Hoe kan software je computer gijzelen? (En: hoe kun je dat voorkomen?)
De laatste tijd verschijnen er veel berichten in de media over ransomware, software die je computer gijzelt. Wat is ransomware? En wat kun je ertegen doen?
Zelfs de politie moet losgeld betalen.
Afgelopen maart opent een politiemedewerker in het Amerikaanse Lincoln County, Maine een e-mail. Een link in die e-mail leidt naar een site die kwaadaardige software op zijn computer zet. Binnen korte tijd zijn alle bestanden van het politiebureau versleuteld. De dader eist 300 euro losgeld. De politie wil niet betalen, maar ziet geen enkele mogelijkheid om de bestanden te ontsleutelen. Uiteindelijk maakt de sheriff het geld toch maar over, in bitcoins.
Welkom in de wereld van ransomware.
Wat is het probleem?
De laatste maanden verschijnen steeds meer waarschuwingen voor de verspreiding van ransomware. Wat eerst nog vooral een Russisch probleem leek, verspreidt zich de laatste jaren naar Europa en de Verenigde Staten. Sinds vorig jaar worden ook steeds vaker smartphones met ransomware besmet, al blijven harde cijfers over de omvang afwezig.
Betaling is natuurlijk geen garantie dat je uit de problemen bent
Met de kwaadaardige ransomware gijzelen criminelen je computer. Dat doen ze meestal door de bestanden op je computer te versleutelen, zodat ze voor jou ontoegankelijk zijn. Andere vormen van ransomware vergrendelen je hele computer, zodat je helemaal geen toegang meer hebt. Pas na het betalen van losgeld krijg je een code om de encryptie van je bestanden ongedaan te maken of je computer weer te ontgrendelen.
Dat is de belofte althans. Want betaling is natuurlijk geen garantie dat je uit de problemen bent.
En hoe groot is dat probleem?
Ik heb daar geen eenduidige cijfers over kunnen vinden. De grote antivirusbedrijven publiceren wel overzichten van hoeveel exemplaren van ransomware ze vinden, maar zeggen daar vaak weer niet bij of dat om het aantal besmettingen gaat, of om het aantal varianten. McAfee claimde in mei bijvoorbeeld dat er in het eerste kwartaal van dit jaar meer dan 700.000 nieuwe varianten zijn opgedoken. Computerfabrikant Dell schatte dat een populaire variant, CryptoLocker, al in de eerste maand van zijn bestaan een kwart miljoen computers had besmet. Andere antivirusbedrijven hebben ook enkele tienduizenden varianten gevonden.
Volgens beveiligingsbedrijf Trend Micro worden in Nederland maandelijks twintig tot veertig computers met ransomware besmet. Het bedrijf ziet ook dat het aantal besmettingen flink toeneemt. Als je verschillende dreigingsrapporten van online securitybedrijven leest, dan lijkt het erop dat ransomwarecriminelen enkele tientallen miljoenen dollars aan losgeld weten binnen te harken. De losgeldbedragen variëren van een paar tientjes tot enkele duizenden euro’s of dollars.
Welke vormen zijn er allemaal?
De eerste versies van ransomware stammen uit eind jaren tachtig, maar werden niet veel gebruikt. Rond 2005 dook voor het eerst weer ransomware op, hoofdzakelijk in Rusland. Op besmette computers werden bestanden, waaronder Worddocumenten (.doc) en executable files (.exe), verzameld in een .zip-bestand en op slot gezet met een wachtwoord. Ook werd een tekstbestand op de computer geplaatst, met een geldeis en hoe daaraan voldaan moest worden.
Ongeveer drie jaar geleden verspreidde ransomware zich naar Europa en Amerika. De aanleiding is niet helemaal duidelijk, maar de opkomst van Bitcoin heeft zeker aan de verspreiding bijgedragen omdat de betaling van het losgeld nu veel makkelijker is geworden. En van rijke Europese en Amerikaanse bedrijven is makkelijker geld afhandig te maken.
Vooral één type ransomware werd berucht: Reveton. Doorgaans werkt het zo: je computer wordt besmet en op slot gezet. Vervolgens krijg je in je eigen taal een bericht te zien dat ogenschijnlijk afkomstig is van een nationale politiedienst. In het bericht wordt gesteld dat je betrapt bent terwijl je kinderporno keek. Om de druk wat op te schroeven, wordt in sommige gevallen je IP-adres getoond en in enkele gevallen zelfs een foto die met je webcam is gemaakt. Vervolgens krijg je een link naar een online betaalservice waar je je ‘boete’ kunt betalen.
