarom? Repeat business.
Grote ransomwares komen vaak terecht bij specialisten en daarvan zijn er niet bijsterveel. In NL kom je bv bij een Fox IT terecht of sommige verzekeringen (Unive bv).

Die mensen onderhandelen met de boosdoeners en verifieren de bestanden etc,maar die weten ook wel welke partijen er wel en niet betalen.
Nee, hoe vervelend ook ransom moet NOOIT betaald worden beter backups managen en security op order hebben is altijd rendabeler.
Heb je ooit voor een overheid gewerkt? Weet je hoe brak die systemen zijn? Kost niet alleen miljarden om te vervangen maar legt ook het halve land plat misschien. Daarboven, human error is #1. Je kan 100 slotten op je deur hebben, als je partner de deur ophoud voor iemand dan maakt het niets uit
Bor Coördinator Frontpage Admins / FP Powermod @Gunneh15 januari 2025 13:06
De big boys komen hun afspraken over het algemeen na. Waarom? Repeat business.
Precies dit. Alsnog lekken na betaling doe je niet zo heel vaak gezien het volgende slachtoffer dan weet dat betalen geen zin heeft. Meerdere ransomware groeperingen zijn net als een soort professionele bedrijven inclusief afspraken, support, dedicated onderhandelaars etc. Ja er zijn gevallen waarin betalen geen zin heeft maar dat is niet altijd de regel.

[Reactie gewijzigd door Bor op 15 januari 2025 13:07]

de core business is toch juist dat als je betaald je niet meer word gepakt.
Als ze betalen en toch weer gepakt worden, dan ga je het de tweede keer echt niet betalen.

Dat er hackers zijn die het ook een tweede keer doen, tja dat moet je dus niet meer serieus nemen, beter je systeem dan echt op orde hebben of tenminste redudantie hebben op een andere locatie, misschien in het buitenland, en dan 1-2 per week een snapshot of backup maken. en als het dan zover is dat je dus echt direct vanuit de andere locatie op kunt pakken door het verkeer aan te passen.
Waarom is dat naief dan?

Is het minder naief door een dergelijke groep te gaan voorzien van geld om zo hun bestaansrecht te bevestigen? Want je geeft ze letterlijk geld om door te kunnen blijven werken.
Ja maar dat is een afweging. Per maand geen diensten kunnen aanbieden VS 1,5 miljoen euro.

Of continu lamleggen van sectoren door grote aanvallen die ze niet mogen betalen.
Wat is dan de afweging?

Er zullen niet zoveel grote aanvallen plaatsvinden als er geen geld te verdienen valt, want geld verdienen is het businessmodel.
Tijdelijk geen toegang en dan betalen of niet betalen geen toegang en woeste burgers.

Nee er zal minder plaatsvinden. Of het verdienmodel veranderd. Bewuste aanvallen om hele bedrijven tijdelijk uit de markt te halen.

[Reactie gewijzigd door NMN1665 op 15 januari 2025 12:19]

Woeste burgers heb je anders wel de volgende keer, zeker als ze weten dat de financiering door diezelfde burger betaald is middels de vorige betaling.

Minder sowieso, je wil het in eerste instantie verplaatsen dat het niet meer jou probleem is en dat andere landen gaan volgen.
Als je betaald geef je aan dat er wat te halen valt. Je moet criminelen nooit het idee geven dat er wat te halen valt, maar altijd bot vangen.
Bor Coördinator Frontpage Admins / FP Powermod @qbig197015 januari 2025 08:15
Als je betaald geef je aan dat er wat te halen valt. Je moet criminelen nooit het idee geven dat er wat te halen valt, maar altijd bot vangen.
En jij denkt dat criminelen er niet op een andere manier achter komen dat er iets te halen valt? Dat kan zelfs op basis van publieke informatie zoals jaarverslagen waar doorgaans iets in wordt gezegd over de financiële informatie.
Dat is dus niet het geval. De overheid gaat echt niet tegen de wet opereren - dat heeft serieus gevolgen voor de overtreders.
Net zoals bij andere calamiteiten, moet een instantie gewoon een plan hebben om binnen X uur weer operationeel te zijn. Dat is ook het geval bij brand, overstroming of wat dan ook. Dat is echt geen rocket science. Zelf heb ik d jaarlijkse uitwijktrsts van een gemeente begeleid. Daarbij gingen we uit van een totale brand. Basisdiensten draaien binnen 24u.
Het zou mogelijk ook een goede incentive zijn om als bedrijf/instantie toch eens te kijken naar je setup. Nu kun je nog doen "Shrug, balen maar dan maar betalen, en weer verder". Als je dus weet dat betalen verboden is en je dus je zaakjes op orde moet hebben, zal er misschien toch een deel eens kijken naar hun policies.

