Het doel is om je geld af te persen door je gegevens op je apparaten te versleutelen.
De term ransomware staat voor een type malware dat de toegang tot gegevens en systemen beperkt of verhindert. Voor de vrijlating is dan geld vereist. Soortgelijke malware blokkeert de volledige toegang tot het systeem of versleutelt bepaalde gebruikersgegevens. Ransomware, gericht tegen Windows-computers, is bijzonder verspreid. In principe kunnen alle systemen worden aangevallen door ransomware.
Ransomware-groep ‘REvil’ heeft honderden bedrijven gechanteerd
Bij de laatste ransomware-aanval op de Amerikaanse IT-dienstverlener ‘Kaseya’ vielen cybercriminelen honderden bedrijven tegelijk aan. De ‘REvil’-hackers maakten misbruik van een kwetsbaarheid om de klanten van Kaseya te verlammen met een encryptie-trojan. Ze blokkeerden de toegang tot systemen om grote sommen geld af te persen. Er ontstond een soort domino-effect doordat onder de klanten van de IT-dienstverlener tal van andere IT-bedrijven over de hele wereld zaten die ook een groot klantennetwerk hebben. Dit had onder meer een grote impact op de kassasystemen van een Zweedse supermarktketen – maar ook Duitse bedrijven werden geraakt. Particuliere gebruikers zijn nog niet het slachtoffer geworden van deze chantage-aanval. Verdere aanvallen kunnen echter niet worden uitgesloten.
Het incident laat zien hoe kwetsbaar een genetwerkte IT-infrastructuur kan zijn met een beveiligingslek en welke wereldwijde effecten dit kan hebben. Als het risico van een ransomware-aanval wordt overgedragen op de systemen van particuliere gebruikers, moeten vier belangrijke tips in acht worden genomen:
1. Regelmatig automatische beveiligingsupdates voor alle apparaten;
2. Activeer antivirusprogramma’s;
3. Open geen e-mails van onbekende dubieuze afzenders;
4. Regelmatig externe gegevensback-ups
Het fenomeen van deze vorm van digitale chantage niet nieuw. De eerste ransomware-varianten verschenen vóór de millenniumwisseling. Sinds 2006 zijn ransomware-aanvallen op Windows-systemen toegenomen. Het kwaadaardige programma comprimeerde bijvoorbeeld alle pc-gegevens in een met een wachtwoord beveiligd ZIP-archief en eiste geld voor het wachtwoord.
Vier jaar later volgde de beruchte Reveton ransomware-familie: met deze malware verscheen er een waarschuwing op de desktop, bijvoorbeeld met de bewering dat de computer geblokkeerd was tijdens politie- of douaneonderzoek en dat de computer pas werd vrij gegeven als er een ‘boete’ was betaald. Om hun slachtoffers te misleiden over het echte auteurschap van de systeemvergrendeling, gebruikten de daders verschillende logo’s en namen van verschillende overheidsinstanties. In de volksmond was er dus keuze uit BKA-, BSI- of GVU-trojans.
Ransomware met een encryptiefunctie verscheen in 2005 voor het eerst op grote schaal onder de naam CryptoLocker: De malware versleutelde gebruikersgegevens van een bepaald type met behulp van cryptografische processen niet alleen op lokale harde schijven, maar ook op aangesloten netwerkschijven.
Bij de hedendaagse ransomware-aanvallen wordt het geld meestal geëist in virtuele valuta zoals Bitcoin, hoewel de betaling geen garantie biedt voor het vrijgeven van versleutelde gegevens of geblokkeerde systemen. In plaats daarvan raadt de BSI de betrokkenen aan zich onmiddellijk bij de politie te melden. Het algemene advies om regelmatig een back-up te maken, is ook een effectieve preventie van ransomware. Want in het geval van een aanval kunnen gegevens worden hersteld zonder geld te betalen.
WannyCry: enkele honderdduizenden getroffen Windows-systemen wereldwijd.
Een van de grootste golven van ransomware die tot nu toe zijn waargenomen, kwam in mei 2017 in het nieuws: binnen slechts drie dagen versleutelde de WannaCry-malware gegevens op meer dan 200.000 Windows-computers in meer dan 150 landen. In totaal heeft het programma waarschijnlijk enkele miljoenen computers geïnfecteerd. Maar dankzij de snelle activering van een bepaalde functie door analisten kon het velen van hen geen kwaad doen.
n tegenstelling tot wat de algemene term chantage-trojan suggereert, was WannaCry een worm die zich onafhankelijk op Windows-computers verspreidde zonder tussenkomst van de gebruiker. Dit vervaagde de grens tussen ransomware en “klassieke wormen”.
Het infectiemechanisme van WannaCry maakte misbruik van een beveiligingslek in het Windows-besturingssysteem, waarvoor Microsoft acht weken voor het uitbreken van de epidemie al een softwarepatch had geleverd. Dat betekent: Een tijdige toepassing van deze beveiligingsupdate had in veel gevallen de WannaCry-infectie en alle daardoor veroorzaakte schade kunnen voorkomen.