Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Overheden gaan strijd tegen ransomware aan

Phishingberichten belangrijkste initiële aanvalsvector

Vorm van een schedel in een rode digitale omgeving
  • dinsdag 30 mei 2023

Ransomware is nu de grootste bedreiging van onze digitale veiligheid. De impact van die aanvallen is inmiddels zo groot dat overheden en veiligheidsdiensten ertegen in het geweer komen. Dat zien we terug in nieuwe wetgeving, een gezamenlijke aanpak bij de opsporing en vervolging van daders, en het frustreren van het uitgeven van betaald losgeld.

Phishing heeft ondertussen RDP van de eerste plek verdrongen als belangrijkste initiële aanvalsvector om organisaties met ransomware te besmetten. Dat betekent ook dat er nog een hoop te winnen valt door de toepassing van moderne internetstandaarden voor de beveiliging van mail.

Miljarden schade

In ENISA's 'Threat Landscape 2022' rapport lezen we dat ransomware nu de grootste bedreiging van onze digitale veiligheid is. Er wordt meer dan 10 Tbyte per maand gestolen en naar schatting 60 procent van de slachtoffers betaalt losgeld. Alles bij elkaar gaat het om miljarden [1], maar de schade is in het algemeen een veelvoud van het losgeldbedrag [1]. Wel lijkt de bereidheid om losgeld te betalen te dalen [1, 2].

Merk op dat van de acht soorten bedreigingen die ENISA in zijn rapport onderscheidt (waar ransomware er een van is) ook 'bedreigingen van data', 'bedreigingen van de beschikbaarheid' en 'supply chain'-aanvallen grote overlap met ransomware hebben.

Phishing eerste aanvalsvector

Phishingberichten zijn volgens ENISA inmiddels de belangrijkste initiële aanvalsvector om organisaties met ransomware te besmetten [1]. Voorheen was dat het Remote Desktop Protocol (RDP), maar deze is (in ieder geval in relatieve zin) op zijn retour. De reden dat juist deze 2 populaire aanvalsvectoren zijn, is dat ze goedkoop zijn. Tegelijkertijd signaleert ENISA wel een trend naar geavanceerder aanvallen op basis van spearphishing.

Tijdreeks van ransomware-incidenten van mei 2021 tot juni 2022. Met de rode staven wordt het aantal ransomware-incidenten weergegeven. De blauwe staven tonen de cumulatieve hoeveelheid gestolen gegevens.

Verdere evolutie van ransomware

Bij ransomware-aanvallen gaat het allang niet meer alleen om het versleutelen van data en de recente back-ups (gijzeling ten aanzien van de beschikbaarheid). De data worden gestolen (data-exfiltratie) en online gepubliceerd of doorverkocht ('lock-and-leak') als het slachtoffer niet betaalt (afpersing ten aanzien van de vertrouwelijkheid). Betalingen vinden bovendien steeds vaker plaats in de Monero cryptocurrency in plaats van Bitcoin, omdat Monero-transacties niet te achterhalen zijn.

Klanten van een slachtoffer worden steeds vaker direct of via de media ingelicht over de diefstal van voor hun relevante data. In het beste geval worden zij als extra hefboom ingezet om de gegijzelde organisatie onder druk te zetten; in het slechtste geval worden ook zij zelf nog eens afgeperst (in een 'supply chain'-aanval). Om de druk maximaal op te voeren, worden ransomware-aanvallen tegenwoordig ook gecombineerd met een DDoS-aanval (RDoS) in een zogenaamde triple/quadruple ransomware-aanval.

Tegelijkertijd ziet ENISA ook een tegengestelde trend (feitelijk een verschuiving van 'lock' naar 'leak'): de data worden steeds vaker niet meer versleuteld maar alleen geëxfiltreerd en vervolgens gebruikt om het slachtoffer af te persen. Aanvallers hoeven daarbij het complexe en foutgevoelige versleutelen/ontsleutelen niet meer uit te voeren. En slachtoffers kunnen zichzelf niet meer redden (dat wil zeggen: hun infrastructuur herstellen) met een bewaard gebleven back-up.

Statelijke actoren

Overheden zijn zich het afgelopen jaar actief gaan bemoeien met de strijd tegen ransomware, niet alleen vanwege de ernst van de aanvallen maar ook omdat kritieke infrastructuren en zij zelf steeds vaker onder vuur komen te liggen. Hun diensten worden platgelegd, belangrijke dossiers worden versleuteld [1, 2], en uiterst gevoelige gegevens van burgers worden gestolen en gepubliceerd [1], inclusief identiteitsbewijzen [1, 2, 3].

