Centre of Expertise Cyber Security

Modus Operandi en aanpak van ransomware

Ransomware-aanvallen zijn in de loop der jaren toegenomen. Het doel van deze studie is om te begrijpen hoe ransomware-aanvallen worden gepleegd en om mogelijke maatregelen te identificeren om ze te voorkomen.

Het aantal ransomware aanvallen is de afgelopen jaren enorm toegenomen en de impact op slachtoffers en de samenleving kan groot zijn. Het kan onder andere leiden tot bedrijfsprocessen die stil komen te liggen, het verlies van data en financiële gevolgen. Er zijn daarnaast indicaties dat er sprake is van een snelle ontwikkeling en professionalisering in de werkwijze van de cybercriminelen. Het is van belang om effectieve maatregelen tegen ransomware te ontwikkelen. Om dit te doen is er meer inzicht nodig in hoe aanvallen worden gepleegd.

Doel van het project

In dit onderzoeksproject is het doel enerzijds om meer inzicht verkregen in hoe ransomware aanvallen gepleegd worden en welke handelingen essentieel zijn in het succesvol uitvoeren van het delict en anderzijds om interventies gericht op slachtoffers en/of daders te ontwikkelen om ransomware tegen te gaan.

Methode van onderzoek

Deze studie maakt gebruik van misdaadscriptanalyse, wat de praktijk is van het systematisch identificeren van de procedurele aspecten en vereisten van het misdaadcommissieproces. Het is gebaseerd op 47 rechtbankdocumenten en 10 deskundigenverhoren.

Looptijd van het project

2021-2025

Tussentijdse resultaten 2022

In 2022 werd een misdaadscript duidelijk, waarin verschillende stappen in een aanval - van het vormen van een samenwerking tot het witwassen van geld – werden getoond en de professionalisering van het ransomware-ecosysteem werd geillustreerd. Delen van het proces worden uitbesteed aan gelieerde ondernemingen in ruil voor een deel van de losgeldopbrengst en klantenservice wordt verleend aan slachtoffers. Bovendien evolueren aanvallen, omdat aanvallers extra afpersingstechnieken gebruiken, zoals dreigen met het lekken van gestolen gegevens.

Het misdaadscript geeft inzicht in de verschillende stappen in een ransomware-aanval en facilitators, zoals beveiligingsrisico's die toegang mogelijk maken of het bestaan van cryptocurrency-mixers die het witwassen van geld vergemakkelijken. Preventieve maatregelen kunnen gericht zijn op verschillende stappen in het script. Doelversterking kan bijvoorbeeld optreden door beveiligingsmaatregelen zoals tijdige kwetsbaarheidspatches. Bovendien zou een interventie gericht kunnen zijn op het ontmoedigen van losgeldbetalingen, wat niet alleen de criminelen voordelen zou ontzeggen, maar ook zou ruïneren.

Contact: Sifra Matthijsse s.r.matthijsse@hhs.nl