Gehackt laboratorium heeft losgeld betaald: 'Miljoenen euro's geëist'
Het gehackte laboratorium Clinical Diagnostics uit Rijswijk heeft losgeld betaald aan de cybercriminelen. Dat bevestigt ransomwaregroep Nova, die verantwoordelijk is voor de hack, aan RTL Nieuws. Het laboratorium hoopt met de betaling dat niet nog meer gestolen data en medische gegevens van Nederlanders op het dark web worden gepubliceerd.
Hoeveel er is betaald, is niet bekend, maar de cybercriminelen hebben naar verluidt miljoenen euro's aan losgeld geëist. Een bron binnen Clinical Diagnostics zegt ook dat er is betaald, maar weet niet welk bedrag.
Cybercriminele groeperingen zoals Nova hacken bedrijven met ransomware. Daarmee gijzelen ze computers en stelen ze alle data, om vervolgens het slachtoffer af te persen: betaal of anders lekken we alle gestolen gegevens.
Nova reageert via een beveiligd chatgesprek dat er is betaald:
Half miljoen Nederlanders
Door de hack bij Clinical Diagnostics zijn de data van 485.000 vrouwen die hebben meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker gelekt. Het gaat dan om hun naam, woonadres, burgerservicenummer en medische informatie, zoals uitslagen van het uitstrijkje of de zelftest.
Daarnaast treft het datalek ook mensen die via een ziekenhuis of huisarts een onderzoek hebben laten uitvoeren, bijvoorbeeld een onderzoek naar urine, huid of de penis. Op het dark web, het verborgen deel van het internet, werden de gegevens van 53.516 patiënten gedeeld - in totaal zo'n 100 megabyte, zo ontdekte RTL Nieuws. Daarin stonden ook de gegevens van een minister en Kamerlid.
Dat was volgens de criminelen van Nova maar een klein deel van de gestolen data: er zou 300 gigabyte, een veelvoud van het gepubliceerde deel, zijn buitgemaakt. Om te voorkomen dat ook al die gegevens worden gepubliceerd, heeft Clinical Diagnostics losgeld betaald.
Hoeveel mensen er in totaal zijn geraakt door het datalek, wil het laboratorium niet zeggen: "Daar doen wij geen publieke uitspraken over. Alle getroffen personen worden persoonlijk per brief in de komende weken geïnformeerd."
Kans dat data niet op dark web beland 'extreem groot'
Clinical Diagnostics wil tegenover RTL Nieuws niet bevestigen dat het heeft betaald. Maar op hun website hint het laboratorium wel naar dat er is betaald: "We hebben op dit moment geen indicaties dat de aanvaller zal overgaan tot het lekken van de gekopieerde gegevens."
De kans lijkt 'extreem groot' dat de data wordt verwijderd en dat er niet meer gegevens op het dark web worden gepubliceerd, stelt cybersecurityexpert Rickey Gevers. Hij helpt gehackte bedrijven en onderhandelt ook regelmatig met ransomwarecriminelen: "Deze criminelen hadden veel meer gegevens en hebben maar een klein deel gepubliceerd om de druk op te voeren, en met succes."
Het komt heel soms voor dat gestolen data na betaling toch nog op het dark web belandt, maar in het gros van de gevallen wordt de data daadwerkelijk door de cybercrimelen verwijderd. Dat zag je onder andere bij de ransomware-aanval op de KNVB uit 2023. Toen is er naar verluidt meer dan een miljoen euro betaald voor de gestolen paspoorten en contracten van Oranjespelers.
Vermogen van 80 miljoen euro
Cybercriminele groeperingen als Nova gebruiken vaak een simpele rekenmethode om tot een losgeldbedrag te komen. In het algemeen geldt dat er 2 procent van de jaaromzet of het vermogen wordt gevraagd.
Bij het moederbedrijf van het gehackte laboratorium, Eurofins, gaat het om zo'n 80 miljoen euro aan vermogen. Het gevraagde losgeldbedrag zou dan uitkomen op 1,6 miljoen euro. "Ze wisten precies wie en welke data ze hadden gepakt", stelt Gevers.
Dat de cybercriminelen zich specifiek richten op Eurofins, blijkt ook uit hun website op het dark web: ze noemen het slachtoffer niet Clinical Diagnostics, maar Eurofins, zoals onderstaand screenshot laat zien:
'Situatie voelt amateuristisch aan'
Hoewel er is betaald, waren de gestolen data van de 53.516 patiënten nog een tijd op het dark web te vinden. Dat vindt Gevers vreemd: "Alles wat de afgelopen dagen is gebeurd, had gewoon voorkomen kunnen worden door duidelijke afspraken te maken met de cybercriminelen. Het voelt amateuristisch aan, een deel van de schade is al aangericht."
Gevers vindt het wel verstandig dat er is betaald door het lab: "De potentiële verdere schade van het publiekelijk worden van deze extreem gevoelige data is niet te overzien. Het gaat hier daadwerkelijk om zeer gevoelige data en medische gegevens, en die zijn heel veel waard."
In onderstaande video leggen we uit waarom cybercriminelen zich vaak richten op zorgorganisaties.
Hackers van Nova
Nova is een relatief nieuwe groep criminelen die met ransomware bedrijven en organisaties platlegt en data steelt. Dat doen deze hackers met succes: de groep is sinds eind maart actief en heeft 34 bedrijven of organisaties gehackt.
Het bekendste slachtoffer van Nova komt uit Italië: daar hebben ze de computers van gemeente Pisa gehackt en 100 gigabyte aan data gestolen. Volgens de criminelen wilde de Italiaanse overheid geen 2 miljoen dollar aan losgeld betalen en hebben ze hun dreigement uitgevoerd en de data online gepubliceerd.
Het is onbekend wie er achter Nova zit en waar de cybercriminelen vandaan komen. Bij dit soort ransomwaregroepen komt de kern veelal uit Rusland en soms uit andere voormalige Sovjetlanden, zoals Wit-Rusland en Moldavië.
Weet jij meer over dit onderwerp of wil je een misstand melden? Dan kun je de redactie (anoniem) tippen. Deel je berichtjes of foto's via WhatsApp of Signal met dit nummer: +31641663754 of mail naar onderzoek@rtl.nl. Je gegevens nemen we in behandeling volgens ons privacystatement. Gebruikersnaam Signal: RTLNieuws.04
