De dreiging evolueert

Ransomware maakte eind maart met de Tweede Kamer een wel zeer zichtbaar slachtoffer. Niet verwonderlijk, want de dreiging van gijzelende malware ontwikkelt zich: technisch én zakelijk.

 

Tweede Kamerlid Kees Verhoeven ‘kondigde’ de ranswomare-infectie aan. “ICT-systeem Tweede Kamer getroffen door ransomware. Heel vervelend maar hopelijk komt er nu eindelijk meer bewustzijn… #cyberveiligheid”, tweette de D66-politicus met ICT, privacy en mkb in zijn portfolio. Vervolgens is de datagijzeling officieel bevestigd, waarna ook is gebleken dat het om een bredere aanval ging.

 

Nederland in het vizier

Volgens securityspecialist Fox-IT is deze ransomware-aanval ook gericht op enkele bedrijven, aldus een uitgelekte interne Tweede Kamer-mail. Dit strookt met eerdere analyses en detectie door diverse andere beveiligingsbedrijven en security-onderzoekers. Zo heeft topman Raj Samani van Intel Security begin maart al opgemerkt dat de beruchte Crypt0locker-ransomware nu Europese landen op de korrel neemt.

Metingen van Microsofts Malware Protection Center (MMPC) wijzen uit dat Italië een voornaam doelwit is, direct gevolgd door Nederland. Grotere landen als Duitsland en Polen komen pas daarna in beeld voor deze verse campagne van Crypt0locker (ook wel Torrentlocker genoemd). Op wereldwijd niveau was Nederland vorig jaar al hekkensluiter van de MMPC top 10 van landen met ransomware.

 

Malafide mails met valide handtekening

De landgerichte aanvallen gebeuren met vertaalde mails die soms zelfs digitaal zijn ondertekend, zoals in Italië met PEC (Posta Elettronica Certificata). Deze spamberichten bevatten nepfacturen die de ransomware binnenhalen. Zo is ook de Tweede Kamer getroffen. “Voor nu is het belangrijk dat gebruikers mails met de omschrijving factuur000000.doc (000000 kan elk willekeurig getal zijn) en van onbekende afzenders niet openen en direct verwijderen”, vermeldt de interne mail van de Tweede Kamer.

De ict-dienst van het overheidsorgaan had wel back-ups van de versleutelde bestanden, die vlot zijn teruggezet. Kamerlid Verhoeven stelt in een persverklaring dan ook dat de schade gelukkig meeviel. “Maar”, zo benadrukt hij, “ransomware is de belangrijkste vorm van cybercriminaliteit. Je klikt ergens op en je kunt niet meer bij je data. Dit bewijst opnieuw de reële dreiging en dat onderschatting op de loer ligt.”

 

De beste klant

An sich is ransomware geen nieuw fenomeen, maar het groeit nu hard door technische en ook zakelijke factoren. Datagijzeling is crimineel aantrekkelijk dankzij effectief onkraakbare encryptie en lastig te traceren virtuele valuta zoals Bitcoin. Bovendien hebben datagijzelnemers direct hun beste klant te pakken: gegijzelde gegevens zijn meestal het waardevolst voor de eigenaar.

Aan de technische kant spelen er verschillende ontwikkelingen. Zo zijn niet alleen gewone pc’s maar ook servers in beeld voor gijzelneming, bijvoorbeeld door de Samas-ransomware. In februari is de watervoorziening in het Amerikaanse stadje Mountain Home in de staat Arkansas getroffen door zo’n ‘zwaardere’ ransomware-variant. Daarbij is de ransomware eerder binnengeraakt maar pas om 04:00 uur ’s nachts actief geworden. Zo’n 90.000 bestanden op de server zijn in ongeveer anderhalve minuut versleuteld. De beheerders hebben de getroffen machine volledig gewist en hersteld vanaf een back-up die een dag oud was. Er is geen data verloren gegaan, weet de lokale krant The Baxter Bulletin te melden.

 

Verdubbeling

Uitbreiding qua doelwitten geldt naast soorten systemen ook voor soorten slachtoffers, zoals concreet het MKB. Daar zijn dagelijkse back-ups niet altijd de norm en is data direct geld waard. Kleine en middelgrote ondernemingen zijn het laaghangende fruit voor cybercriminelen. Toch is er in de praktijk veelal sprake van ‘schieten met hagel’. Ransomware wordt lukraak ingezet. Bedrijven, gemeenten, ziekenhuizen, nutsvoorzieningen en zelfs politiebureaus kunnen geraakt worden. Bovendien hebben de aanvallers meer en meer middelen tot hun beschikking. Enerzijds is er grotere keuze uit varianten en families van ransomware. De Finse securityleverancier F-Secure heeft in maart al opgemerkt dat de groeitrend voor dit jaar afstevent op bijna een verdubbeling van het aantal nieuwe families. Wéér een verdubbeling ten opzichte van het voorgaande jaar.

Ondertussen bestelen de afpersers ook elkaar. Een nieuwe dreiging is de PetrWrap-ransomware die een gekaapte variant is van Petya. PetrWrap heeft een eigen encryptiemodule waardoor deze afpersers zelf geen betalende klant hoeven te zijn van Petya’s Ransomware-as-a-Service (RaaS). Beide varianten gijzelen complete pc’s door de Master File Table (MFT) van NTFS-partities op lokale opslagstations te versleutelen.

 

Gratis beginnen met gijzelen

Gevaarlijker nog dan de technische ontwikkelingen is de zakelijke evolutie van ransomware. Net als bij gewone software hoeven de gebruikers ervan niet de makers te zijn. Nieuw is het aanbod van gratis ransomware, waarbij de gebruikers een percentage afdragen van de verkregen losgelden. Instapkosten gaan richting nul en het benodigde kennisniveau wordt basaal.

Verdediging tegen deze evoluerende dreiging is een dure zaak, hoewel het daar ook kan gaan om basale zaken. Kamerlid Verhoeven: “Cyberveiligheid is geen kwestie van hightech maar van basics op orde hebben: let op verdachte mails met rare bijlagen of linkjes, vervang wachtwoorden, gebruik geen open wifi enzovoorts.” Naast natuurlijk veilige en regelmatige back-ups.

 

Gerelateerde berichten...