Cybercriminelen spelen met nieuwe aanval ‘ransomhack’ in op GDPR

Nu de General Data Protection Regulation (GDPR) een maand definitief geldt, beginnen de verhalen over oplichting rondom de regulering met regelmaat op te duiken. Zo is er een nieuw soort cyberaanval dat ‘ransomhack’ genoemd wordt, ontdekte het Bulgaarse securitybedrijf Tad Group.

De aanvalsvorm verschilt van traditionele ransomware door de bemachtigde data niet vaste te houden, maar juist de gestolen gegevens openbaar te maken. De kwaadwillenden eisen een geldbedrag om zo’n lek te voorkomen. Met de aanval richten de hackers zich dus op meerdere onderdelen van de GDPR, organisaties dienen gegevens namelijk naar behoren te beveiligen om een lek te voorkomen.

Vooralsnog lijkt ransomhack zich te richten op middelgrote en grote bedrijven uit Bulgarije. De ransom die ranomhack van hen eist loopt uiteen. Het minimum ligt daarbij op 1.000 euro, terwijl het maximum op 20.000 euro uitkomt. Slachtoffers zouden zo’n betaling aantrekkelijker vinden dan de eventuele gevolgschade van de GDPR. Een boete van de regulering kan oplopen tot vier procent van de wereldwijde omzet met een maximum van 20 miljoen euro.

Toch brengt het daadwerkelijk betalen nadelen met zich mee. Waarschijnlijk komen de kwaadwillenden terug om meer geld te eisen, iets wat bij ransomware voorkomt. Binnen de GDPR is echter bepaald dat bedrijven die slachtoffer zijn van een cybercrime dat binnen 72 uur moeten melden bij de toezichthouder. Als dat niet gebeurt, dan kan de boete verder oplopen indien de ransomhack ontdekt wordt.

Meer activiteiten

Hoewel deze campagne zich op Bulgarije richt, zijn er ook al kwade activiteiten rondom GDPR in Nederland gaande. Eind vorige week waarschuwde de Autoriteit Persoonsgegevens nog voor oplichting. Organisaties worden gebeld door een oplichter die zich voordoet als iemand die namens de AP belt en een geldboete eist, iets wat niet het geval is.