De redactie van de NOS is afgelopen weekend besmet met de Philadelphia-ransomware. Het was geen externe besmetting; de redactie deed het zelf.
Met de actie wilden ze laten zien hoe eenvoudig het is om ransomware op internet te kopen. De redactie van de omroep kocht op een illegale online marktplaats de zogenaamde Philadelphia-ransomware. Daarmee besmette ze welbewust een paar computers op de eigen redactie.
Ransomware kopen is ongeveer net zo makkelijk als handelen op Marktplaats, zo bleek uit het onderzoek. Wel moet je daarvoor via de versleutelde Tor-browser het internet op. Vervolgens bleek dat iedereen met een paar centen op zak computervirussen kan kopen. Technische kennis is handig maar niet noodzakelijk.
Pinautomaten kraken
Ransomware is daarbij niet het enige dat te koop is. Ook programma’s waarmee je pinautomaten kunt kraken, en spionnagesoftware is vrijelijk te koop, zo ontdekte de redactie.
De prijzen variëren nogal. Het gaat van een dollar voor een eenvoudig virus tot rond de 7000 dollar voor kraaksoftware van pinautomaten. kost. ” Een ‘instapmodelletje’ ransomware kost 300 dollar,” zo laat de NOS-redactie in een verslag weten. De betaling vindt plaats in Bitcoins.
De verkopers van kwaadaardige computerprogramma’s gedragen zich daarbij als verkopers die je ook aantreft op Marktplaats,” schrijft de redactie. “20 procent korting!”, belooft de verkoper van de Philadelphia-ransomware. De koop op die van legitieme software. We moeten het softwarepakket zelfs activeren met een licentiecode.”
Zelf instellen
De redactie kon na installatie van het programma naar hartelust aan de slag met de instellingen. Je kunt zelf instellen hoeveel geld de redactie wil vragen voor het ontsleutelen van bestanden. Ook de kleuren op het scherm en de tekst die de geïnfecteerde slachtoffers te zien krijgen was eenvoudig in te stellen.
De infectie vond uiteindelijk plaats op een computer in eigen beheer. De redactie maakte een phishing-mailtje. Deze kwam zogenaamd van een incassobureau dat geld eiste.
De redactie maakte gebruik van eenvoudige versie. Ervaren aanvallers kopen naast ransomware een extra exploit kit. Hiermee kunnen ze een computer zonder dat het slachtoffer dat door heeft. De NOS-redactie voerde het hele traject binnen 24 uur na de koop uit.
Bevrijden
Na de actie ging de redactie te rade bij een aantal deskundigen. Zo ontdekten ze dat de politie samen met beveiligingsbedrijven een lijst heet samengesteld van gijzelsoftware waarvoor een programmaatje bestaat dat de gegijzelde bestanden kan ‘bevrijden’ .
Zowel de politie als het OM stellen dat digitale criminelen oppakken een lastige kwestie is. Ze bevinden zicht niet zelden niet in Nederland.
De NOS is niet vervolgd voor de actie, hoewel zowel het kopen als het verspreiden strafbaar is. Dergelijke acties resulteren volgens het OM in vervolging voor computervredebreuk.
Naast het melden van de actie aan de autoriteiten nam de NOS maatregelen om te zorgen dat de zelf geïnstalleerde ransomware zichzelf per ongeluk zou verspreiden. De geïnfecteerde computers virtuele computers die op een separaat netwerk waren aangesloten. Ze werden na de actie meteen gewist
Volgens het Nationaal Cyber Security Centrum is ransomware te kopen en te verspreiden. “We maken ons al langer zorgen over cybercrime as a service”, zegt NCSC-er Patricia Zorko tegenover de NOS. “Cybercrime wordt daardoor voor een grotere groep toegankelijk.”
