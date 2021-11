‘Lieve papa, het spijt me heel erg dat ik kwartjes heb gepakt uit de pot bij de koffieautomaat op je werk. Ik zal het echt nooit meer doen.” Deze spijtbetuiging schreef ik veertig jaar geleden, in huilende hanenpoten. Ik dacht aan het briefje – inmiddels erfstuk – toen ik de verontschuldigingen zag van ransomwaregroep Conti. Deze cybercriminelen hadden na een hackaanval op een Britse juwelier data gepubliceerd van beroemde klanten, onder wie de steenrijke Saoedi-Arabische kroonprins Mohammed bin Salman.

MbS, zoals zijn koosnaam luidt, is het type dat eerder een doodseskader stuurt dan een boze mail. „We zullen ons datareviewproces aanpassen”, aldus het Conti-blog. „Onze excuses aan prins Mohammed bin Salman en andere leden van de koninklijke families wiens namen gepubliceerd werden.”

Of dat excuus oprecht is, valt te betwijfelen. Het goede nieuws is dat cybercriminelen die bedrijven afpersen zichzelf niet langer onkwetsbaar achten. Zeker als ze slachtoffers maken die ze beter niet hadden kunnen maken.

Dat geldt voor boze prinsen, maar ook voor de aanval op Colonial Pipeline. Deze Amerikaanse brandstofdistributeur werd in mei getroffen door ransomware. De dadergroep, REvil, verdient naar eigen zeggen 100 miljoen dollar per jaar. Dat doen ze door in te breken in computernetwerken, bestanden te versleutelen en te dreigen met publicatie van gevoelige data.

Zodra Colonial Pipeline plat ging, piekten de brandstofprijzen. Kort daarna hackte REvil de Braziliaanse vleesverwerker JBS, waardoor restaurants zonder vlees dreigden te komen.

Kom je aan benzine en biefstuk, dan kom je aan Amerika. President Biden verklaarde de oorlog aan de sterk geprofessionaliseerde ransomwaregroepen, die vaak vanuit de voormalige Sovjet-Unie opereren. Daar grijpen de autoriteiten zelden in.

De daders blijven buiten schot, hun buit onbereikbaar. Zo groeide de schade door ransomware in 2021 tot zo’n 20 miljard dollar wereldwijd. Het losgeld, meestal uitbetaald in bitcoins, kan eenvoudig worden witgewassen.

De Amerikaanse aanpak – onder meer een strengere aanpak van de cryptobeurzen en 10 miljoen dollar tipgeld – lijkt succes te hebben. In juni werd een groot deel van het Colonial-losgeld achterhaald. Begin oktober gingen de REvil-servers offline – de hackers waren gehackt door de FBI. En maandag meldde Europol dat vijf leden van de REvil-bende zijn aangehouden. Ze zouden zevenduizend bedrijven hebben afgeperst.

Een van verdachten is een 22-jarige man uit Oekraïne. Zijn foto’s rouleren al op het web. Als negentienjarige – een jochie nog – ziet hij er schattig uit. Een paar jaar later is hij betrokken bij de ‘Kaseja-hack’: via gekraakte netwerksoftware werden vijftienhonderd bedrijven gekaapt.

Ransomware bestrijden is dweilen met de kraan open. Maar er wordt tenminste gedweild. Vorige week werden twaalf verdachten uit Oekraïne opgespoord die achttienhonderd slachtoffers gemaakt hadden. Het ging om internationaal politieonderzoek waaraan de Nederlandse politie meewerkte. De verdachten kunnen nog niet worden aangehouden, dat staat het Oekraïense recht niet toe.

In Nederland worden per week ruim vierhonderd organisaties aangevallen, bijna een verdubbeling ten opzichte van vorig jaar. Je zou er moedeloos van worden. Maar niet weerloos, bewees VDL. Het familieconcern uit Brabant aarzelde niet toen begin oktober verdacht netwerkverkeer werd gezien. Meteen ging de stekker uit alle 105 werkmaatschappijen. Zo’n radicale ingreep is makkelijker zonder beursnotering, maar toch.

Het netwerk werd gemonitord, er waren back-ups beschikbaar en er lag een draaiboek klaar. Dat zijn drie dingen die VDL goed deed. De les: ransomwareaanvallen zijn niet te vermijden. Maar je kunt er wel op voorbereiden.

