Zelfs de politie moet losgeld betalen.

Afgelopen maart opent een politiemedewerker in het Amerikaanse Lincoln County, Maine Het hele verhaal lees je in de lokale krant van Lincoln County. een e-mail. Een link in die e-mail leidt naar een site die kwaadaardige software op zijn computer zet. Binnen korte tijd zijn alle bestanden van het politiebureau versleuteld. De dader eist 300 euro losgeld. De politie wil niet betalen, maar ziet geen enkele mogelijkheid om de bestanden te ontsleutelen. Uiteindelijk maakt de sheriff het geld toch maar over, in In dit artikel in InformationWeek lees je nog meer voorbeelden. bitcoins.

Welkom in de wereld van ransomware.

Wat is het probleem?

De laatste maanden verschijnen steeds meer waarschuwingen voor de verspreiding van ransomware. Wat eerst nog vooral een Russisch probleem leek, verspreidt zich de laatste jaren naar Europa en de Verenigde Staten. Sinds vorig jaar worden ook steeds vaker smartphones met ransomware besmet, al blijven harde cijfers over de omvang afwezig.

Betaling is natuurlijk geen garantie dat je uit de problemen bent

Met de kwaadaardige ransomware gijzelen criminelen je computer. Dat doen ze meestal door de bestanden op je computer te versleutelen, zodat ze voor jou ontoegankelijk zijn. Andere vormen van ransomware vergrendelen je hele computer, zodat je helemaal geen toegang meer hebt. Pas na het betalen van losgeld krijg je een code om de encryptie van je bestanden ongedaan te maken of je computer weer te ontgrendelen.

Dat is de belofte althans. Want betaling is natuurlijk geen garantie dat je uit de problemen bent.

En hoe groot is dat probleem?

Ik heb daar geen eenduidige cijfers over kunnen vinden. De grote antivirusbedrijven publiceren wel overzichten van hoeveel exemplaren van ransomware ze vinden, maar zeggen daar vaak weer niet bij of dat om het aantal besmettingen gaat, of om het aantal varianten. McAfee claimde in mei bijvoorbeeld dat er in het eerste kwartaal van dit jaar meer dan 700.000 nieuwe varianten zijn opgedoken. Computerfabrikant Dell schatte dat een populaire variant, CryptoLocker, al in de eerste maand van zijn bestaan een kwart miljoen computers had besmet. Andere antivirusbedrijven hebben ook enkele tienduizenden varianten gevonden.

Volgens beveiligingsbedrijf Trend Micro worden in Nederland maandelijks twintig tot veertig computers met ransomware besmet. Het bedrijf ziet ook dat het aantal besmettingen flink toeneemt. Als je verschillende dreigingsrapporten van online securitybedrijven leest, dan lijkt het erop dat ransomwarecriminelen enkele tientallen miljoenen dollars aan losgeld weten Op ZDNet vind je een mooi artikel waarin de schade van CryptoLocker wordt becijferd. binnen te harken. De losgeldbedragen variëren van een paar tientjes tot enkele duizenden euro’s of dollars.

Welke vormen zijn er allemaal?

De eerste versies van ransomware stammen uit eind jaren tachtig, maar werden niet veel gebruikt. Rond 2005 dook voor het eerst weer ransomware op, hoofdzakelijk in Rusland. Op besmette computers werden bestanden, waaronder Worddocumenten (.doc) en executable files (.exe), verzameld in een .zip-bestand en op slot gezet met een wachtwoord. Ook werd een tekstbestand op de computer geplaatst, met een geldeis en hoe daaraan voldaan Geld moest overgemaakt worden met vage betalingsdiensten. Later konden slachtoffers ook per sms betalen of door een duur telefoonnummer te bellen.

Ongeveer drie jaar geleden verspreidde ransomware zich naar Europa en Amerika. De aanleiding is niet helemaal duidelijk, maar de opkomst van Bitcoin heeft zeker aan de verspreiding bijgedragen omdat de betaling van het losgeld nu veel makkelijker is geworden. En van rijke Europese en Amerikaanse bedrijven is makkelijker geld afhandig te maken.

