De zomer van 2017 leek even het hoogtepunt te zijn van ransomware. Toen werd de wereld opgeschrikt door ransomware-aanval WannaCry, twee maanden later gevolgd door NotPetya. De aanval met NotPetya was niet echt te omschrijven als ransomware, omdat NotPetya zich meer leek te richten op sabotage dan op daadwerkelijk verdienen. Wat WannaCry betreft, bestaat het vermoeden dat de ransomware zich zo fel verspreidde dat de makers de controle volledig verloren en de betaalmodule daarvan daarom faalde.

In beide gevallen leverde de ransomware meer uitval op dan winst voor de criminelen. Voordat we bij die grote incidenten aankwamen - de komst van een ransomworm als WannyCry was overigens al in 2016 voorspeld door onder meer Cisco's Talos - trok ransomware vooral de aandacht omdat particulieren er veel last van kregen. Thuis-pc's raakten op grote schaal besmet met vergrendelende en versleutelende malware.

Een beknopte geschiedenis van ransomware

Deze evolutie van ransomware hebben we op de voet gevolgd de afgelopen jaren, dus we zullen hier niet te veel over in herhaling treden. De korte versie is dat ransomware in de kijker kwam met politievirus Reveton, waarbij gebruikers geconfronteerd werden met een splashscreen van 'de politie' met waarschuwingen over boetes. Deze ransomware liet je data verder met rust en een geïnfecteerde pc was relatief eenvoudig op te schonen.

We kregen te maken met een venijniger issue toen ransomwaremakers versleuteling ontdekten. Geïnfecteerde pc's raakten bestanden definitief kwijt als je geen sleutel had. Dat was niet geheel onverwacht, vertelt Sophos' Surfright-chef Mark Loman in gesprek met Computerworld.nl, maar wel een onwelkome evolutie. "Cryptolocker was de eerste 'populaire' vorm. Er was wel eerdere crypto-ransomware, maar die voorbeelden werden niet zo veel verspreid", aldus Loman.

Varianten als Cryptolocker, Locky en Cerber richtten zich vrij breed op wie maar geïnfecteerd kon worden en die vele grijpstuivers leverden uiteindelijk genoeg geld op dat het rendabel was om een botnet te huren om zulke malware te verspreiden. Latere campagnes, zoals die met ransomware SamSam, bleken een betere strategie te hebben: bedrijven waren veel vaker bereid te betalen om snel weer aan de slag te kunnen en hadden diepere zakken dan consumenten om leeg te kloppen.

Cyberverzekering voedt ransomwaresector

Daar zijn we nu zo ongeveer aanbeland en ransomware lijkt minder krantenkoppen op te leveren. Maar bedrijven worstelen nog steeds met de malware. Wekelijks, soms zelfs dagelijks, is er een verhaal van een ziekenhuis, gemeente, radiostation of andere organisatie die geveld wordt door ransomware. De reden? Het is rendabeler dan ooit tevoren.

Recente ransomware-incidenten

De afgelopen weken: Ryuk houdt huis in Amerikaanse dierenziekenhuizen en instellingen worstelen al weken met de nasleep. 5 november: Een Amerikaans ziekenhuis verloor al zijn data in een aanval nadat het weigerde te betalen (een andere groep zorginstellingen die in oktober besmet werd met Ryuk betaalde wel en kon bestanden herstellen). 5 november: Verschillende organisaties in Europa werden deze maand getroffen door een aanval met Bitpaymer. 11 november: Mexicaanse oliemaatschappij Pemex kwam tot stilstand na infectie met Ryuk. 18 november: De overheid van de Amerikaans staat Louisiana kreeg deze week te maken met een ransomware-aanval.

De nieuwe 'ster' aan het firmament is de ransomware Ryuk. Deze richt zich op specifieke slachtoffers (lees: organisaties waar geld te verdienen valt) en eist vrij hoge bedragen. De losgeldeis varieert van enkele tienduizenden euro's tot miljoenen. Een slachtoffer van Ryuk werd zelfs afgeperst voor 4,2 miljoen dollar. "En dat bedrag was betaald", vertelt beveiligingsdeskundige Paul Ducklin van Sophos aan Computerworld.nl.

