Gastexpert: Losgeld is geen kleingeld

Aart Jonkers
De inkomsten uit ransomware zijn schrikbarend hoog. Cybercriminelen realiseren een enorme ROI op hun campagnes en zijn maar moeilijk te stoppen. Bitcoins afschaffen helpt niet. Bewustwording creëren en kennisdelen helpen wel.

Steeds meer netwerken, computers, sensoren, bedrijven en instellingen zijn via het Internet of Things of cloudtechnologie met elkaar verbonden. De afhankelijkheid van complexe ICT-omgevingen, met bedrijfskritische applicaties en klantendata, is groot. Het laatste wat je als bedrijf wilt, is gegijzeld worden door cybercriminelen die met kwaadaardige software netwerken - en dus complete bedrijven - lamleggen en pas na het betalen van losgeld een hersteloperatie toestaan. Deze ransomware is een steeds groter wordende bedreiging voor consumenten en bedrijfsleven.

ROI

Het Rathenau Instituut publiceerde ‘Een nooit gelopen race. Over cyberdreigingen en versterking van weerbaarheid’. In dit rapport wordt onder andere ingezoomd op ransomware. De onderzoekers halen een berekening van Trustwave aan dat tot de slotsom komt dat criminelen met een ransomwarecampagne een return on investment kunnen halen van 1425%.  Ransomware loont dus enorm. En daarmee is direct de belangrijkste reden genoemd voor de forse toename van het aantal meldingen en de ontdekking van steeds meer soorten ransomware.

Crime as a service

Een reden waarom ransomwarebesmettingen toenemen heeft te maken met het feit dat slachtoffers onder betaling van losgeld uit kunnen komen, wanneer zij meewerken aan de besmetting van andere computers. Tevens zien we steeds vaker het verschijnsel ‘crime as a service’ opkomen. De ontwikkelaars geven de ‘software’ uit in licentie op het dark web en realiseren op die manier vaak een derde van de winst, zo meldde NRC in gesprek met de leider van het Team High Tech Crime van de politie.

Bitcoin

Als je boeven wilt vangen, is er een belangrijke stelregel: follow the money (traceer de geldstromen). En dat is bij ransomware juist erg lastig omdat de cybercriminelen zich bij voorkeur laten uitbetalen in het virtuele betalingsmiddel bitcoins. Deze digitale valuta zijn moeilijk traceerbaar en kennen geen grenzen. Dat is koren op de molen van de ransomwarecampagnes. Bitcoins zijn echter voor het argeloze slachtoffer net zo onbekend als de lokale munt van Costa Rica. Velen zullen op weg moeten worden geholpen in het aanmaken van een Bitcoin wallet, het aankopen van Bitcoins en het toepassen van de decodering. Onderdeel van het bedrijfsmodel van de geavanceerde ransomware families is dan ook een goed opgetuigde klantenservice, met chatboxen en FAQ’s. Sommige bieden zelfs gratis trial decodering voor één bestand, zodat de slachtoffers zien dat het werkt. Ze krijgen het vertrouwen dat wanneer ze betalen ze niet nog een keer belazerd worden.

Klantenservice

Het is natuurlijk de omgekeerde wereld, is de eerste reactie. Eerst vakkundig de bestanden op je pc onbereikbaar maken en vervolgens met customer journey technieken en een live chat je naar een vlotte betaling, checkout en conversie leiden. Mijn collega Sean Sullivan legde de hand op de correspondentie van de tech support site van een belangrijke ransomwarespeler, Spora. Als je die gesprekken goed bekijkt, is het alsof je de klantenservice van een grote internetretailer op het scherm hebt. Vragen over betalingen, over de Bitcoin wallet, over het draaien van de decoderingsapplicatie worden afgewisseld met smeekbedes voor kortingen of het uitstellen van betalingstermijnen. Soms zijn de criminelen coulant en betrachten zij meer tijd; maar betalen zul je. En dan zijn er ook nog slachtoffers die hun aanvallers complimenteren met hun verdraaid ingenieuze bedrijfsmodel. Waarop ‘support’ vraagt om een referentie op de site achter te laten. Het moet niet gekker worden, hoor ik u denken.

