De evolutie van ransomware
Ransomware
Ransomware is naar alle waarschijnlijkheid op dit moment het meest lucratieve businessmodel van cybercriminelen. De Nederlandse term gijzelsoftware geeft al aan wat het is: je computer wordt gegijzeld, je gegevens zijn niet meer bereikbaar. Je moet losgeld betalen om ze weer terug te krijgen.
Het gijzelen van een computer of netwerk bestaat ruwweg uit 3 fases. Eerst de besmetting, vervolgens wordt je computer of je netwerk in kaart gebracht en waar mogelijk verder besmet, dan – op het meest handige moment voor de crimineel – worden de bestanden versleuteld en verschijnt het bericht dat je gegijzeld bent. En aanwijzingen die je moet volgen om je gegevens weer terug te krijgen. Betalen dus.
De AIDS Disk
De eerste ransomware-aanval dateert nog van voor het internet-tijdperk: 1989. De malware heette AIDS, naar de titel van de floppy-disk waarop het verspreid werd, de ‘Aids Information Introductory Diskette’, en had medische onderzoeksinstituten als doelwit. De maker, bioloog Dr. Joseph L. Popp, verspreide 20.000 geïnfecteerde diskettes op de WHO AIDS conferentie.
Stopte het slachtoffer de disk in zijn computer, dan ging er een tellertje lopen. Na 90 keer opstarten werden alle filenamen op de C: schijf versleuteld en kreeg de gebruiker de boodschap (via de printer!) dat zijn licentie was verlopen en hij PC Cyborg Corporation 189 dollar moest betalen voor de verlenging – via een check naar Panama.
De files zelf bleven intact, en met een beetje slim puzzelen was de computer weer te herstellen. Onderzoeker Jim Bates schreef in 1990 twee programma’s: AIDSOUT om de malware te verwijderen en CLEARAID om de filenamen automatisch weer goed te zetten. Beide programma’s waren verkrijgbaar op floppy dat je desgevraagd per post toegestuurd kon krijgen.
Joseph Popp werd minder dan twee weken na de verspreiding van zijn diskette – de paniek was ondertussen wereldwijd flink toegeslagen – aangehouden op Schiphol nadat hij naar verluid de tekst “DR POPP HAS BEEN POISONED” op de koffer van een medepassagier had geschreven. Onderzoek van zijn bagage leverde een ‘PC Cyborg Corp’ logo op. Hij werd in de VS gearresteerd, uitgeleverd aan Engeland, maar uiteindelijk door de rechter ontoerekeningsvatbaar verklaard en vrijgesproken. Later heeft hij met zijn dochter in New York het Joseph L. Popp, Jr. Butterfly Conservatory opgericht, dat nog steeds bestaat.
Politie-ransomware
Vanaf 2011 begon ik steeds meer gevallen tegen te komen van wat we toen nog politie-ransomware noemden. De computer werd geblokkeerd en er verscheen een bericht op het scherm dat je moest betalen om weer overal bij te kunnen. Deze vorm van ransomware was nog vrij amateuristisch en leunde zwaar op social engineering: de gebruiker zoveel angst aanjagen dat hij betaalde. Om dat te bereiken werden vaak politie-boodschappen gebruikt, vandaar de bijnaam. De betaling moest plaatsvinden met vreemde betaalmiddelen zoals UKASH om de anonimiteit van de daders te waarborgen.
Er was alleen vaak een probleem: betalen leverde niet altijd een sleutel op om de versleuteling ongedaan te maken. Gelukkig werd in deze aanvallen meestal geen gebruik gemaakt van echte versleuteling. De bestanden bleven intact, de gebruiker kon er alleen niet meer bij omdat delen van het Windows operating systeem onklaar waren gemaakt. En dat was vaak relatief eenvoudig weer recht te zetten.
Professionalisering
Maar de criminelen begonnen in te zien dat niet leveren na betaling geen goed businessmodel was. En dat de boel met een beetje extra moeite echt op slot gezet kon worden. Ransomware begon professioneler te worden. De aanvallers stapten steeds vaker over op cryptoware, waarmee de bestanden op de computer versleuteld werden, en wel zo dat ze zonder sleutel echt niet meer terug te zetten zijn. Bitcoin en verwanten werden het favoriete betaalmiddel en… betalen leverde ook steeds vaker daadwerkelijk een sleutel op. Niet alleen dat, maar steeds vaker helpen de criminelen je desgewenst ook actief met het terugzetten van data. Customer service.
