Bitcoin is niet de reden dat ransomware werkt

Effectieve gijzeling

Ransomware wordt in de volksmond ook wel gijzelsoftware genoemd. Het is een vorm van malware (kwaadaardige software) waarmee een computer onbruikbaar wordt gemaakt en aan het slachtoffer een bericht wordt gestuurd: ‘alleen door te betalen kan je de toegang ertoe weer herstellen’.

Deze vorm van digitale gijzeling bestaat al jaren. In 1989 dook het AIDS Trojan op, het eerste virus dat in de categorie ransomware valt. De verspreiding vond plaats via een floppy en versleutelde na infectie de bestandsnamen op de getroffen machine. Inmiddels zijn we tientallen jaren én virussen verder, die in de praktijk in twee groepen worden onderverdeeld: crypto ransomware en locker ransomware.

In de eerste groep valt malware die opgeslagen bestanden ontoegankelijk maakt door ze te versleutelen. Het woord crypto is geen verwijzing naar cryptovaluta, maar naar de cryptografie die in dat proces centraal staat. Locker ransomware, de tweede groep, pakt het anders aan en ontneemt de toegang tot het besturingssysteem. In de meeste van deze gevallen blijven opgeslagen gegevens onaangeraakt, met als gevolg dat er effectieve verdedigingsmechanismen zijn: de malware verwijderen of simpelweg de gegevensdrager op een andere computer aansluiten.

Anno 2020 wordt daarom vrijwel uitsluitend van crypto ransomware gebruikgemaakt, voor criminelen een manier om met relatief laag risico grote sommen geld te bemachtigen. Zo betaalde begin 2019 de lokale overheid van Jackson County (Georgia) $400.000 aan gijzelaars. En in 2017 maakte het Zuid-Koreaanse hostingbedrijf Nayana maar liefst 1 miljoen dollar over aan hackers.

De afgelopen weken zien we ook vanuit Nederland berichten van getroffen bedrijven. Begin februari betaalde de Universiteit Maastricht bijna twee ton om uit de greep van de malware los te komen. Niet veel later maakte ook wetenschappelijk instituut Wetsus bekend dat het losgeld betaalde om van ransomware af te komen. En daarin zijn ze niet de enige, want “waarschijnlijk is het daadwerkelijk aantal getroffen bedrijven veel groter dan de cijfers aangeven”, aldus een rapport van het Nationaal Cyber Security Centrum.

Voor de beeldvorming is het goed om te realiseren dat er dagelijks vele honderden keren een poging gedaan wordt om ransomware te verspreiden. De FBI stelt dat er sinds 1 januari 2016 maar liefst “4.000 aanvallen per dag met ransomware worden uitgevoerd”. Het slagingspercentage daarvan is onbekend, maar als de infectie lukt, is het resultaat een effectieve gijzeling.

‘Betalen is goedkoper’

Al sinds de introductie van deze vorm van malware worden hackers betaald om de gevolgen ervan terug te draaien. Bijvoorbeeld door geld over te maken via een bankoverschrijving, maar ook met prepaid betaalkaarten, cadeaukaarten, vouchers, of andere waardedragers. Alles om onder de gijzeling uit te komen.

Het advies van politie en justitie is om niet op de eisen van de hackers in te gaan. Soms is dat mogelijk, bijvoorbeeld omdat je niet afhankelijk bent van de gegevens die ontoegankelijk zijn geworden. Maar voor (grote) bedrijven en overheden is de rekensom vaak snel gemaakt: betalen is goedkoper dan de hele organisatie stil te laten staan.

De bedragen die bedrijven moeten betalen, zijn groot. Een, twee of zelfs vijf ton is geen uitzondering. “Het grootste bedrag dat we zelf tegenkwamen in een onderzoek is 5,4 miljoen euro”, vertelt Frank Groenewegen van Fox-IT. Maar de onderzoeker weet ook van een bedrijf dat 6,5 miljoen euro heeft betaald.

Sinds 2013 worden slachtoffers in toenemende mate verplicht het losgeld in bitcoins te betalen. Sinds 2015 is dat een de facto standaard geworden. Maar niet omdat Bitcoin een ‘anoniem betaalmiddel’ is of omdat het geld is dat uitsluitend ‘door criminelen wordt gebruikt’. Integendeel.

Als het om anonimiteit gaat, zijn prepaid betaalkaarten een stuk effectiever. Die kunnen per post ontvangen worden zonder een spoor achter te laten. Bitcoin-transacties laten per definitie een spoor van pseudo-anonieme broodkruimels achter die opsporingsdiensten bij de kleinste misstap naar de aanvaller kunnen leiden.

De reden dat Bitcoin wordt gebruikt, is omdat het snel, betrouwbaar, stabiel, en inspecteerbaar geld is. De hacker kan per slachtoffer een uniek adres aanmaken en alles tot aan het doorsturen van de sleutel automatiseren. Het is een buitengewoon solide geldsysteem dat óók voor hen ‘gewoon werkt’. Minimale effort, maximale value.

Bitcoin is niet het probleem

Een ransomware-aanval bestaat uit drie stappen:

1. Hackers krijgen – soms pas na vele pogingen – ongeautoriseerde toegang tot gevoelige en/of waardevolle gegevens.
2. Hackers activeren de malware en versleutelen de gegevens met een sleutel waar enkel zij over beschikken.
3. Hackers versturen de sleutel in ruil voor bitcoins.

In de media komt de nadruk regelmatig op stap twee en drie te liggen. Het gaat dan over cryptografie en Bitcoin, de meest sexy termen in bovenstaand drieluik. Maar daarmee gaat men voorbij aan de kern van het probleem: dat het de hackers is gelukt om verregaande toegang te krijgen tot systemen waar gevoelige gegevens mee beheerd worden. Dat vervolgens ook bestanden versleuteld kunnen worden is daaraan secundair – de schade is al aangericht.

Helemaal eerlijk is deze wedloop niet, omdat het vrijwel onmogelijk is om IT-infrastructuur volledig waterdicht te krijgen. Maar ook basale maatregelen worden anno 2020 nog niet getroffen. Zo bleek de Maastrichtse universiteit kwetsbaar vanwege het gebruik van oude software, en ontbrak redundantie in de opslag van backups.

Het probleem van ransomware begint bij slechte veiligheid. Veiligheid die over de hele linie veel serieuzer genomen moet worden dan nu het geval lijkt te zijn, in de eerste plaats door de medewerkers van grote of betekenisvolle bedrijven en organisaties. Zodat phising mail geen nut meer heeft, en het gevaar van social engineering is geweken.

Ransomware stopt niet door het vergrootglas te leggen op de hackers, cryptografie, of Bitcoin. Het toont juist aan dat het goed functioneert, óók voor mensen met minder goede bedoelingen. Maar belangrijker is dat het ’t punt mist: ervoor zorgen dat digitale veiligheid in een digitaal naar een (veel) hoger niveau gebracht moet worden.