Anoniem betalen

Niet alleen is het onwenselijk Bitcoin te verbieden; het zou ook zinloos en kortzichtig zijn. Bitcoin is een inventief crypto-betalingssysteem waar niet alleen criminelen baat bij hebben. Naast Bitcoins is er bovendien nog een reeks andere digitale en anonieme betalingsmiddelen. Prepaid creditcards behoren ook tot de mogelijkheden. Een verbod op Bitcoins zou wellicht wat zand in de raderen strooien, maar gezien de geavanceerde aanpak van ransomwareontwikkelaars zal het niet lang duren voordat zij een ander betalingssysteem op orde hebben. Experts zijn het erover eens dat veel meer kan worden bereikt met het creëren van meer bewustzijn bij de gebruiker; thuis en in zijn werkomgeving.

Bewustzijn

Misschien is het goed om in eigen land te beginnen. Het valt namelijk op dat Nederland een populaire bestemming voor ransomwarecampagnes is. Het blijkt dat Nederlanders snel geneigd zijn het losgeld te betalen, gemiddeld zo’n 300 euro per slachtoffer. Waar moeten we dan op letten?
 

  • Begin met het benadrukken van het belang van back-ups. Grotere bedrijven hebben dit wel op orde, maar bij de steeds groter wordende groep zelfstandige professionals is een dagelijkse back-up geen standaard praktijk. Wanneer bestanden eenvoudig teruggezet kunnen worden, is het mogelijk om ransomware te omzeilen.
  • Het up-to-date houden van software is even belangrijk. Controleer regelmatig of er updates van besturingssystemen of bedrijfsapplicaties zijn om ook de laatste beveiligingslekken te kunnen dichten. Dit kan door middel van automatisch Patch Management, dat onderdeel is van kwalitatieve beveiligingssoftware.  
  • Maak je werknemers alert op geïnfecteerde bijlagen van e-mails, want dat is vaak hoe ransomware een systeem binnenkomt. Hoewel spamfilters tegenwoordig goed hun werk doen, kan er een kwaadaardig mailtje doorglippen. Zorg ervoor dat werknemers kritisch naar hun e-mails kijken en weten waar ze op moeten letten. Niet iedere bijlage is te vertrouwen, ook al lijkt de afzender in eerste instantie heel legitiem.
  • Het is essentieel om actuele beveiligingssoftware op de systemen van je bedrijf geïnstalleerd te hebben die niet alleen scant op bekende bedreigingen, maar ook acteert op onbekende bedreigingen (ook wel zero days). Gerenommeerde bedrijven zijn dag en nacht in de weer om nieuwe bedreigingen - ook met betrekking tot ransomware - te kunnen ontdekken zodat aanvallen afgeweerd kunnen worden. Er is inmiddels een heuse industrie van opsporingsdiensten en ontwikkelaars van beveiligingstools die de handen ineen hebben geslagen.

Nieuwe analyses

Zo komen er geregeld decryptieprogramma’s beschikbaar via onder andere de politie of beveiligingsleveranciers zelf. Met een beetje geluk kunnen slachtoffers hiermee weer bij hun bestanden, zonder losgeld te hoeven betalen. Los daarvan is het van groot belang dat slachtoffers melding maken van de ransomware-aanval, ook wanneer zij het losgeld wel betalen. Aan de hand van hun input kunnen nieuwe analyses plaatsvinden, op basis waarvan nieuwe decryptieprogramma’s ontwikkeld kunnen worden. Zo is het mogelijk de wind uit de zeilen te halen bij de ransomware-ontwikkelaars. Wanneer het lukt hun business model onderuit te halen wordt het minder winstgevend. Pas dan zullen ze stoppen met ransomware. En bedenken zij weer wat nieuws.

afbeelding van Aart Jonkers
Door: Aart Jonkers

Aart Jonkers | Corporate Sales Manager Benelux, F-Secure

Bekijk alle artikelen van Aart