Losgeld betalen verbieden is geen gouden oplossing in de strijd tegen ransomware-aanvallen

Als we de ransomware-plaag echt willen uitroeien, zullen we meer moeten doen dan het verbieden van betalingen aan geblackliste hackers en cryptobeurzen of het reguleren van cryptotransacties. We moeten Rusland overtuigen eindelijk actie te ondernemen tegen hackers en vooral inzetten op preventie.

Stel, de servers van je bedrijf weigeren plots dienst. Alle data werden versleuteld en niemand kan er nog aan. Je bedrijf ligt dus plat. Inderhaast ingeroepen IT-experten trachten tevergeefs de gegevens te ontsleutelen. In een berichtje dat de hackers achterlieten eisen ze 2,5 miljoen dollar losgeld (ransom, in het jargon) om de data weer vrij te geven. Bovendien dreigen ze ermee om de gegijzelde gegevens te lekken als je het losgeld niet snel betaalt. De politie stelt een onderzoek in, maar de kans dat zij de daders kunnen ontmaskeren, laat staan arresteren, is miniem.

Dit is geen fictief plot uit een Hollywoodthriller. Met de regelmaat van de klok adviseren wij Belgische en buitenlandse bedrijven die het slachtoffer zijn geworden van dit soort ransomware-aanvallen. Ze zijn de afgelopen jaren uitgegroeid tot een ware plaag. Eerder dit jaar betaalde Colonial Pipeline in de VS 4,4 miljoen dollar toen ze waren lamgelegd door de hackers van Darkside. En afgelopen zomer berichtte Data News nog dat de Belgische ICT-dienstverlener ITXX 252.000 euro betaalde na een aanval met gijzelsoftware.

Hackers eisen vrijwel altijd dat het losgeld wordt betaald in cryptomunten, zoals bitcoin of monero. Zulke betalingen zijn immers anoniem – de aanvallers hacken zich dus rijk terwijl hun identiteit geheim blijft. Sommigen pleiten ervoor om de betaling van losgeld aan hackers te verbieden (lees: illegaal te maken). Hun argument: raak de cybercrimineel waar het pijn doet. Als je hackers niet mag betalen, neem je hun belangrijkste motivatie weg. Maar hoe haalbaar is dat in de praktijk? En vooral: zal het daadwerkelijk leiden tot het einde van de ransomware-plaag?

Een verbod op de betaling van losgeld kan ertoe leiden dat hackers zich nog meer gaan focussen op slachtoffers die zó sterk onder druk staan dat losgeld betalen de enige uitweg is. Denk aan een ziekenhuis dat volledig lamgelegd wordt. De directie heeft dan twee opties: het weigert het losgeld te betalen (dat zou immers illegaal zijn) maar dan vallen er mogelijks doden, of het hospitaal betaalt wel en vermijdt zo dat er slachtoffers vallen. Ander voorbeeld: als losgeld ophoesten de enige optie is om een faillissement te vermijden, dan zal de verleiding groot zijn om over te gaan tot betalen. Een verbod op de betaling van losgeld kan er dus voor zorgen dat hackers nog driester te werk gaan.

Het kan ook tot gevolg hebben dat slachtoffers in het geheim gaan betalen en minder geneigd zijn om de aanval aan te geven bij de politie. Dit maakt het slachtoffer nog kwetsbaarder: wat als de hackers vervolgens dreigen om de betaling wereldkundig te maken, tenzij er extra losgeld wordt betaald?

Ook is de invoering en handhaving van een verbod op de betaling van losgeld allesbehalve een sinecure. Je kan het verbod richten op de daders: de WannaCry-hackers staan bijvoorbeeld op de Amerikaanse zwarte lijst waardoor geen losgeld aan hen mag worden betaald. Maar de hackerswereld is voortdurend in beweging: groepen splitsen zich op in splintergroepen of ontbinden zichzelf om daarna onder een andere naam opnieuw toe te slaan. Bovendien maken aanvallers steeds meer gebruik van zogenaamde RaaS-diensten (Ransomware-as-a-Service) waardoor het nog moeilijker te achterhalen is wie de daders precies zijn. Hackers zelf blacklisten is dus een weinig efficiënte methode om de ransomware-plaag te lijf te gaan.

Een andere manier om ransomware-aanvallen te bestrijden bestaat erin je pijlen te richten op de zogenaamde exchanges. Dat zijn cryptobeurzen waarop je cryptovaluta kan verhandelen. De primeur is hier voor de Amerikanen: zij hebben onlangs voor het eerst een cryptobeurs op de zwarte lijst gezet. Het gaat om Suex, een Tsjechisch bedrijf dat transacties in bitcoin, ethereum en andere populaire cryptovaluta aanbiedt. Wie voortaan gevraagd wordt om losgeld te betalen via een Suex-adres, denkt dus beter tweemaal na. Maar ook in Europa wordt er hardop nagedacht over het reguleren van cryptobetalingen. De Europese Commissie heeft intussen wetsvoorstellen gedaan om transacties in cryptomunten te onderwerpen aan dezelfde transparantieverplichtingen als diegene die vandaag gelden voor conventionele financiële transacties. Deze toekomstige regels omvatten weliswaar geen harde sancties, maar bemoeilijken wel de betaling van losgeld via cryptobeurzen die in Europa zijn gevestigd.

Maar hoe goed de bedoelingen ook zijn, het valt te betwijfelen dat deze maatregelen de definitieve doodsteek zullen inluiden van de ransomware-plaag. Immers, de Europese wetgever is traag – de nieuwe Europese regels zullen waarschijnlijk pas binnen twee jaar in werking treden. Bovendien vallen de regels te omzeilen: hackers zullen vermoedelijk uitwijken naar cryptomunt-exchanges die niet onder de Europese regels vallen.

Als we de plaag echt willen uitroeien, dan zullen we meer moeten doen dan het verbieden van betalingen aan geblackliste hackers en cryptobeurzen of het reguleren van crypto-transacties. Vooreerst moeten we de diplomatieke druk verder opvoeren tegen landen die hackers gedogen. Rusland bijvoorbeeld: veel hackers houden zich daar schuil en worden ongemoeid gelaten door de Russische overheid. Voorts moeten onze bedrijven meer investeren in cyberveiligheid. Ook de overheid dient zijn rol te spelen door meer te investeren in bewustzijnscampagnes, kennisdeling en handhaving. En de techindustrie moet op zijn beurt meer aandacht besteden aan de veiligheid van zijn oplossingen: computerprogramma’s die op grote schaal gebruikt worden, bevatten nog te vaak fouten.