Ransomware heeft een groeispurt en dat is logisch

In de wereld van de ransomware gaat steeds meer geld om. Voor de vele aanbieders ervan blijft het een zeer lucratieve business en er komen steeds meer ‘unieke gepersonaliseerde of sleutelklare oplossingen’, aldus onderzoekers van beveiligingsbedrijf Carbon Black. Die vonden dat er honderden aanbieders zijn, meer dan veertigduizend verschillende ‘producten’ en dat er in een jaar tijd meer dan zes miljoen dollar mee gemoeid is. Dat bedrag is puur voor de malware, de winst die ransomware-makers en -aanbieders maken, ligt ‘nog vele malen hoger’. Volgens de onderzoekers zijn er criminelen die per jaar meer dan een ton verdienen met ransomware, maar ook aanbieders die nauwelijks quitte spelen. Ransomware is al te koop voor tien dollar, op maat gemaakte producten kosten zo’n 1400 dollar. Voor elke vraag is wel een product te koop, schrijft Carbon Black, waardoor de ransomware-economie nog steeds groeit. Sterker nog, ‘de optie dat betalingen over het Tor-netwerk moeten worden verricht heeft geleid tot een volledig gedecentraliseerd systeem dat slecht aangepakt kan worden door een traditionele, op regio gebaseerde opsporingsdienst’. Een belangrijke oorzaak van de groei is natuurlijk ook dat veel slachtoffers gewoon blijven betalen. Volgens een schatting van de FBI bedroeg dat bedrag wereldwijd in 2016 maar liefst een miljard dollar.

Advertenties

Site Nederlandse politie tegen ransomware internationaal succes

De site Nomoreransom.org, een jaar geleden opgericht door vooral de Nederlandse politie, is een groot succes. In een jaar tijd zijn al minstens 28 duizend mensen geholpen die hun computer moesten ontgrendelen na te zijn aangevallen met gijzelsoftware. De site (in 26 talen beschikbaar) werd 1,3 miljoen keer bekeken. Er zijn inmiddels 54 decryptieprogramma’s te vinden die ruim honderd varianten van ransomware kunnen neutraliseren. Dat aantal stijgt nog steeds, door goede samenwerking met andere politiediensten en beveiligingsbedrijven, zegt THTC-coördinator John Fokker. Hij adviseert slachtoffers altijd aangifte te doen – elk slachtoffer kan het ontbrekende deeltje ‘in onze puzzel zijn’ – maar ook om nooit te betalen. ‘Je weet echt niet zeker of je je bestanden terugkrijgt en je voedt ook ‘de machine’ waardoor een crimineel weet dan dat je iets te verliezen hebt’.

Zeker vijftien ziekenhuizen geïnfecteerd met ransomware

De afgelopen drie jaar zijn zeker vijftien Nederlandse ziekenhuizen aangevallen met ransomware, blijkt uit onderzoek van de NOS. In een daarvan werden maar liefst 75 computers geïnfecteerd. Beveiligingsexperts spreken van ‘een ernstig signaal’. Ransomware wordt gezien als een schot hagel en een toevalstreffer. ‘Kun je nagaan wat er gebeurt als hackers gericht een Nederlands ziekenhuis proberen te treffen’. Voorzitter Yvonne van Rooy van de Nederlandse Vereniging van Ziekenhuizen zegt dat er de afgelopen jaren door bezuinigingen te weinig aandacht voor ict was. Zo maken 14 van de 25 ondervraagde ziekenhuizen nog steeds gebruik van Windows XP dat al sinds april 2014 niet meer wordt ondersteund. Tja … zoals een ziekenhuisdirecteur zei: ‘”Ik geef liever geld uit aan verpleegkundigen dan aan firewalls en virusscanners, maar je ontkomt er niet aan.”

“Het aanschaffen van ransomware is te eenvoudig”

Cybercrime kende lange tijd twee belemmeringen, schrijft Dutch Cowboys. Je moest flink wat technische kennis hebben en ook nog eens gestolen spullen ‘te gelde kunnen maken’. De opkomst van de bitcoin heeft dat veranderd: middelen kunnen anoniem verstuurd worden en het darkweb is dé oplossing voor een gebrek aan technische kennis. Wat je ook maar wilt, een ransomware aanval, een exploit kits, een bitcoin stealer, of een setje ‘vers gestolen’ creditcards – het is allemaal te koop. Voor weinig. Daardoor ontstond een tweedeling in cybercrimewereld: de ene bende levert technische kennis, de andere bende voert de aanvallen uit. Cybercrime as a service, wordt dat genoemd. De marktplaatsen van het darkweb bieden het allemaal aan: tot en met promotiefilmpjes en reviews van pakketten met ransomware. Zo valt te lezen dat Philedelphia Ransomware, een recent pakket, op AlphaBay in een goed half jaar al meer dan 25.000 keer verkocht is.

