Ransomware

Ransomware of gijzelsoftware is een door hackers gebruikt chantagemiddel op internet. Ransom betekent letterlijk vertaald losgeld. Ransomware is malware die een computer, de gegevens die erop staan of beide blokkeert en vervolgens van de gebruiker geld vraagt om het weer met een code mogelijk te maken de computer te gebruiken, maar voor die code moet worden betaald. De Nederlandse overheid waarschuwt ervoor dat de hackers ondanks dat de benadeelde eigenaar van de computer heeft betaald, haar of hem het niet mogelijk maakt de computer weer te gebruiken. Het gebeurt zelfs dat wanneer iemand heeft betaald er nieuwe ransomware op de computer is geïnstalleerd, die na enkele maanden opnieuw het systeem blokkeert, zodat de hackers weer om geld kunnen vragen. Het eerste geval van ransomware deed zich in 1989 voor. Het ging toen om een trojaans paard, om het programma AIDS.

Your personal files are encrypted!

Your important files stored on this computer (photos, videos, documents, etc.) were encrypted with the strongest algorithm. Here is a complete list of encrypted files.

Encryption was produced using unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

This single copy of the private key, which will allow you to decrypt the files, is located on a secret server on the Internet; the server will destroy the key after the time specified in this window. After that, nobody ever will be able to restore files…

To obtain the private key for this computer, which will automatically decrypt your files, you need to pay 300 USD / 300 EUR / similar amount in other currency.

Click Next to select the method of payment.

Any attempt to remove or damage this software will lead to immediate destruction of the private key by server.

Voorbeeld van gijzelsoftware

Werking

De computers van de slachtoffers worden geïnfecteerd zoals ook andere virussen worden verspreid. Bij het heropstarten van de computer krijgt de gebruiker een scherm te zien met een boodschap. In deze boodschap krijgt het slachtoffer te lezen dat zijn of haar computer geblokkeerd werd en pas na betaling weer wordt vrijgegeven. Vaak wordt betaling met cryptogeld geëist.

Vaak wordt de indruk gewekt dat het bericht afkomstig is van een betrouwbare (overheids)instantie en dat er een boete moet worden betaald wegens misbruik van het internet, bijvoorbeeld het downloaden van auteursrechtelijk beschermd materiaal of kinderporno. Er bestaat zelfs ransomware die kinderporno toont, zodat de gebruiker niet naar de politie of een reparateur durft te stappen.

Maar de politie en opsporingsdiensten gaan zo niet te werk. Bij verdenking met betrekking tot kinderporno wordt meestal een huiszoeking gedaan en de computer in beslag genomen, terwijl iemand die auteursrechten schendt een schikkingsvoorstel van een advocaat ontvangt onder voornemen van een civiele procedure indien hier niet mee akkoord wordt gegaan. Bovendien geeft de politie ook concreet aan waarom het precies gaat terwijl de omschrijving in de ransomware vaag is ("u bent betrapt op één of meer van de volgende illegale acties: bezit dan wel verspreiding van kinderporno, distributie dan wel onrechtmatige toeeigening van auteursrechtelijk beschermd materiaal").

Wie ransomware op zijn computer heeft, is voor de politie dus niet ineens een verdachte, ook niet wanneer deze ransomware kinderporno laat zien.^[1] Men heeft het immers niet opzettelijk gedownload en 'bezit' dit niet. De criminelen zijn alleen op het geld uit en zullen de computer na de betaling mogelijk vrijgeven, maar mogelijk ook niet.

Bij bedrijven kunnen de kosten voor ieder uur gemiste productie en voor het inschakelen van specialisten zo hoog zijn, met name omdat het vaak om belangrijke informatie en verspreid over verschillende computers gaat, dat er soms toch maar wordt gekozen het losgeld te betalen.^[2] Voor de maker van de ransomware is dit lucratief: een middelgroot bedrijf heeft al snel honderden of duizenden computers en het losgeld moet voor iedere computer apart worden betaald. Bovendien dreigen de daders vaak ook met het publiceren van de buitgemaakte gevoelige data, wat een bedrijf extra schade kan toebrengen. Professionelere criminelen zullen meestal wel de computer vrijgeven na betaling en niet nogmaals om meer geld vragen, dit omdat anders de bereidheid tot betaling bij toekomstige slachtoffers vermindert. Bovendien zal een bedrijf meestal meer voorzorgmaatregelen nemen na een ransomware-aanval.

Varianten

De ransomware kan in drie vormen voorkomen:

• Het computernetwerk kan worden geblokkeerd,
• bestanden kunnen worden geblokkeerd of
• een combinatie van beide.

Preventie en schademinimalisatie

De kans op besmetting kan worden verkleind door:

• Actuele software gebruiken. De fabrikanten van software brengen regelmatig updates uit om beveiligingslekken te dichten, zoals Microsoft Windows, Adobe Reader, Flash Player.
• Niet surfen op het internet als je ingelogd bent op een account met administratorrechten
• Niet surfen op het internet zonder up-to-date antivirussoftware
• Gebruik van een firewall
• Alert te zijn op phishing
• Gebruik van legale software
• Voorlichting aan bedrijfspersoneel.

