Ransomware

Uit Wikipedia, de vrije encyclopedie
(Doorverwezen vanaf Gijzelsoftware)

Ransomware of gijzelsoftware is een door hackers gebruikt chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld. Ransomware is malware die een computer en/of gegevens die erop staan blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te 'bevrijden' middels een tegen betaling verstrekte code. Betalen blijkt echter niet (altijd) tot ontsluiting van de besmet geraakte computer te leiden, zo waarschuwt de Nederlandse overheid. En zelfs wanneer na betaling de code succesvol wordt gebruikt blijft de software op de computer staan en kan deze enkele maanden later opnieuw het systeem blokkeren en om nog meer geld vragen. Het eerste geval van ransomware deed zich al voor in 1989 in de vorm van het PC Cyborg-virus.

Your personal files are encrypted!

Your important files stored on this computer (photos, videos, documents, etc.) were encrypted with the strongest algorithm. Here is a complete list of encrypted files.

Encryption was produced using unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

This single copy of the private key, which will allow you to decrypt the files, is located on a secret server on the Internet; the server will destroy the key after the time specified in this window. After that, nobody ever will be able to restore files…

To obtain the private key for this computer, which will automatically decrypt your files, you need to pay 300 USD / 300 EUR / similar amount in other currency.

Click Next to select the method of payment.

Any attempt to remove or damage this software will lead to immediate destruction of the private key by server.

Voorbeeld van gijzelsoftware

Werking[bewerken | brontekst bewerken]

De computers van de slachtoffers worden geïnfecteerd zoals ook andere virussen worden verspreid. Bij het heropstarten van de computer krijgt de gebruiker een scherm te zien met een boodschap. In deze boodschap krijgt het slachtoffer te lezen dat zijn of haar computer geblokkeerd werd en pas na betaling weer wordt vrijgegeven. Vaak wordt betaling in cryptomunten geëist.

Vaak wordt de indruk gewekt dat het bericht afkomstig is van een betrouwbare (overheids)instantie en dat er een boete moet worden betaald wegens misbruik van het internet, bijvoorbeeld het downloaden van auteursrechtelijk beschermd materiaal of kinderporno. Er bestaat zelfs ransomware die (harde) kinderporno toont, zodat de gebruiker niet naar de politie of een reparateur durft te stappen.[1]

Maar de politie en opsporingsdiensten gaan zo niet te werk. Bij verdenking met betrekking tot kinderporno wordt meestal een huiszoeking gedaan en de computer in beslag genomen, terwijl bij auteursrechtenschendingen de rechthebbende vaak middels een advocaat met een civielrechtelijke actie dreigt.

Wie ransomware op zijn computer heeft, is voor de politie dus niet ineens een verdachte, ook niet wanneer deze ransomware daadwerkelijk kinderporno toont (men heeft het immers niet opzettelijk gedownload en 'bezit' dit niet). De criminelen zijn enkel op het geld uit en zullen de computer na de betaling mogelijk vrijgeven, maar mogelijk ook niet.

Er zijn meerdere gevallen bekend waarbij de computer daarna werd ontgrendeld, daarentegen zijn er ook genoeg gevallen van computers die niet werden ontgrendeld. Wanneer wordt betaald en de computer vrijgegeven, staat de software nog steeds op de computer, en is er geen garantie dat deze niet na enkele maanden nogmaals wordt geblokkeerd en om meer geld wordt gevraagd. Bij bedrijven kunnen de kosten voor ieder uur gemiste productie en voor het inschakelen van externe specialisten zo hoog zijn (met name omdat het vaak gaat om cruciale informatie en meerdere computers), dat soms gekozen wordt toch maar het losgeld te betalen.[2] Voor de maker van de ransomware is dit bijzonder lucratief: een middelgroot bedrijf heeft al snel honderden of duizenden computers en het losgeld moet voor elke computer separaat worden betaald.

Varianten[bewerken | brontekst bewerken]

De ransomware kan in drie vormen voorkomen:

  • systeem gijzelen;
  • bestand gijzelen;
  • combinatie van beide.

