Stel je voor: je begint een onderneming. Een modern, schaalbaar bedrijf in een groeimarkt. Je product voorziet in een duidelijke behoefte. Je distributiemodel is efficiënt. Je hebt partners, support, een verdienmodel, een merkbelofte en waarschijnlijk betere marges dan menig SaaS-bedrijf in Amsterdam-Zuid.
En het mooiste van alles: je hoeft geen btw-aangifte te doen.
Welkom in de wereld van ransomware-as-a-service: de situatie waarin de criminaliteit niet alleen digitaal is geworden, maar ook professioneel, gestructureerd en op een onaangename manier ondernemend.
De professionalisering van digitale afpersing
We praten bij ransomware nog vaak alsof het gaat om een paar nerveuze pubers in een donkere kamer met energiedrank en een hoodie. Dat beeld is prettig, want het suggereert chaos, amateurisme en puistjes. In werkelijkheid opereren veel ransomwaregroepen eerder als bedrijven. Niet figuurlijk. Gewoon echt als bedrijven.
Ze hebben ontwikkelteams die de software bouwen, updaten en onderhouden. Ze hebben distributeurs — “affiliates”, alsof het om een fitness-app gaat — die de ransomware verspreiden in ruil voor een percentage van de opbrengst. Ze hebben processen, taakverdeling en, onvermijdelijk, klantenservice.
Ja, klantenservice.
Dat is misschien wel het meest ontmoedigende detail van dit hele tijdperk: zelfs afpersing heeft inmiddels een helpdesk. Er zijn groepen met FAQ-pagina’s. Met chatvensters. Met betaalinstructies. Met begeleiding voor slachtoffers die hun bestanden terug willen en kennelijk vastlopen in het betalingsproces.
Je krijgt bijna medelijden met iemand die om drie uur ’s nachts op een chat zit te typen:
“Hallo, ik heb betaald maar mijn bestanden zijn nog steeds versleuteld.”
Waarop er aan de andere kant iemand antwoordt:
“Wat vervelend voor u. Heeft u al geprobeerd opnieuw in te loggen?”
En vervolgens helpen ze nog ook.
Want zelfs digitale afpersers begrijpen iets wat veel gewone bedrijven pas na drie reorganisaties ontdekken: reputatie is belangrijk. Een ransomwaregroep die na betaling niet levert, krijgt slechte mond-tot-mondreclame in de onderwereld. En ook daar wil men kennelijk betrouwbaar overkomen. Dat is misschien wel het meest deprimerende ondernemingsinzicht van onze tijd: de crimineel begrijpt klantbehoud beter dan de gemiddelde telecomprovider.
Het partnerprogramma
De grote ransomwaregroepen doen vaak niet eens zelf het vuile werk. Ze bouwen het platform en laten de aanvallen uitvoeren door affiliates: freelance criminelen, zeg maar, voor mensen die bij het woord freelance niet direct aan digitale chantage denken.
Die affiliates krijgen vaak 70 tot 80 procent van het losgeld. De platformeigenaar pakt de rest. Het is een partnerprogramma. Een franchisemodel. Een soort McDonald’s, maar dan zonder milkshakes en met aanzienlijk slechtere merkwaarden.
Dat model is ook precies waarom ransomware zo hard is gegroeid. De mensen die de malware bouwen hoeven niet zelf elk bedrijf binnen te dringen. Dat werk wordt uitbesteed aan anderen. De drempel is laag, de tools zijn beschikbaar en de infrastructuur ligt klaar. Je hoeft niet eens per se briljant te zijn. Dat is ook een terugkerend thema in cybercrime: de technologie wordt steeds slimmer, zodat de crimineel steeds dommer kan zijn.
Dat is natuurlijk ideaal voor schaalbaarheid. En zodra iets schaalbaar wordt, weet je eigenlijk al dat de mensheid er een puinhoop van gaat maken.
Double extortion: waarom één afpersing nemen als je er ook twee kunt doen?
Op een gegeven moment hebben ransomwaregroepen iets ontdekt wat elke roofzuchtige businesscoach waarschijnlijk meteen als “kans in de markt” zou omschrijven: waarom alleen bestanden versleutelen als je ook data kunt stelen?
Dus dat doen ze nu allebei.
Eerst nemen ze je gegevens mee — klantinformatie, contracten, financiële rapporten, personeelsdossiers, interne documenten, alles wat een juridische afdeling later met trillende handen zal omschrijven als “mogelijk gevoelige informatie”. Daarna versleutelen ze de systemen.
En dan komt de elegante wreedheid van het model. Want stel dat jij je back-ups keurig op orde hebt. Prima. Dan kun je je systemen misschien herstellen. Fantastisch. Goed gedaan. Netjes volwassen.