Bedrijven kunnen met de volgende voorzorgsmaatregelen de schade van een ransomwareaanval beperken:

• Een geïsoleerde back-upserver en noodbedrijfsruimte, zodat de meeste essentiële en urgente taken toch nog kunnen worden uitgevoerd.
• Een calamiteitenplan dat rekening houdt met de mogelijkheid van een IT-crash.
• Het verminderen van de afhankelijkheid van computers, onder andere door essentiële informatie ook op papier vast te leggen.
• Het is verder mogelijk voor ondernemers en bedrijven zich voor schade door computercriminaliteit te verzekeren.

Bekende gevallen

• 2010-2012 – Het Belgische overheidsmeldpunt voor internetmisbruik eCops werd met het Ecopsvirus zelf misbruikt. Het virus blokkeerde de computer en toonde een site die zogezegd van de Belgische politie afkomstig was. De gebruiker had illegale activiteiten uitgevoerd en dientengevolge werd zijn computer geblokkeerd. In de site stond een link om een boete te betalen, maar dit was alleen om de gebruiker geld afhandig te maken. Antivirusscanners herkenden het virus als JS/Blacole.
• 27 juni 2017 – cyberaanval met ransomware tegen vooral Oekraïense instanties

Het was niet duidelijk of financieel gewin het doel was van de cybercriminelen achter deze aanval. Iedere geïnfecteerde computer gaf namelijk een verwijzing naar hetzelfde rekeningnummer, dat vrijwel direct geblokkeerd werd zodat het dezelfde dag al onmogelijk was de daders te betalen.

• mei 2021 – De Ierse gezondheidsdienst HSE sloot noodgedwongen het reserveringssysteem voor doktersafspraken af na een aanval met ransomware.^[3]
• mei 2021 – De oliepijpleidingen van Colonial Pipeline in de Verenigde Staten werden het slachtoffer van een cyberaanval, waarbij 5 miljoen dollar losgeld zou zijn betaald.^[3]
• juni 2021 – Het Braziliaanse vleesbedrijf JBS werd getroffen door een cyberaanval met ransomware waardoor vleesfabrieken in de Verenigde Staten, Australië en Canada niet verder konden werken. Naar verluidt zouden Russische hackers achter de aanval zitten.^[4]
• 4 juli 2021 – De hackersgroep REvil wist via een beveiligingslek in de onderhoudssoftware van het Amerikaanse bedrijf Kaseya duizenden bedrijven lam te leggen met gijzelsoftware. De Zweedse supermarktketen Coop moest zelfs tijdelijk al zijn 800 winkels sluiten omdat de kassa’s dienst weigerden. Het lek was door Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure aan Kaseya gemeld, maar maatregelen kwamen te laat.^[5]
• juli 2021 – Het Antwerpse dienstenbedrijf betaalde 250.000 euro losgeld in bitcoins om gegevens terug te krijgen na hacking.^[6]
• mei 2022 – Costa Rica zag zich gedwongen de noodtoestand af te kondigen, nadat computersystemen van de overheid door ransomware waren gehackt, waarschijnlijk door de groep Conti.^[7]
• februari 2024 – Internationale politie- en veiligheidsdiensten komen in actie tegen hackerscollectief LockBit dat verantwoordelijk is voor de gelijknamige gijzelsoftware. De operatie resulteert in onder meer twee arrestaties, een overname van de website, 14.000 geblokkeerde accounts en 200 bevroren cryptoportemonnees.^[8][9]

Bekende hackersgroepen

Bekende hackersgroepen die van ransomware gebruik maakten, zijn onder meer REvil, DarkSide, Lazarus, Conti, Maze en Phobos.

voetnoten

1. T vd Geest. 'Ik ben onschuldig, want ik ben gehackt!', 30 mei 2018. voor het Openbaar Ministerie
2. De Universiteit Maastricht deed dit eind 2019 wat tot veel kritiek leidde. Kabinet tegen betaling van losgeld door Universiteit Maastricht, 16 maart 2020.
3. tijd.be. Aanval met ransomware treft Iers gezondheidssysteem, 14 mei 2021.
4. de Volkskrant. Grootste vleesleverancier in de wereld getroffen door hack cybercriminelen, 1 juni 2021.
5. Trouw. Nederlandse vrijwilligers hadden de wereldwijde ransomware-aanval bijna voorkomen, 5 juli 2021.
6. vrtnws.be. Dienstenleverancier ITxx uit Antwerpen betaalt 250.000 euro losgeld om gegevens terug te krijgen na hacking, 11 juli 2021.
7. Het Laatste Nieuws. Costa Rica kondigt noodtoestand af na cyberaanval, ook link met aanval op Antwerpse haven, 11 mei 2022
8. NOS. Beruchte hackersbende Lockbit geraakt door internationale politieoperatie, 20 februari 2024. Gearchiveerd op 4 mei 2024.
9. NOS. De 'hackers gehackt': arrestaties bij ontmanteling computergijzelbende Lockbit, 20 februari 2024. Gearchiveerd op 4 mei 2024

websites

• Ransomware wat is dat?, 9 december 2010.
• Federale politie van België. Aangifte doen van ransomware. 30 oktober 2017
• Aangifte doen van ransomware in België. 30 juni 2027.
• Cert.be. Ransomware: Bescherming en preventie, 19 september 2019.
• FBI. Ransomware on the rise, 20 januari 2015. FBI and partners working to combat this cyber threat