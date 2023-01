De politie heeft de afgelopen 3,5 jaar iets meer dan 350 meldingen van ransomware-aanvallen ontvangen. Bij 51 slachtoffers kon worden vastgesteld dat er gegevens waren gestolen. In 73 gevallen bleek dat er zeer waarschijnlijk geen data was buitgemaakt en voor de overige bekende aanvallen is geen informatie over datadiefstal bekend.

Dat blijkt uit een nieuw whitepaper van het Nationaal Cyber Security Centrum (NCSC), de politie, het Openbaar Ministerie en verschillende leden van vereniging Cyberveilig Nederland (pdf). Verder laten de gegevens van de politie zien dat 22 procent van de slachtoffers betaalde wanneer er data was buitgemaakt, terwijl bijna 28 procent van de slachtoffers het losgeld overmaakte wanneer er geen datadiefstal had plaatsgevonden.

Volgens de onderzoekers lijkt dit tegenstrijdig, maar kunnen er meerdere verklaringen zijn. Slachtoffers waarvan gegevens zijn gestolen en hebben betaald zijn mogelijk minder geneigd om naar de politie te gaan, dus ontbreken ze in de gebruikte dataset. Een andere mogelijke verklaring is dat slachtoffers die het losgeld overmaakten de politie niet willen laten weten dat ze betaald hebben. En een laatste mogelijkheid die de onderzoekers noemen is dat de steekproefomvang te klein is, waardoor de analyse minder betrouwbaar is.

Wanneer er sprake was van een ransomware-aanval met datadiefstal bedroeg het gemiddelde gevraagde losgeld 2,9 miljoen euro. Bij een ransomware-aanval zonder vroegen de aanvallers gemiddeld een ruime 750.000 euro. "Met andere woorden: data-exfiltratie lijkt samen te hangen met meer gevraagd losgeld dan bij een ransomware-aanval dan wanneer (waarschijnlijk) geen data was geëxfiltreerd", concluderen de onderzoekers."

De bandbreedte van gestolen gegevens lag tussen de 60 en 730 gigabyte. Voor het stelen van gegevens is rclone de meestgebruikte tool (60 procent). In de helft van de gevallen gaat de gestolen data naar opslagdienst Mega. Om datadiefstal bij een ransomware-aanval tegen te gaan krijgen organisaties verschillende adviezen, waaronder het gebruik van kanarie-bestanden, het blokkeren van internettoegang voor servers, het back-uppen van logbestanden en monitoring van het eigen netwerk.