Vooral één type ransomware werd berucht: Reveton. Doorgaans werkt het zo: je computer wordt besmet en op slot gezet. Vervolgens krijg je in je eigen taal een bericht te zien dat ogenschijnlijk afkomstig is van een nationale politiedienst. In het bericht wordt gesteld dat je betrapt bent terwijl je kinderporno keek. Om de druk wat op te schroeven, wordt in sommige gevallen je IP-adres getoond en in enkele gevallen zelfs een foto die met je webcam is gemaakt. Vervolgens krijg je een link naar een online betaalservice waar je je ‘boete’ kunt betalen.

YouTube
In dit filmpje legt antivirusbedrijf Sophos uit hoe Reveton werkt.

Kort daarna deed een nieuwe, nog krachtigere vorm van ransomware zijn intrede: CryptoLocker. Deze vorm zette de computer niet op slot, maar versleutelde de bestanden erop, waardoor de computer praktisch onbruikbaar werd. Vooral voor bedrijven kan dit erg vervelend uitpakken, omdat die bestanden (administraties, contracten, werkbestanden) vaak veel geld waard zijn.

Sinds vorig jaar zijn ook smartphones doelwit van ransomware. Er zijn bijvoorbeeld varianten die de pincode van de smartphone veranderen. Een nogal zinloze methode, want de daders weten de willekeurig gekozen nieuwe pin vaak ook niet, omdat de software die willekeurig kiest. Daarnaast is er de pornovariant: apps waarmee je pornofilms zou kunnen downloaden, die malware blijken te installeren. Vervolgens maakt de telefooncamera een foto en verschijnt er de beschuldiging van het kijken naar kinderporno, met een verwijzing naar waar de boete voldaan kan worden.

Tot slot vonden Zwitserse onderzoekers eind vorig jaar een vorm van ransomware die ze Ransomweb noemden. Deze malware nestelt zich in de databases van websites, maar doet niets. De malware wacht totdat er een back-up van de database wordt gemaakt. Pas dan versleutelt de malware de database. Een groot probleem: het slachtoffer kan niet eens op een back-up terugvallen.

En hoe zitten die vormen in elkaar?

Zeer ingenieus. Het Nederlandse securitybedrijf Fox-IT zette onlangs Op het blog van Fox-IT staat een goed leesbaar overzicht van de belangrijkste ransomwarefamilies. in een blogpost een aantal belangrijke Criminelen bouwen ook voort op elkaars werk. Daarom duiken er veel varianten van dezelfde ransomware op. Van sommige ransomware, zoals CryptoLocker, zijn wel meer dan 10.000 varianten in omloop. van ransomware op een rij, die bestanden versleutelen. Een van deze families is Andere zijn CTB-Locker en TorrentLocker.

Deze vorm van malware is sinds november 2013 actief. Besmetting vindt vaak plaats door middel van e-mail. Je krijgt bijvoorbeeld een mailtje van PostNL dat een pakketje niet bezorgd kan worden. Je moet een link volgen om het pakketje te volgen, maar de link leidt naar een malafide bestand. Soms wordt deze malware op je computer geplaatst na een zogenoemde ‘drive-by-download.’ Als je een gecompromitteerde website bezoekt, wordt kwaadaardige software meegeladen.

Er zijn fora waar ransomware wordt verhandeld, of waar samenwerkingen worden opgezet

