Platleggen HIVE ransomware platform en vervelende vragen

rige week maakte de Amerikaanse, Canadese en Europese politiediensten bekend het ransomware platform HIVE te hebben platgelegd. Bij de persconferentie is onder andere stilgestaan bij het infiltreren van die infrastructuur en zo schade te kunnen beperken. Maar er kwam ook kort iets anders ter sprake, dat ook minder door de pers is opgepakt en dat betreft de aangiftes van ransomware besmettingen.

Toegang tot servers

Niet voor het eerst zijn politiediensten erin geslaagd toegang tot een digitaal crimineel netwerk te krijgen. Dat men maanden toegang had tot de twee hoofdservers van het HIVE netwerk in Amerika en de twee back-up servers in Nederland toont aan dat de politie over behoorlijk wat kennis beschikt. Deze succesvolle legale inbraak sluit wat dat betreft naadloos aan bij het kraken van de netwerken voor PGP telefoondiensten die door criminelen worden gebruikt en de verschillende marktplaatsen op het darkweb.

Toch is er ook een wezenlijk verschil tussen de actie tegen HIVE en de andere omgevingen. Bij die laatste heeft de politie meegekeken, bewijs vergaard en toen pas ingegrepen door de boel plat te leggen. Bij HIVE is meegekeken maar tegelijkertijd is ook met de kennis die was vergaard (lees: men heeft de encryptie keys van de malware gevonden) contact opgenomen met beoogde slachtoffers. Tijdens de persconferentie is dat letterlijk aangegeven. Men informeerde partijen dat er een aanval op hun infra was ingezet en dat gezocht moest worden naar bepaalde bestanden die op dat moment nog “slapend” waren. Op die manier zijn vooral, maar niet uitsluitend, in Amerika succesvolle ransomware aanvallen voorkomen.

Slechts 20 procent

Door de toegang tot het HIVE platform en de infra heeft men ook een compleet overzicht verkregen van het aantal aanvallen en de successen. Op dit punt volgde er een pijnlijke mededeling van de Amerikanen. Zij hebben vastgesteld dat slechts 20 procent van alle slachtoffers bekend was bij de politiediensten omdat ze aangifte hebben gedaan van deze cybercrime.

Dit betekent niets anders dan dat 80 procent van de slachtoffers heeft verzaakt de politie te informeren en in een groot aantal gevallen ook de toezichthouders voor de betreffende sector. Waarom is dit een schrikbarend hoog percentage, wat weerhoudt partijen ervan aangifte te doen en wat denken ze ermee te winnen?

Datalekken melden

Het zijn vragen die meer dan ooit gesteld moeten worden, ook in Nederland. Voor de AVG is een succesvolle ransomware aanval niets minder dan een succesvol datalek. Wie daarbij opmerkt dat er dan wel persoonsgegevens in het geding moeten zijn heeft gelijk. Maar wie kan garanderen dat als een heel netwerk is platgelegd dat er nul komma nul persoonsgegevens zijn geraakt?

Dat Amerika geen AVG heeft klopt, maar er zijn genoeg wetten op het niveau van de losse staten die een gelijkende werking hebben (trefwoord: HIPAA). Daarnaast is er op federaal niveau een meldplicht als er medische en financiële gegevens van burgers zijn gelekt. Behoorlijk wat Amerikaanse ondernemingen en instellingen hebben de wet overtreden door een ransomware besmetting geheim te houden.

Lastige vragen

Dit is koren op de molen van juristen en activistische aandeelhouders. Zijn zullen dan ook de komende periode proberen hier mee aan de slag te gaan. Daarbij zal worden naar de rol van de externe partijen die de IT in beheer hebben en de auditors. Met het platleggen van het HIVE platform is misschien wel de deksel van een beerput opengetrokken.