Ransomware steeds makkelijker: iedereen kan chanteren
Ook zonder technische kennis kunnen criminelen ransomware gebruiken om mensen te chanteren. We kregen een demo.
Hoewel veel Nederlanders wel een slachtoffer kennen, weet minder dan de helft wat ransomware precies is, zo bleek onlangs uit het rapport 'Cybersecurity awareness en skills in Nederland' van Alert Online. Het ministerie van Veiligheid en Justitie gaf opdracht voor het onderzoek, dat pijnlijk duidelijk maakte hoe slecht het is gesteld met de 'cyberskills' van Nederlanders. Relatief eenvoudige termen als VPN en tweestapsverificatie zijn vaak onbekend en met updates en back-ups wordt laks omgesprongen. Een recent gelanceerde overheidscampagne moet daar verandering in brengen.
Niet alleen de Nederlandse overheid, maar ook Europol ziet ransomware als voornaamste cyberdreiging. De chantagemethode werkt met software die je computer blokkeert na het openen van een malafide e-mailbijlage of het bezoeken van een gekraakte website. Om de blokkade op te heffen dient losgeld ('ransom') betaald te worden, doorgaans in een lastig te traceren valuta als Bitcoin. Dit maakt het moeilijk om de identiteit van de criminelen - vaak lid van Russische of Oekraïense bendes - te achterhalen. Er bestaan verschillende varianten van ransomware, die de toegang tot je computer, je bestanden of beide ontzeggen. Is het losgeld betaald, dan is het nog maar de vraag of het systeem weer toegankelijk wordt.
In Nederland maakt het zogenoemde politievirus sinds 2011 veel slachtoffers. De ransomware vergrendelt de computer en toont op basis van het ip-adres van de gebruiker een melding die afkomstig lijkt van het nationale politiekorps. De melding beschuldigt de gebruiker van het downloaden van kinderporno of andere illegale activiteiten en vraagt een boete voor het ontgrendelen van de computer. Het Cyber Threat Alliance, een samenwerkingsverband van acht verschillende beveiligingsbedrijven, ziet dat er honderden miljoenen euro's gemoeid zijn met ransomware-aanvallen. De schade neemt bovendien toe, nu aanvallen verfijnder worden en zich ook richten op het versleutelen van databases, back-ups en bestanden op netwerkschijven. Getroffen partijen moeten diep in de buidel tasten, waarbij de hoogte van het losgeld wordt bepaald aan de hand van het type en de grootte van de organisatie.
Steeds grotere impact
Waar het politievirus gemakkelijk is te verwijderen met behulp van een virusscanner, duiken er steeds vaker geavanceerde vormen van ransomware op die lastiger zijn te bestrijden. Ze kunnen complete order- of betaalsystemen platleggen, waardoor slachtoffers snel geneigd zijn om te betalen. In 2015 infecteerde alleen al de CryptoWall-ransomware meer dan 400.000 computers en werd circa 325 miljoen dollar losgeld binnengeharkt. De laatste maanden was CryptoWall minder succesvol, al staan varianten als Locky en Cerber klaar om het stokje over te pakken. In Nederland is vooral de publieke sector doelwit. Om de tien dagen maakt een ministerie, gemeente of andere overheidsinstantie wel melding van een aanval. Hoeveel schade ransomware-infecties in ons land precies aanrichten is onbekend. Wereldwijd wordt de financiële impact geschat op minimaal 75 miljard dollar per jaar.
Wie denkt dat ransomware-aanvallen zijn voorbehouden aan gespecialiseerde cybercrime-bendes, heeft het mis. Net als een DDoS-aanval, die een grote hoeveelheid verkeer naar bepaalde server stuurt met als doel deze plat te leggen, kan een ransomware-aanval relatief eenvoudig uitgevoerd worden. Een voorbeeld is de hidden tear-ransomware die is te vinden op softwarehostingdienst Github. Hidden tear was aanvankelijk bedoeld voor educatieve doeleinden, maar werd al snel opgepikt door belangstellenden met kwaad in de zin. Door de ransomware te laden op de computer van een slachtoffer, kunnen alle bestanden worden versleuteld middels sterke AES-encryptie. Tegelijkertijd wordt een tekstbestand op het bureaublad aangemaakt met instructies om de decryptiesleutel (tegen betaling) te bemachtigen. Hidden tear is volledig opensource, waardoor het probleemloos uitgeplozen en aangepast kan worden.
Hidden tear werd ontwikkeld door de Turkse beveiligingsexpert Utku Sen, die waarschijnlijk voorzag dat de ransomware ook voor minder onschuldige doeleinden gebruikt zou worden. Hij bouwde bewust een achterdeur in, waardoor het voor een gemiddelde computerexpert mogelijk zou zijn om de decryptiesleutel te bemachtigen en bestanden te herstellen. Toch maakte ransomware gebaseerd op hidden tear de afgelopen maanden veel slachtoffers. Zelfs met hulp van Sen kon gegijzelde data in sommige gevallen niet hersteld worden.
