Losgeld betaald en toch is de kous nog niet af. De criminelen van cyberbende Nova eisen dat Clinical Diagnostics uit Rijswijk elf bitcoins overmaken, ter waarde van zo’n 1,1 miljoen euro. Komt het laboratorium niet over de brug, dan dreigen de criminelen voor datzelfde bedrag de gegevens van bijna een half miljoen Nederlandse vrouwen aan andere kwaadwillende partijen te verkopen.

Vorige week bracht het Nationaal Bevolkingsonderzoek naar buiten dat hackers bij een datalek bij een extern lab, Clinical Diagnostics, gegevens –zoals namen en adressen, en in sommige gevallen testuitslagen van uitstrijkjes en zelftesten– van bijna een half miljoen Nederlandse vrouwen hebben buitgemaakt.

Het gaat om gegevens van vrouwen die tussen 2022 en dit jaar hebben meegedaan aan het bevolkingsonderzoek naar baarmoederhalskanker. Van ruim 50.000 vrouwen hebben de criminelen de gegevens al openbaar gemaakt op hun darkwebpagina.

Vorige week bevestigde Nova tegenover RTL Nieuws dat Clinical Diagnostics de eerste eis betaald zou hebben. Om hoeveel geld het daarbij ging, is niet bekend. Maar volgens Nova zou het Rijswijkse lab zich niet aan bepaalde afspraken hebben gehouden, waardoor de criminelen nu met een tweede betalingseis komen.

Geen bluf

„Deze groep is redelijk nieuw en heeft een link met Oost-Europa, waarschijnlijk Rusland”, zegt Rolf van Wegberg, universitair hoofddocent bij de Technische Universiteit Delft en gespecialiseerd op het gebied van cybercriminaliteit. „Deze criminelen maken gebruik van gijzelsoftware. De manier waarop zij dat doen lijkt op die van andere grote, bekendere groepen zoals LockBit. Het is redelijk hetzelfde draaiboek.”

De crimineel die uit dat boek werkt, richt zijn pijlen op bedrijven en organisaties die een prikkel hebben om te betalen, legt Van Wegberg uit. „Aan de ene kant zijn dat vaak bedrijven of organisaties die niet stil kunnen staan. Denk bijvoorbeeld aan ziekenhuizen of universiteiten, waarvan belangrijke systemen gegijzeld worden. En aan de andere kant gaat het om gegevens die heel gevoelig zijn, zoals nu bij Clinical Diagnostics.”

De criminelen van Nova zetten begin juni een deel van de data –de gegevens van ruim 50.000 vrouwen– al online. „Op die manier voeren criminelen de druk verder op, omdat je ervan uit kan gaan dat ze niet bluffen”, zegt Van Wegberg. „Dat ze er vervolgens ook nog een aftelklok bij zetten, past verder in het rijtje.”

Lees ook

Expert na hack medische gegevens van half miljoen vrouwen: Je kunt grootschalige roof voorkomen

Reputatieschade

Wat minder vaak voorkomt, is dat een cyberbende nog een keer om losgeld vraagt als een slachtoffer al betaald heeft, weet Van Wegberg uit onderzoek. Samen met collega’s volgde hij maandenlang en nauwgezet criminele websites, zoals die waar Nova op communiceert.

„Criminelen maken daar hun slachtoffer bekend en komen dan met een eis. Als er betaald is, halen ze die weer offline. Het komt bijzonder weinig voor dat een groep voor de tweede keer terugkomt”, zegt Van Wegberg. „Het klinkt een beetje gek, maar een crimineel wil eerlijk zijn. Als je een tweede keer om losgeld vraagt, doet dat wat met je reputatie. Als een eerste betaling al niet genoeg is, kan een bedrijf zich afvragen hoeveel zin het heeft om losgeld te betalen.”

Aan welke criminele eisen Clinical Diagnostics niet heeft voldaan, blijft onduidelijk. Wel kan Van Wegberg zich voorstellen in wat voor spagaat een bedrijf als Clinical Diagnostics terecht kan komen. „Zij zijn wettelijk niet verplicht om aangifte te doen. Maar het kan wel zijn dat een verzekeraar daarom vraagt, voordat die de schade vergoedt. Maar dat is lastig als de criminelen tegelijkertijd eisen dat je niet naar de politie stapt.”

Ook Rutger Leukfeldt, bijzonder hoogleraar cybercriminaliteit aan de Universiteit Leiden en lector aan De Haagse Hogeschool, vindt het „opmerkelijk” dat een criminele hackersgroep voor een tweede keer om losgeld vraagt. „Als boef wil je ervoor zorgen dat het slachtoffer ervan uitgaat dat de problemen weg zijn na betaling. Maar door dit soort acties wordt die aanname onzekerder. De volgende keer denkt een bedrijf wel drie keer na.”