Als u de wereld van informatiebeveiliging een beetje volgt, hebt u de afgelopen jaren vast een hoop over ransomware gehoord. U kunt zelfs de pech hebben gehad om slachtoffer van zo’n aanval te zijn geweest. Het is waarschijnlijk niet overdreven om ransomware als de gevaarlijkste malware van onze tijd te beschrijven.
Maar wist u dat dit soort schadelijke programma’s al meer dan 30 jaar bestaat en dat onderzoekers veel van de functies van de hedendaagse aanvallen al halverwege de jaren 90 voorspelden? Wilt u weten waarom cryptors blockers hebben vervangen, wat de grootste losgeldsom uit de geschiedenis is en wat AIDS met dit alles te maken heeft?
Lees dan vooral verder, want we hebben een geschiedenis van ransomware samengesteld met de antwoorden op deze en nog vele andere vragen. Samen achterhalen we de ontwikkeling van blockers, cryptors, wipers en andere vervelende ransomware-functionaliteiten uit de afgelopen decennia.
Ransomware-woordenboek
De volgende termen komen vaak in de tekst voor.
Cryptografie — de wetenschap van het voorkomen dat buitentaanders vertrouwelijke informatie lezen. Encryptie is een van de aspecten van cryptografie.
Symmetrische encryptie — een methode voor gegevensversleuteling waarin er één sleutel wordt gebruikt om informatie te versleutelen én decoderen.
Asymmetrische encryptie — een methode voor gegevensversleuteling waarbij twee sleutels worden gebruikt: één openbare sleutel om informatie te versleutelen, en één privésleutel om die weer te decoderen. Het kennen van de openbare sleutel helpt niet bij de decryptie, want daar is de privésleutel voor vereist.
RSA — een veelgebruikt asymmetrisch encryptie-algoritme.
Ransomware — elk soort schadelijk programma dat het slachtoffer dwingt om losgeld aan de aanvaller te betalen. Ransomware omvat blockers, cryptors en wipers vermomd als cryptor
Blocker — een type ransomware dat blokkeert of het blokkeren van een computer of mobiel apparaat simuleert. Dit soort malware toont veelal een hardnekkig bericht met een betalingseis bovenop alle andere vensters.
Cryptomalware (cryptor) — een type ransomware dat gebruikersbestanden versleutelt zodat die niet langer kunnen worden gebruikt.
Wiper — een type malware dat is ontworpen om gegevens op het apparaat van het slachtoffer te wissen. Soms kan ransomware die zich voordoet als cryptor in werkelijkheid een wiper zijn, waardoor bestanden onherroepelijk worden beschadigd; dus zelfs als het losgeld is betaald, is het onmogelijk om de gegevens te herstellen.
RaaS (Ransomware-as-a-Service) — een crimineel plan waarbij de makers hun ransomware leasen aan eenieder die dit wil verspreiden, in ruil voor een deel van de opbrengsten. Dit is een soort van cybercriminele organisatie.
1989: De eerste ransomware-aanval
Dr. Joseph L. Popp, een biologisch onderzoeker, creëerde de eerste bekende cryptor. Popp profiteerde van de wijdverspreide interesse in AIDS, en daarom werd zijn malware ook bekend als de AIDS Trojan.
In die tijd stond het internet nog in zijn kinderschoenen, dus Popp gebruikte een zeer origineel (naar moderne normen) aanvalsmodel. Nadat hij de mailinglists had verkregen van abonnees op de WHO AIDS-conferentie en het magazine PC Business World stuurde hij zijn slachtoffers een floppydisk met een sticker met daarop de tekst “AIDS Information Introductory Diskette”, samen met gedetailleerde instructies voor de installatie van het programma. De licentieovereenkomst vermeldde dat gebruikers die het programma installeerden akkoord gingen met een betaling van $ 378 aan het bedrijf. Maar wie neemt zoiets nou serieus?
De installer diende in principe om de malware op de harde schijf van gebruikers te krijgen. Na een aantal keren opstarten van het systeem werd de AIDS Trojan actief en versleutelde hij bestandsnamen (inclusief extensies) op de C:-schijf van de geïnfecteerde computer. De namen veranderden in een warboel van willekeurige tekens, waardoor het onmogelijk werd om op normale wijze met de bestanden te werken. Om een bestand te openen of op te starten was het bijvoorbeeld eerst nodig om uit te vogelen welke extensie het zou moeten hebben en moest dat vervolgens handmatig worden aangepast.
Tegelijkertijd gaf de malware een bericht op het scherm weer waarin stond dat de proefperiode van de software verlopen was en dat de gebruiker nu abonnementskosten moest betalen: $ 189 voor één jaar en $ 378 voor levenslange toegang. Het geld moest worden overgemaakt naar een rekening in Panama.
