Steeds meer pc’s op slot door gijzelvirus

Het gijzelvirus grijpt om zich heen in Nederland. Duizenden pc’s per jaar gaan na een virusbesmetting op slot. Slachtoffers moeten veelal honderden euro's betalen om weer toegang tot hun bestanden te krijgen. Politie en online beveiligers zetten nu gezamenlijk de aanval in.

In maart 2015 werden zo’n tweehonderd computers van de Vrije Universiteit Amsterdam (VU) geïnfecteerd met ransomware die bestanden versleutelde voor losgeld. In eerste instantie leek het gijzelvirus binnengekomen te zijn via e-mail van buiten, maar bestanden werden ook intern bestanden besmet.

Studenten merkten dat ze bestanden die op het netwerk van de universiteit stonden niet konden openen, waaronder scripties waarin uren werk was gaan zitten. Om weer toegang tot die bestanden te krijgen, moest ruim 500 euro aan bitcoins (digitaal geld) worden betaald aan anonieme afpersers.

Omdat de universiteit backups had gemaakt, is er weinig werk verloren gegaan, maar de impact was er niet minder om. “Het was drie weken crisis”, zegt Hans Alfons, IT-beveiliger van de VU terugblikkend. “Hoewel we de afpersers niet hebben betaald, hebben we iets van 100.000 euro schade geleden omdat we experts moesten inhuren en systemen extra hebben moeten beschermen.”

Inmiddels verschaft de VU gratis software aan studenten die verdachte activiteiten op hun laptop tijdig kan opsporen. Op deze manier wordt ransomware hopelijk buiten de universiteitsmuren gehouden. Alfons: “Betalen moet je zien te voorkomen, anders weet je zeker dat je een nieuwe lading ransomware over je heen krijgt.”

De VU is een van de weinige instellingen in Nederland die openheid van zaken willen geven over ransomware-infecties. De meeste bedrijven die slachtoffer zijn geworden van ransomware, houden dat liever voor zich.

Bitcoins

Ransomware is er in diverse smaken: zo heb je ransomware, cryptoware en scareware. Die laatste variant is het minst schadelijk; de gebruiker ziet alleen een onschuldig waarschuwingsscherm, al wordt hij wel verleid om te betalen. Cryptoware versleutelt Word- en andere bestanden op de computer, terwijl ransomware de complete harde schijf op slot zet. Dat kan trouwens ook een heel bedrijfsnetwerk zijn. Al bij het opstarten van de computer wordt een waarschuwing getoond, en zonder het betalen van het losgeld komt de gebruiker niet bij zijn programma’s.

Losgeld betalen doe je uiteraard niet via de bank: slachtoffers – zowel particulieren als bedrijven – moeten eerst bitcoins op internet kopen en daarmee op obscure sites betalen, vaak via het anonieme Tor netwerk, waar je met een normale browser niet komt. De daders wanen zich zo ontastbaar.

Het weer toegankelijk maken van bestanden zonder te betalen is door de sterke encryptie vaak geen optie. Ransomware Shade gebruikt bijvoorbeeld een krachtig algoritme voor elk versleuteld bestand, zelfs met twee willekeurig gegenereerde 256-bit AES-sleutels: de eerste wordt gebruikt om de inhoud van het bestand te versleutelen, de tweede om de bestandsnaam te veranderen. Het wordt ook steeds lastiger om ransomware te ontlopen. Veel van de besmettingen lopen via email, maar criminelen verstoppen hun software tegenwoordig ook op ‘onzichtbare’ plekken op sites. De besmetting gaat dan volautomatisch, zonder tussenkomst van de gebruiker. Ook benutten cybercriminelen zwakheden in servers om bedrijven binnen te dringen en ransomware op afstand te activeren.

In de VS worden momenteel alleen al 4000 besmettingen per dag gemeld, 300 procent meer dan een jaar geleden. Wereldwijd wordt er elke veertig seconden een bedrijf het slachtoffer van ransomware, en iedere tien seconden particuliere gebruiker. 93 procent van zogenoemde phishing emails, die slachtoffers laten klikken op dubieuze bestanden, bevatten ransomware.

Een nieuw fenomeen luistert naar de naam ransomware-as-a-service. Zelf programmeren van ransomware is niet meer nodig. Je bepaalt de prijs van het losgeld en hoeft alleen maar slimme manieren te verzinnen om de ransomware te verspreiden. Als dank voor je inspanningen mag je delen in de opbrengst.

Jornt van der Wiel, onderzoeker bij online beveiliger Kaspersky Lab, denkt dat er ook veel Nederlanders zijn betrokken bij de verspreiding van ransomware. De mailtjes om slachtoffers naar met ransomwaresites te lokken zijn tegenwoordig in foutloos Nederlands geschreven.

Nederland blijkt wat ransomware betreft zelfs één van de meest getroffen landen in Europa. Ons land staat op een tweede plaats – na Italië – op een ranglijst van landen die het vaakste door ransomware worden getroffen. 1,8 procent van alle Nederlandse internetgebruikers is met ransomware in aanraking gekomen.

Dat ransomware een serieus probleem in Nederland begint te worden, werd recentelijk ook bevestigd in het rapport Cybersecuritybeeld Nederland 2016, dat staatssecretaris Dijkhoff aan de Tweede Kamer heeft aangeboden. Ransomware besmettingen zijn volgens hem ‘aan de orde van de dag en raken de gehele samenleving’.

De internetdichtheid in Nederland speelt een rol, maar ook de betalingsbereidheid. Van de mensen die tussen april 2014 en april 2015 bij de politie aangifte deden van ransomware, betaalde ongeveer tien procent. De betaalde bedragen mogen dan niet erg hoog zijn – een paar honderd euro – wie veel slachtoffers maakt kan daar toch aardig aan verdienen. Een recent ontdekte Nederlandse server die werd gebruikt om computers te gijzelen, bracht 70.000 euro aan losgeld op.

