Zo onderhandel je met cybercriminelen – als laatste redmiddel
Toen begin dit jaar enorme hoeveelheden gevoelige data werden gestolen bij Odido, besloot het bedrijf om niet in te gaan op de losgeldeisen van de aanvallers, waarna die de data publiceerden. De beslissing om niet te betalen is conform de richtlijnen van de overheid. Toch is het vaak makkelijker gezegd dan gedaan voor bedrijven om deze richtlijnen ook daadwerkelijk na te leven. Betalen of niet is altijd een keuze met technologische, juridische en strategische afwegingen. Kunnen systemen binnen een acceptabele tijd en veilig worden hersteld vanaf back-ups? Zijn gevoelige data daadwerkelijk gestolen en zo ja, wat is de waarde hiervan? Hebben de aanvallers banden met entiteiten die gesanctioneerd zijn, waarmee betaling illegaal is? En wellicht het belangrijkste: zal betaling het probleem daadwerkelijk oplossen of verdere cybercriminele acties stimuleren?
Om een goede afweging te kunnen maken is een goed incident response plan, inclusief ondersteuning van ervaren ransomware-onderhandelaars cruciaal. Hierbij is onderhandelen niet enkel reactief, maar is het een complexe discipline dat raakt aan cybersecurity, risicobeheer en crisisbesluitvorming.
Hoe werkt het onderhandelen met cybercriminelen?
In tegenstelling tot wat vaak wordt gedacht, is een losgeldonderhandling geen ad-hoc uitwisseling van berichten met aanvallers. Het is een gestructureerd proces dat begint met het verzamelen van informatie. Incident responders proberen eerst de dader achter de aanval goed in kaart te brengen voordat er ook maar sprake is van een gesprek over betaling. Dit is belangrijk aangezien sommige ransomwaregroepen banden hebben met terroristische organisaties of landen waarop sancties rusten. In zulke gevallen is elke vorm van betaling volgens het internationaal recht verboden en moet de communicatie direct worden stopgezet.
Als onderhandelen wettelijk is toegestaan, is de volgende stap het beoordelen van de aard van de aanval. In zo’n 98% van de ransomware-incidenten stelen aanvallers ook data. Hierdoor verschuift de dynamiek van een incident van enkel een operationele verstoring naar reputatie- en regelgevingsrisico’s, zoals bij Odido ook het geval was. Organisaties betalen vaak niet om weer toegang tot hun systemen en data te krijgen, maar om te voorkomen dat gevoelige data openbaar worden gemaakt. Onderhandelaars zullen dan ook de beweringen van de aanvallers valideren. Hierbij vragen ze om bewijs van de gestolen data en beoordelen ze of de gestolen data daadwerkelijk waardevol zijn. Dit is belangrijk, omdat organisaties onder druk de impact van een inbreuk kunnen overschatten. Als de aanvallers geen waardevolle (juridische) data kunnen laten zien, is de aanbeveling doorgaans om niet te betalen.
Als er wel wordt bevestigd dat de data waardevol zijn, dan gaan de onderhandelaars proberen om het gevraagde losgeldbedrag te verlagen. De expertise van onderhandelaars is hierbij doorslaggevend, aangezien ransomwaregroepen zich verschillend kunnen gedragen. Sommige groepen weigeren helemaal om te onderhandelen, anderen zijn bereid om de het geëiste bedrag enigszins te verlagen en een klein aantal accepteert soms zelfs minder dan 10% van het oorspronkelijke geëiste losgeldbedrag.
Professionele onderhandelaars maken een meetbaar verschil door hun kennis en ervaring van onderhandelingspatronen en gedrag van cybercriminelen, onderhandelingstactieken en hun vermogen om snel te schakelen. Uit ons onderzoek blijkt dat gestructureerde onderhandelingen losgeldbetalingen met gemiddeld 67% kunnen verlagen, met een totale besparing die oploopt tot 94% wanneer ook incidenten worden meegerekend waarin betaling volledig werd voorkomen. Daarentegen betalen organisaties die incidenten zelfstandig proberen op te lossen vaak het gevraagde bedrag of zelfs meer vanwege transactiekosten gerelateerd aan cryptovaluta.
Het veranderende gedrag van cybercriminelen
Veel cybercriminelen opereren tegenwoordig op dezelfde manier als legitieme bedrijven. Ze specialiseren zich, werken samen en verfijnen hun tactieken voortdurend op basis van wat effectief blijkt te zijn. Onderhandelingen worden hierdoor steeds complexer. Daarnaast veranderen aanvallers ook hun aanvalstechnieken en stelen ze bijvoorbeeld steeds vaker enkel data zonder dat ze overgaan op versleuteling van systemen. Sommige groepen versleutelen zelfs al helemaal niks meer omdat dit de kans op ontdekking vergroot. Het verlaagt hun operationele risico terwijl ze wel hun invloed op slachtoffers behouden.
Tegelijkertijd gaan cybercriminelen steeds verder met hun druktactieken, waarbij ze soms verder gaan dan enkel digitale dreigingen. In sommige, gelukkig nog uitzonderlijke, gevallen werken ransomwaregroepen samen met lokale criminele netwerken om slachtoffers fysiek te intimideren. Deze zogenaamde ‘violent crime-as-a-Service’ omvat intimidatie, bedreigingen bij woningen en andere vormen van druk uitoefenen met de bedoeling om beslissingen over betalingen te versnellen. Deze trend onderstreept waarom anonimiteit en operationele veiligheid cruciaal zijn voor iedereen die bij onderhandelingen betrokken is.
Het blijft daarnaast belangrijk om je bewust te blijven dat cybercriminelen geen betrouwbare gesprekspartners zijn. Zelfs als er wordt betaald, is er geen garantie dat de gestolen data daadwerkelijk worden verwijderd. Er zijn gevallen bekend waarin het slachtoffer dacht dat hun data was verwijderd nadat zij hadden betaald, maar waarbij deze data alsnog werden ontdekt op de infrastructuur van de aanvallers. Dit brengt het risico met zich mee dat een aanvaller hun slachtoffer meerdere keren afperst met dezelfde data.
Voorkomen is beter dan genezen
Hoewel onderhandelen in bepaalde scenario’s een noodzakelijk kwaad kan zijn, is het natuurlijk beter om dit helemaal te vermijden.
Verder lezen bij de bron- Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen - 6 juli 2026
- Evaluatie datalek gemeente Epe - 3 juli 2026
- Waarom informatiebeveiliging nooit af is - 3 juli 2026
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Applicatiebeveiliging kraakt onder de snelheid van AI-ontwikkelingen | Verder lezen | |
Evaluatie datalek gemeente Epe | Verder lezen | |
Waarom informatiebeveiliging nooit af is | Verder lezen | |
De Cloud Act en digitale soevereiniteit ontrafelt | Verder lezen | |
AI zet decennia cybersecurity op zijn kop | Verder lezen | |
Privacyklachten stijgen explosief – en de overheid staat in de top 3 | Verder lezen | |
Maatregelen nodig voor automatisering Van Brienenoordbrug | Verder lezen | |
AP stelt procesbeschrijving voor verscherpt toezicht vast | Verder lezen | |
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is | Verder lezen | |
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek | Verder lezen |