De betrouwbare crimineel

Afbeelding via Pixabay

Heb je dat wel eens meegemaakt, dat je thuis of op het werk niet aan de slag kon omdat de computer geen sjoege gaf? Of dat de school of universiteit van je kinderen om diezelfde reden dicht moest, of dat de winkel nee moest verkopen? Welkom in de wereld van de ransomware.

Zoals we zo vaak zien in technologische ontwikkelingen, startte ook dit fenomeen verrassend lang geleden. Namelijk al in 1989, met de AIDS Trojan. Deze malware werd via diskettes verspreid onder deelnemers aan een AIDS-conferentie. Je moest $ 189 per post naar Panama sturen – maar je kreeg er niets voor terug. In de jaren nul van deze eeuw werd vervolgens wat aangerommeld met het verbergen van bestanden, maar dat was allemaal nog niet het echte werk. Dat begon in 2013 met CryptoLocker, dat via e-mailbijlagen werd verspreid, gebruikmaakte van sterke encryptie en betaling in bitcoin eiste. Dat werd zo’n beetje de marktstandaard.

In de begintijd wist je nooit zeker of je, nadat je je spaargeld bij elkaar had geschraapt, ook daadwerkelijk de sleutel in handen kreeg waarmee je je bestanden kon ontsleutelen. Wereldwijd werd dan ook door opsporingsdiensten afgeraden om losgeld te betalen. Dat had gevolgen voor de inkomsten van de criminelen. Zo ontstond de betrouwbare crimineel: steeds vaker kon je ervan op aan dat je na betaling daadwerkelijk zou worden ‘geholpen’. Volgens een inschatting van Copilot was de kans daarop in 2015 zo’n 80% (en nu nog maar 60%).

Wederom drongen opsporingsdiensten erop aan dat je niet zou betalen. Niet alleen wist je nog steeds niet zeker dat je de decryptiesleutel zou ontvangen, ook zou je met je betaling helpen om het criminele verdienmodel in stand te houden. Terwijl het juist de bedoeling was om deze handel minder lucratief te maken.

De criminelen sloegen terug met dubbele afpersing: niet alleen werden je bestanden versleuteld, ze trokken er ook nog een kopietje van voor zichzelf. Als je niet betaalde, dan zou jouw informatie gepubliceerd worden. En omdat iedereen wel wat te verbergen heeft, was dat een succesvolle extra aansporing om te betalen. In die tijd was er ook een verschuiving van particulieren naar bedrijven en overheden als doelwit, omdat daar grotere bedragen konden worden geëist. Publicatie van bijvoorbeeld klantgegevens of bedrijfsgeheimen zou niet goed uitpakken.

Los van de oproepen van opsporingsdiensten om niet te betalen, ligt ook nog een principiële kwestie op tafel: is het moreel verantwoord om te betalen? Ik neig automatisch naar ‘nee’, maar wil wel graag de nuances verkennen – want niet betalen kan ernstige gevolgen hebben die verder reiken dan het getroffen bedrijf. Denk bijvoorbeeld aan de aanval in 2021 op JBS Foods, het grootste vleesverwerkende bedrijf ter wereld. De aanval leidde tot tijdelijke sluiting van fabrieken in de VS, Canada en Australië en verstoorde de voedselvoorziening. Mede vanwege dat laatste besloot het bedrijf om maar liefst 11 miljoen dollar te betalen.

Twee jaar eerder was Jackson County in de Amerikaanse staat Georgia het slachtoffer. De politie en andere overheidsdiensten waren volledig lamgelegd. Ze legden vier ton op tafel, maar ze hebben nooit officieel bevestigd dat ze ook waar voor hun geld hebben gekregen. In datzelfde jaar, rond de kersttijd, werd de universiteit van Maastricht getroffen. De twee ton die zij betaalden bleek een goede investering te zijn: een deel ervan werd teruggevonden en was inmiddels, door de stijging van de bitcoin, vijf ton waard.

Eten is een eerste levensbehoefte, maar als je tijdelijk iets anders dan vlees kunt eten, dan is het snel op de been krijgen van die vleesverwerker misschien toch niet zo superbelangrijk. Als de lokale politie even digitaal blind is, dan kun je dat misschien ondervangen door een ander politiekorps om hulp te vragen. En een lamgelegde universiteit – dat hebben we in 1969 ook al eens overleefd, toen het Maagdenhuis werd bezet (al ging het daarbij niet om losgeld). Kortom: zoek liever alternatieven dan dat je losgeld betaalt.

Er is een collectief belang om ransomware uit te roeien, maar dan moet wel iedereen meedoen. Sommige landen werken aan een verbod op losgeldbetaling of kennen op z’n minst een meldplicht. Een verbod op verzekerings-dekking kan ook helpen om betaling tegen te gaan. Maar met deze maatregelen zijn de getroffen bedrijven nog niet geholpen. Wat wel helpt, zijn initiatieven als No More Ransom, waarin politie en bedrijfsleven samenwerken om decryptiesleutels te achterhalen en die gratis beschikbaar te stellen. Daarnaast zien we regelmatig de successen van internationale samenwerking tussen politiekorpsen. En natuurlijk moeten organisaties ook zelf hun weerbaarheid vergroten, door te investeren in voorlichting (vooral op het gebied van phishing), goede detectiemiddelen en een deugdelijke back-upstrategie. Met al deze maatregelen moet op den duur geen droog brood meer te verdienen zijn  in deze criminele business. En dan kunnen die lui misschien betrouwbaar én eerlijk werk gaan doen.

 

En in de grote boze buitenwereld …

• richtte deze ransomware zich specifiek op NAS’en.
• wordt Github misbruikt om malware te verspreiden.
• moet deze cybercrimineel veel langer de gevangenis in omdat hij niet terugbetaalt.
• kun je maar beter de originele Signal-app gebruiken.
• begint de open source-wereld iets te merken van de Cyber Resilience Act van de EU.
• hebben de Chinese autoriteiten een nieuwe hacktool voor mobieltjes.
• zijn drie Chinese bedrijven aangeklaagd wegens schending van de AVG.
• helpt China bij het onderhouden van Amerikaanse defensiecomputers.
• mag China in Spanje ook een rol spelen bij tappen van telecommunicatie.
• gaan de VS belastinggegevens gebruiken om mensen te deporteren.
• is emotieherkenning met AI in opkomst.
• kun je een verborgen phishing-boodschap zichtbaar laten worden als Gemini een samenvatting van de mail maakt.
• kunnen Amerikaanse treinen op afstand tot stilstand worden gebracht.
• konden anderen jouw vragen aan de Meta AI Chatbot inzien.
• mag WeTransfer voortaan jouw bestanden gebruiken en doorverkopen.
• gaan de VS een miljard dollar besteden aan offensieve cyberoperaties.