De oorlog in Oekraïne had een opvallend neveneffect op de cybercriminaliteit in ons land. Verschillende hackerscollectieven onder Russische vlag vielen uit elkaar waardoor het aantal aanvallen met gijzelsoftware opvallend daalde. Maar die ‘oorlogspauze’ lijkt nu voorbij.

Het is al even geleden dat we nieuwsberichten van dit kaliber zagen: Bedrijf gehackt met gijzelsoftware, hackers eisen miljoenen in bitcoin. En dat heeft alles te maken met de oorlog in Oekraïne. “Na het uitbarsten van de oorlog eind februari zijn binnen de grote hackerscollectieven enorme discussies losgebarsten”, zegt Geert Baudewijns, CEO van het Belgische cybersecuritybedrijf Secutec. “Aan welke kant staan wij? Dat was de teneur op de interne chats.”

De veelal Russische – of op z’n minst Russisch-gelieerde – toplui van die bendes schaarden zich achter de strijdkrachten van het moederland en zagen alle niet-Russische hackers vertrekken. “We zagen nog een piek in aanvallen tot midden april, maar dat moet je zien als lopende zaken. Eens die afgewerkt waren, zijn de collectieven uit elkaar gevallen.” De bekendste was Conti, een Russische bende die vooral vanuit Sint-Petersburg opereerde.

Rustige zomer

Wat volgde was een relatief rustige zomer. “Na april slonk het aantal cases dat wij binnenkregen met een factor vijf”, zegt Baudewijns. Een gevolg van de versplintering van de bendes, maar er was mogelijk ook een praktische reden. Chainanalysis – een onderzoeksfirma gespecialiseerd in cybercriminaliteit – becijferde dat in 2021 zo’n 75 procent van al het betaalde losgeld naar Rusland ging. Losgeld betalen in cryptomunten is sowieso al illegaal, maar door de economische sancties tegen Rusland droogde de geldstroom helemaal op.

Tot nu. Intussen zijn minstens zeven nieuwe hackersbendes opgestaan die de aandacht trokken van onderzoekers en denktanks. Het gaat onder meer om Sparta, IceFire, Onyx en BianLian. Het zijn kleinere bendes die veeleer een kmo in het vizier zullen nemen dan de Coca Cola’s van deze wereld. “Ook wij zien een lichte stijging in het aantal gevallen”, zegt Eddy Willems, expert cybersecurity bij G Data. “Maar gezien de modus operandi van de splinterbendes, blijven veel aanvallen onder de waterlijn. Een kleine kmo is vaak niet geneigd aan te geven dat ze slachtoffer waren. Mogelijk is de stijging groter dan wat we nu zien.”