De malware maakte gebruik van symmetrische encryptie, dus de sleutel om de bestanden te herstellen zat in de code zelf. Daarom was het probleem relatief eenvoudig op te lossen: de sleutel verkrijgen, de malware verwijderen en de sleutel gebruiken om de bestandsnamen te herstellen. In januari 1990 had Jim Bates, redactielid van <em>Virus Bulletin</em> de programma’s AIDSOUT en CLEARAID gecreëerd om dat klusje te klaren.
Joseph Popp werd gearresteerd, maar de rechtbank oordeelde dat hij mentaal niet in staat was om terecht te staan. Hij publiceerde tien jaar later echter wel het boek Popular Evolution: Life-Lessons from Anthropology.
1995–2004: Young, Yung en de ransomware van de toekomst
Wellicht kwam het doordat de AIDS Trojan zijn maker niet rijk maakte, maar het idee van het versleutelen van gegevens met als doel om losgeld te ontvangen leidde niet tot veel enthousiasme onder scammers in die tijd. De interesse laaide pas in 1995 opnieuw op, en toen was het in de wetenschappelijke gemeenschap.
De cryptografen Adam L. Young en Moti Yung wilden onderzoeken hoe het krachtigste computervirus ter wereld eruit zou zien. Zij kwamen met het concept van ransomware dat asymmetrische encryptie gebruikt.
In plaats van slechts één sleutel te gebruiken om bestanden te versleutelen, die aan de programmacode zou moeten worden toegevoegd, maakte hun model gebruik van twee sleutels: een openbare en een privésleutel, waardoor de decryptie-sleutel geheim kon blijven. Bovendien kwamen Young en Yung met de hypothese dat het slachtoffer met elektronisch geld zou moeten betalen, wat in die tijd nog niet bestond.
De cybersecurity-profeten presenteerden hun ideeën tijdens de IEEE Security and Privacy-conferentie in 1996, maar deze werden niet goed ontvangen. Later in 2004 was er de publicatie van Malicious Cryptography: Exposing Cryptovirology, waarin Young and Yung de resultaten van hun onderzoek hadden gesystematiseerd.
2007–2010: De gouden jaren van blockers
Terwijl cryptomalware zijn tijd afwachtte, zag de wereld een ander soort ransomware zijn slag slaan: blockers. Deze nogal primitieve soort malware belemmerde het normale functioneren van het besturingssysteem door zichzelf toe te voegen aan de opstartroutine van Windows. Daarnaast blokkeerden veel types de register-editor en het taakbeheer om de verwijdering ervan te voorkomen.
Dit soort malware gebruikte verschillende manieren om te voorkomen dat slachtoffers hun computers konden gebruiken, zoals bijvoorbeeld een venster dat niet kon worden afgesloten of het veranderen van hun bureaubladachtergrond. Eén van de betaalmethodes was via sms naar een betaalnummer.
Voor het neutraliseren van ransomware-blockers was normaal gesproken geen antivirusprogramma vereist, maar alleen wat kennis van de gebruiker zelf. Om de malware handmatig te verwijderen, was het bijvoorbeeld nodig om het systeem op te starten vanaf een Live- of herstel-cd, in de veilige modus of om op Windows in te loggen via een ander profiel.
Maar de eenvoud van het schrijven van zulke trojans compenseerde het relatief lage risico. Vrijwel iedereen kon dit soort malware verspreiden en er bestonden zelfs automatische generators.
Soms plaatste de malware een pornografische banner bovenop de desktop en werd het slachtoffer beticht van het bekijken van verboden content (een tactiek die ook vandaag de dag nog wordt gebruikt). Aangezien het geëiste losgeld nog betaalbaar was, gaven velen er de voorkeur aan om te betalen en geen hulp te zoeken.
2010: Cryptomalware met asymmetrische encryptie
In 2011 verschenen de ontwikkelaars van cryptomalware ten tonele, en zoals Yung en Young al hadden voorspeld, begonnen ze met het gebruik van asymmetrische encryptie. Zo was een modificatie van de GpCode-cryptor bijvoorbeeld gebaseerd op het RSA-algoritme..
2013: CryptoLocker, hybride ransomware
Eind 2013 werd gekenmerkt door de verschijning van hybride ransomware die een blocker met cryptomalware combineerde. Dit concept vergrootte de kansen van cybercriminelen om betaald te krijgen, want zelfs als de malware verwijderd werd, en de blocker dus was opgeheven, werd de toegang van slachtoffers tot hun bestanden niet hersteld. De meest beruchte van deze hybrides is waarschijnlijk CryptoLocker. Deze malware werd verspreid in spam-e-mails, en de cybercriminelen die achter deze malware zaten accepteerden losgeldbetalingen in Bitcoins.
