Cyberaanval, ransomware en bitcoins

Van ziekenhuizen in Engeland tot parkeergarages in Nederland – zeker tweehonderdduizend bedrijven en instellingen in honderdvijftig landen zijn het afgelopen weekend getroffen door de cyberaanval met de ransomware Wannacry. Opvallend is dat het virus feitelijk gestolen is bij de Amerikaanse inlichtingendienst NSA. Opvallend is ook hoe de aanval gestopt is: een Brit zag in de code een domeinnaam staan die werd gebruikt als ‘geheime uitknop’. Voor een paar euro registreerde hij die domeinnaam waardoor de malware niet meer werkte. Hoe dan ook, het bleek weer eens tamelijk gemakkelijk om met ict veel ellende te veroorzaken. De software is vaak voor weinig te koop, veel organisaties hebben hun apparatuur slecht beveiligd of al jarenlang niet bijgewerkt, er werken bovendien heel veel mensen waarvan er maar één hoeft te zijn die ergens op doorklikt, en veel slachtoffers zijn geneigd meteen te betalen. Critici wijzen ook op de rol van overheden. Die overheden weten niet zo goed wat ze met internetcriminaliteit aan moeten, stelt bijvoorbeeld hoogleraar cybersecurity Jan van den Berg (TU Delft). ‘Terwijl de technologie razendsnel oprukt, hebben wij steevast te laat door wat de risico’s ervan zijn’. Hij ziet een belangrijke taak voor ouders, scholen en de overheid. ‘Maar we moeten ook leren accepteren dat internetcriminaliteit nu eenmaal onlosmakelijk verbonden is geraakt met onze samenleving. Ook in cyberspace hoort een tegenslag af en toe er nu eenmaal bij’.
Een nieuw rapport over de Nederlandse cyberveiligheid bepleit meer investeringen hierin. Nederland heeft weliswaar een heldere visie en de juiste strategieën maar ‘investeert niet genoeg om de ambities waar te maken’.
Overigens blijkt uit open bronnen onderzoek dat de opbrengsten in slechts drie wallets belandden.

Tweede Kamer getroffen door gijzelsoftware

Het kan de beste overkomen … In de Tweede Kamer is ransomware aangetroffen. Techsite Tweakers schrijft dat de ransomware bestanden wist te versleutelen, dat de ict-dienst daarop alle mail blokkeerde en Kamerleden en -medewerkers adviseerde om bijlagen over ‘een factuur’ niet te openen. Er zijn ‘passende maatregelen’ genomen maar die zijn ‘vanwege de veiligheid’ niet bekend gemaakt. Blijkbaar heeft iemand een mail geopend met een factuur000000.doc bestand waarna de ransomware zich installeerde op het hele netwerk.

Al 75 duizend slachtoffers van ransomware geholpen

Politie en ICT-beveiligingsbedrijven hebben in een half jaar tijd meer dan 75 duizend slachtoffers van ransomware kunnen helpen. Sinds augustus 2016 draait de website
Nomoreransom.org, waarbij inmiddels politiediensten uit 25 landen aangesloten zijn. Betrokkenen noemen het aantal ‘bevrijde’ computers een ‘belangrijke opsteker’ in de strijd tegen cybercriminelen.

Geavanceerde ransomware bepaalt losgeldbedrag per slachtoffer

Waar ransomware voorheen aan verschillende slachtoffers hetzelfde bedrag vroeg, is er nu gijzelsoftware waarbij de hoogte van het losgeld kan variëren. De ransomware Spora, vooralsnog gericht op Russische gebruikers, maakt onderscheid tussen zakelijke gebruikers en gewone consumenten, schrijft de site Bleeping Computer. Spora besmet bestanden waarna de gebruiker met een Tor-browser naar een beveiligde site moet. Daar bepaalt de software wat het losgeld is: 79 dollar of 280 dollar, uiteraard te betalen in bitcoins.

“Nadrukkelijke rol” van misbruik van bitcoins bij witwassen en cybercrime

Het gebruik van bitcoins door cybercriminelen heeft de afgelopen twee jaar een grote vlucht genomen, schrijft het WODC in een (vlak voor kerstmis verschenen) rapport over witwassen en cybercrime. Bij ransomware zijn bitcoins hét betalingsmiddel, bij het witwassen van de opbrengsten van banking malware worden behalve bitcoins ook veel andere digitale betalingsmiddelen gebruikt. Het rapport gaat ook in op de rol van geldezels – money mules – en beschrijft verder hoe lastig het is om verdachten op te sporen en te vervolgen. De auteurs wijzen op de rol van een goede ‘cyberhygiëne’: een strak wachtwoordbeleid, geüpdate systemen en continue alertheid bij zowel burgers, instellingen en bedrijven.