Als CryptoWall zich op je computer nestelt, versleutelt het heel veel bestanden. Vervolgens legt de malware contact met een zogenoemde command & control server (C&C), die in handen is van de misdadigers. Die C&C is moeilijk te vinden, want het dataverkeer wordt geanonimiseerd via het Lees hier mijn explainer over Tor. Tor-netwerk en eerst nog via Een proxyserver is een server die als tussenstation voor dataverkeer wordt gebruikt. Criminelen gebruiken hiervoor dikwijls servers van andere mensen, zonder dat die het doorhebben. Vooral Wordpress-sites en Joomla-sites worden gekraakt. (vaak besmette websites) geleid. De C&C stuurt een encryptiesleutel op die de eerste encryptiesleutel nog eens De reden hiervoor is dat de encryptie waar de bestanden mee versleuteld worden (AES), vereist dat de sleutel op de besmette computer geplaatst moet worden. In het verleden konden computerbeveiligers die sleutel opsporen en de encryptie ongedaan maken. Door die sleutel nog eens te versleutelen, kan dat niet meer. Ook stuurt de C&C een pagina met daarop een boodschap in de taal van het slachtoffer en een link naar een betaalpagina.

Opmerkelijk is dat CryptoWall (en enkele andere belangrijke ransomwarefamilies) een zogenoemd affiliate program hebben. Andere criminelen kunnen vaak gratis of tegen lage kosten een versie van de ransomware gebruiken, in ruil voor een deel van de opbrengst. Er zijn verschillende ondergrondse fora waar ransomware wordt verhandeld, of waar samenwerkingen worden opgezet.

Wie doet dit?

De daders kunnen overal zitten, maar beschuldigende vingers wijzen opvallend vaak naar Rusland. Achter de al eerder genoemde CryptoLocker zit bijvoorbeeld de beruchte Russische crimineel Slavik, de bijnaam voor Evgeniy Bogachev. De FBI heeft onlangs een beloning van Meer informatie over de beschuldigingen jegens Bolgachev vind je op de site van de FBI. drie miljoen dollar gezet op informatie die kan leiden tot zijn aanhouding. Bogachev runde de zogenoemde ‘business club,’ een collectief van criminelen die malware ontwikkelden, geld witwasten en software opzetten en onderhielden. In de zomer van 2014 haalde de FBI en een aantal internationale opsporingsdiensten een groot deel van Slaviks Bij Krebs on Security lees je meer over de business club. technologie offline.

Wat moet je doen als je slachtoffer bent?

Als particulier heb je eigenlijk gewoon pech. Wel is het aan te raden nooit te betalen. Daarmee houd je namelijk de misdaad in stand. Bovendien weet je nooit zeker dát je bestanden of computer weer ontsleuteld worden. Over het algemeen doe je er dus goed aan berichten die je niet vertrouwt, niet te openen (zeker geen bijlagen). Daarnaast moet je geregeld een back-up maken van je belangrijkste bestanden, maar mocht Ransomweb vaker opduiken, dan helpt dat misschien dus ook niet meer.

Als je een bedrijf bent, moet je evenmin betalen, al blijkt uit het voorbeeld van het politiekorps aan het begin van dit stuk dat er soms weinig keuze is. In ieder geval geldt ook voor bedrijven dat er goede operational security in acht moet worden genomen. En als de schade echt heel groot dreigt te worden, sluit de computers dan niet af en bel zo snel mogelijk een gespecialiseerd bedrijf.

Lees ook:

Eerste hulp bij hacken: zo kom je iemand anders’ computer binnen Als je andermans computer wilt binnenkomen, moet je een ingang zien te vinden. In de tweede les over hacken gaan we informatie vergaren, poorten scannen en fingerprints van besturingssystemen verzamelen. Lees verder Eerste hulp bij hacken. Doe het op de command line Met twintig Correspondentlezers leer ik hacken. Jij kunt ook meedoen. In dit eerste stuk: vier redenen waarom ook jij een stuk gereedschap, dat in de krochten van je computer schuilt, moet afstoffen en gebruiken. Lees hier het eerste stuk in deze serie terug Tien ijzersterke verhalen die je hacken beter doen begrijpen De recente hack van vreemdgaansite Ashley Madison is er één in een lange reeks spectaculaire, recente inbraken. En achter iedere hack schuilt een interessant verhaal. Ik heb tien van die verhalen geselecteerd. Lees verder

Facebook
Twitter
LinkedIn
Whatsapp
E-mail