En anderen gaan de les op de harde manier leren :p

[Reactie gewijzigd door Martijn.C.V op 14 januari 2025 16:42]

Terecht punt en een goede toevoeging.

Als bedrijf of instantie kan je dan niet "betaling aan derden ten behoeve van ransomware-attack" in de boeken hebben staan. Een accountant zal dan ook geen akkoord meer kunnen geven voor een jaarrekening met zo een soort betaling. Je kan het dan wellicht nog wel ergens verstoppen in de boeken maar dan ben je al echt het verkeerde pad op aan het gaan en daarmee wordt de drempel voor het wel betalen veel en veel hoger.
Als bedrijf of instantie kan je dan niet "betaling aan derden ten behoeve van ransomware-attack" in de boeken hebben staan.
"Onverwacht hoger uitgevallen operationele kosten IT"

Het is niet eens gelogen. ;)

Maar inderdaad. Aanvallers gaan voor het makkelijke geld. Als bekend is dat een partij nooit zal (kunnen) uitbetalen, dan zal daar de aandacht minder naar gaan.

[Reactie gewijzigd door The Zep Man op 14 januari 2025 16:06]

En als je wel betaald, komt de "volgende" groep. Jij hebt betaald, als je ons niet betaald, vertellen we dat je betaald hebt.

Idd, het is goed om niet te betalen, wat de gevolgen ook mogen zijn.
Het is toch lastiger dan je denkt om je zaken voldoende op orde te krijgen op dit gebied. Een voorbeeld hiervan is bijvoorbeeld de wijze waarop ransomwareactoren tegenwoordig aan inloggegevens komen. Door malware op de persoonlijke computer van een gebruiker, worden vaak alle in Chrome opgeslagen inloggegevens opgehaald. Gezien veel gebruikers wel eens op hun werkcomputer de persoonlijke gmail lezen, worden inloggegevens van het werk gesynchroniseerd met de thuiscomputer (als je namelijk inlogt in gmail, log je vrijwel altijd in heel Chrome in). Met deze infostealer-malware worden er heel veel inloggegevens opgeslurpt en verkocht via het dark web, Telegram-kanalen en andere locaties.

Een ransomwareactor koopt uiteindelijk deze inloggegevens en komt daarmee binnen bij een organisatie. Dan moet je ook maar echt alles goed hebben staan wil een ransomwareactor daarna niet verder binnen komen. Soms worden er ook recente kwetsbaarheden gebruikt om dan verder in te breken in de systemen. De enige manier om hier echt goed mee om te gaan, is om een SOC in huis te hebben dat 24/7 monitort wat er gebeurt op het netwerk. Dat is echter niet goedkoop en ontbreekt het ook nog eens aan (kundig) personeel die dit kan.
Tegenwoordig wordt er veel gewerkt met 2FA. Is dat dan niet effectief genoeg?
MFA/2FA is ontzettend effectief. Echter zijn er vaak ook genoeg wegen omheen te vinden. Bijvoorbeeld als Conditional Access in Azure niet goed ingesteld is. Of portalen die toch publiek op het internet staan maar niet om die MFA vragen.

En zodra een aanvaller om de buitenste schil heen is gekomen, wordt er vrijwel niet meer om MFA gevraagd. Zo ondersteunt on-premise Active Directory geen MFA voor het inloggen op systemen.
On prem: Kan wel, via Yubi key. Is soort van multifactor (iets wat je hebt, + vingerafdruk).
Zo ondersteunt on-premise Active Directory geen MFA voor het inloggen op systemen.
Nouja, geen moderne MFA in de trant van 'voer eens een code in uit een app'. Wel andere vormen van MFA zoals PIV smartcards. Dat is ook een vorm van MFA (kaart die je moet hebben + pincode die je moet weten). Vaak zelfs ook nog een wachtwoord. Dat gebruiken wij op sommige systemen.
Door cookies te stelen kan je de sessie als het ware hijacken zonder in te loggen.