Nieuwe slachtoffers
Waar valt meer geld te halen? Bij bedrijven of bij particulieren? Een paar jaar terug begon het de ransomware-criminelen te dagen dat particulieren maar voor een paar honderd euro afgeperst konden worden, maar bedrijven voor veel hogere bedragen aangeslagen konden worden. Dat betekent overigens niet dat ransomware voor particulieren verdwenen is, want zo gaat dat niet. Oude vormen van cybercrime blijven bestaan, ook als de mainstream verschuift naar nieuwere vormen.
Bedrijven op slot zetten is niet zo eenvoudig als particulieren op slot zetten – al scheelt het helaas vaak niet heel veel. Er is iets meer handwerk nodig. Het begint weer met een besmetting, maar in plaats van de besmette PC gelijk op slot te zetten gaan de criminelen kijken hoe deze PC in het netwerk hangt. De bedoeling is om het hele netwerk tegelijkertijd te gijzelen. En dat betekent dat de aanvallers weken, soms maanden, binnen zijn in het netwerk, steeds meer computers besmetten, en ondertussen uitzoeken hoe ze de boel op slot moeten zetten. De aanval op de gemeente Lochem dit jaar was daar een goed voorbeeld van. Deze werd gelukkig ontdekt voordat de bestanden versleuteld werden, maar verschillende andere bedrijven en instellingen zijn niet zo gelukkig.
En dan, als alles klaar staat, begint de encryptie. Bij voorkeur op vrijdagavond, want zoiets kost even, en je wilt niet dat het te snel ontdekt wordt. De meer geavanceerde gijzelsoftware pakt ook gelijk even de backups mee, want niets zo vervelend als een instelling die zichzelf weer overeind kan helpen zonder te betalen. Tenslotte rest alleen nog een berichtje met een losgeld-eis. Hoeveel? Al kijkend in de bestanden heb je als crimineel een aardig inzicht in de jaaromzet van het bedrijf. Zet dat af tegen de kosten die ze hebben als ze alles zelf moeten terugzetten – als dat al kan, en vraag een bedrag dat stevig is, maar wel duidelijk voordeliger dan elk alternatief. Nog even een tijdslimiet eraan plakken en op naar de volgende.
Waar gaat dat heen?
Ransomware is dermate lucratief dat we mogen verwachten dat het de komende jaren nog wel in het arsenaal van cybercriminelen blijft. Computers besmetten blijft relatief makkelijk, het is het omzetten van je infectie naar een lucratief businessmodel dat binnen de cybercrime de uitdaging blijkt. En ransomware levert hier een uitstekend hulpmiddel voor. Maar volkomen anoniem blijven en toch je bitcoins uitgeven is niet altijd even eenvoudig, dus ik verwacht dat de komende jaren toch een aantal ransomcriminelen opgepakt gaat worden. Of ze even kleurrijk zijn als Dr. Popp moeten we nog maar afwachten.
En zoals altijd gaan we ook meerdere vormen van afpersing zien. Aanvallen lijken zich de laatste tijd meer op NAS systemen te richten. En doxware heeft het laatste jaar flink aan terrein gewonnen. Daar worden de gegevens niet alleen versleuteld, maar ook gekopieerd, en de crimineel dreigt met het publiceren van gevoelige data als er niet betaald wordt. Kun je die data wel gelijk weer gebruiken om je netwerk weer op te zetten…
Kan mij dat nou ook overkomen?
Ja.
En wat doe je er dan aan?
Voorkomen is beter dan genezen. De beste voorzorgsmaatregel is een offline backup. Test af en toe ook even of die het ook doet.
Daarnaast is het een kwestie van niet besmet raken. Hoewel de kans op besmetting nooit helemaal te voorkomen is kan deze wel significant worden teruggebracht door een goede cyberhygiëne. De standaard dingen: antivirus, goede wachtwoorden, nadenken voordat je op attachments klikt, browserslotje controleren. En voor bedrijven komt daar nog bij: netflow-analyse – is er onregelmatig verkeer op mijn netwerk?
Maar het allerbelangrijkste is bedrijfscultuur. Vroeg of laat klikken we allemaal op een verkeerde link. Heel vaak hebben we het direct daarna in de gaten. Werk je in een bedrijf waar je direct kan melden dat je iets doms hebt gedaan zonder er op afgerekend te worden? Dan heeft de systeembeheerder de mogelijkheid om het het lek te dichten voordat de criminelen er te diep in zijn doorgedrongen.
En de laatste optie is natuurlijk niks doen, het fout laten gaan en betalen.
Liever niet. Maar als het toch gebeurt, zorg dat je verzekerd bent, en gebruik de les om je netwerk vervolgens alsnog beter te beveiligen. En kijk vóór je betaalt altijd eerste even op nomoreransom.org. Want het kan zomaar zijn dat de sleutel gevonden is door de daar samenwerkenden politie/antivirusbedrijven.
No Comments :