Crypto-ransomware: cybercrime 3.0

In februari alleen werden in de Benelux al meer ransomware-infecties ontdekt dan in de laatste zes maanden van vorig jaar samen. En dat aantal groeit dagelijks. Met dank aan de steeds creatiever wordende cybercrimineel. Desondanks gloort er licht aan de horizon.

Ransomware, ook wel bekend als het gijzelvirus, ontwikkelt zich in hoog tempo tot de meest lucratieve vorm van cybercrime. Want dit virus versleutelt computerbestanden zodanig dat ze alleen nog tegen betaling toegankelijk zijn. Er wordt jaarlijks naar schatting al vele tientallen miljoenen dollars mee verdiend. Alleen de CryptoWall-ransomware zou volgens de FBI in een jaar tijd al achttien miljoen dollar hebben opgebracht. Veel bedrijven besluiten namelijk uiteindelijk toch te betalen, omdat de schade anders vele malen groter is.

Opmerkelijk was het advies van FBI’s special agent Joseph Bonavolonta vorig jaar op de Cyber Security Summit in Boston. Die adviseerde met zoveel woorden om maar gewoon te betalen. De encryptie is vaak zo sterk dat er ook voor online beveiligers geen manier is om de verloren bestanden terug te halen. Vanwege de geringe weerstand neemt het aantal slachtoffers ook toe: eerder dit jaar werden al enkele Duitse ziekenhuizen het slachtoffer van ransomware.

Hun oplossing was nogal drastisch: de ziekenhuizen gingen offline. Hierdoor verliep de communicatie weer gewoon via telefoon, fax en pen en papier. Omdat er elke nacht back-ups werden gemaakt, was er niet veel data verloren gegaan, maar honderden servers en apparaten moesten desondanks worden opgeschoond. Een ziekenhuis in Los Angeles heeft onlangs zelfs zeventienduizend dollar moeten betalen om weer toegang te krijgen tot pc’s. De dreiging die van dergelijke ransomware uitgaat, is inmiddels zo ernstig dat de Verenigde Staten en Canada een gezamenlijke waarschuwing publiceerden.

As-a-service
De trend staat niet op zichzelf. Cybercrime ‘verzakelijkt’ in hoog tempo. In het verleden werden virussen hoofdzakelijk verspreid om pc’s te ontwrichten, maar had de maker er verder nauwelijks voordeel van, behalve ‘erkenning’. Langzamerhand is de nadruk komen te liggen op verdienmodellen. Het afpersen van bedrijven met DDOS-aanvallen is daar niet echt geschikt voor, technische oplossingen zorgen namelijk dat die aanvallen steeds beter kunnen worden afgeweerd.

Inmiddels is ook phishing op de terugtocht. Het hengelen naar inloggegevens is, met zo’n drie miljoen euro aan schade in Nederland alleen al, weliswaar nog steeds de grootste schadepost bij internetbankieren, maar is vorig jaar verder gedaald. Dankzij de tweetrapsautorisatie is het namelijk vrijwel onmogelijk om met gestolen inloggegevens daadwerkelijk geld naar een andere rekening over te maken. Ransomware kent dat bezwaar echter niet. Een beetje slim programmeren en je hebt al snel beet.

Ransomware is overigens niet nieuw. De eerste lichting die als zodanig werd aangemerkt, verscheen in 2005 en luisterde naar de naam Trojan.Gpcoder. Inmiddels treffen beveiligers iedere dag wel nieuwe vormen aan. Mede dankzij de anonieme Bitcoin die het betalen van losgeld wel heel eenvoudig maakt. Er is daarbij een sterke verschuiving te zien van traditionele ransomware naar crypto-ransomware. Traditionele ransomware blokkeerde bijvoorbeeld schermen, zodat gebruikers zouden betalen om weer toegang te krijgen. En zogenoemde politie-trojans dreigden met een arrestatie of boetes. Na de eerste schrik werkte dat niet meer. Vandaag de dag mikken cybercriminelen dan ook met crypto-ransomware op het waardevolste deel van een systeem: de data. De cybermisdadigers versleutelen deze en dreigen de data zelfs publiekelijk te maken wanneer er geen ‘losgeld’ in bitcoins wordt betaald.

Sinds kort is er zelfs een nieuw fenomeen gespot, genaamd ransomware-as-a-service. Zelf programmeren is daarbij niet meer nodig, de aanvallers hoeven met aangepaste ransomware alleen maar een slimme manier te verzinnen om die te verspreiden. En dat gaat snel. Ook in de Benelux. Twee jaar geleden was het aandeel van crypto-ransomware slechts vier procent van het totale aantal ransomwarebesmettingen. In de eerste twee maanden van dit jaar schommelde het aandeel al rond de 98 procent.

Tikfouten
De daders worden zelden gepakt. Vorig jaar wist de Nederlandse politie bij hoge uitzondering twee mannen uit Amersfoort te arresteren, omdat ze sporen hadden achtergelaten in het virus met de naam CoinVault. “Het is laaghangend fruit voor criminelen”, zegt Albert Kramer, Technical Director Continental Europe bij online beveiliger Trend Micro. “Het grijpt echt om zich heen. Wij hebben wereldwijd al dertienhonderd hulpverzoeken gekregen.”