Edit: typo

[Reactie gewijzigd door Tiepfoud op 14 januari 2025 16:55]

Sorry voor de taalnazi in mij, maar het is incentive. :*
Sorry voor de taalpurist in mij, maar het is stimulans. O+
Het zou mogelijk ook een goede incentive zijn om als bedrijf/instantie toch eens te kijken naar je setup. Nu kun je nog doen "Shrug, balen maar dan maar betalen, en weer verder". Als je dus weet dat betalen verboden is en je dus je zaakjes op orde moet hebben, zal er misschien toch een deel eens kijken naar hun policies.
Die denken dan ook: "Shrug, balen, dan betalen we maar de boete, en weer verder".

Die boete komt er pas als we ontdekken dat er in het geheim betaalt is en dat is waarschijnlijk nooit want dader én slachtoffer hebben nu een goede reden om het geheim te houden. In de tussentijd gebeurt er niks om de veiligheid te verbeteren want dan moeten ze eerst erkennen dat er iets gebeurt is.
instellingen/mensen/bedrijven die het niet overkomt moeten zeggen dat ze niet betalen.
zij die het wel overkomt moeten afwegen of niet betalen met hun einde als gevolg een goede keuze is. en vervolgens geen mededeling doen of er al dan niet betaald is.
wat daarbij kan helpen is er voor zorgen dat je minder kwetsbaar bent.
Wat is het te behalen doel van het wel of niet melden?

Want het probleem blijft gelijk, je fund de organisatie voor het doen van hacks.
Gegeven dat het voor je bedrijf/instelling/diens klanten/afhankelijke mensen belangrijker is dat je de hack overleeft dan dat je de hacker niet wil betalen maak je de keuze om te betalen, als dat voor het overleven nodig is.

Vervolgens doe je daar geen mededeling over om te voorkomen dat hackers nog meer het idee krijgen dat het een verdienmodel voor hen is.
Op het moment dat je betaald, dan is er de bevestiging dat het een verdienmodel is.
En je kunt er van uit gaan dat ze allemaal onderling contact hebben, ze delen meer informatie uit dan je wilt.
instellingen/mensen/bedrijven die het niet overkomt moeten zeggen dat ze niet betalen.
zij die het wel overkomt moeten afwegen of niet betalen met hun einde als gevolg een goede keuze is. en vervolgens geen mededeling doen of er al dan niet betaald is.
wat daarbij kan helpen is er voor zorgen dat je minder kwetsbaar bent.
Het nadeel is dat ze dan ook niet kunnen melden hoe ze gehacked zijn en anderen blijven dus op dezelfde manier kwetsbaar. Om goed te beveiligen is het belangrijk om informatie te delen over kwetsbaarheden en aanvalstechnieken. Daarnaast ontstaat het probleem dat je gebruikers/klanten/... niet kan vertellen dat hun data ontvreemd is en die data misschien wel tegen ze gebruikt wordt.
Dit is een klassieke vorm van speltheorie die je dus kunt winnen als overheid zijnde.
Als de aanvaller zeker weet dat je niet gaat betalen, omdat het dus in de wet staat, en dat gelooft zal zij een overheidsinstelling ook niet meer aanvallen. Dus dan zou je er van af zijn. Probleem is dat zij dit natuurlijk wel een keer gaan testen. Dan zul je voet bij stuk moeten houden, anders is je geloofwaardigheid weg.
Het ding is dat bij ransomware allang de data niet alleen versleuteld, maar ook gestolen wordt. Dus heel fijn dat de overheid niet gaat betalen, maar dat betekent simpelweg dat de gegevens op het dark web worden aangeboden. Er zijn namelijk toch wel criminelen die betalen.
Oftewel, de overheid bespaart een paar miljoen aan losgeld, maar de operaties liggen vervolgens vele malen langer stil, waardoor het verlies voor de maatschappij veel hoger zal zijn, en de gegevens van burgers komen op straat te liggen, wat catastrofale gevolgen kan hebben.
Maar ja, "dit kan je als overheid winnen"...
Werkt niet: als de situatie kritiek is, gaat de overheid gewoon in de schaduw betalen om zijn data terug te krijgen, en in de pers beweren dat ze niet betaald hebben. Is al meerdere malen gebeurd, kijk naar stad Antwerpen in België.
Makkelijk gezegd.
Stel dat DigiD wordt gehackt en je betaalt ransomware niet. De economische impact 100x groter is dan ransomware.
Maak op voorhand maar een plan voor recovery.
Overigens heb ik ooit voor een bedrijf gewerkt dat 20% van de abonneegegevens kwijt. Ze waren nog wel klant, kregen diensten, maar geen rekeningen.
De directiezei :dit is geen probleem want ze zijn nog klant, we gaan het de komende 2 jaar oplossen".
Impact op overheid is een stuk groter.
Dan doe je maar...is te makkelijk gezegd.
Stel dat een bank ondanks recovery gehackt wordt en alle betalingen niet geboekt kunnen worden.
Elk uur kost kapitalen.
Ondertussen doet niet elke ransomware meer aan versleutelen of verwijderen, alleen kopieren en dreigen te verspreiden. Dan is het betalen dus meer om de klant (correctie, de beurskoers) te behoeden voor schade.

