Slachtoffers van ransomware: 'Je schaamt je wel'

Je zou het niet verwachten van Bart en Willem. De eerste staat bekend als nerd, de ander gaat naar een computerclub. Toch werden ze slachtoffer van ransomware.

Op het forum noemt hij zichzelf een ‘wise guy’. Het is ook best vervelend: moeten uitleggen dat je geïnfecteerd bent met ransomware, terwijl je eigenlijk goed onderlegd bent op gebied van IT. “Ja, dan bekruipt je een gevoel van schaamte”, zegt Bart (27). "Dat het net míj gebeurt... In mijn omgeving kennen ze mij als de computernerd."

Ransomware vergrendelt alle bestanden op de harde schijf. Gebruikers worden meestal geïnfecteerd met een virus als ze een bijlage van een e-mail openen. Die mails lijken op een alledaagse handeling: een factuur of ontvangstbevestiging. Zodra die wordt geopend, versleutelt een programma alle bestanden. De verzenders beloven het leed ongedaan te maken, zodra er losgeld is betaald. 

De wereldwijde aanval met de ransomware WanaCrypt0r toont weer aan hoeveel impact dit type malware kan hebben. Het aantal incidenten met ransomware is afgelopen jaar gestegen met 36 procent, bleek recent uit een onderzoek van Symantec. Criminelen vroegen in 2016 gemiddeld 985 euro losgeld - drie keer zoveel als het jaar daarvoor. “Het begint op een goudkoorts te lijken”, zegt internetexpert Dick O’Brien. “Er is een volwassen businessmodel gecreëerd en men probeert daar het beste van te maken.” 

Boeven met een klantenservice

Bart weet niet meer waar het precies misging. Hij moet ergens op een verkeerde link hebben geklikt. Daarna gebeurde er niets, maar toen hij in november thuiskwam, was het kwaad geschied. Op zijn beeldscherm stonden ineens Russische woorden, in een rood lettertype, op een zwarte achtergrond. Het bleek een stappenplan om zijn bestanden te ontgrendelen. 

Al zijn bestanden waren gegijzeld. In een README-bestand las Bart de instructies. Hij moest betalen in bitcoins. Daarna zouden zijn bestanden worden hersteld. Vraagprijs: 250 euro. Hij legde contact met de criminelen per mail. Die wilden bewijzen 'bonafide criminelen' te zijn, en vroegen om een versleuteld bestand op te sturen. Dat deed Bart, en verhip: hij kreeg het geopend terug. Nu leek het zeker dat de criminelen, mits de betaling werd voldaan, wel écht zouden helpen. 

Dat gebeurt niet altijd. In 53 procent van de gevallen, wereldwijd gezien, gebeurt er na de betaling helemaal niets. Bart heeft professionele criminelen te pakken. Die willen de reputatie van ransomware niet verkwanselen. Daarvoor profileren ze zichzelf als betrouwbaar.  

De ‘klantenservice’ is in veel gevallen bijzonder goed. Laatst wilde een accountantskantoor zelfs een mailtje sturen aan de criminelen om ze te bedanken voor de goede afhandeling en dito communicatie. Maria Genova moet erom lachen. De schrijfster van ‘Komt een vrouw bij de hacker’ geeft lezingen over privacy en cybersecurity bij bedrijven en overheidsinstellingen. 

Ze ziet dat werknemers zich weinig bewust zijn van gevaar. “Ik vind het schandalig”, zegt Genova. “Overal waar ik kom is het kennisniveau zo verschrikkelijk laag. Mensen hebben dat niet op school geleerd en werkgevers investeren te weinig in digitale vaardigheid. Hoe beveilig ik mijn computer? Wat is ransomware? Meestal kan 90 procent van de zaal de meest basale vragen over cybersecurity niet beantwoorden.” 