Kort daarna deed een nieuwe, nog krachtigere vorm van ransomware zijn intrede: CryptoLocker. Deze vorm zette de computer niet op slot, maar versleutelde de bestanden erop, waardoor de computer praktisch onbruikbaar werd. Vooral voor bedrijven kan dit erg vervelend uitpakken, omdat die bestanden (administraties, contracten, werkbestanden) vaak veel geld waard zijn.
Sinds vorig jaar zijn ook smartphones doelwit van ransomware. Er zijn bijvoorbeeld varianten die de pincode van de smartphone veranderen. Een nogal zinloze methode, want de daders weten de willekeurig gekozen nieuwe pin vaak ook niet, omdat de software die willekeurig kiest. Daarnaast is er de pornovariant: apps waarmee je pornofilms zou kunnen downloaden, die malware blijken te installeren. Vervolgens maakt de telefooncamera een foto en verschijnt er de beschuldiging van het kijken naar kinderporno, met een verwijzing naar waar de boete voldaan kan worden.
Tot slot vonden Zwitserse onderzoekers eind vorig jaar een vorm van ransomware die ze Ransomweb noemden. Deze malware nestelt zich in de databases van websites, maar doet niets. De malware wacht totdat er een back-up van de database wordt gemaakt. Pas dan versleutelt de malware de database. Een groot probleem: het slachtoffer kan niet eens op een back-up terugvallen.
En hoe zitten die vormen in elkaar?
Zeer ingenieus. Het Nederlandse securitybedrijf Fox-IT zette onlangs in een blogpost een aantal belangrijke families van ransomware op een rij, die bestanden versleutelen. Een van deze families is CryptoWall.
Deze vorm van malware is sinds november 2013 actief. Besmetting vindt vaak plaats door middel van e-mail. Je krijgt bijvoorbeeld een mailtje van PostNL dat een pakketje niet bezorgd kan worden. Je moet een link volgen om het pakketje te volgen, maar de link leidt naar een malafide bestand. Soms wordt deze malware op je computer geplaatst na een zogenoemde ‘drive-by-download.’ Als je een gecompromitteerde website bezoekt, wordt kwaadaardige software meegeladen.
Er zijn fora waar ransomware wordt verhandeld, of waar samenwerkingen worden opgezet
Als CryptoWall zich op je computer nestelt, versleutelt het heel veel bestanden. Vervolgens legt de malware contact met een zogenoemde command & control server (C&C), die in handen is van de misdadigers. Die C&C is moeilijk te vinden, want het dataverkeer wordt geanonimiseerd via het Tor-netwerk en eerst nog via proxy’s (vaak besmette websites) geleid. De C&C stuurt een encryptiesleutel op die de eerste encryptiesleutel nog eens extra versleutelt. Ook stuurt de C&C een pagina met daarop een boodschap in de taal van het slachtoffer en een link naar een betaalpagina.
Opmerkelijk is dat CryptoWall (en enkele andere belangrijke ransomwarefamilies) een zogenoemd affiliate program hebben. Andere criminelen kunnen vaak gratis of tegen lage kosten een versie van de ransomware gebruiken, in ruil voor een deel van de opbrengst. Er zijn verschillende ondergrondse fora waar ransomware wordt verhandeld, of waar samenwerkingen worden opgezet.
Wie doet dit?
De daders kunnen overal zitten, maar beschuldigende vingers wijzen opvallend vaak naar Rusland. Achter de al eerder genoemde CryptoLocker zit bijvoorbeeld de beruchte Russische crimineel Slavik, de bijnaam voor Evgeniy Bogachev. De FBI heeft onlangs een beloning van drie miljoen dollar gezet op informatie die kan leiden tot zijn aanhouding. Bogachev runde de zogenoemde ‘business club,’ een collectief van criminelen die malware ontwikkelden, geld witwasten en software opzetten en onderhielden. In de zomer van 2014 haalde de FBI en een aantal internationale opsporingsdiensten een groot deel van Slaviks technologie offline.
Wat moet je doen als je slachtoffer bent?
Als particulier heb je eigenlijk gewoon pech. Wel is het aan te raden nooit te betalen. Daarmee houd je namelijk de misdaad in stand. Bovendien weet je nooit zeker dát je bestanden of computer weer ontsleuteld worden. Over het algemeen doe je er dus goed aan berichten die je niet vertrouwt, niet te openen (zeker geen bijlagen). Daarnaast moet je geregeld een back-up maken van je belangrijkste bestanden, maar mocht Ransomweb vaker opduiken, dan helpt dat misschien dus ook niet meer.
Als je een bedrijf bent, moet je evenmin betalen, al blijkt uit het voorbeeld van het politiekorps aan het begin van dit stuk dat er soms weinig keuze is. In ieder geval geldt ook voor bedrijven dat er goede operational security in acht moet worden genomen. En als de schade echt heel groot dreigt te worden, sluit de computers dan niet af en bel zo snel mogelijk een gespecialiseerd bedrijf.