‘Mensen maken zich te weinig zorgen over digitale veiligheid’

Omdat veel mensen niet alert genoeg zijn op hun ‘digitale veiligheid’, begint de overheid een nieuwe campagne Alert Online. Uit onderzoek blijkt dat meer dan de helft van de mensen denkt dat ze in een phishing-mail trappen, terwijl de praktijk leert dat 70% slachtoffer wordt dan wel iemand kent die slachtoffer is geworden. Hetzelfde geldt voor virussen: de helft denkt dat het wel meevalt, terwijl 40% erdoor getroffen wordt. Mensen blijken verder maar weinig maatregelen te nemen om zich tegen ransomware te beschermen. Zo maakt de helft van de ondervraagden geen automatische updates of back-ups.

Politie haalt server offline die computers gijzelt

Het Team High Tech Crime van de politie heeft een server offline gehaald waarmee ransomware werd verspreid. De internetcriminelen wisten de computers van argeloze internetters te vergrendelen door het zogeheten Wildfire-virus los te laten. In Nederland en België werden zo bijna zesduizend slachtoffer gemaakt. 236 van hen betaalden in totaal 70 mille om hun computers weer te ontgrendelen. Alle slachtoffers krijgen bericht dat ze hun computers weer aan de praten kunnen krijgen via de website Nomoreransom.org. Deze site is sinds een maandje in de lucht en al bijna driehonderd duizend keer bezocht.

Politie en Europol gaan slachtoffers gijzelvirussen helpen

De Nederlandse politie en Europol hebben een speciale website opgezet voor slachtoffers van ransomware. Virussen van dat type maken computerbestanden ontoegankelijk. Totdat betaald wordt … Op de site No More Ransom vinden slachtoffers sinds deze week tips en programmaatjes om de bestanden toch weer te kunnen bereiken, zonder te betalen. Volgens Europol is deze oplossing niet waterdicht en is het veel belangrijker dat computergebruikers goed opletten op internet. Het belangrijkste advies is verder om vooral niet te betalen. De programmaatjes werken overigens alleen voor ransomware waarvan de encryptiesleutel bekend is. Ze zijn ontwikkeld door chipfabrikant Intel en beveiliger Kaspersky. Nederland zou wereldwijd op een vierde plek staan bij ransomware-besmettingen; elke tien dagen zou een Nederlandse overheidsinstelling aangevallen worden.

“Ransomware kan voor file van slimme auto’s zorgen”

Beveiliger FireEye waarschuwt voor de gevaren van auto’s die aan internet verbonden zijn. Drie dreigingen zijn zorgwekkend, zeggen onderzoekers van het bedrijf. Behalve het hacken van het voertuig, of onderdelen daarvan, en het gebruik van (groepen) gehackte auto’s als springplank voor verdere aanvallen, gaat het ook over ransomware. Hoe meer connectiviteit in de auto, hoe aantrekkelijker die auto voor ransomware. Zo kan een groep uitgeschakelde auto’s op een drukke snelweg een file veroorzaken, aldus de onderzoekers. Met alle gevolgen van dien: ‘betaal en de file wordt opgelost’. Transportbedrijven zijn extra interessant voor zulke ransomware, als criminelen bijvoorbeeld vrachtwagens vergrendelen.

Politie luidt noodklok over beschikbaarheid hacksoftware

Het is de politie ‘een doorn in het oog’ dat het steeds gemakkelijker wordt om software aan te schaffen waarmee cybercrime kan worden gepleegd. In De Telegraaf zegt Rob van Bree, portefeuillehouder Intensivering Aanpak Cybercrime van de Nationale Politie, dat het aanbod ‘zorgen baart’. Software om te hacken, te phishen of ransomware – het is overal verkrijgbaar, steeds goedkoper en steeds makkelijker. ‘Vroeger moest je die software zelf bouwen, nu kun je het op internet kopen’. Ook Inge Philips, plaatsvervangend hoofd van de landelijke recherche, noemt de situatie zorgwekkend. De politie pleit al langer voor meer opsporingsmogelijkheden voor cybercrime, die mogelijk worden geregeld met de Wet Computercriminaliteit III . Critici vrezen dat deze wet de politie de bevoegdheid zou geven om ‘terug te hacken’, maar dat is het niet, zegt Philips. ‘Het is niets anders dan een reguliere inval van een arrestatieteam’.