Gemeenten getroffen

Het grootste deel van de slachtoffers is consument, maar de gevolgen zijn veel groter voor bedrijven en overheidsinstellingen. Die kunnen dagenlang niet functioneren. Dat hebben ze geweten in Laren, Eemnes en Blaricum. Het gedeelde computersysteem van die gemeenten werd onlangs met ransomware geïnfecteerd. Het gevolg was dat de afdeling Burgerzaken, die paspoorten uitdeelt, anderhalve dag niet operationeel was. De fout? Een werknemer had een ‘macro’ geactiveerd in een Wordbestand, dat per e-mail was ontvangen. De macro’s zijn een gangbare route voor ransomware. 

Vermoedelijk was het geïnfecteerde bestand een cv of een factuur, afgaande op de maatregelen die gemeentemedewerkers voor de kiezen krijgen. Zij mogen die bestanden niet meer beoordelen als ze worden aangeleverd in een Word-bestand. “En we hebben awareness-trainingen, strakkere mailcontroles en aanvullende software”, vertelt een woordvoerder. 

De impact op de organisatie was groot, terwijl een gemeente nog minder kwetsbaar is dan bijvoorbeeld een ziekenhuis. Daar staan er mensenlevens op het spel. Criminelen weten kwetsbare organisaties steeds beter te vinden. 

Onderhandelen over het losgeld

Bart komt nog even terug op de helpdesks. Daarover is hij minder te spreken. Nadat hij de vraagprijs van 250 euro hoorde, besloot hij te onderhandelen. Die mentaliteit kunnen ze in Rusland niet waarderen. Hij kreeg botte antwoorden. Toch lukte het om de vraagprijs naar 180 euro te halen, maar tijdens het omrekenen naar bitcoins vroegen de Russen toch weer het equivalent van 240 euro. Bart haakte af. Daarna besloot hij allerlei decrypters te proberen, zoals hij beschrijft op een forum. Ze faalden allemaal. 

Het bedrijfje SECtricity leek uitkomst te bieden. Dat werkt volgens ‘no cure no pay’. Het bureau stelde voor om te bemiddelen met de criminelen. Daarna vroegen de Russen of Wit-Russen ineens 400 euro. Althans, dat zegt SECtricity. Misschien hoopt Yves van Tongerloo, de ‘security consultant’ van het bedrijf, op een fijne commissie. Hij zou een ‘cowboy’ kunnen zijn die een slaatje probeert te slaan uit de vele slachtoffers. Van Tongerloo reageerde niet op verzoeken om commentaar.

Toch denkt Bart dat SECtricity te goeder trouw is. Hij verwacht dat de Russen hun vraagprijs hebben opgedreven omdat hij via een bureau ging werken. Die oplossing bleek dus ook geen succes, merkte Bart. Zijn bestanden zijn nog steeds versleuteld. Hij maakte een animatie om anderen te waarschuwen. 

Scheiding

Net als Bart is ook Willem (70) geen prototype ‘naïeveling’. Eén keer per maand gaat hij naar een computerclub. De fanaten houden elkaar op de hoogte van de nieuwste ontwikkelingen. Daar hoort ook cybercrime bij. Toch trapte Willem erin. Hij zat toen middenin een scheiding. Het huwelijk was ‘onder voorwaarden’ geschied, dus hij was dagenlang bezig met financiën. “Toen zag ik opeens een mail van het ministerie van Justitie”, weet Bart nog. Het leek alsof hij een rekening moest betalen van een paar honderd euro. “Ik dacht: ook dat nog? Maar ik wilde het meteen oppakken en afronden.”

Die doortastendheid werd fataal. Direct na het openen van de bijlage kreeg hij een mededeling in beeld: uw bestanden zijn versleuteld. Natuurlijk had hij een harde schijf, maar die was aan de computer gekoppeld – terwijl hij normaal gesproken juist voorzichtig is: óf de harde schijf is aangesloten, óf de USB-stick, want ook daar stonden alle documenten van de scheiding op. Precies nu waren beiden actief. “Gelukkig had ik alles ook uitgeprint. Het bleek mijn redding.” 

Andere documenten waren wel weg. Willem weigerde te betalen. “Ik was gewoon bang. Straks kunnen ze nog in mijn bankrekening, dacht ik. Gelukkig heeft dat papier me gered.” Voor de zekerheid is zijn hele mailbox nu op papier afgedrukt.