Preventie en schademinimalisatie[bewerken | brontekst bewerken]

De kans op besmetting kan worden verkleind door:

  • Actuele software gebruiken. De fabrikanten van software brengen regelmatig updates uit om beveiligingslekken te dichten, zoals Microsoft Windows, Adobe Reader, Flash Player ...
  • Niet surfen op het internet als je ingelogd bent op een account met administratorrechten
  • Niet surfen op het internet zonder up-to-date antivirusprogramma.
  • Gebruik van een firewall.
  • Niet openen van verdachte bijlagen in e-mails.
  • Niet downloaden en installeren van nepprogramma's of van gehackte (illegale) software.
  • Geen links activeren zoals "klik hier".
  • Voorlichting aan bedrijfspersoneel.

Besmetting is niet volledig te voorkomen. Soms raken computers besmet via een reguliere website, die door criminelen is gehackt.

Middels de volgende voorzorgsmaatregelen kunnen bedrijven de schade van een ransomwareaanval beperken:

  • Een geïsoleerde back-upserver en noodbedrijfsruimte, zodat de meeste essentiële en urgente taken toch nog kunnen worden uitgevoerd.
  • Een calamiteitenplan dat rekening houdt met de mogelijkheid van een IT-crash.
  • Het verminderen van de afhankelijkheid van computers, o.a. door essentiële informatie ook op papier vast te leggen.
  • Het is verder mogelijk voor ondernemers en bedrijven zich voor schade door cybercriminaliteit te verzekeren.

Bekende gevallen[bewerken | brontekst bewerken]

  • 2010-2012: met het Ecopsvirus werd het Belgisch overheidsmeldpunt voor internetmisbruik eCops misbruikt. Het virus blokkeerde de computer, en toonde een site die zogezegd van de Belgische politie afkomstig was. De gebruiker zou zogezegd illegale activiteiten uitgevoerd hebben, en dientengevolge werd zijn computer geblokkeerd. In de site stond een link om een boete te betalen, maar dit was enkel om de gebruiker geld afhandig te maken. Antivirusscanners herkenden het virus als JS/Blacole.
  • Op 27 juni 2017 vond een cyberaanval met ransomware plaats die vooral Oekraïense instanties trof. Het was echter niet duidelijk of financieel gewin het doel was van de cybercriminelen achter deze aanval. Iedere geïnfecteerde computer gaf namelijk een verwijzing naar hetzelfde rekeningnummer, dat vrijwel direct geblokkeerd werd zodat het dezelfde dag al onmogelijk was de daders te betalen.
  • mei 2021: de Ierse gezondheidsdienst HSE sloot noodgedwongen het reservatiesysteem voor doktersafspraken af na een aanval met ransomware[3]
  • mei 2021: in de Verenigde Staten werden de oliepijpleidingen van Colonial Pipeline het slachtoffer van een cyberaanval, waarbij 5 miljoen dollar losgeld zou zijn betaald[3]
  • juni 2021: het Braziliaanse vleesbedrijf JBS werd getroffen door een cyberaanval met ransomware waardoor vleesfabrieken in de Verenigde Staten, Australië en Canada niet verder konden werken. Naar verluidt zouden Russische hackers achter de aanval zitten.[4]
  • op 4 juli 2021 wist de hackersgroep REvil via een beveiligingslek in de onderhoudssoftware van het Amerikaanse bedrijf Kaseya duizenden bedrijven lam te leggen met gijzelsoftware. De Zweedse supermarktketen Coop moest zelfs tijdelijk al zijn 800 winkels sluiten omdat de kassa’s dienst weigerden. Het lek was door Nederlandse onderzoekers aan Kaseya gemeld, maar maatregelen kwamen te laat.[5]
  • begin juli 2021 betaalde het Antwerpse dienstenbedrijf ITxx 250.000 euro losgeld in bitcoins om gegevens terug te krijgen na hacking.[6]
  • in mei 2022 zag Costa Rica zich gedwongen de noodtoestand af te kondigen, nadat computersystemen van de overheid waren gehackt voor ransomware, waarschijnlijk door de groep “Conti”.[7]
  • in februari 2024 komen internationale politie- en veiligheidsdiensten in actie tegen hackersgroep Lockbit die verantwoordelijk is voor de gelijknamige gijzelsoftware. De operatie resulteert in onder meer twee arrestaties, een overname van de website, 14.000 geblokkeerde accounts en 200 bevroren cryptoportemonnees.[8][9]

Bekende hackersgroepen[bewerken | brontekst bewerken]

Bekende hackersgroepen die van ransomware gebruik maakten, zijn onder meer REvil, DarkSide, Lazarus, Conti, Maze en Phobos.

Zie ook[bewerken | brontekst bewerken]

Externe links[bewerken | brontekst bewerken]