Cyberaanval, ransomware en bitcoins

Van ziekenhuizen in Engeland tot parkeergarages in Nederland – zeker tweehonderdduizend bedrijven en instellingen in honderdvijftig landen zijn het afgelopen weekend getroffen door de cyberaanval met de ransomware Wannacry. Opvallend is dat het virus feitelijk gestolen is bij de Amerikaanse inlichtingendienst NSA. Opvallend is ook hoe de aanval gestopt is: een Brit zag in de code een domeinnaam staan die werd gebruikt als ‘geheime uitknop’. Voor een paar euro registreerde hij die domeinnaam waardoor de malware niet meer werkte. Hoe dan ook, het bleek weer eens tamelijk gemakkelijk om met ict veel ellende te veroorzaken. De software is vaak voor weinig te koop, veel organisaties hebben hun apparatuur slecht beveiligd of al jarenlang niet bijgewerkt, er werken bovendien heel veel mensen waarvan er maar één hoeft te zijn die ergens op doorklikt, en veel slachtoffers zijn geneigd meteen te betalen. Critici wijzen ook op de rol van overheden. Die overheden weten niet zo goed wat ze met internetcriminaliteit aan moeten, stelt bijvoorbeeld hoogleraar cybersecurity Jan van den Berg (TU Delft). ‘Terwijl de technologie razendsnel oprukt, hebben wij steevast te laat door wat de risico’s ervan zijn’. Hij ziet een belangrijke taak voor ouders, scholen en de overheid. ‘Maar we moeten ook leren accepteren dat internetcriminaliteit nu eenmaal onlosmakelijk verbonden is geraakt met onze samenleving. Ook in cyberspace hoort een tegenslag af en toe er nu eenmaal bij’.
Een nieuw rapport over de Nederlandse cyberveiligheid bepleit meer investeringen hierin. Nederland heeft weliswaar een heldere visie en de juiste strategieën maar ‘investeert niet genoeg om de ambities waar te maken’.
Overigens blijkt uit open bronnen onderzoek dat de opbrengsten in slechts drie wallets belandden.

Tweede Kamer getroffen door gijzelsoftware

Het kan de beste overkomen … In de Tweede Kamer is ransomware aangetroffen. Techsite Tweakers schrijft dat de ransomware bestanden wist te versleutelen, dat de ict-dienst daarop alle mail blokkeerde en Kamerleden en -medewerkers adviseerde om bijlagen over ‘een factuur’ niet te openen. Er zijn ‘passende maatregelen’ genomen maar die zijn ‘vanwege de veiligheid’ niet bekend gemaakt. Blijkbaar heeft iemand een mail geopend met een factuur000000.doc bestand waarna de ransomware zich installeerde op het hele netwerk.

Al 75 duizend slachtoffers van ransomware geholpen

Politie en ICT-beveiligingsbedrijven hebben in een half jaar tijd meer dan 75 duizend slachtoffers van ransomware kunnen helpen. Sinds augustus 2016 draait de website
Nomoreransom.org, waarbij inmiddels politiediensten uit 25 landen aangesloten zijn. Betrokkenen noemen het aantal ‘bevrijde’ computers een ‘belangrijke opsteker’ in de strijd tegen cybercriminelen.

Geavanceerde ransomware bepaalt losgeldbedrag per slachtoffer

Waar ransomware voorheen aan verschillende slachtoffers hetzelfde bedrag vroeg, is er nu gijzelsoftware waarbij de hoogte van het losgeld kan variëren. De ransomware Spora, vooralsnog gericht op Russische gebruikers, maakt onderscheid tussen zakelijke gebruikers en gewone consumenten, schrijft de site Bleeping Computer. Spora besmet bestanden waarna de gebruiker met een Tor-browser naar een beveiligde site moet. Daar bepaalt de software wat het losgeld is: 79 dollar of 280 dollar, uiteraard te betalen in bitcoins.

“Nadrukkelijke rol” van misbruik van bitcoins bij witwassen en cybercrime

Het gebruik van bitcoins door cybercriminelen heeft de afgelopen twee jaar een grote vlucht genomen, schrijft het WODC in een (vlak voor kerstmis verschenen) rapport over witwassen en cybercrime. Bij ransomware zijn bitcoins hét betalingsmiddel, bij het witwassen van de opbrengsten van banking malware worden behalve bitcoins ook veel andere digitale betalingsmiddelen gebruikt. Het rapport gaat ook in op de rol van geldezels – money mules – en beschrijft verder hoe lastig het is om verdachten op te sporen en te vervolgen. De auteurs wijzen op de rol van een goede ‘cyberhygiëne’: een strak wachtwoordbeleid, geüpdate systemen en continue alertheid bij zowel burgers, instellingen en bedrijven.

