De Italiaanse museumwereld kwam recent in het middelpunt van de belangstelling te staan na een gerichte cyberaanval op de Gallerie degli Uffizi. Volgens publieke bronnen vond de inbraak plaats tussen eind januari en begin februari, waarna aan het begin van februari een dreiging en een losgeldvordering terechtkwam bij directieleden.
De aanvallers eisten 300.000 euro te betalen in cryptovaluta binnen een ultimatum van 72 uur. In plaats van toe te geven aan het verzoek, koos het museum samen met veiligheidsinstanties voor melding bij justitie en onderzoek door gespecialiseerde teams.
De zaak werd op korte termijn opgepikt door de bevoegde autoriteiten; er werd een onderzoek gestart voor tentata estorsione en accesso abusivo ai sistemi informatici, en de administratie van de Gallerie werkte samen met technische teams van de Agenzia per la cybersicurezza en de Polizia postale.
Rapporten gepubliceerd op 4 april 2026 blootleggen dat ongeveer twintig werkstations in het netwerk waren gecompromitteerd en dat de communicatie met het museum professioneel en doelgericht lijkt te zijn geweest.
Indice dei contenuti:
Wat er precies gebeurde
Onderzoek tot nu toe suggereert een meerdelige aanval: de indringers verbleven enige tijd in de systemen, exfiltreerden gegevens en plaatsten daarna een gijzelingsbericht. Het bericht beschreef in detail de vermeende buit—van administratieve bestanden tot scans van objecten en interne e-mails—en bevatte de dreiging deze data via het dark web openbaar te maken als het losgeld niet binnen de gestelde termijn werd betaald.
De eis van 300.000 euro in cryptovaluta volgt een patroon dat vaker wordt waargenomen bij moderne ransomware-operaties: gebruik van digitale valuta om transacties te verhullen en een strak ultimatum om de reactietijd van slachtoffers te beperken.
Technische modus operandi
Bronnen melden dat de aanvallers vermoedelijk profiteerden van een slecht bijgewerkte component op de publieke website—een veelvoorkomende toegangsweg waarmee een backdoor kan worden geplaatst. Eenmaal binnen, bleven zij langere tijd actief om bestanden te kopiëren en netwerkstructuren te analyseren. Het doelwit was selectief: niet enkel willekeurige systemen, maar systemen die toegang gaven tot waardevolle gegevens over collectiebeheer en personeelsdossiers. Dit benadrukt de ernst van de bedreiging voor culturele instellingen die vaak werken met verouderde systemen.
Wie wordt verdacht
Onderzoekers denken dat de aanval professionaliteit verraadt en wijzen op internationale cybercriminele netwerken die opereren vanuit gebieden van de voormalige Sovjetunie. Eén naam die circuleert in onderzoekskringen is Medusalocker, een groep die sinds 2019 in verschillende sectoren opduikt. Dergelijke clusters werken vaak via een marktplaatsmodel: zij ontwikkelen malware en verkopen of verhuren toegang aan een netwerk van affiliates die de uiteindelijke infiltraties uitvoeren.
Waarom musea doelwit zijn
Musea bezitten zowel culturele als digitale waarde: databases met collectie-informatie, medewerkersdata en operationele plannen zijn bruikbaar voor afpersing. Bovendien beschikken veel instellingen niet over beveiligingsbudgetten die vergelijkbaar zijn met die van financiële of industriële spelers, waardoor zij een aantrekkelijker doelwit zijn. Dat de eis direct op het persoonlijke toestel van de directeur aankwam, illustreert het gerichte karakter van de aanval en de tactiek om druk te vergroten.
Gevolgen en lessen
De beslissing van de Uffizi om niet te betalen sluit aan bij het advies van cyberautoriteiten: betaling van losgeld bevordert de businessmodel van criminelen en biedt geen garantie op terugkeer of verwijdering van gestolen data. De zaak heeft geleid tot een intensivering van controles en tot interventies van nationale cyberteams om kwetsbaarheden te dichten. Voor culturele instellingen betekent dit een dringende oproep tot investeringen in beveiligingsupdates, segmentatie van netwerken en training van personeel tegen phishing en social engineering.
Op operationeel niveau benadrukken experts het belang van proactieve maatregelen: regelmatig patchen, monitoren van network traffic en het inzetten van incidentresponsplannen. Samenwerking met nationale instanties zoals de Polizia postale en de Agenzia per la cybersicurezza is cruciaal om zicht te krijgen op de aanvalsketen en om bewijs te vergaren voor strafrechtelijke vervolging onder artikelen als tentata estorsione en accesso abusivo. De zaak rond de Uffizi is een signaal voor andere culturele organisaties om digitale beveiliging niet langer als secundair te zien.