Cybercriminelen op de EU-sanctielijst, want Nederland wil geen vrijplaats voor cybercrime meer zijn

Michael Michaelovitch Tsarev (35) en Maksim Sergeovich Galochkin (42) zijn ervaren cybercriminelen. Ze runnen – vermoedelijk vanuit Rusland – platformen waarop andere cybercriminelen software kopen waarmee ze vervolgens data gijzelen van bedrijven of overheden. De criminele organisaties van Tsarev en Galochkin begeleiden hackers vervolgens tegen een percentage van de opbrengst bij het afpersen van de slachtoffers.

„Ze zijn een soort projectleiders”, zegt Wieteke Koorn van het landelijk parket van het Openbaar Ministerie. De twee mannen huren bijvoorbeeld freelance softwarebouwers in voor klussen voor organisaties als Conti, TrickBot en LockBit. Dat zijn grote namen in de wereldwijde gijzelsoftwarebranche.

Via hun software veroorzaken deze bendes wereldwijd voor miljarden euro’s aan schade per jaar. Behalve veel bedrijven zijn ook ziekenhuizen en, in Nederland, een woningbouwcorporatie aangevallen. Bij zo’n aanval dringt een hacker binnen en zorgt er met de gijzelsoftware voor dat niemand anders meer bij de data komt. Een boekhouder niet meer bij de facturen en een arts niet meer bij patiëntgegevens. Tegelijk worden alle data gestolen. De ‘gijzelaars’ dreigen die te publiceren, tenzij fors wordt betaald. Dat kunnen criminelen vanuit onder meer Rusland relatief ongestoord doen, omdat Rusland geen onderdanen uitlevert.

Via het strafrecht valt daardoor niet zoveel tegen ze uit te richten, merkte het Openbaar Ministerie de afgelopen jaren. En dat frustreert, omdat Nederland een internetknooppunt is waar ook veel criminelen gebruik van maken. Er komen veel internetkabels aan land en er zitten in Nederland veel hostingbedrijven, die er bovendien in slagen de identiteit van hun klanten geheim te houden. Dat maakt dat veel illegale online handel – waaronder kinderporno, maar ook gijzelsoftware – via servers in Nederland loopt.

Lees ook

Van Abusehosting tot Fuckservers: ‘We kennen de deals en de namen, maar ingrijpen is lastig

Datacentrum van Serverius in Dronten.

„Internationale samenwerking is ontzettend belangrijk hier. We hebben relatief weinig Nederlandse verdachten voor het hekje. We gaan weinig naar zitting”, schetst Koorn tijdens een videobelgesprek. „Maar we hebben wel de kabels liggen. We kunnen dus wel vaak systemen neerhalen of data veiligstellen. We zijn samen met de politie en Buitenlandse Zaken op zoek gegaan naar een breder palet om dit aan te pakken en deze dadergroepen te ontwrichten.”

Cybercriminaliteit is vrijwel altijd internationaal. Dat maakt het aanpakken van cybercriminelen „een teamsport”, zegt Ernst Noorman. Hij is ambassadeur cyberaangelegenheden bij het ministerie van Buitenlandse Zaken. Vanuit die gedachte is geprobeerd cybercriminelen op de sanctielijst van de EU te krijgen. Iets wat in de Verenigde Staten en het Verenigd Koninkrijk al eerder gebeurde, maar in de EU meer tijd kost omdat 27 lidstaten overtuigd moeten worden van de kwaliteit van het bewijsmateriaal.

En dat is nu voor het eerst gelukt. Tsarev en Galochkin staan sinds maandagmiddag op de sanctielijst en krijgen daardoor per onmiddellijk een inreisverbod voor EU-landen. Banken moeten hun tegoeden bevriezen. En bedrijven die zaken met ze doen, kunnen daarvoor bestraft worden.

