Nieuwe wet probeert openbaarmaking van ransomware-betalingen te forceren

Deze week werd een nieuw Amerikaans wetsontwerp ingediend, als een tweekamerstelsel, voorgesteld door senator Elizabeth Warren en vertegenwoordiger Deborah Ross. Het wetsvoorstel heet de Ransom Disclosure Act en heeft voor wat opschudding gezorgd.

Het wetsvoorstel heeft tot doel het vrijgeven van informatie over een deel van ransomwareslachtoffers verplicht, gereguleerd en veel directer te maken. Volgens de voorgestelde wijzigingen moeten ransomware-slachtoffers elke betaling die is gedaan aan de dreigingsactor die bij de aanval betrokken is, bekendmaken, het bedrag dat de hackers hebben gevraagd en de specifieke valuta die wordt gebruikt bij het omwisselen van losgeld.

Het wetsvoorstel wordt gepresenteerd als een broodnodige tool om de reikwijdte en details van ransomware-aanvallen te begrijpen, maar het wordt door sommigen beschouwd als een stap om ransomware-slachtoffers in een nog krappere positie te plaatsen en hen meer zorgen te maken.

Hoewel het vrijgeven van informatie een goede zaak lijkt, en hoewel het wetsvoorstel niet voorziet in het opnemen van bedrijfsgegevens uit de rapporten die door het Department of Homeland Security moeten worden opgesteld, zijn de ingediende gegevens volgens analisten nog steeds niet goed beschermd tegen openbaarmakingsverzoeken gemaakt onder de Freedom of Information Act, evenals aanvullende vormen van mogelijke openbaarmaking.

De situatie wordt verder gecompliceerd door het feit dat bijna alle ransomware-bedreigingsactoren meerdere locaties voor afpersing hebben gebruikt. Ransomware-bendes zouden nu vaak dreigen met het lekken van aanzienlijke hoeveelheden geëxfiltreerde gevoelige slachtofferinformatie voor het geval het slachtoffer contact opneemt met de autoriteiten. Als het wetsvoorstel wordt aangenomen, zou dit de slachtoffers van ransomware geen andere keuze laten en zou dit ongetwijfeld leiden tot aanzienlijke lekken van gevoelige informatie bij toekomstige aanvallen.

Er zou kunnen worden opgemerkt dat slachtoffers van meer voorkomende alledaagse misdrijven zoals inbraken niet wettelijk verplicht zijn om aangifte te doen bij de politie. In het verlengde van deze gedachtegang zijn sommigen van mening dat ransomware-slachtoffers die geen gegevens uit hun netwerk hebben gehaald, niet moeten worden gedwongen om de aanval ook te melden. De afgelopen maanden ging bijna elke ransomware-aanval echter gepaard met gegevensdiefstal en exfiltratie, dus dit is een mogelijkheid die in de praktijk niet erg gebruikelijk is. Ransomware is nu al een aantal jaren aan een opmars bezig, met rapporten waarin staat dat net in de loop van de wereldwijde Covid-19-pandemie die begin 2020 begon, het aantal ransomware-aanvallen met maar liefst 72 procent is gegroeid.