‘Mensen maken zich te weinig zorgen over digitale veiligheid’

Omdat veel mensen niet alert genoeg zijn op hun ‘digitale veiligheid’, begint de overheid een nieuwe campagne Alert Online. Uit onderzoek blijkt dat meer dan de helft van de mensen denkt dat ze in een phishing-mail trappen, terwijl de praktijk leert dat 70% slachtoffer wordt dan wel iemand kent die slachtoffer is geworden. Hetzelfde geldt voor virussen: de helft denkt dat het wel meevalt, terwijl 40% erdoor getroffen wordt. Mensen blijken verder maar weinig maatregelen te nemen om zich tegen ransomware te beschermen. Zo maakt de helft van de ondervraagden geen automatische updates of back-ups.

Politie haalt server offline die computers gijzelt

Het Team High Tech Crime van de politie heeft een server offline gehaald waarmee ransomware werd verspreid. De internetcriminelen wisten de computers van argeloze internetters te vergrendelen door het zogeheten Wildfire-virus los te laten. In Nederland en België werden zo bijna zesduizend slachtoffer gemaakt. 236 van hen betaalden in totaal 70 mille om hun computers weer te ontgrendelen. Alle slachtoffers krijgen bericht dat ze hun computers weer aan de praten kunnen krijgen via de website Nomoreransom.org. Deze site is sinds een maandje in de lucht en al bijna driehonderd duizend keer bezocht.

Politie en Europol gaan slachtoffers gijzelvirussen helpen

De Nederlandse politie en Europol hebben een speciale website opgezet voor slachtoffers van ransomware. Virussen van dat type maken computerbestanden ontoegankelijk. Totdat betaald wordt … Op de site No More Ransom vinden slachtoffers sinds deze week tips en programmaatjes om de bestanden toch weer te kunnen bereiken, zonder te betalen. Volgens Europol is deze oplossing niet waterdicht en is het veel belangrijker dat computergebruikers goed opletten op internet. Het belangrijkste advies is verder om vooral niet te betalen. De programmaatjes werken overigens alleen voor ransomware waarvan de encryptiesleutel bekend is. Ze zijn ontwikkeld door chipfabrikant Intel en beveiliger Kaspersky. Nederland zou wereldwijd op een vierde plek staan bij ransomware-besmettingen; elke tien dagen zou een Nederlandse overheidsinstelling aangevallen worden.

“Ransomware kan voor file van slimme auto’s zorgen”

Beveiliger FireEye waarschuwt voor de gevaren van auto’s die aan internet verbonden zijn. Drie dreigingen zijn zorgwekkend, zeggen onderzoekers van het bedrijf. Behalve het hacken van het voertuig, of onderdelen daarvan, en het gebruik van (groepen) gehackte auto’s als springplank voor verdere aanvallen, gaat het ook over ransomware. Hoe meer connectiviteit in de auto, hoe aantrekkelijker die auto voor ransomware. Zo kan een groep uitgeschakelde auto’s op een drukke snelweg een file veroorzaken, aldus de onderzoekers. Met alle gevolgen van dien: ‘betaal en de file wordt opgelost’. Transportbedrijven zijn extra interessant voor zulke ransomware, als criminelen bijvoorbeeld vrachtwagens vergrendelen.

Politie luidt noodklok over beschikbaarheid hacksoftware

Het is de politie ‘een doorn in het oog’ dat het steeds gemakkelijker wordt om software aan te schaffen waarmee cybercrime kan worden gepleegd. In De Telegraaf zegt Rob van Bree, portefeuillehouder Intensivering Aanpak Cybercrime van de Nationale Politie, dat het aanbod ‘zorgen baart’. Software om te hacken, te phishen of ransomware – het is overal verkrijgbaar, steeds goedkoper en steeds makkelijker. ‘Vroeger moest je die software zelf bouwen, nu kun je het op internet kopen’. Ook Inge Philips, plaatsvervangend hoofd van de landelijke recherche, noemt de situatie zorgwekkend. De politie pleit al langer voor meer opsporingsmogelijkheden voor cybercrime, die mogelijk worden geregeld met de Wet Computercriminaliteit III . Critici vrezen dat deze wet de politie de bevoegdheid zou geven om ‘terug te hacken’, maar dat is het niet, zegt Philips. ‘Het is niets anders dan een reguliere inval van een arrestatieteam’.

Spectaculaire stijging ransomware

Beveiliger Trend Micro meldt in een blog een ‘spectaculaire’ stijging van ransomware. In het eerste kwartaal van 2016 werd een vervijfvoudiging van het aantal gevallen genoteerd; in februari ging het zelfs om evenveel gevallen als in de laatste zes maanden van 2015. In Nederland zijn volgens het blog verschillende ransomware virussen actief. Behalve de al bekende Cryptolocker gaat het om virussen als CryptoFortress, Cryptowall en CTB-locker. Een andere beveiliger, Data Recovery Nederland, meldde al eerder dat bedrijven en organisaties ‘grif bereid’ zijn te betalen: in 25 van 28 onderzochte besmettingen werd betaald.