Expert: gijzeling computers ROC Mondriaan vrijwel zeker voor losgeld

'Dat bestanden onbereikbaar zijn en applicaties niet werken, is typisch iets voor ransomware', zegt Van Eeten. 'Als cybercriminelen uit zijn op gegevens die in het netwerk te vinden zijn, zijn bestanden wel gewoon te openen door het personeel. En dan werken de applicaties ook', Bij ransomware wordt het hele systeem van een bedrijf geblokkeerd door de hacker. Pas als geld wordt betaald, wordt het netwerk weer toegankelijk. Het bedrijf wordt als het ware gegijzeld en er moet losgeld betaald worden. Ransom is engels voor losgeld, vandaar die naam.

Zo'n aanval gaat puur om financieel gewin, zegt Van Eeten. 'Er zit niets politieks bij of iets dergelijks.' Vaak wordt naar enkele grote spelers gekeken die vooral vanuit Rusland en de Oekraïne opereren. 'Daar zitten enkele grote groepen. Maar soms zie je ook dat kleinere spelers op de markt bij die grote jongens infrastructuur huren. Als zo'n hack vervolgens slaagt, krijgt de grote jongen een deel van de opbrengst.'

Internetcriminelen speuren de hele tijd online naar netwerken waar ze binnen kunnen komen. 'Dat doen ze vaak niet zelf, maar het gaat doorgaans geautomatiseerd. Als ze binnen kunnen komen, gaan ze kijken of het een interessante organisatie is waar wat aan te verdienen valt', aldus de Delftse hoogleraar. En om het nog ingewikkelder te maken: vaak wordt een gehackt netwerk gewoon te koop aangeboden via het dark web, waar criminelen zaken doen.

Een hacker kan dan dus gewoon de toegang tot een netwerk kopen en gaan rondneuzen bij een bedrijf. 'ROC Mondriaan is denk ik niet bewust uitgezocht. Die hackers gaan doorgaan heel opportunistisch te werk. Is er een ingang? Ja? Dan gaan we kijken of het interessant is.' En ROC Mondriaan is dan ook nog een kleine speler wereldwijd. 'Denk aan de hack van Colonial Pipeline in de VS van dit voorjaar. Die was echt veel en veel groter.'

Maar wat kunnen bedrijven en instellingen doen om dit soort hacks tegen te gaan? 'Zorg voor zo weinig mogelijk ingangen op je netwerk', zegt Van Eeten. Maar het is ook een illusie dat alles helemaal potdicht kan worden gemaakt. 'Je moet ook zorgen dat je je netwerk als het ware opknipt. Zodat als criminelen weten binnen te komen, ze dan slechts toegang hebben tot een klein deel van je netwerk. Ook is het heel belangrijk dat je zorgt dat ze geen toegang hebben tot de back-ups van de bestanden.'

Hij noemt als voorbeeld de hack van het netwerk van de Universiteit van Maastricht. De universiteit heeft uiteindelijk hackers een geldbedrag betaald om weer toegang te krijgen tot bestanden omdat het wetenschappelijk onderzoek in het geding was. 'Na deze hack hebben veel universiteiten hun infrastructuur aangepast en de toegang dus opgeknipt. Het is dan veel moeilijker om overal bij te komen.'

Dan is er nog een uitdaging voor de netwerkbeheerders. Die moeten overal bij kunnen, maar als hun accounts worden achterhaald door een crimineel, heb je als organisatie echt een heel groot probleem. 'Bij veel organisaties hebben netwerkbeheerders nu meerdere accounts voor verschillende delen van het netwerk. Dus dan wordt alles weer opgeknipt en gecompartimenteerd.'