Digitale informatie is niet alleen van onschatbare waarde voor bedrijven, cybercriminelen verdienen er op hun beurt goed aan: niet door het verduisteren van informatie, maar door het ‘gijzelen’ ervan. Alleen al in 2015 hebben misdaadorganisaties tientallen miljoenen dollars verdiend met losgeld. Wat doet ransomware precies? En hoe kan je jezelf ertegen beschermen?
Door: Daniël de Vette
1 Wat is ransomware?
Ransomware is kwaadaardige software waarmee een crimineel probeert iemand geld afhandig te maken. Daarvoor heeft hij de beschikking over zowel locker ransomware als crypto ransomware. De eerste vergrendelt het geïnfecteerde apparaat, bijvoorbeeld een pc of smartphone, zodat het slachtoffer hier geen gebruik meer van kan maken. In het geval van crypto ransomware worden digitale documenten gegijzeld door deze te versleutelen. De eigenaar kan de bestanden daardoor niet meer openen. Als je de bestanden of het apparaat weer wilt gebruiken, moet je losgeld betalen. Pas dan krijg je – in de meeste gevallen – de mogelijkheid je bestanden te ontsleutelen. Het bedrag, vaak in bitcoins, moet veelal binnen een bepaalde termijn worden overgemaakt. Gebeurt dat niet, dan wordt de sleutel vernietigd en ben je de bestanden voorgoed kwijt.
De bedragen die neergeteld moeten worden, variëren van een paar tientjes tot duizenden euro’s. Dit alles het liefst in een ‘klantvriendelijke’ omgeving, want hoe makkelijker de betaalwijze, hoe eerder het slachtoffer geneigd is met het gevraagde bedrag over de brug te komen. Een deel van deze ransomware heeft zelfs een heuse klantenservice tot zijn beschikking. Hier kan de gedupeerde bijvoorbeeld uitleg krijgen over hoe hij aan bitcoins kan komen. Dat niet altijd het volledige bedrag hoeft te worden betaald, heeft onlangs een onderzoek van cyberbeveiligingsbedrijf F-Secure duidelijk gemaakt. Criminelen blijken vaak bereid te zijn het gevraagde bedrag te verlagen met gemiddeld 29 procent. Ook zijn ze genegen om de betaaltermijn te verlengen. Maar hoe je het ook wendt of keert: als het aan de ‘gijzelnemer’ ligt, moet je altijd betalen.
2 Wat is de schade van ransomware?
Voor de slachtoffers van ransomware zijn er géén opbrengsten. Integendeel, niet alleen zijn er de kosten voor het losgeld, ook zijn er kosten voor de periode waarin de data niet beschikbaar is. Dit is voor een particulier al vervelend, laat staan voor een bedrijf waar men de data nodig heeft om zijn werk te kunnen doen. Voor veel bedrijven is het langdurig geen beschikking hebben over bepaalde data dan ook genoeg reden om gehoor te geven aan de gestelde eisen. Zo betaalde een ziekenhuis in de Verenigde Staten begin dit jaar 40 bitcoins (ruim 15.000 euro) om ervoor te zorgen dat haar systemen na tien gijzelingsdagen weer beschikbaar kwamen. De schade als gevolg van deze gijzelingsacties wordt dit jaar alleen al voor de Verenigde Staten geschat op meer dan een miljard dollar.
De FBI vindt dat je maar het beste het gevraagde bedrag kunt betalen om weer over je data te kunnen beschikken. Maar de Nederlandse politie raadt het mensen juist ten zeerste af om aan de eisen toe te geven. De reden: je weet niet of de bestanden na betaling ook echt weer beschikbaar komen. In het ergste geval ben je dan niet alleen je data kwijt, maar ook nog eens een heleboel geld. Daarnaast werken deze betalingen verdere criminaliteit door ransomware alleen maar in de hand.
Vanuit het perspectief van de crimineel ligt dit verhaal natuurlijk geheel anders. Geschat wordt dat de totale inkomsten uit ransomware meer dan 24 miljoen dollar bedragen. Het wordt voor criminelen dus steeds interessanter om op deze manier makkelijk en snel geld te verdienen. Een beginneling kan tussen de 7.000 en 10.000 dollar per week verdienen met het rondsturen van ransomwareproducten die op internet verkrijgbaar zijn. Op de zwarte markt is ransomware ‘gewoon’ te koop of te huur als een service. Bijkomend voordeel is dat bitcoins als betaalmiddel worden gebruikt. Betalingen hiermee zijn in principe anoniem, waardoor het voor overheden lastig is om deze vorm van criminaliteit op te sporen en de daders te berechten.
3 Hoe kun je je beschermen tegen ransomware?
De beste bescherming tegen ransomware is dit eenvoudige advies: kijk goed waar je op klikt in de digitale wereld. Onbekende mailtjes, vreemde bijlagen en malafide sites blijven de grootste voedingsbodem voor ransomware.
Mocht je computer onverhoopt toch besmet zijn geraakt met deze vorm van malware, dan is het soms mogelijk deze te verwijderen met speciale programma’s. De Nederlandse politie is hiervoor, samen met Europol en beveiligingsbedrijven Kaspersky en Intel Security, het project No More Ransom gestart. Op nomoreransom.org zijn decryptieprogramma’s te vinden voor een aantal bekende ransomwarepakketten.
Een decryptieprogramma maken is overigens minder eenvoudig dan het lijkt. Dit komt doordat alle sleutels uniek zijn. Je kunt dus niet de sleutel gebruiken van iemand die wel betaald heeft. Door de encryptie van de sleutels is het onmogelijk om lukraak wat combinaties te proberen. Daarom is het, hoe cliché het ook klinkt, nog steeds aan te raden om te zorgen voor een goede backup. Wat hierbij voorkomen moet worden is dat de backup ook versleuteld wordt door de ransomware. Dit kun je doen door de backup los te koppelen van alle andere apparatuur of door gebruik te maken van versiebeheer zodat je altijd nog terug kunt naar een eerdere backup. Al met al blijft het beste advies toch om goed op te letten, want: voorkomen is altijd beter dan genezen.
Geschiedenis
De ransomewaretechniek lijkt een relatief nieuw fenomeen, maar niets is minder waar. Al in 1989 vond de eerste ransomware-aanval plaats. In dat jaar kregen 20.000 bezoekers van het WHO AIDS-congres een geïnfecteerde diskette mee naar huis. Als een besmette computer 90 keer was opgestart, trad het virus in werking. De slachtoffers moesten een envelop met 189 dollar sturen naar een postbusadres in Panama. Dit was het startpunt voor een lange reeks aan ransomwareaanvallen, die de laatste jaren exponentieel is toegenomen.
Daniël de Vette is redacteur van IP en SharePoint-consultant bij ShareValue.
Deze bijdrage komt uit IP nr. 9 / 2016. Het gehele nummer kun je hier lezen.