2015: Cryptors vervangen blockers
In 2015 observeerde Kaspersky een groeiend aantal pogingen tot infecties met cryptomalware: het aantal aanvallen groeide met een factor van 5,5. Cryptors begonnen de blockers te verdrijven.
Cryptors werden populairder om verschillende redenen. Ten eerste zijn gebruikersgegevens veel waardevoller dan systeembestanden en applicaties, die altijd opnieuw kunnen worden geïnstalleerd. Met encryptie konden de cybercriminelen veel hogere sommen losgeld eisen én hadden ze een betere kans om betaald te krijgen.
Ten tweede werden in 2015 cryptomunten al volop gebruikt voor anonieme financiële transacties, dus de aanvallers waren niet langer bang om achterhaald te worden. Bitcoin en andere munten maakten het mogelijk om grote sommen losgeld te ontvangen zonder op de radar te verschijnen.
2016: Massa-ransomware
Ransomware ging een steeds grotere rol spelen in cybersecurity, en in 2016 was er sprake van elf keer zo veel ransomware-modificaties, waarbij de gemiddelde som aan losgeld varieerde van 0,5 tot honderden Bitcoins (die destijds maar een fractie van de huidige waarde hadden). De belangrijkste focus van aanvallen werd verlegd van individuele gebruikers naar de bedrijfssector, waardoor er terecht werd gesproken van de opkomst van een nieuwe criminele industrie.
Cybercriminelen hoefden niet langer zelf malware te ontwikkelen: ze konden die gewoon kopen. Zo was er bijvoorbeeld een “levenslange licentie” voor Stampado-ransomware te koop. De malware dreigde om na een bepaalde periode willekeurige bestanden te verwijderen om slachtoffers angst aan te jagen en ze over te halen het losgeld te betalen.
Ransomware werd ook beschikbaar onder het RaaS (Ransomware-as-a-Service)-model, een term die bekend werd met de verschijning van Encryptor RaaS. Hierdoor verspreidde ransomware zich nog verder.
Afpersers begonnen zich nu ook te richten op overheden en gemeentelijke organisaties, naast bedrijven en thuisgebruikers. De HDDCryptor, die meer dan 2000 computers van het San Francisco Municipal Transportation Agency infecteerde, is hier een goed voorbeeld van. De cybercriminelen eisten 100 BTC (destijds ongeveer € 60.000) om de systemen te herstellen, maar de IT-afdeling van de organisatie slaagde erin om het probleem zelf op te lossen.
2016–2017: Petya, NotPetya en WannaCry
In april 2016 stak een nieuw soort malware met de naam Petya de kop op. Terwijl eerdere cryptors de besturingssystemen intact lieten om slachtoffers in staat te stellen het losgeld te betalen, blokkeerde Petya de geïnfecteerde machines volledig. Het richtte zich op de MFT (Master File Table), een database die de volledige structuur van bestanden en mappen op de harde schrijf opslaat.
Hoe vernietigend Petya ook was, het penetratie- en distributiemechanisme was ingewikkeld. Om het te activeren moest het slachtoffer handmatig een uitvoerbaar bestand downloaden en uitvoeren, waardoor infecties onwaarschijnlijker waren. Het had waarschijnlijk niet zo’n impact gehad, ware het niet voor een ander type ransomware — met de toepasselijke naam WannaCry.
In mei 2017 infecteerde WannaCry meer dan 500.000 apparaten over de hele wereld, waarbij € 3,3 miljard aan schade werd aangericht. Hoe gebeurde dit? Door de EternalBlue-exploit te incorporeren die van een aantal zeer gevaarlijke kwetsbaarheden in Windows profiteerde. Deze trojan infiltreerde netwerken en installeerde WannaCry op de computers van slachtoffers. De malware verspreidde zich vervolgens verder op andere apparaten op het lokale netwerk. Binnen de geïnfecteerde systemen gedroeg WannaCry zich normaal, versleutelde het bestanden en eiste het losgeld.
Amper twee maanden na de WannaCry-uitbraak verscheen er een andere cryptor, ook gemodificeerd voor EternalBlue: NotPetya, ook wel bekend als ExPetr. NotPetya verslond harde schijven volledig.
Bovendien versleutelde NotPetya de bestandstabel op zo’n manier dat decryptie zelfs na het betalen van losgeld geen optie meer was. Het resultaat was dat experts concludeerden dat het eigenlijk een wiper vermomd als cryptor was. De totale schade van NotPetya lag hoger dan € 8 miljard.
De WannaCry-aanval was zo vernietigend dat Mircosoft een dringende patch uitbracht voor besturingssystemen die eigenlijk niet meer ondersteund werden. Updates voor ondersteunde systemen waren al lang vóór beide epidemieën beschikbaar, maar niet iedereen had deze geïnstalleerd, waardoor de ransomware-programma’s gedurende lange tijd hun aanwezigheid lieten gelden.
