Op 14 juni 2024 wordt Steens & Partners Accountants en Adviseurs getroffen door een ransomware-aanval. Er wordt een gespecialiseerd cybersecuritybedrijf ingeschakeld, dat concludeert dat er geen aanwijzingen zijn dat gegevens van het accountantskantoor openbaar zijn geworden of publiek beschikbaar zijn gesteld.
Wel maakt Steens & Partners Holding – niet het accountantskantoor zelf – uiteindelijk 200.000 dollar in bitcoins aan de cybercriminelen over. Die holding is van RA Björn Lomeijer, die niet meer rechtstreeks verbonden is aan het accountantskantoor. Hij verhuurt het Rotterdamse bedrijfspand waar Steens & Partners is gevestigd en vindt het losgeld wel de moeite waard om te betalen – in eerste instantie eisten de hackers overigens een miljoen. Het kantoor heeft volgens de accountant onder meer een van Nederlands grootste bedrijven in de boeken. Ook andere accountantskantoren die klant zijn bij de IT-beheerder zijn getroffen door de hack, maar onbekend is welke dat zijn.
Dat Lomeijer uiteindelijk een kleinere som betaalde is mede te danken aan het cybersecuritybedrijf, Responders genaamd, dat onderhandelde. Maar door de sanctiewetgeving moest een ander bedrijf zorgen voor het overmaken van het losgeld. De rekening van de dienstverlening bedroeg ruim € 90.000.
Dat vond de RA te veel voor de geleverde diensten. De kwestie komt voor de rechter, die moet beoordelen of Responders inderdaad een te hoge factuur stuurde.
Lees hier het verslag van de zitting bij de rechtbank
‘Overeenkomst ontbonden’
De overeenkomst omvatte het onderhandelen met de cybercriminelen, het bereiken van een akkoord over het losgeld, het downloaden van gegevens, het opslaan ervan op een usb-schijf en het voorbereiden van de betaling in cryptomunten. Het uurtarief bedroeg € 250.
Steens & Partners Holding wil alleen betalen voor het downloaden en op usb-schijven zetten van gegevens. Want een ander bedrijf, Northwave Cyber Security, was volgens hem met hackersgroep Lockbit al de som van twee ton overeengekomen. En voor dat bedrag is betaald. Uiteindelijk heeft Responders de factuur voor het betalen van het losgeld ook terugbetaald, waarmee de overeenkomst wat Lomeijer betreft buitengerechtelijk is ontbonden.
Overeenkomst was meer dan alleen betaling
De rechter stelt vast dat is overeengekomen dat Responders 200.000 dollar bitcoins aan Lockbit zou betalen én dat Responders met Lockbit zou onderhandelen en een losgeldsom zou vaststellen en de gegevens zou downloaden en op USB-schijven zou zetten.
Er is namelijk schriftelijk vastgelegd dat een afspraak met de hackers zou worden gemaakt om te stoppen met hun activiteiten na het bereiken van een regeling, het doen van een betaling als een regeling is bereikt en een bewijs van het wissen van gegevens. “Uit deze punten blijkt dus dat de overeenkomst meer inhoudt dan alleen het doen van een betaling.”
In de appgroep die rondom de zaak is aangemaakt is gemeld dat partijen met elkaar afspreken dat Responders contact opneemt met Lockbit en wordt ook gecommuniceerd over de voor te stellen bedragen. “Ook uit dit contact komt dus niet naar voren dat de bedoeling van de overeenkomst enkel het betalen van $ 200.000 in bitcoins aan Lockbit was.”
Aan inspanningsverplichting voldaan
De factuur van € 194.293 die Responders heeft gestuurd en uiteindelijk heeft terugbetaald, had betrekking op slechts een deel van de overeenkomst: de aankoop van bitcoins, een transactiesom van 5% en een sanctierapport.
Responders schakelde het bedrijf Nerium in om de betaling rond te krijgen en is daarmee niet tekort geschoten in het naleven van de overeenkomst, aldus de rechter. “In de overeenkomst staat namelijk onder het kopje ‘Deliverables’ dat Responders een inspanningsverplichting heeft voor de te leveren prestaties, waaronder de betaling. Tussen partijen is niet in geschil dat Responders de betaling aan Lockbit zelf niet kon voldoen omdat de door haar gebruikte crypto-exchange hiervan afzag. Responders heeft vervolgens binnen een uur een andere partij (Nerium) gevonden om de betaling te kunnen uitvoeren.” Nadat dat gebeurd was, is Responders doorgegaan met het veiligstellen, downloaden en op schijf zetten van gegevens. “Responders heeft dus aan haar inspanningsverplichting voor de te leveren prestatie voldaan.” En daarmee is met het terugbetalen van de eerste factuur de overeenkomst niet ontbonden.
Factuur niet te hoog
Responders heeft € 92.300,11 gerekend voor 201 uur aan werk en twee usb-schijven. De rechter vindt niet dat er onnodig werk is verricht door de onderhandeling met Lockbit weer te openen. Dat de uren niet genoeg zijn gespecificeerd en dat er een vol tarief is gerekend voor een assistent, is niet aan de orde: “In de overeenkomst is door partijen een prijs per uur overeengekomen en is daarnaast afgesproken dat alle diensten zonder restrictie van dag en tijd worden uitgevoerd. Over de wijze van uren bijhouden is in de overeenkomst niets afgesproken. Ook is niets overeengekomen over een afwijkend tarief voor een assistent, zodat de stelling van [gedaagde] hierover hierom al niet slaagt.” Bovendien heeft Responders de accountant op de hoogte gehouden over de werkzaamheden in de appgroep.
Appgroep bewijst werk
De rechtbank controleert tot slot aan de hand van de chat of de door Responders gefactureerde uren voldoende onderbouwd zijn. Het declareren van (nachtelijke) uren waarin wordt gewacht op een reactie van de hackers vindt de rechter voldoende onderbouwd vanwege onder meer berichten die de hele nacht en ochtend in de chat worden gestuurd. Ook voor andere in rekening gebrachte dagen vindt de rechter voldoende onderbouwing in regelmatig (en soms voortdurend) contact via de appgroep. Inclusief rente en proceskosten moet de holding van Lomeijer daarom nog ruim een ton overmaken aan Responders.
Rechtbank Amsterdam, 18 maart 2026
Geef een reactie