Dat komt, vermoedt hij, deels vanwege de oplossing van verzekeringsmaatschappijen. Die zorgen namelijk voor digitale verzekeringen in de zin dat je bij een groot incident de business snel weer in bedrijf hebt. Dat betekent dat er bij een ransomware-aanval niet per se als eerste naar recovery wordt gekeken. "In de VS is het vrij gebruikelijk om een cyberverzekering te hebben en in Europa zie je dat ook steeds meer. Ze verzekeren je daarbij niet voor assets en data; je hebt [bij een ransomware-aanval] nog steeds je bezittingen, dus het gaat er meer om dat de situatie wordt hersteld zoals hij was", legt hij uit.

"Omdat dit een nieuwe sector is, is het niet de schuld van verzekeraars te noemen. Als je uitgaat van herstel, kom je bij ransomware op een rekensom over wat het meest kostenefficiënt is om weer aan de gang te gaan: recovery of betalen. Misschien is de uitkomst dat het rendabel is om een team van recoveryspecialisten back-ups terug te laten zetten op duizend computers. Verder beseffen criminelen dat een bedrijf niet zomaar vijf miljoen aan bitcoins kan kopen, want zoveel reserves hebben ze vaak niet. Een verzekeraar heeft zo'n reserve wel."

In alle rust inbreken

Een andere interessante trend van ransomware vandaag de dag is dat het veel specifieker te werk gaat. Ducklin vermoedt dat dit is veroorzaakt door de enorme impact van WannaCry. Die aanval ging zo snel en heftig dat de criminelen erachter de controle helemaal verloren, de IT-wereld opschrok en iedereen werkte aan het opruimen van de malware. Beter is het om veel nauwkeuriger te werk te gaan om zo efficiënt geld binnen te harken en dat deden de mensen achter SamSam, zo vertelde hij onlangs aan een publiek op de beurs Infosecurity NL in Utrecht.

"Ze breken in alle rust in op een netwerk, één slachtoffer tegelijk", zo legde hij uit aan het aanwezige publiek in Utrecht. "Vroeger verspreidde je malware via e-mail of met een webaanval, maar hier wordt de malware handmatig geïnstalleerd." Die programma's zijn zelfs zo voorzichtig dat de malware niet wordt uitgevoerd tenzij je bij het opstarten een pincode invoert. Zelfs als beveiligers de code ergens oppikken, komen ze zonder die pincode in een versleutelde binary terecht, wat analyse lastig maakt.

Ook voegen de criminelen parameters toe bij het opstarten van de malware, zoals het aantal bitcoins dat wordt geëist. Volgens de Sophos-onderzoeker doen ze dat om rekening te houden met de prijsschommelingen, zodat ze niet te veel of te weinig vragen, maar precies wat de ransomware moet opleveren in de fiatvaluta van het land waar de aanvallers zich bevinden. De malware is er dus op diverse manieren op gericht om handmatig te worden afgeleverd, geconfigureerd en opgestart door de criminelen zelf.

Wat is er er eigenlijk met WannaCry gebeurd?

Dat WannaCry geen krantenkoppen meer haalt, betekent niet dat het geen probleem meer is. Beveiligingsbedrijf Sophos detecteerde dit jaar nog in slechts drie maanden vijf miljoen infectiepogingen en dat is alleen voor het platform van deze beveiliger. Tel daarbij de Symantecs, McAfee's en wat dies meer zij bij op en je zit op miljoenen blokkades per maand - mensen die onbeschermd online gaan (hoewel ook standaardsoftware Windows Defender deze troep op Windows 10 buiten houdt) komen al snel in aanraking met de ransomware uit 2017.

Dat moet geen grote verrassing zijn voor mensen die IT-beveiliging een beetje volgen. De worm Conficker was drie jaar geleden de populairste malware in het VK, terwijl de paniek om deze malware al stamt uit 2008 en 2009. Extrapoleer dat gegeven naar WannaCry en in theorie zou dat kunnen betekenen deze ransomware in 2024 en 2025 nog op grote schaal rondwaart. WannaCry is daarnaast een ransomworm: de ransomware kopieert zichzelf van plek naar plek binnen een netwerk en interactie met eindgebruikers is niet nodig.

Omdat de nu nog in omloop zijnde WannaCry-varianten onschadelijk zijn voor de meeste gepatchte systemen, geven bedrijven het bestrijden van de netwerkworm geen hoge prioriteit meer. Dat is hetzelfde effect als met Conficker: het is meer een lastige vlieg dan een schadelijke malariamug, dus dat is een minder grote zorg. Het gevaar daarvan is alleen dat het ervoor zorgt dat ze bijdragen aan het in omloop blijven van de malware en zo toestaan dat iemand wordt geïnfecteerd die niet is beschermd met dezelfde high-end middelen, zo zegt Paul Ducklin van Sophos in onderstaande video.