Spectaculaire stijging ransomware

Beveiliger Trend Micro meldt in een blog een ‘spectaculaire’ stijging van ransomware. In het eerste kwartaal van 2016 werd een vervijfvoudiging van het aantal gevallen genoteerd; in februari ging het zelfs om evenveel gevallen als in de laatste zes maanden van 2015. In Nederland zijn volgens het blog verschillende ransomware virussen actief. Behalve de al bekende Cryptolocker gaat het om virussen als CryptoFortress, Cryptowall en CTB-locker. Een andere beveiliger, Data Recovery Nederland, meldde al eerder dat bedrijven en organisaties ‘grif bereid’ zijn te betalen: in 25 van 28 onderzochte besmettingen werd betaald.

Nederlanders getroffen door besmette advertenties

Fanatieke pornokijkers hebben er wellicht al mee te maken gehad, ransomware die wordt verspreid met zogeheten pop-under advertenties. Volgens beveiliger Malwarebytes is een onbekend aantal Nederlanders getroffen door deze nieuwe variant, waarbij áchter het geopende browservenster een advertentievenster wordt geopend. Vooral gebruikers met oudere Flash Players lopen risico: als ze het advertentievenster willen sluiten, blijken ze met ransomware besmet. Malwarebytes registreerde dit jaar al meerdere aanvallen waarbij naast Spaanse vooral Nederlandse gebruikers zijn getroffen. Wie een up-to-date Flash Player gebruikt, loopt geen risico, zegt het bedrijf.

Nieuwe dienst maakt online afpersing eenvoudig toegankelijk

Iemand afpersen met ransomware? Voor eenmalig vijftig dollar is bij de nieuwe CryptoLocker Service de daarvoor benodigde malware te koop. Bij de koop kan de afperser aangeven hoeveel slachtoffers moeten betalen om weer toegang tot hun bestanden te krijgen. Aanbevolen wordt een bedrag van 200 dollar. De dienst incasseert tien procent van de opbrengst, die in bitcoins uitbetaald zal worden aan de opdrachtgever, schrijft beveiliger Trend Micro. Trend Micro. Achter de nieuwe dienst zit ‘Fakben’, die ooit de illegale tor-marktplaats Evolution beheerde. Eerder voorspelde Trend Micro en andere beveiligers voor 2016 al een stijging van het aantal ransomware-aanvallen.

Honderden pc’s gegijzeld om losgeld

De politie heeft twee mannen (18 en 22, uit Amersfoort) opgepakt op verdenking van grootschalige cybercrime. De twee verdachten verstuurden ransomware; circa 1500 computers gingen ‘op slot’. Wie niet betaalde, verloor foto’s, documenten of muziekbestanden, zegt onderzoeker Jornt van der Wiel van beveiliger Kaspersky Lab. Hij hielp de politie bij het opsporen van de verdachten die als losgeld iedere keer één bitcoin eisten, toen ongeveer tweehonderd euro waard. Het duo maakte slachtoffers in Nederland, de VS, Duitsland
en Groot-Brittanië. Ze begonnen in 2014 met een simpel virus en hoewel dat steeds beter werd, is hun ‘nooit écht professioneel’ geworden. ‘Iedereen met verstand van computers en een slecht geweten zou het moeten kunnen maken’. Volgens Van der Wiel heeft een deel van de slachtoffers betaald. Hij wist de verdachten relatief snel op te sporen, omdat hun taalgebruik ze verraadde. ‘In het programmaatje stonden zinnen in foutloos Nederlands, dus dan weet je waar
je moet zoeken’.

Frauduleuze e-mails Intrum Justitia verspreiden ransomware

En wéér is Intrum Justitia, een incassobureau in Den Haag, slachtoffer van phishing. Criminelen gebruiken naam en logo van het bedrijf in een advertentie die natuurlijk ransomware bevat. Hoewel de taal in zulke mails steeds meer op echt Nederlands lijkt, valt ook in deze advertentie het kromme taalgebruik op. ‘Wij stellen u hierbij de gelegenheid …’ Ook het feit dat het geld, 93,50 euro ‘met rente’, moet worden overgemaakt naar de ‘St Derdengeleden’ valt natuurlijk op. HOe dan ook, de naam van Intrum werd vorig jaar ook al misbruikt. Ook de Belgische afdeling van Intrum Justitia is slachtoffer.  Het bedrijf heeft aangifte gedaan.