Kant-en-klaar
Voor het misbruiken van hidden tear is basiskennis van programmeren nodig, maar er zijn ook vormen van ransomware die je al het werk uit handen nemen. "Heb je een paar tientjes te besteden, dan kun je via een zwarte markt alle benodigdheden aanschaffen", aldus Victor Gevers van GDI.Foundation, een stichting gericht op het veiliger maken van het internet. Overdag is Gevers werkzaam als beveiligingsexpert bij de overheid, maar in zijn vrije tijd wijst hij als ethisch hacker organisaties op securitylekken.
Samen met Gevers gebruik ik de anonieme Tor browser om het dark web te bereiken, een geïsoleerd gedeelte van het internet waar je niet met een normale link in de adresbalk naartoe kan. Binnen vijf minuten neuzen we rond in de AlphaBay Market, een online marktplaats waar je terecht kunt voor illegale drugs, namaakspullen, juwelen en wapens. Er is ook een speciale categorie voor malware, waar we voor slechts 30 dollar onze eigen kant-en-klare ransomware vinden. De gebruikersbeoordelingen zijn positief en de beschrijving duidelijk: 'geen antivirus kan deze ransomware detecteren'. Bij het aanmaken van een account hoeven we geen e-mailadres op te geven en betalen kan in Bitcoin, waardoor we in principe volledig anoniem zijn.
De ransomware op AlphaBay Market is een voorbeeld van 'ransomware-as-a-service', dat in opkomst is. Minder technische criminelen kunnen software gebruiken die door anderen is gemaakt, met als voorwaarde dat de opbrengsten worden verdeeld. In de meeste gevallen krijg je een gebruiksvriendelijke interface tot je beschikking om de ransomware in te stellen en te volgen hoe het zit met het aantal infecties en het betaalde losgeld. De volgende stap in ons bescheiden onderzoek is het vinden van slachtoffers. Ransomware kan zich verspreiden via bijvoorbeeld usb-sticks en phishingmails, maar vaak wordt misbruik gemaakt van bedrijfssystemen met onbeveiligde remote desktop-software. Deze software maakt het mogelijk om een pc op afstand volledig over te nemen. Gevers: "Het is stuitend om te zien hoeveel systemen niet zijn beveiligd met een wachtwoord en firewall, waardoor ze vrij toegankelijk zijn voor de buitenwereld."
Gevers laat zien hoe eenvoudig het is om met een tool genaamd Shodan te zoeken naar onbeveiligde computers en servers. Alleen al in Nederland zijn dat er duizenden, die je op afstand kunt overnemen door het ip-adres in te voeren in een remote access-app als VNC. "Is de gebruiker even weg van zijn computer, dan kun je zonder gepakt te worden je ransomware downloaden en zijn werk laten doen." Luie cybercriminelen die geen zin hebben om Shodan te gebruiken, kopen via AlphaBay Market voor slechts 50 dollar de ip-adressen van 100 remote servers. Ook als je geen scriptkennis hebt, kan je carrière als cybercrimineel dus voor een paar tientjes beginnen.
Dit kun je ertegen doen
Organisaties die gebruikmaken van remote desktop-software doen er op z'n minst goed aan te zorgen voor sterke beveiliging. En hoewel ransomware zich voornamelijk op bedrijven richt - daaraan valt immers meer te verdienen - loop je zeker ook als normale gebruiker gevaar. Werk je je systeem en antivirussoftware niet regelmatig bij en vergeet je ook het maken van back-ups, dan ben je een aantrekkelijke prooi. Vaak zijn dit soort stappen te automatiseren en het is aan te raden dat ook te doen. Met een goede back-up kun je je computer in het geval van problemen herstellen tot het punt vóór de infectie. Wees daarnaast kritisch op verdachte bijlagen in e-mails; vertrouw je het niet, vraag de afzender dan om opheldering of verwijder het bericht.
Ook met het downloaden van illegale software (via torrents of nieuwsgroepen) en het bezoeken van onbetrouwbare websites loop je risico. Moderne browsers als Chrome waarschuwen voor phishing en malware, maar ook hier geldt dat je regelmatig moet updaten om de beveiliging op peil te houden. Jezelf volledig beschermen tegen ransomware is onmogelijk, want soms worden zelfs betrouwbare websites gekraakt. Door bewustwording en het nemen van een aantal voorzorgsmaatregelen kun je de risico's wel beperken. Word je toch slachtoffer, doe dan aangifte bij de politie en schakel hulp in. Meer praktische beveiligingstips vind je op deze campagnepagina van de overheid.