Maar je gestolen data heb je daarmee niet terug. Die kan nog steeds worden gepubliceerd, verkocht of gebruikt als drukmiddel. Dus zelfs organisaties die technisch iets beter zijn voorbereid, blijven chantabel. Het is de digitale variant van iemand die én je huis leeghaalt én vooraf foto’s maakt van al je administratie.
Het is zakelijk gezien slim. Menselijk gezien is het verachtelijk. Maar de geschiedenis van winstmodellen laat zien dat die twee dingen elkaar zelden uitsluiten.
Wat maakt een organisatie aantrekkelijk als doelwit?
Veel organisaties troosten zichzelf met de gedachte dat hun data niet interessant genoeg is. Dat is een heerlijk geruststellende gedachte, en daarom meestal waardeloos.
Ransomwaregroepen kiezen hun slachtoffers lang niet altijd op basis van hoe spannend je gegevens zijn. Ze kijken vooral naar twee vragen:
- Hoe makkelijk komen we binnen?
- Hoe waarschijnlijk is het dat ze betalen?
Dat is het hele spel.
Een middelgroot productiebedrijf met verouderde systemen, magere beveiliging en een operatie die geen drie dagen stilstand kan verdragen, is vaak een aantrekkelijker doelwit dan een hip techbedrijf dat zijn zaakjes wél op orde heeft. Niet omdat het productiebedrijf geheimere data heeft, maar omdat het kwetsbaarder is en sneller in paniek raakt.
Cybercriminelen zijn in dat opzicht net gewone marktpartijen: ze zoeken de weg van de minste weerstand en de hoogste opbrengst. Ze kijken niet waar de meeste romantiek zit. Ze kijken waar de minste moeite nodig is om iemand financieel emotioneel te ontwrichten.
Hoe je je verdedigt
Het vervelende aan ransomware is dat er geen magische knop bestaat met “maak veilig”. Als die bestond, stond hij allang ergens in een bestuursrapport onder de kop quick wins. Verdediging is saai. Gelaagd. Repetitief. En juist daarom effectief.
Je hebt back-ups nodig. Offline, getest, en buiten bereik van aanvallers. Niet de symbolische variant waarbij iemand ooit in 2023 heeft gezegd dat ze “ergens wel draaien”. Echte back-ups. Terugzetbare back-ups. Back-ups waarvan je niet pas tijdens een crisis ontdekt dat ze vooral een filosofisch concept waren.
Je moet patchen. Want verrassend veel ransomware komt nog steeds binnen via bekende kwetsbaarheden. Niet via futuristische spionagetechnieken, maar via dingen waarvoor al maanden updates bestaan. Het digitale equivalent van je voordeur niet repareren en daarna verbaasd zijn dat er iemand binnenloopt.
Je moet segmenteren. Zorg dat een inbraak niet meteen een complete verovering wordt. Als één systeem geraakt wordt, hoeft niet de hele organisatie in dezelfde kramp te schieten.
Je hebt MFA nodig. Overal. Niet alleen op de VPN omdat iemand dat ooit als compromis heeft bedacht. Overal waar een account iets kan, moet een extra drempel zitten tussen een aanvaller en jouw ellende.
Je hebt detectie nodig. EDR op endpoints, monitoring op het netwerk, logging die niet alleen wordt verzameld maar ook bekeken. Want een alert waar niemand naar kijkt is gewoon een digitaal windgongtje.
En je moet oefenen. Want op het moment zelf is het verrassend laat om te ontdekken dat niemand weet wie wat doet, wie de beslissing neemt, wie extern belt, wie systemen uitzet en wie alleen maar heel hard “hebben we hier een draaiboek voor?” roept.
De ongemakkelijke conclusie
Ransomware is geen tijdelijk probleem. Het is niet een hype, niet een incident, niet een modegril van de digitale onderwereld. Het is een volwassen verdienmodel geworden, met processen, partners, service en een akelig goed begrip van hoe organisaties onder druk reageren.
Met andere woorden: de criminelen hebben hun businessmodel op orde.
De vraag is of jij dat ook hebt.
Want je hoeft niet perfect te zijn om je risico flink te verlagen. Maar je moet wel ophouden met hopen dat middelmatigheid onzichtbaarheid oplevert. Dat is jarenlang het favoriete beveiligingsbeleid van heel veel organisaties geweest: misschien slaan ze ons over. Een beetje zoals je auto open laten staan in de stad en denken: ach, zo interessant is hij niet.
Misschien werkt dat een keer.
Maar het is geen strategie. Het is wensdenken met een factuur eraan vast.