De uit Iran afkomstige malware SamSam is inmiddels ook van het toneel verdwenen en Ducklin vermoedt dat dat komt vanwege economische sancties op het land. Toen bekend werd dat mensen die betaalden voor SamSam daarmee een Iraans 'bedrijf' afkochten, hield het meteen op met betalingen. De criminelen erachter houden zich momenteel schuil, wellicht werkend aan nieuwe software.

Erfenis SamSam: onderzoek naar slachtoffers

Ook de criminelen achter Ryuk zijn zulke 'active adversaries', licht Loman toe. "Dit zijn echt hackers die op je netwerk binnenkomen. Wij noemen het 'automated active adversaries'. Die sturen eerst spammails rond met een malafide macro in een document. Dat gebeurt nog steeds, want het is effectief. Zelfs staatshackers doen dat. Waarom zerodays verbranden als je ook gewoon met iets simpels binnen kan komen?"

Het begint met Emotet, een bankingtrojan die ook credentials rooft en communiceert met een messaging-API van Outlook om e-mailadressen en berichten te bemachtigen, legt hij uit. "Die informatie gaat naar de aanvallers toe. Vervolgens krijg je e-mails naar derde partijen in een vertrouwde stijl en over het onderwerp waar ze over spreken. Dat maakt de drempel voor een gebruiker om erop te klikken wat lager", aldus Loman.

De aanval verloopt vervolgens behoorlijk hands-on. "De criminelen kijken naar wie ze hebben geraakt. Is dat een school of ziekenhuis bijvoorbeeld? Die zijn misschien wel bereid om te betalen. Dan steken ze er tijd in en installeren ze een backdoor voor permanente toegang - Metapreter, Cobalt Strike, PowerShell Empire, dat soort dingen - en brengen ze het netwerk in kaart: waar zijn de bestandservers, welke gebruikers hebben admin-credentials, waar bevinden de back-up servers zich?"

Weg met back-ups

Er zijn drie redenen waarom je niet vaker leest dat back-ups niet gewoon werden teruggezet. Ten eerste is dat soms vanwege het simpele feit dat er geen back-ups zijn, zoals onderzoekers onlangs ontdekten na een ransomware-aanval in de Amerikaanse gemeente Baltimore. Ten tweede is het soms onwenselijk om een back-up te herstellen vanwege de duur dat je offline bent, zoals je ziet bij het voorbeeld van de cyberverzekering die Ducklin aanhaalt. De derde reden is dat de criminelen er met zo'n actieve hack voor zorgen dat de back-up geregeld wordt verwijderd. "Ze gaan via RDP naar de back-up server toe, die gooien ze leeg - en ze doen dit overigens vrijwel altijd op vrijdagavond", weet Loman.

En dat levert macht op. "De mensen achter Ryuk onderhandelen niet", vertelt Sophos' Ducklin. "In het verleden gebeurde dat nog wel eens. 'Oh, ik heb maar 10.000 euro', 'Prima, dan accepteer ik wel één Bitcoin'. Maar bij die gasten geven ze een bedrag en ofwel dat betaal je, of je betaalt niet en ze gaan naar het volgende slachtoffer. Want helaas zijn er weinig kosten voor ze aan verbonden om tot het punt te komen waarin ze vragen om losgeld."

Ransomware symptoom groter probleem

Een van de basisproblemen van ransomware qua enterprise security is hetzelfde gebleven, of het nu gaat om Reveton in 2012, Cryptolocker in 2016 of Ryuk in 2019: infectie betekent dat er een groter beveiligingsprobleem is. Acht jaar geleden was het een indicatie dat je systeem besmet was met meerdere gevallen van malware (bijvoorbeeld eentje voor exploit, eentje voor het maken van een backdoor, eentje voor het binnenhalen van malafide content) en ook nog eens ergens een gat hebt waardoor de onverlaten binnen konden komen.

Dat is nog steeds zo: als Ryuk opduikt, heb je vaak te maken met een klein ecosysteem aan trojans en andere malware in de omgeving, zoals dropper Trickbot, credentialrovende malware Dridex en modulaire malware Qbot, die allemaal worden afgeleverd via bankingtrojan Emotet.

Ransomwarebesmetting werpt een licht op al die ellende, die vaak al tijden rondzwerft in het IT-systeem. Dat was al zo met Citadel en het is nog steeds zo met Emotet. De tactieken van ransomware-uitbaters zijn dus flink veranderd het afgelopen decennium, maar het structurele probleem is hetzelfde gebleven.