3min Security

Criminelen misbruiken Interpol-naam voor ransomware-aanvallen op MKB

Criminelen misbruiken Interpol-naam voor ransomware-aanvallen op MKB

Een nieuwe groep criminelen doet zich voor als Interpol-onderzoekers om kleine bedrijven met ransomware te besmetten, dat meldt Bitdefender na onderzoek. De phishingmails claimen bewijs te bevatten van verdachte bedrijfsactiviteiten en zetten ontvangers onder druk om een bestand te openen.

De campagne is actief in Europa, Azië, het Midden-Oosten en de Verenigde Staten. In de e-mails beweren de aanvallers dat Interpol’s cybercrime-afdeling een onderzoek uitvoert en dat er ‘informatie en videomateriaal’ is verzameld over de organisatie van de ontvanger. Wie op de link klikt, belandt bij een bestand dat wordt gehost op Proton Drive.

Dat bestand lijkt een video te bevatten, maar in werkelijkheid gaat het om een uitvoerbaar bestand met ransomware. Zodra het wordt uitgevoerd, versleutelt de malware bestanden op beschikbare schijven en verschijnt er een losgeldbericht. Opvallend detail is dat het benodigde wachtwoord om het archief te openen gewoon in de mail zelf staat. Dat moet je als ontvanger al triggeren, want dat is uiterst vreemd.

Geen gevestigde ransomwaregroep

Volgens de onderzoekers is de ransomware zelf relatief eenvoudig. Zo bevat de code hardcoded waarden, waaronder het wachtwoord dat wordt gebruikt bij versleuteling en ontsleuteling. Ook ontbreken veel functies die je bij grote ransomware-operaties ziet.

Wat verder afwijkt, is de manier waarop slachtoffers contact moeten leggen. In plaats van een speciaal onderhandelingsportaal op het dark web krijgen zij een Tox-chat-ID. Dat wijst er volgens Bitdefender op dat het waarschijnlijk gaat om een zelfgebouwde operatie, mogelijk samengesteld uit publiek beschikbare code en tools.

Precies zo’n Tox-ID kwam eerder al ter sprake in ons gesprek met crisisexpert Inge van der Beijl van Northwave. Zij vertelde dat onderhandelingen met criminelen zich vaak afspelen via TOX-ID chats of landingspagina’s op het dark web en dat aanvallers zich steeds vaker richten op kleinere ondernemingen in plaats van alleen de grote vissen.

Waarom het MKB doelwit is

De campagne trof bedrijven in uiteenlopende sectoren, waaronder food en landbouw, juridische dienstverlening, farmacie, media, technologie en de financiële wereld. Kleine bedrijven worden vaak als makkelijker doelwit gezien dan grote ondernemingen, aldus de onderzoekers.

Veel van die bedrijven werken zonder een eigen IT- of securityteam, terwijl beperkte budgetten investeringen in geavanceerde beveiliging of training lastig maken. Dat beeld sluit aan bij bredere cijfers. Volgens recente analyses over MKB-cyberrisico’s in 2026 blijft phishing de belangrijkste ingang voor aanvallers, waarbij ze steeds vaker AI en deepfakes inzetten om berichten geloofwaardiger te maken. Een groot deel van de ransomware-aanvallen begint ook met phishing, waarvan de cyberaanval op Odido inmiddels een bekend voorbeeld is.

Advies van Bitdefender

Bitdefender roept kleine bedrijven op alle ongevraagde correspondentie te verifiëren via officiële kanalen. Bestanden die zijn beveiligd met een wachtwoord verdienen extra voorzichtigheid, zeker als het wachtwoord in de mail staat. Het tonen van bestandsextensies helpt om uitvoerbare bestanden die zich voordoen als video’s te herkennen en multifactorauthenticatie moet waar mogelijk worden ingezet.

Tot slot adviseert het bedrijf om personeel te trainen in het herkennen van frauduleuze communicatie. Legitieme opsporingsdiensten, zoals Interpol, sturen namelijk nooit ongevraagde e-mails met Proton Drive-links naar wachtwoordbeveiligde bestanden.