Cryptoware neemt toe in Nederland

De hoeveelheid ransomware (en cryptoware) groeit verder en kan voor veel overlast zorgen. Dat blijkt uit het Cyber Security Beeld Nederland (CSBN), dat staatssecretaris Dijkhoff deze naar de Tweede Kamer stuurde.

Het Team High Tech Crime (THTC) van de politie ziet dat de opkomst van cryptoware in Nederland, die in het vorige rapport al werd voorspeld, werkelijkheid is geworden. Verschillende cryptoware­campagnes, zoals Critroni/CTB­Locker, Cryptolocker en Cryptowall, maakten in de afgelopen periode Nederlandse slachtoffers. Dat blijkt uit aangiftes bij de Nederlandse politie.

Van de 75 aangevers waarvan bekend is of ze wel of niet hebben betaald, heeft circa tien procent het losgeld betaald. Dit percentage is internationaal gezien vrij hoog. Dat het aantal aangiftes laag is ten opzichte van het aantal besmettingen wordt duidelijk door de casus Coinvault. Ongeveer 1,5 procent van de slachtoffers betaalde in dat geval losgeld. Mogelijk zijn slachtoffers die betaald hebben gemotiveerder om aangifte te doen dan slachtoffers die niet betaald hebben.

Nieuwe varianten van dit type malware verschijnen frequent en de opbrengsten die criminelen realiseren zijn hoog. Zo wees een analyse van bitcoinbetalingen door Fox­IT uit dat de makers van de TorrentLocker­ransomware vermoedelijk ruim 250.000 euro verdienden met hun criminele praktijken, afkomstig van minimaal 653 slachtoffers. Vermoedelijk is de opbrengst van een betaling dus enkele honderden euro’s per persoon.

Vanwege de financiële beloning verbeteren criminelen continu hun malware en hun aanpak om zodoende het succes ervan – en de inkomsten die ermee gepaard gaan – verder te laten groeien.

De ontwikkelaars van ransomware maakten in het verleden nog wel eens technische fouten. Daardoor was het bijvoorbeeld mogelijk om versleutelde bestanden terug te krijgen via een sleutel die achterbleef op het systeem of via schaduwkopieën van Windows. In nieuwere versies van ransomware kan dit niet meer en is het slachtoffer aangewezen op back­ups of veroordeeld tot het betalen van het bedrag aan de crimineel dat veelal varieert tussen de 100 en 700 euro.

Via diverse hulpmiddelen proberen de criminelen achter ransomware de herleidbaarheid van individuen en de technische infrastructuur achter deze infrastructuur te verminderen. Zij maken meer gebruik van anonimiseringsnetwerken als Tor voor netwerkcommunicatie en van bitcoin of andere crypto currency’s
voor het innen van het gevraagde bedrag.

Zo maakt Critroni, ransomware die door cybercriminelen online te koop wordt aangeboden voor een bedrag van rond de 1500 dollar, gebruik van Tor voor communicatie met de servers van de crimineel. Als het slachtoffer geen Tor­software op zijn systeem heeft geïnstalleerd, maakt de malware automatisch verbinding met een online Tor­browser om de verbinding alsnog tot stand te kunnen brengen.

Criminelen willen nieuwe doelgroepen aanvallen met hun ransomware en daarmee meer effect sorteren. Dat blijkt uit het aanvallen van meer besturingssystemen (inclusief mobiele platformen) en het aanvallen van zakelijke gebruikers, naast de groep consumenten die al langer slachtoffer is.

Naast het versleutelen van bestanden op het systeem, vergrendelen aanvallers ook bestanden op bijvoorbeeld SD­kaarten, USB­sticks en netwerkbronnen, zelfs als deze netwerkbronnen niet gekoppeld zijn aan het systeem van de gebruiker.136

Een bijzondere vorm van cryptoware, Ransomweb, nestelt zich via een kwetsbaarheid op webservers. Daarna versleutelt het ongemerkt informatie in de database van deze website gedurende een langere tijd (bijvoorbeeld zes maanden) en ontsleutelt die weer op basis van een geheime sleutel. Voor opslag van deze sleutel gebruikt de crimineel een externe server die onder zijn controle staat.

Na een bepaalde periode verwijdert de aanvaller deze externe sleutel en is de informatie in de database niet meer toegankelijk. Dan pas komt de eigenaar erachter dat delen van de database – en de back­ups hiervan – niet meer leesbaar zijn. Uiteraard beloven de criminelen ook hier de eigenaar van de website om de sleutel te geven na betaling van het geëiste geldbedrag.

De manier waarop cybercriminelen hun slachtoffers besmetten met ransomware varieert. In veel gevallen reageren slachtoffers op e­mails uit naam van bekende bedrijven. In die e­mails verleiden ze de gebruiker om een geïnfecteerd bestand te openen of een malafide website te bezoeken. Daarnaast is bekend dat criminelen uit naam van Microsoft in sommige gevallen telefonisch contact opnemen en ransomware verspreiden via malafide bestanden in nieuwsgroepen.

Het probleem van ransomware zal de komende periode vermoedelijk groeien, aldus de onderzoekers, omdat het gijzelen van systemen of data tot nu toe succesvol is en op alle digitale systemen is toe te passen. De aanpak van cryptoware blijft een aandachtspunt. De geheime sleutel, die nodig is om bestanden en toegang te kunnen herstellen, is meestal alleen te verkrijgen door criminelen te betalen.

In enkele gevallen achterhaalden private organisaties sleutels, waardoor slachtoffers zonder betaling hun bestanden konden ontsleutelen. Zo gaven Fox­IT en Kaspersky Lab geheime sleutels terug aan slachtoffers. Fox­IT deed dit door het kraken van het algoritme van de sleutels van Cryptolocker en Kaspersky Lab door het ontsluiten van sleutels die werden aangetroffen op de server van een crimineel. Preventie door middel van back­ups blijft echter de belangrijkste maatregel om de potentiële schade door ransomware te beperken.

Het volledige rapport is hier te downloaden