Volgens ENISA is de Russisch-Oekraïense oorlog een belangrijke oorzaak van meer betrokkenheid van statelijke actoren [1] en hacktivisten, en aanvallen op (kritieke) publieke infrastructuren. Een ander voorbeeld van een statelijke actor is Noord-Korea, dat onder andere ransomware inzet [1, 2] om cryptocurrency’s en vreemde valuta binnen te halen [Lazarus Group, WannaCry]. Geïnteresseerden kunnen we de BBC podcast-serie 'The Lazarus Heist' aanraden, waarvan de uitzending van het tweede seizoen onlangs is begonnen.

Vanwege de nog steeds toenemende geopolitieke spanningen verwacht ENISA dat de trend naar meer statelijke betrokkenheid zal doorzetten. Geopolitieke spanningen zijn volgens hen ook het belangrijkste motief achter het sterk toegenomen aantal DDoS-aanvallen, de grootste bedreiging na ransomware.

Een andere reden voor overheidsingrijpen is de grote maatschappelijke impact die ransomware-aanvallen hebben. Een kwart van alle door ENISA geanalyseerde aanvallen was gericht op de publieke sector, en voor alle 5 gedefinieerde soorten impact was die bij overheidsorganisaties telkens veruit het grootst.

'Zero days'

Een consequentie van de grotere betrokkenheid van statelijke actoren is de toegenomen inzet van 'zero day'-kwetsbaarheden. Dit omdat kwetsbaarheden in sommige landen aan de overheid moeten worden gemeld, maar vooral omdat het inkopen of opsporen van 'zero days' om diepe zakken vraagt. Opensourcesoftware (libraries) zijn dan een voor de hand liggende ingang voor 'supply chain'-aanvallen waarbij kwaadwillenden makkelijk op zoek kunnen naar een (zero-day) kwetsbaarheid, of kunnen proberen om deze zelf in de code te injecteren.

Bedreiging nationale veiligheid

Inmiddels hebben diverse overheden ransomware gekwalificeerd als een bedreiging voor de nationale veiligheid. Dat heeft geleid tot allerlei anti-ransomware-initiatieven vanuit de overheid, waaronder de ontwikkeling van wetgeving. Voorbeeld is het voorstel van de Amerikaanse Ransom Disclosure Act, die slachtoffers verplicht om de betaling van losgeld aan de overheid (CISA) [Stop Ransomware] te melden. Actueler is de Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), die beheerders van kritieke infrastructuur (straks) verplicht om incidenten te melden. Volgens de Britse NCSC is melding bij en samenwerking met de autoriteiten cruciaal om ransomware terug te dringen.

Ondertussen overweegt Australië om het betalen van losgeld helemaal te verbieden, iets dat in enkele Amerikaanse staten al in de wet verankerd is. Vanuit het Counter Ransomware Initiative is er het wat genuanceerder idee om het betalen van losgeld te verbieden met uitzondering van specifieke nijpende gevallen in de publieke sector.

Overheidsingrijpen

Naast het optuigen van wetgeving zien we ook steeds meer internationale initiatieven om daders van ransomware-aanvallen te achterhalen en te vervolgen [1]. Het afgelopen najaar kwamen meer dan 30 landen, waaronder ook Nederland, bij elkaar in Washington voor het opzetten van een gezamenlijke, internationale aanpak van ransomware. Doel van dit tweede Counter-Ransomware Initiative was om te komen tot normen voor een multifactorele aanpak [1, 2].

Naast internationale samenwerking bij de opsporing en vervolging van daders moet het voor hen ook moeilijker worden om hun criminele winsten uit te geven. Onderdeel daarvan is het uit de lucht halen van crypto-tumblers. Zo werden de afgelopen tijd ChipMixer en Tornado Cash aangepakt (ongeacht wat je daarvan vindt [1, 2, 3]).

Belangrijkste uitkomst van deze 'Counter-Ransomware Initiative'-bijeenkomst is de oprichting van de International Counter Ransomware Task Force.

Kat en muis

Onderdeel van de opsporingsinspanningen is het uitloven van miljoenen aan tipgeld en beloningen. [1, 2]. Inmiddels worden daders van ransomware-aanvallen regelmatig veroordeeld tot lange gevangenisstraffen [1, 2].

FBI-afbeelding die een beloning van maximaal 10 miljoen Amerikaanse dollar laat zien voor de tip die leidt tot de arrestatie van Mikhail Pavlovich Matveev.

In reactie op deze hardere aanpak blijken hackersgroepen zichzelf steeds sneller te ontbinden, om vervolgens (eventueel in een veranderde samenstelling) onder een andere naam weer terug te keren. Dat maakt vervolging moeilijk.

Geopolitieke implicaties

Een andere reactie op de toegenomen betrokkenheid van statelijke actoren en de grote maatschappelijke impact van ransomware-aanvallen is dat ook militaire en veiligheidsdiensten werken aan de opsporing van daders. De grootste aanvallen hebben zelfs geopolitieke implicaties, goed voor persoonlijke aandacht van de Amerikaanse president.

