Met gijzelsoftware, gijzelhack of ransomware wordt bedoeld dat criminelen andermans computers blokkeren of bestanden versleutelen. Vaak moet een bedrag in virtuele valuta, zoals bitcoins, betaald worden om de computer of bestanden weer terug te krijgen. Uit onderzoek blijkt dat in veel gevallen geen aangifte gedaan wordt bij de politie. Dit kan te maken hebben met schaamte, angst voor de criminelen of angst voor reputatieschade. Juist door de lage aangiftebereidheid en de ernst van de gepleegde feiten is het voor de opsporingsdiensten van groot belang om concrete aanknopingspunten aangeleverd te krijgen om onderzoek naar te doen. Hierin kunnen meldingsplichtige instellingen en de FIU-Nederland een cruciale rol spelen.

Een recent voorbeeld hiervan is een melding bij de FIU door een crypto-exchange. De melding bestaat eruit dat bitcoins ter waarde van enkele tonnen zijn overgemaakt naar het crypto-adres van een onderneming. Deze onderneming heeft de bitcoins gebruikt voor betaling als gevolg van een cryptolocker. Een cryptolocker is ransomware (of cryptoware) die aan lokale bestanden én bestanden op aangesloten netwerkschijven een encryptie toevoegt. De versleuteling die de encryptie ongedaan kan maken is in handen van hackers. De onderneming had onvoldoende back-ups en voelde zich genoodzaakt om tot betaling over te gaan om weer toegang tot haar eigen bestanden te krijgen. De FIU-Nederland heeft deze transactie onderzocht en verdacht verklaard. Het dossier is vervolgens overgedragen aan de FIOD. Omdat het slachtoffer hiervan geen aangifte heeft gedaan was deze informatie zonder de meldketen nooit bij de relevante opsporingsdiensten terechtgekomen.

Kwalitatief goed gemelde transacties en een optimaal functionerende meldketen, zoals in het hierboven beschreven voorbeeld, zijn helaas niet de standaard. Wat vaker voorkomt zijn meldingen van een ransomware-betaling waarbij de onderzoeksresultaten door de meldingsplichtige instelling niet of beperkt worden gedeeld met de FIU-Nederland. Het gevolg hiervan is dat onze financieel onderzoekers over onvoldoende data beschikken om te bepalen tot welke ransomware-familie de aanval behoort. Voor de opsporingsautoriteiten zijn juist de specifieke kenmerken van de ransomware-familie van groot belang, omdat zij gericht onderzoek doen naar specifieke ransomware-families. Als er geen aangifte wordt gedaan door het slachtoffer en de meldingsplichtige instelling deze informatie ook niet meegeeft aan de FIU-Nederland, is het voor een opsporingsteam nauwelijks te achterhalen tot welke familie een aanval behoort. Hierdoor is de kans vele malen kleiner dat de verdachte transactie wordt opgevolgd door een opsporingsteam.

Een van de oorzaken dat meldingsplichtige instellingen hun onderzoeksresultaten vaak maar summier met de FIU-Nederland delen, is omdat door het slachtoffer vaak een onderhandelaar wordt ingeschakeld. Deze onderhandelaars (bedrijven in ICT-beveiliging) voeren namens de slachtoffers de onderhandelingen met de verdachten en zorgen voor de betaling. Zij beschikken derhalve over zeer relevante data voor de meldketen. Zij vallen echter niet onder de verplichtingen uit de Wwft en delen de informatie maar beperkt met de meldingsplichtige instellingen. Een andere belangrijke reden waarom veel transacties voor de FIU-Nederland lastig zijn om te onderzoeken is dat meldingsplichtige instellingen vaak slechts account-gegevens aanleveren en niet de specifieke kenmerken om de ransomware-familie vast te stellen. Hierdoor ontbreekt cruciale informatie waardoor de melding van de ongebruikelijke transactie feitelijk geen waarde heeft voor de opsporing.