Het grootste actieve ransomware-netwerk Cerber draait op dit moment met 160 actieve ‘ransomcampagnes’ een geschatte jaaromzet van ongeveer 2,3 miljoen dollar.

Er vindt zelfs al prijsdifferentiatie plaats: criminelen verhogen hun losgeld gebaseerd op de verwachte financiële draagkracht van het slachtoffer. Ook wordt naar het land gekeken. Slachtoffers in de VS betalen meer dan in Italië.

De tactiek is ook aan het veranderen. Ging het in het verleden om ongerichte besmettingen, waarbij zowel particulieren als bedrijven het doelwit waren, nu richten aanvallers zich op sectoren waar ze eerder succes hebben geboekt. Zo wordt in Nederland de energiesector meerdere keren per maand geconfronteerd met infecties. Ook de zorg- en telecomsector in binnen- en buitenland heeft te maken met ‘buitengewone stijgingen’ in het aantal besmettingen.

Vooral ziekenhuizen zijn geliefd vanwege de vaak verouderde computersystemen. Een ziekenhuis in het Duitse Neuss dat slachtoffer werd van ransomware, raakte onlangs zo van slag dat operaties moesten worden uitgesteld. Het Hollywood Presbyterian Medical Center in Los Angeles betaalde 17.000 dollar omdat CT-scanners, laboratoriumrobots en medicijnverstrekkende machines waren gesaboteerd.

De daders worden zelden gepakt. In 2015 wist de Nederlandse politie bij hoge uitzondering twee mannen uit Amersfoort te arresteren, omdat ze sporen hadden achtergelaten in de software. Volgens Van der Wiel van Kaspersky zijn het vooral Russen die zich met de ontwikkeling van ransomware bezighouden. ‘Die kunnen goed programmeren en zijn internationaal georiënteerd.”

No More Ransom

Om die reden hebben Europol, de Nederlandse Nationale politie en online beveiligers Kaspersky Lab en McAfee Labs afgelopen zomer besloten tot een samenwerking onder de noemer No More Ransom. Zo is een (Engelstalige) site in het leven geroepen met informatie over ransomware, de werking ervan en manieren om je ertegen te beschermen. Daar doen nu al enkele tientallen partijen aan mee. Op de site zijn ook zogeheten decryptie-tools voor verschillende soorten ransomware te vinden. Daarmee kun je versleutelde bestanden weer toegankelijk maken.

De naam No More Ransom lijkt in dit verband wel erg optimistisch, maar internationale samenwerking is de enige manier om de overlast aan te pakken, zegt Raj Samani, de hoogste technische baas van McAfee Labs. Samani adviseert onder meer het Europol CyberCrime Centre, dat weer samenwerkt met politie en inlichtingendiensten in Europa en daarbuiten. Onderzoekers proberen in de code van ransomware aanwijzingen te vinden voor de gebruikte servers, waardoor mogelijk encryptiesleutels kunnen worden opgespoord en vrijgegeven.

Samani erkent dat er sprake is van een kat-en-muis-spel: zo lijkt de ransomware steeds venijniger te worden. Sinds kort is er een ransomwarevirus dat elk uur een bestand wist, totdat er wordt betaald. De bedragen lopen iedere dag verder op. En wie betaalt, moet nog maar afwachten of hij zijn bestanden zonder meer terugkrijgt. Sommige ransomvarianten wissen de bestanden alsnog.

Samani ziet ransomware dan ook niet verdwijnen, zelfs niet als we morgen allemaal zouden stoppen met betalen. “Criminelen beroven tegenwoordig geen banken meer, de criminaliteit is volledig digitaal geworden. We hebben ook al malware gezien die energiecentrales saboteert.”

Online beveiligers verwachten dat ransomware zich in de nabije toekomst zal uitbreiden naar andere apparaten, naast slimme thermometers zoals de Nest bijvoorbeeld ook smartphones. De meest mobiele ransomware verandert het wachtwoord van het toestel, waardoor gebruikers niet verder komen dan het beginscherm. Android kent al diverse varianten ransomware, net als de iPhone.

Dat online beveiligers een dikke boterham verdienen met de strijd tegen ransomware en dus een belang hebben bij het schetsen van weer een nieuwe cyberdreiging kan moeilijk ontkend worden, maar de overlast is volgens de branche reëel. Zelfs zodanig dat de online beveiligers zelf steeds meer menskracht moeten inzetten in de gevecht tegen ransomware. Ten koste van andere bedreigingen.

Tips

Zorg dat je een antiviruspakket hebt geïnstalleerd. Niet alle besmettingen zijn er mee te voorkomen, maar als eerste verdedigingslinie voldoen ze wel degelijk.

Open geen vreemde bijlagen in mails. Juist onschuldig ogende Pdf- en Word-bestanden kunnen fataal zijn. Zipbestanden moeten al helemaal niet worden geopend. Het is verstandig om in Windows bestandsextensies aan te zetten, zodat je beter kunt zien wat met wat voor bestand je te maken hebben. Sommige virussen zijn vermomd als Word-bestanden, maar zijn eigenlijk softwareprogramma’s.

Maak backups, maar bewaar die apart van de computer. Ransomware versleutelt namelijk ook bestanden op aangesloten harde schijven. Bij netwerkbackups moet je wachtwoorden niet automatisch opslaan.

Schakel automatische backups voor virtuele opslagdiensten als Google Drive en OneDrive uit. Eenmaal geïnfecteerd worden ook de bestanden in deze virtuele kluizen versleuteld. Handmatig kopieën maken is beter.

Mijn gekozen waardering € -