“Ransomware werkt erg effectief”, zegt Pieter Lacroix, Managing Director van online beveiliger Sophos. “Mensen zijn nu eenmaal nieuwsgierig en openen een Word-document dat ze per e-mail krijgen toegestuurd. Meestal is het dan al te laat.” Volgens Lacroix zijn Nederlanders inmiddels wel voorzichtig geworden met het openen van verdachte zipbestanden, “Maar een Word-document ziet er vertrouwelijk uit. Bovendien worden criminelen steeds beter. Minder tikfouten in mailtjes, die ook nog eens aan jou persoonlijk zijn gericht. We staan in de Top 5 van landen met de meeste infecties.”

“De mensen die zich nu op ransomware storten, doen het voor het snelle geld. Dat hoeven niet altijd professionals te zijn”, zegt Radboud Beumer, Senior Regional Director Benelux voor Intel Security. “De overlast is er echter niet minder om. Want wat de slachtoffers zich vaak niet realiseren, is dat alles wordt versleuteld”, vult Lacroix aan. “Ook de externe harde schijf voor de back-ups. Wij kunnen wel tegen klanten zeggen dat ze niet moeten betalen, maar als al je babyfoto’s zijn versleuteld, heb je daar veel geld voor over. En de bedragen zijn steeds verder omhooggegaan. Eerst ging het om honderd dollar, nu vaak om duizend of meer. Daarnaast geven afpersers hun slachtoffers steeds minder tijd. Als je niet binnen 24 uur reageert, worden de encryptiesleutels vernietigd. Het feit dat de politie uit Massachusetts na een infectie ruim 750.000 dollar heeft betaald om de eigen data weer in handen te krijgen, toont wel aan hoe effectief het is.”

Adblockers
Aan originaliteit geen gebrek. De meeste ransomware maakt voor het versleutelen van bestanden gebruik van niet te kraken encryptiealgoritmes, maar er duiken ook andere varianten op. Eentje maakt bijvoorbeeld gebruik van het gratis archiveringsprogramma 7-Zip. Het versleutelproces kan onder Windows tijdig gestopt worden, maar pechvogels betalen daarvoor tweehonderd euro.

Een nieuwe variant van de TeslaCrypt-ransomware versleutelt games van spelontwikkelaar Bethesda voor losgeld. Het is een van de weinige varianten die een specifieke niche op het oog heeft. De software gaat gericht op zoek naar speltitels als Diablo, Fallout 3, Half-Life 2 en Warcraft 3, maar ook afbeeldingen, muziekbestanden, documenten en videoformaten worden versleuteld. En blijkbaar is ransomware zo lonend dat ook op Macs (met een veel minder groot marktaandeel dan Windows) de eerste ransomware inmiddels is opgedoken, onder de noemer KeRanger. Verstopt in het BitTorrent-programma Transmission.

75 procent van de infecties gaat momenteel via e-mail, weet Kramer van Trend Micro. “We zien ook steeds meer malafide websites ontstaan. Ook infecties via online advertenties zullen toenemen, met als gevolg dat steeds meer mensen adblockers zullen gaan gebruiken. Daar zit de advertentie-industrie ongetwijfeld niet op te wachten.”

Ook enkele Joomla-domeinen blijken het doelwit te zijn. Al eerder was WordPress getroffen. Sites worden gecompromitteerd met verborgen ‘iframes’ in de browsers van bezoekers. Daarmee kunnen zij naar de server worden geleid waar de exploit kit op draait.

Menselijke tussenkomst is echter geen voorwaarde voor de verspreiding, benadrukt Beumer (Intel Security): “We zien steeds vaker dat cybercriminelen zwakheden in servers benutten om bedrijven binnen te dringen en ransomware op afstand activeren. Er hoeft dan zelfs geen mail meer geopend te worden. Daarnaast worden ook back-upbestanden geïnfecteerd. Met het terugzetten van bestanden infecteer je zo opnieuw al je systemen.”

Een dergelijke aanval voorkomen, is nog altijd de doeltreffendste manier om dit gevaar te bestrijden. Zo adviseert Trend Micro ‘whitelisting’ voor applicaties om ervoor te zorgen dat alleen vooraf goedgekeurde applicaties worden gebruikt. Beumer zegt dat ook steeds meer mobiele apparatuur wordt besmet, “maar we denken niet dat het een hoge vlucht gaat nemen, omdat bestanden vaak in de cloud worden bewaard, niet op het toestel zelf. Er valt meer geld te verdienen bij grote bedrijven op storagesystemen.”

Droppers
Experts vrezen dat ook de Internet of Things te maken krijgt met ransomware, simpelweg omdat veel apparaten niet goed beveiligd zijn. Dat zou dan ook kunnen gaan gelden voor medische apparatuur, van insulinepompen tot pacemakers. Veel bedrijven blijken technisch niet goed geëquipeerd voor aanvallen. Traditionele back-upoplossingen en firewalls bieden namelijk geen mogelijkheid om back-ups in minuten terug te zetten. Waardoor oplossingen voor bedrijfscontinuïteit (BC) en disaster recovery (DR) nodig zijn om snel te herstellen van een aanval.

