Stel je voor: je start een bedrijf. Je hebt een product dat iedereen nodig heeft (althans, iedereen die niet wil dat zijn bestanden voor altijd onleesbaar worden). Je hebt een schaalbaar distributiemodel. Je hebt zelfs een helpdesk. En je hoeft geen belasting te betalen.
Welkom in de wereld van ransomware-as-a-service.
De professionalisering van digitale afpersing
Ransomwaregroepen opereren als bedrijven. Dat is geen metafoor — het is een letterlijke beschrijving. Ze hebben ontwikkelteams die de software bouwen en onderhouden. Ze hebben verkoopkanalen (affiliates) die de ransomware verspreiden in ruil voor een percentage van de opbrengst. Ze hebben klantenservice die slachtoffers helpt met het betalen van losgeld en het ontsleutelen van bestanden.
Ja, je leest het goed. Klantenservice. Sommige groepen hebben FAQ-pagina's. Ze bieden korting als je snel betaalt. Ze hebben chatfuncties waar je terecht kunt met vragen. "Ik heb betaald maar mijn bestanden zijn nog versleuteld, kunt u helpen?" — en dan helpen ze. Want een ransomwaregroep die niet levert na betaling, verliest zijn reputatie. En reputatie is alles in deze business.
Het partnerprogramma
De grote ransomwaregroepen schrijven de software niet zelf en voeren de aanvallen niet zelf uit. Ze verhuren hun platform aan "affiliates" — freelance criminelen die de daadwerkelijke aanvallen uitvoeren. De affiliate krijgt 70-80% van het losgeld, de platformeigenaar houdt de rest. Het is een franchisemodel. McDonald's, maar dan voor digitale afpersing.
Dit model maakt ransomware enorm schaalbaar. De platformeigenaar hoeft niet elk slachtoffer zelf aan te vallen. De affiliates nemen dat werk over. En omdat de drempel om affiliate te worden laag is — je hebt geen technische achtergrond nodig, het platform doet het zware werk — groeit het ecosysteem snel.
Double extortion: twee keer betalen
Alsof versleuteling niet genoeg was, hebben ransomwaregroepen een tweede inkomstenstroom bedacht: datadiefstal. Ze stelen je gegevens voordat ze alles versleutelen. Betaal je niet? Dan publiceren ze je klantgegevens, contracten, financiële rapporten en personeelsdossiers op het dark web.
Dit neutraliseert het belangrijkste verdedigingsmiddel: backups. Je kunt je systemen herstellen vanuit een backup, maar je kunt niet voorkomen dat gestolen data gepubliceerd wordt. Het is een briljant — en meedogenloos — businessmodel.
Wat maakt een organisatie een doelwit?
Niet wat je denkt. Ransomwaregroepen kiezen hun doelwitten niet op basis van hoe interessant je data is. Ze kiezen op basis van hoe makkelijk je binnen te komen bent en hoe waarschijnlijk je betaalt. Een middelgroot productiebedrijf dat drie dagen stilstand niet kan permitteren, is een aantrekkelijker doelwit dan een techbedrijf met goede beveiliging.
Hoe je je verdedigt
De verdediging tegen ransomware is niet één maatregel — het is een laag van maatregelen:
- Backups — offline, getest, en onbereikbaar voor aanvallers. De 3-2-1-regel als minimum
- Patching — de meeste ransomware komt binnen via bekende kwetsbaarheden
- Segmentatie — beperk de blast radius. Als één systeem gecompromitteerd is, hoeft niet alles mee te gaan
- MFA — overal. Niet alleen op de VPN
- Detectie — EDR op endpoints, monitoring op het netwerk, en iemand die naar de alerts kijkt
- Oefening — weet je team wat het moet doen als het gebeurt? Heb je dat geoefend?
Ransomware is een probleem dat niet vanzelf weggaat. Maar het is een probleem dat je kunt beheersen — als je het serieus neemt voordat het je overkomt.
Begin met onze gratis security checklist en ontdek waar je staat.