Analyse | Nieuws

Na Antwerpen en Geraardsbergen: waarom gemeenten plots zo’n sappige prooi voor hackers lijken te zijn

Els Bellens
Els Bellens Technologiejournaliste bij Data News

Data van de burgers van Geraardsbergen liggen op straat en de loketten bleven twee weken dicht. Eerder werd ook Antwerpen slachtoffer van een grote ransomware-aanval, die de diensten van de stad wekenlang verstoorde. Wat is er aan de hand?

Belgische steden en gemeenten zetten in op digitale dienstverlening en dat maakt hen meteen ook een mogelijk doelwit voor cyberaanvallen. Dat merkte ook de stad Geraardsbergen, die haar computers door een LockBit-aanval versleuteld zag en haar data gepubliceerd. Eind vorig jaar werd ook de stad Antwerpen slachtoffer, deze keer van de hackersgroep Play. Daar waren wekenlang de diensten verstoord. Nog getroffen vorig jaar: Maldegem en Diest, en u herinnert zich misschien ook de aanvallen op Luik, Floreffe en Willebroek in de voorbije jaren.

Het lijkt wel alsof steden en gemeenten een sappig doelwit vormen, maar dat is vooral een kwestie van perceptie. Kijken we naar de slachtoffers van LockBit in de EU, bijvoorbeeld, dan vallen die over het algemeen vooral in de dienstensector, in de financiële sector en de maakindustrie. Bij de Belgische slachtoffers staat de publieke sector wel op de tweede plaats, ook weer na de dienstensector. Wat vooral opvalt is dat publieke instellingen vaak degenen zijn die openlijk spreken over een aanval. ‘Bedrijven gaan niet altijd publiek maken dat ze zijn aangevallen. Daar kan je inkomen, omdat de mogelijkheid bestaat dat ze daardoor financieel verlies gaan lijden’, zegt Steven De Munter, business security consultant bij Orange Cyberdefense. ‘Maar wanneer een stad of gemeente slachtoffer is, wil je daar wel van op de hoogte blijven, want het zijn jouw gegevens.’

Opportunisme

De aanvallen lijken dan eerder een teken van een misschien iets slordiger securitybeleid, en niet zozeer een indicatie dat steden een belangrijk doelwit zijn. ‘Criminelen zijn opportunisten,’ zegt De Munter. ‘Als ze een kwetsbaarheid zien, gaan ze aanvallen. Wie er daarbij aangevallen wordt, is van minder belang.’ In het geval van LockBit kan dat bijvoorbeeld alles zijn van ziekenhuizen over de Britse Royal Mail tot, welja, de gemeenten Maldegem en Geraardsbergen. De ransomware duikt de laatste maanden dan ook erg vaak op, in verschillende sectoren. De kans is zelfs vrij groot dat ze wordt verhuurd via een soort licentiesysteem. ‘Die ransomware wordt als dienst, Ransomware-as-a-Service, verdeeld’, zegt Simen Van der Perre, strategic adviser bij Orange Cyberdefense. ‘Een deel van de aanvallen wordt dan uitgevoerd door affiliates die de infrastructuur en de software van LockBit gebruiken, en bij een succesvolle aanval een percentage afstaan aan de makers.’

Die infrastructuur bestaat dan niet alleen uit de ransomware zelf, maar ook eventuele kwetsbaarheden en het ondertussen beruchte ‘leakingplatform’, een website op het dark web waarop de slachtoffers bekend worden gemaakt. Een aftelklok meldt de bredere wereld hoe lang ze nog hebben om losgeld te betalen. Doen ze dat niet, dan wordt hun data gelekt. In het geval van Geraadsbergen was dat deze week.

Ondertussen is bekend dat er bij die buitgemaakte data van de stad ook persoonsgegevens zaten, maar dat is lang niet altijd het geval, zegt Van der Perre: ‘Criminelen spreken niet noodzakelijk Nederlands, die weten niet altijd wie ze aanvallen en welke data van waarde is,’ zegt hij. Vergelijk het met een dief die je huis binnenvalt en alles wat los of vast zit meegrabbelt. ‘Een crimineel steelt data, of dat nu een Excel-lijst is of foto’s. Ze gaan zoeken naar iets persoonlijks en hopen dat het waarde heeft’, voegt De Munter daaraan toe. Hij geeft het voorbeeld van een andere bende, Vice Society, die eind januari een school in Wetteren aanviel en losgeld vroeg om de data geheim te houden. ‘Dat bleken foto’s te zijn van een schoolfeest en technische plannen van de afdeling Houtzagerij. Daar ligt niemand wakker van’, zegt hij.

Ondertussen in Europa

Geen specifiek doelwit, dus, maar toch valt op dat Belgische bedrijven en instellingen de laatste tijd wel vaker slachtoffer worden. Een en ander kan daar te maken hebben met de geopolitieke situatie. ‘We merken heel duidelijk een shift weg van Amerika, omdat daar onder president Biden wetten zijn ingevoerd die het betalen van losgeld ontmoedigen’, zegt Van der Perre. De wetten in kwestie maken het mogelijk om bedrijven en organisatie te vervolgen die losgeld hebben betaald aan hackersgroeperingen. Als de bende op een bepaald punt als terroristische organisatie wordt bestempeld, bijvoorbeeld na een aanval op kritieke infrastructuur zoals oliepijpleidingen, dan wordt het bedrijf ook gezien als een ‘sponsor van terrorisme’. Amerikaanse bedrijven zijn dus minder geneigd om losgeld te betalen, waardoor criminelen hun actieterrein verleggen: naar Latijns-Amerika, maar ook naar Europa.

Al moeten ze dan misschien niet bij onze openbare instellingen zijn. In het algemeen zijn bedrijven al minder geneigd om losgeld te betalen, becijferde Chainanalysis vorige maand nog. Bij publieke instellingen lijkt dat extra te tellen. Geraardsbergen heeft alvast niet betaald, en Antwerpen zegt ook dat het geen losgeld heeft gegeven. ‘Ik adviseer altijd om niet te betalen, omdat het moreel moeilijk is om criminelen te ondersteunen’, zegt De Munter. ‘Een bedrijf moet misschien de keuze maken tussen betalen en failliet gaan, maar als een overheid bendes gaat betalen, waar stopt het dan?’

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content