Ransomware is een blijvertje, zoals we hier twee jaar geleden uitgebreid beschreven, om een heel simpele reden: het werkt. Bedrijven zijn bereid te betalen omdat recovery te veel tijd in beslag neemt, of omdat grondige back-ups ontbreken en daarom groeit de economie alleen maar door, zo becijferde Carbon Black onlangs.

Ethisch gezien is betalen onjuist, want je stimuleert de makers om méér ransomware te bouwen. Strategisch gezien is betalen onjuist, want je maakt jezelf tot een makkelijker doelwit omdat je bereidheid overstag te gaan voor criminelen toont. Zelfs praktisch gezien is betalen onjuist, want het is maar de vraag of het überhaupt een sleutel oplevert.

Betalen is zinloos

Maar al die argumenten blijken louter theorie wanneer bedrijven geconfronteerd worden met versleutelde systemen en snel weer aan de slag moeten om niet de miljoenen te verliezen die havenbedrijf Maersk bijvoorbeeld eerder dit jaar misliep tijdens de NotPetya-ellende.

Het is eigenlijk een vraag-aanbod-kwestie: zolang de vraag naar sleutels niet verdwijnt, zal het aanbod van ransomware niet afnemen. Wat dat betreft is de komst van pseudo-ransomware niet eens zo'n slechte zaak: het leert ons dat betalen geen zin heeft.

In dit artikel gaan we verder in op pseudo-ransomware (gijzelsoftware die juist niet als doel heeft om eraan te verdienen, wat we ook wel eens nep-ransomware noemen), de technologische evolutie die ransomware momenteel doormaakt en de trends die we tegemoet kunnen zien volgend jaar.

Afname ransomware?

Vorig jaar voorspelde McAfee dat de groei van ransomware dit jaar zou pieken en daarna afnemen. De redenen daarvoor, zoals je uitgebreid terug kunt lezen in dit artikel, waren onder meer zetten van de sector, private bedrijven én overheden, om de terreur van gijzelsoftware harder aan te pakken. Arrestaties onder malware-auteurs en het bemachtigen van servers met sleutels begonnen zoden aan de dijk te zetten om consumenten en bedrijven bij te staan als ze getroffen werden.

Ransomware was dit jaar nog meer in het nieuws dan eerdere jaren. De grote twee namen waren WannaCrypt en NotPetya die grote bedrijven en zorginstellingen in Europa grote problemen opleverden. Dat waren high-profile zaken: WannaCrypt trof Britse ziekenhuizen en NotPetya onder meer Maersk in Rotterdam, dus de aandacht was zeker groter.

Maar meer melding van ransomware in opvallende zaken, betekent niet een daadwerkelijke toename. "Sterker nog, sinds de zomer zagen we een afname van het aantal ransomware-families", vertelt McAfee-onderzoeker Christiaan Beek, die vorig jaar deze voorspelling deed. Dat neemt niet weg dat de ransomware-economie helaas nog steeds groeit, zoals Carbon Black twee maanden geleden nog concludeerde.

Number of #Ransomware families still going down, 20 percent in October was still based on HiddenTear #Nomoreransom — Christiaan Beek (@ChristiaanBeek)13 November 2017

Groei pseudo-ransomware

Voor het komende jaar verwacht McAfee meer voorbeelden te zullen zien van pseudo-ransomware. Dat is de term van het beveiligingsbedrijf voor ransomware die lijkt op 'klassieke' gijzelsoftware om geld te verdienen, maar eigenlijk een ander doel heeft, bijvoorbeeld om schade aan te richten of om af te leiden van andere malafide acties. Zoiets als een Dark DDoS dus, maar dan met ransomware. Dark ransomware, zo je wilt.

Hierna: Ransomware is niet nieuw, maar WannaCrypt en NotPetya functioneerden anders dan de CryptoLockers en Locky's van de wereld.