Ook Bart had een back-up, maar die was gecrasht. Conclusie: 'stom'. Toch is het hebben van een back-up geen garantie voor succes. Veel ondernemers en particulieren denken dat ze een goede back-up hebben, maar vaak is dat niet zo. Schrijfster Maria Genova vertelt een verhaal over een landelijke televisiezender die te maken had met een ransomware-aanval. Ook de back-ups waren versleuteld. “Het was een grote, commerciële zender. De IT'ers moesten allerlei databureau’s langs, waarmee ze samenwerkten, om te vragen of ze hun data nog hadden. Dat lukte. Maar zoiets is natuurlijk geluk. Ongelofelijk dat zulke grote organisaties geen goede back-up hebben.” 

Ook bij particulieren gaat het vaak fout. Veel mensen hebben de zogenaamde NAS-back up. Die is “hartstikke handig” als een gebruiker zelf een fout maakt, zegt Genova, maar nutteloos bij een ransomware-aanval. Die ransomware versleutelt ook die back-up. “De enige oplossing is een externe harde schijf.” 

De grote jongens

Uit het onderzoek van Symantec blijkt dat er in 2016 drie keer zoveel ‘families’ van ransomware zijn ontstaan dan in het jaar ervoor. Tegelijkertijd slonk het aantal varianten. Dat duidt erop dat criminelen liever vanaf scratch beginnen om detectie te voorkomen. De meeste families zijn nog niet zo succesvol, want slechts een handjevol varianten zijn verantwoordelijk voor 90 procent van alle problemen. “Dat zijn de gasten die de middelen hebben om grote campagnes op te zetten”, zegt Dick O’Brien van Symantec. “Als je geïnfecteerd raakt, is het meer dan waarschijnlijk dat je een van de grote jongens te pakken hebt.”

De meest gebruikte varianten van ransomware zijn Locky, Cerber en CryptXXX. Die worden verspreid via mail. De gebruiker opent een bestand met een ‘exploit kit’ die wordt geactiveerd door JavaScript of Word-macro’s. 

Behalve de ‘grote drie’ bestaat er ook Ransomware-as-a-Service (RaaS): websites waar beginnende criminelen hun eigen pakket kunnen kopen. Dat is een doe-het-zelfpakket waarbij de gebruiker enkel een bitcoin-account moet openen en een percentage moet afstaan aan de maker van dat pakket. Je kunt binnen een dag starten. Daarom is ransomware een ideale manier om in de criminaliteit te stappen. “Het is aannemelijk dat dit het startpunt kan zijn”, zegt O’Brien. 

Data doorverkopen

Met de data die criminelen buitmaken, gebeurt volgens schrijfster en adviseur Genova niets. “Dat verbaast me. Je zou twee keer kunnen profiteren. Maar het businessmodel van ransomware is heel simpel. Ik denk dat het op den duur evolueert en veel gevaarlijker wordt. Ze zullen die data misschien aan andere criminelen gaan doorverkopen”, zegt Genova. 

De Autoriteit Persoonsgegevens neemt die mogelijkheid nu al serieus. Ransomware geldt officieel als datalek als er persoonsgegevens kunnen worden buitgemaakt. Ondernemers die slachtoffer zijn geworden, moeten daarvan melding maken. Wie dat niet doet, riskeert boetes tot 820.000 euro. “Er kan meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt”, motiveert een woordvoerder. “Ze kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd.” 

De grote wereldwijde uitbraak van de WanaCrypt0r-ransomware geldt als een nieuwe waarschuwing om binnenkomende e-mails nog beter te controleren. Dat kan bijvoorbeeld door te checken of het mailadres wel overeenkomt met de naam van de afzender, of door te kijken naar welke webadressen de links in een e-mail verwijzen, zonder dat je er op klikt. Daarnaast is het aan te raden om van zowel Windows als beveiligingsprogramma's altijd de nieuwste update te installeren. Ook een goede back-up is van levensbelang.  

De naam van Willem is gefingeerd en de achternaam van Bart wordt op zijn verzoek niet vermeld. Hun identiteit is bij ons bekend.