Antivirussoftware kan ransomware op dit moment eveneens niet goed onderscheppen, omdat er bijna dagelijks nieuwe varianten opduiken. Het gijzelingsvirus moet daarom vooral aan zijn gedrag worden herkend, zoals het wissen van schaduwbestandenprocessen als WinDefend en BITS onder Windows.

Lacroix van Sophos erkent dat de aanpak moeilijk is. Daarom heeft de Britse beveiliger onlangs het Hengelose SurfRight overgenomen, dat voortdurend verdachte activiteiten opspoort. “We hebben nu al een oplossing waarbij pc’s in een netwerk meteen worden geïsoleerd als we zien dat de antivirusscanner zonder toestemming wordt uitgezet.”

Volgens Beumer zit het grootste gevaar in de snelle veranderingen van de tactiek. “Je moet voortdurend monitoren. Wat dat betreft denk ik dat veel bedrijven terugkomen op hun besluit om hun IT-beveiliging uit te besteden. Interne controle en detectie worden erg belangrijk. Door bezuinigingen zitten bedrijven zonder IT-beveiligingspersoneel. Als er dan iets misgaat, duurt het een hele tijd voordat de systemen kunnen worden hersteld.”

De een zijn ransomware is natuurlijk de ander zijn brood. Beveiliger ESET zoekt het dan ook in bescherming tegen zogeheten droppers, een ogenschijnlijk onschuldig script dat de daadwerkelijke ransomware-malware downloadt. Ook Kaspersky Lab introduceerde begin dit jaar een nieuwe technologie tegen ransom- en cryptoware. De ‘Anti-Cryptor’-technologie zorgt er daarbij voor dat reeds besmette machines het netwerk niet meer kunnen binnendringen.

Crux
Een andere aanpak is om ransomware voor de gek te houden. Ondanks dat de kwaadwillende software er alles aan doet om niet ontdekt te worden, meent Minerva Labs een oplossing te hebben. “We moeten denken als hackers”, aldus Eddy Bobritsky tegen TechCrunch. “In feite wordt ook de malware voor de gek gehouden door processen te faken, waardoor het lijkt alsof beveiligingssoftware er voortdurend aan zit te snuffelen.”

Dat ransomware momenteel zoveel aandacht trekt, komt volgens Kramer (Trend Micro) niet alleen door de hoge bedragen die worden betaald. “Het is heel erg confronterend. Dat is wezenlijk anders dan bij malware die soms onzichtbaar gegevens vergaart.” De schade van malware kan volgens hem echter even groot zijn. Hij verwacht wel dat de groei zich zal stabiliseren. “We werken als beveiligers allemaal aan oplossingen, en ook al blijft het een kat-en-muisspel, het zal op een gegeven moment lastiger worden om met ransomware succes te boeken. Met een goed back-upbeleid is er immers geen noodzaak om te betalen, dan heb je hooguit een korte onderbreking. En daar zit natuurlijk wel de crux: als we stoppen met betalen, zal ransomware verdwijnen.”

—

Crime-chat
De brutaliteit van online afpersers kent blijkbaar geen grenzen: een nieuwe ransomwarevariant – genaamd PadCrypt – heeft een ingebouwde chatfunctie, mochten gedupeerden vragen hebben over het betalen van losgeld. Net als veel andere ransomware worden hierbij afbeeldingen en documenten op de harde schijf van de computer versleuteld. PadCrypt is ook de eerste ransomware met een zogenoemde ‘uninstaller’ die de software verwijdert. Desalniettemin blijven de bestanden versleuteld totdat er is betaald.

Master boot record
De Duitse beveiliger Gdata is een heel nieuw type randsomware op het spoor gekomen. Ransomeware Petya versleutelt voor de verandering geen individuele bestanden, maar pakt de hele harde schijf, die daarmee niet langer toegankelijk is. En wordt verspreid via een mailbericht dat gebruikers naar een geïnfecteerde site verwijst. Eenmaal geïnstalleerd, verandert Petya de zogenoemde master boot record. Bij het herstarten meldt de pc vervolgens dat de harde schijf wordt gerepareerd, terwijl die in werkelijkheid wordt versleuteld.

Martelvirus
Sinds kort is er een ransomwarevirus dat elk uur een bestand wist, totdat er wordt betaald. De makers hebben zich blijkbaar laten inspireren door de martelfilm Saw, want nadat alle bestanden op slot zijn gezet, verschijnt er een filmpje waarin Billy the Puppet, een personage uit de film, de ‘spelregels’ uitlegt. De bedragen die moeten worden betaald, lopen hierbij iedere dag verder op. Het uitzetten van de pc wordt direct bestraft met het wissen van duizend bestanden.

* Dit artikel verscheen eerder in het juninummer van Emerce magazine (#150)

Illustratie: Wijtze Valkema (in opdracht  van Emerce)