2017: Een miljoen voor decryptie
Naast de ongekende schade werd er in 2017 nog een nieuw record gevestigd: de grootste som losgeld voor één enkele organisatie. De Zuid-Koreaanse webhost Nayana stemde in om $ 1 miljoen te betalen (onderhandeld vanaf een starteis van 4,5 miljoen) om computers te herstellen die geïnfecteerd waren met de Erebus-cryptor.
Wat de expert-community verraste was dat het bedrijf de betaling publiekelijk bekend maakte. De meeste slachtoffers adverteren dit soort zaken juist niet graag.
2018–2019: Een dreiging voor de maatschappij
De afgelopen jaren kenmerken zich door enorme ransomware-aanvallen op bedrijven voor nutsvoorzieningen en gemeenschapsfaciliteiten. Transport-, water-, energie- en zorginstellingen liepen steeds vaker risico. Cybercriminelen rekenden er ook op dat ze zouden betalen. Zelfs bij hoge losgeldeisen. Als ze dit niet deden, zou dit immers betekenen dat ze miljoenen mensen in de steek zouden laten.
In 2018 was er bijvoorbeeld een cryptomalware-aanval op de luchthaven van Bristol in het Verenigd Koninkrijk die de schermen met vluchtinformatie gedurende twee hele dagen verstoorde. Het personeel stapte over op het gebruik van whiteboards, en het mag van de luchthaven gezegd worden: de reactie op de aanval was snel en effectief. Voor zover we weten werden er geen vluchten geannuleerd en geen losgeld betaald.
Hancock Health, een kliniek in de VS, verging het minder goed, en zij betaalden 4 BTC (destijds € 47.000) nadat hun systemen waren getroffen door SamSam-ransomware. Als uitleg voor de beslissing om het losgeld te betalen kwam CEO Steve Long met een naderende sneeuwstorm in combinatie met een van de ergste griepseizoenen uit de geschiedenis. De kliniek had geen tijd om de computers allemaal onafhankelijk te herstellen.
In totaal werden er in 2019 meer dan 170 gemeentelijke organisaties in de Verenigde Staten slachtoffer van ransomware, met losgeldeisen die opliepen tot wel € 4 miljoen. Het updaten van besturingssystemen kan in zulke organisaties lastig zijn, dus cybercriminelen maken vaak gebruik van oude en dus toegankelijkere exploits.
2020: Groeiende schaal en afpersing met datalekken
Naast de groeiende schaal van infecties, evenals de consequenties en losgeldbedragen, is 2020 memorabel voor een nieuwe hybride aanpak voor ransomware, waarbij de gegevens vóór ze te versleutelen verzonden werden naar de cybercriminelen. Dreigementen om de informatie te lekken aan concurrenten of om deze te publiceren volgden al snel. Gezien de hypergevoeligheid wat betreft persoonsgegevens vandaag de dag kan zoiets fataal zijn voor een bedrijf. Deze tactiek werd voor het eerst gebruikt door de Maze group in 2019, maar in 2020 ontwikkelde het zich tot een echte trend.
De keten voor kosmetische chirurgie Transform Hospital Group was het slachtoffer van een van de meest spraakmakende incidenten van 2020. De hackergroep REvil versleutelde en stal 900 GB van Transforms gegevens, inclusief foto’s van patiënten van voor en na de operatie, die de aanvallers dreigden te publiceren.
Daarnaast adopteerden cryptomalware-aanvallers een reeks aan verschillende tactieken in 2020. Zo begon de REvil-groep bijvoorbeeld met het veilen van gestolen informatie. Cybercriminelen hebben zich ook verenigd in cartel-achtige organisaties. Eerst was er de Maze-groep die begon met het publiceren van door de LockBit-cryptor gestolen informatie. Volgens de cybercriminelen werken ze nu nauw samen met LockBit, dat hen een platform biedt voor het lekken van gegevens én het delen van hun expertise.
Ze pochten ook dat er zich binnenkort een andere belangrijke groep bij het cartel zou aansluiten: RagnarLocker, een pionier op het gebied van het organiseren van DDoS-aanvallen op middelen van slachtoffers als aanvullende manier om druk uit te oefenen op de bedrijven die ze proberen af te persen.
Conclusie
In een tijdsbestek van drie decennia heeft ransomware zich ontwikkeld van een redelijk onschadelijk speeltje tot een serieuze dreiging voor gebruikers van alle platforms, en in het bijzonder voor bedrijven. Om u tegen aanvallen te beschermen is het belangrijk om u aan een aantal veiligheidsregels te houden — en als de hack alsnog succesvol is, is het belangrijk om hulp te vragen bij experts en niet simpelweg mee te gaan in de eisen van de cybercriminelen.