Voorbeeld van dat laatste is de REvil-groep die het met een 'supply chain'-aanval op Kaseya zo bont maakte dat een aantal leden anderhalf jaar geleden door de Russische FSB werd opgepakt. Een andere ernstige aanval op de Amerikaanse infrastructuur betrof Colonial Pipeline. Daar hebben de aanvallers (DarkSide, een groep gelieerd aan REvil) zichzelf uiteindelijk ontbonden. In het eerst geval nam de Amerikaanse president contact op met zijn Russische collega. In het tweede geval dreigde hij om zelf sancties tegen de groep in te stellen.

Om een idee van de impact van dergelijke aanvallen te geven: ransomware-aanvallen leiden er regelmatig toe dat een overheid de noodtoestand moet afkondigen. Zo kondigde de VS een regionale noodtoestand af na de aanval op Colonial Pipeline. De Amerikaanse stad Oakland [1] en de staat Louisiana [1] deden na een ransomware-aanval hetzelfde, net als Costa Rica [1, 2, 3].

Militaire en veiligheidsdiensten

De verwachting van ENISA is dan ook dat de verdediging, tegenaanvallen, informatieverzameling, het terughalen van losgeld en de opsporing van daders uiteindelijk de taak van militaire en veiligheidsdiensten zal worden, tezamen met initiatieven om ransomware voor daders minder lucratief te maken.

De Nederlandse overheid kondigde twee jaar geleden al aan dat zij haar militaire en veiligheidsdiensten in zou zetten als onze nationale veiligheid door ransomware-aanvallen in het geding zou komen.

Google meldde onlangs dat het aantal ransomware-aanvallen op organisaties in de VS en NATO-landen de afgelopen tijd niet is toegenomen. Dat heeft volgens hen te maken met deze interventies op het allerhoogste niveau en de afnemende bereidheid om losgeld te betalen.

NIS2

NIS2 en domeinnamen: nog veel onzeker

Op Europees niveau werd eind vorig jaar de Network and Information Systems 2 Directive (NIS2) gepubliceerd [1]. Deze richtlijn schrijft beschermingsmaatregelen en regels voor die aanbieders van essentiële diensten of kritieke infrastructuur in acht moeten nemen [1].

De belangrijkste verandering ten opzichte van NIS(1) is de uitbreiding van de vitale aanbieders (sectoren) waarvoor die geldt (opgesomd in bijlagen I en II van de richtlijn). De sectoren genoemd in Bijlage II zijn niet gekwalificeerd als 'essentieel' maar als 'belangrijk', wat betekent dat zij niet aan de uitgebreide maatregelen hoeven voldoen maar incidenten wel moeten melden. In Bijlage I kun je zien dat TLD-registrars (waaronder dus ook SIDN) en DNS-diensten onder de vitale digitale infrastructuur vallen.

Nederlandse transpositie NIS2

De Nederlandse implementatie ('transpositie') van de NIS2-richtlijn moet later dit jaar zijn afgerond. Eind volgend jaar zal deze dan in werking treden als opvolger van de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) [1].

De hierachter liggende 'Nederlandse Cybersecuritystrategie 2022-2028' werd afgelopen najaar al aangekondigd. En die strategie is dan weer gebaseerd op de bevindingen in het 'Cybersecurity Beeld Nederland 2022' (CSBN). Aanspreekpunt voor organisaties is het Nationaal Cyber Security Centrum (NCSC).

De industrie

Het grootste slachtoffer van financieel gedreven ransomware-aanvallen is volgens ENISA de industrie, simpelweg omdat ondernemingen het meest genegen zijn om losgeld te betalen als hun processen dagen of zelfs weken platliggen. Bedrijven wordt aangeraden om zich voor te bereiden op incidenten op hun operationele infrastructuur, en om hun netwerken beter te beveiligen en te compartimenteren. Dat betekent dat zij veel meer aandacht zullen moeten besteden aan hun informatiebeveiliging.

Grote ondernemingen kunnen deze maatregelen naar verwachting wel betalen en de daarvoor benodigde expertise wel opbouwen of inhuren. Volgens De Nederlandse Bank (DNB) is de Europese markt voor verzekeringen tegen digitale aanvallen nog slecht ontwikkeld, met name voor andere dan multinationale bedrijven. Zij verwacht dat de beveiliging over de hele breedte zal toenemen naarmate deze markt meer volwassen wordt en verzekeraars eisen gaan stellen aan de infrastructuur en bijbehorende diensten zullen aanbieden [1].