Dat is met name relevant voor bedrijven die serverruimte verhuren. „De hostingbedrijven krijgen nu de verantwoordelijkheid om te checken wie hun klanten écht zijn, vergelijkbaar met regels voor banken tegen witwassen. Dat is een vorm van regulering die we eerder niet hadden. We hopen dat het ertoe leidt dat mensen die nu met hen werken zich terugtrekken, omdat ze anders beboet kunnen worden. Of ervoor kiezen niet met ze te gaan werken, omdat er sancties zijn opgelegd. Het maakt serverruimte huren in Nederland minder aantrekkelijk.”

De verhuur van serverruimte gaat vaak via tussenhandelaren, en de criminelen doen dat vaak op naam van anderen. Maken twee namen op een sanctielijst dan iets uit?

Koorn: „Die ‘reseller-problematiek’ is er. Maar we zien dat er een grote groep hostingbedrijven is die wel wil investeren in betere controles op wie hun klanten zijn als er duidelijke verplichtingen zijn. Die helpen we hier mee. Zo is duidelijk wat je moet doen om geen boetes te riskeren. Je hebt ook een x-percentage van wat wij de bad hosters noemen. De bulletproof hosters, die alleen op ondergrondse fora voor cybercriminelen adverteren en die verder nergens op reageren.

„En dan heb je de grijze groep die zal moeten kiezen waar ze bij wil horen. Die kijken nu de andere kant op. ‘Er staat niets op mijn servers. Ik hoef niets.’ Met name voor die grijze groep is relevant dat sinds kort de Europese digitale dienstenwet van kracht is. Daardoor hebben we ook een toezichthouder die kan handhaven op illegale content, de Autoriteit Consument en Markt.”

Wie hield daarvoor dan toezicht op de inhoud op die servers?

Koorn: „Er was geen toezichthouder. Dit is een verbetering. Het is een meersporenbeleid tegenover de criminelen, die ook inventief zijn. Via sancties, via strafrecht en een bestuurlijke aanpak van hostingbedrijven met de ACM die kan beboeten. Van bijna een vrijplaats gaan we naar wet- en regelgeving op verschillende manieren.”

Lees ook

Dit hostingbedrijf staat bovenaan de zwarte lijst van Grapperhaus

Dit hostingbedrijf staat bovenaan de zwarte lijst van Grapperhaus

Het gaat ook om de afschrikkende werking, vult Noorman aan. „Met iedere stap maak je het een tandje moeilijker. Deze groepen zijn gewoon een soort multinationals. Doordat je ze isoleert, worden de kosten voor hun bedrijfsvoering hoger. Dat maakt ze minder aantrekkelijk om zaken mee te doen.”

Is Nederland binnen de EU voortrekker op dit dossier omdat we iets goed te maken hebben?

Noorman: „Dat we een knooppunt zijn met zo’n grote sector geeft ook extra verantwoordelijkheid om ervoor te zorgen dat het veilig is.”

De diplomaat benadrukt dat Nederland sinds 2016 binnen de Europese Unie het onderwerp cyberdreiging op de agenda houdt. „We willen veel minder aantrekkelijk worden.”

Nu het is gelukt individuen te sanctioneren is de volgende ambitie om te onderzoeken of dat ook met kwaadwillende staten kan. Noorman noemt als voorbeeld de cyberaanval op het hoofdkantoor van de Organisatie voor het Verbod op Chemische Wapens OPCW in Den Haag in 2018. Daar waren mannen van de Russische militaire inlichtingendienst GROe bij betrokken. Zij zijn zelf wel gesanctioneerd, maar het land Rusland niet in verband met deze aanval.

Heeft het zin te proberen Poetin aan te pakken?

Noorman wijst erop dat binnen de VN is afgesproken dat je moet zorgen dat jouw territorium niet wordt gebruikt voor cybercrime. „Dat is ook door Rusland ondertekend. Elkaar daar vervolgens op aanspreken is ook een diplomatiek signaal. Door elkaar aan te spreken laat je andere landen waar dit ook relevant voor is zien dat bepaald gedrag niet aanvaardbaar is.”