Dan nog, goed plan. Maar dan als straf wel meer doen dan boetes voor de organisatie opleggen. Dan blijft het een simpele financiële afweging, alleen wordt het te betalen bedrag hoger.
Een globaal verbod op randsomware betalingen had stap 1 moeten zijn. gewoon een boete van 150+ de jaaromzet/jaar inkomen zodat de drempel te hoog is om het te riskeren.
Nu hebben we het al 5-10 jaar lang in stand gehouden om data als chantagemiddel te gebruiken...
Dan betaal je niet 1 mijloen aan ransomware, maar 1,1 miljoen aan een obscuur consultancy-bedrijf in een ver land wat voor dat bedrag garandeert dat het de hackers kan overtuigen je data vrij te geven zonder ze daarvoor te hoeven betalen.
Slecht plan, zo criminaliseer je de slachtoffers die in een onmogelijke situatie worden gebracht.
Ik ben tegen betalen maar het moet niet worden verboden.

Afpersers zullen dan de druk om te betalen alleen maar opvoeren zodat je de keuze hebt tussen betalen plús een boete van de overheid of failliet gaan (of zo iets).
Daarbij zal de druk zich verplaatsen in de richting van individuen, dus dat bv de directeur persoonlijk gechanteerd wordt zodat die een belang heeft om het geheim te houden van zijn eigen personeel.
Daarbij wordt het moeilijker om hulp te vragen, zeker als er als er al betaalt is. Daardoor hebben de slachtoffers nog minder opties en wordt het probleem alleen maar groter.

Niemand kiest er voor om te betalen omdat het een makkelijke oplossing is, maar omdat ze eigenlijk geen andere oplossing zien. Als het om een ziekenhuis gaat kan het letterlijk om mensenlevens gaan. In zo'n situatie moeten alle opties op tafel liggen.

Achteraf kun je vragen gaan stellen over waarom het zo ver is kunnen komen, of de beveiling wel op orde was, waarom er geen backup was, wat we kunnen leren, etc..

Consequenties stellen aan slechte beveiliging moeten we doen vóór het fout gaat, niet pas achteraf. De informatie van slachtoffers hebben we nodig om anderen te beschermen, zodat we weten waar we op moeten controleren en welke maatregelen wel of niet werken. De geldkraan dichtdraaien is een goed doel maar geen middel op zich. Ik wil er alles aan doen om te voorkomen dat we criminelen betalen, maar vooraf..

Wat we niet moeten doen is slachtoffers die al in het nauw zitten nog verder onder druk zetten of achteraf natrappen op het moment dat ze hulp nodig hebben.

Op dit item kan niet meer gereageerd worden.