Kleinere organisaties

Voor kleinere organisaties is het organiseren van een hoogwaardige beveiliging tegen ransomware een stuk moeilijker. De Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG) kreeg vorig jaar van haar leden 300 verzoeken om hulp bij een beveiligingsincident. Dat is niet alleen een verdubbeling ten opzichte van het jaar daarvoor; de IBD meldt ook dat gemeentelijke processen steeds vaker langdurig verstoord zijn als gevolg van ransomware [1]. (Cyber)burgemeesters vragen daarom om meer aandacht en middelen om deze problematiek aan te pakken.

Inmiddels licht er een convenant tussen de VNG en de centrale overheid (een van de punten uit het Actieplan bij de eerdergenoemde 'Nederlandse Cybersecuritystrategie 2022-2028'). In het convenant worden 3 belangrijke aandachtspunten benoemd:

  • de identificatie van digitale beveiligingsaangelegenheden en de verdeling van verantwoordelijkheden;

  • kennis van beveiligingszaken voor inwoners, organisaties en de gemeenten zelf;

  • de structurele financiering van lokale informatiebeveiliging.

Midden- en kleinbedrijf

Het mkb zal het veelal zelf moeten rooien, met beperkte steun van de overheid. In de kabinetsstrategie 'Digitale Economie' zet de Minister van Economische Zaken 5 ambities neer voor de verdere digitalisering van de Nederlandse economie. Belangrijk onderdeel daarvan is het verhogen van de digitalisering in het mkb (van 75 naar 95 procent), met bijbehorende aandacht voor de daarvoor benodigde beveiliging.

De overheid gaat het bedrijfsleven daarbij helpen door individuele organisaties actief te informeren over kwetsbaarheden. Voorbeeld daarvan is de notificatiedienst van het Digital Trust Center (DTC), die individuele bedrijven proactief benadert als ernstige kwetsbaarheden in hun systemen of concrete bedreigingen worden gemeld. De Amerikaanse CISA doet dat specifiek voor ransomwarerisico's via hun Ransomware Vulnerability Warning Pilot (RVWP) [1].

Eerder stelde de Rijksdienst voor Ondernemend Nederland (RVO) een subsidie van maximaal 2500 euro beschikbaar voor de digitalisering van midden- en kleinbedrijven. Die kon ook worden ingezet voor de beveiliging van bijbehorende infrastructuur. Een 'telefonische cyberhulplijn' voor het mkb ziet de Minister van Economische Zaken niet zitten, net zoals een fonds van waaruit losgeld betaald zou kunnen worden. Voor hulp bij incidenten en verzekeringen kunnen zij volgens haar in de markt terecht.

Online aangifte?

In hun 'Internet Crime Report 2022' zegt de FBI in 2022 ransomware-meldingen te hebben binnengekregen van 870 organisaties, een sterke stijging ten opzichte van het jaar daarvoor.

Staafdiagram die inzicht geeft in het aantal keer dat een bepaalde infrastructurele sector slachtoffer werd van ransomware

De Nederlandse politie, die de afgelopen 3,5 jaar 350 meldingen van ransomware binnenkreeg, zegt (al jaren) te werken aan de mogelijkheid om online aangifte te doen van een ransomware-aanval. Ondertussen signaleert de Onderzoeksraad voor Veiligheid (OVV) een groeiende kloof tussen digitale bedreigingen en de weerbaarheid daartegen. Specifiek voor kleine bedrijven en zzp'ers kwam het DTC onlangs tot een vergelijkbare conclusie: "de ontwikkeling van de weerbaarheid van deze bedrijven blijkt achter te lopen bij de snelheid waarmee cybercriminelen nieuwe aanvalsmethoden ontwikkelen".

Beveiliging internetinfrastructuur

Hoewel je mag verwachten dat internetproviders hun zaakjes beter hebben beveiligd dan de gemiddelde netwerkbeheerder, ontkomen ook zij vanzelfsprekend niet aan ransomware-aanvallen op hun infrastructuur. Meest actuele voorbeeld is de Zuid-Hollandse accessprovider SKP, die op moment van schrijven al een week bezig is om al zijn diensten weer in de lucht te brengen.

Vanuit SIDN stimuleren we al jaren de toepassing van moderne internetbeveiligingsstandaarden. Nu phishing de eerste plek als aanvalsvector voor ransomware heeft ingenomen, lijkt het ons goed om de standaarden voor de beveiliging van mailinfrastructuur hier nog eens onder de aandacht te brengen: DANE voor mail beveiligt het mailtransport (dat wil zeggen: het TLS-certificaat van de ontvangende Message Transfer Agent, MTA). DKIM, SPF en DMARC gaan phishing, spam, virussen en andere malware tegen door de afzender (een mailadres), de verzender (een mailsysteem) en de inhoud van een mailbericht te beveiligen. Voor de configuratie van al deze beveiligingsstandaarden hebben we uitgebreide hands-on artikelen gepubliceerd, zowel voor Exim als voor Postfix. Doe er je voordeel mee!