Zo gaat de politie de strijd aan met ransomware
De Nederlandse politie jaagt met security-experts op de makers van ransomware. "De criminelen leren van de fouten die anderen maken."
Ping. Een nieuwe e-mail: je hebt een factuur gemist. Door het bijgevoegde pdf-document te openen kun je de betalingsinformatie zien. Meer dan duizend mensen trappen eind 2014 in deze phishingmail. Na het openen van het document is de computer besmet met de Coinvault-ransomware, en heb je geen toegang meer tot je bestanden. Voor zo'n 200 euro in bitcoin krijg je ze weer terug.
De Nederlanders die vermoedelijk achter de ransomware zitten werden gearresteerd. Als gebaar van goede wil boden de verdachten - de zaak is nog onder de rechter - aan om gratis een paar bestanden te ontsleutelen. Een slachtoffer had gemerkt dat daarvoor vanaf een Nederlandse server een digitale sleutel werd gedownload. Hij klopte aan bij onze cyberpolitie, het Team High Tech Crime (THTC).
Wat bleek: de eigenaar van de server was ook gehackt. De verdachten hadden zijn server misbruikt om alle digitale sleutels op te slaan. Een goudmijn voor de politie, die daarmee de computers van ruim duizend slachtoffers konden ontsleutelen. Eén probleem: hoe krijg je de juiste sleutel bij het juiste slachtoffer?
Nederlandse mails zonder spelfouten
Om dat probleem op te lossen ging de politie samenwerken met beveiligingsbedrijven, vertelt John Fokker, digitaal teamleider van THTC, tijdens een presentatie op de ESET Security Days. Met de hulp van Kaspersky ontwikkelde de politie een tool waarmee je met Coinvault besmette computers weer kon ontgrendelen.
De tool werd aangeboden via de website van Kaspersky en ook de politie wees slachtoffers via de eigen website op de tool. "Dat oogt een stuk betrouwbaarder dan een melding in de ransomware: hier is de politie op je beeldscherm en we komen je even ontgrendelen", grapt hij.
THTC had de Coinvault-ransomware al direct in zijn vizier. De ransomware werd namelijk specifiek op Nederland gericht, met phishingmails die geen spelfouten bevatten. Dat duidt erop dat de verdachten uit Nederland komen.
Server van een bioscoop
Kaspersky doet veel onderzoek naar malware en doorzoekt daarvoor de programmeercode van de virussen, zegt Martijn van Lom, directeur van Kaspersky Nederland. "Wij zijn beter is het analyseren van malware, de politie is weer goed in recherchewerk. Door die krachten te bundelen kunnen we internetcriminelen oppakken."
De onderzoekers van Kaspersky doorzochten de programmeercode van Coinvault en kwamen bij de gehackte server van 'een arthousebioscoop' aan de Nederlandse kust uit. Vanaf daar werd de Coinvault-ransomware aangestuurd. De politie belde de bioscoop op, maar daar wisten ze van niets.
Na toestemming van de rechter-commissaris hield de politie het verkeer naar de server van de arthousebioscoop in de gaten. Op een gegeven moment maakten de verdachten een cruciale fout: ze maakten verbinding zonder software die je ip-adres verbergt te gebruiken. "Het zijn vaak deze kleine menselijke foutjes waardoor cybercriminelen worden opgepakt", aldus Van Lom.
Het ip-adres leidde naar een huisadres in het midden van het land. De politie klopte aan en de ouders van één van de verdachten deed open. "Ze waren niet blij dat we op bezoek kwamen", zegt Fokker. Uiteindelijk leidde het onderzoek tot 14.000 digitale sleutels waarmee besmette pc's gered konden worden.
"Het was een bevredigend resultaat en we dachten meteen: hoe kunnen we dit groter aanpakken",vertelt Fokker. Het idee voor No More Ransom was geboren: een website die, in samenwerking met beveiligingsbedrijven, tools aanbiedt om met ransomware besmette computers zonder betaling weer te ontsleutelen.
30.000 computers opgeschoond
Ransomware is wettelijk gezien gewoon afpersing en daar staat maximaal negen jaar cel op of twaalf jaar als het in groepsverband gebeurt. "Het is gewoon zware criminaliteit. Met No More Ransom worden de politie en beveiligingsbedrijven een soort cybersheriffs die tegen deze digitale bandieten strijden", zegt Fokker.
Bijna een jaar geleden werd No More Ransom gelanceerd met een paar tools om bepaalde ransomware-versies van je computer te verwijderen. Inmiddels zijn er tientallen die samen minstens 30.000 computers opgeschoond hebben. Fokker berekent dat de criminelen daarmee zo'n 10,5 miljoen euro zijn misgelopen.
Maar zodra THTC een ransomware-variant offline haalt, springen nieuwe versies als paddenstoelen uit de grond. "De criminelen leren van de fouten die anderen maken", zegt Fokker. "Net als wij worden ook zij slimmer in hun tactieken."
Oost-Europese ransomware
De Wildfire-ransomware uit 2016 is daar een voorbeeld van. Het virus werd in een bijlage van een e-mail verstuurd naar de persoonlijke mailadressen van mkb'ers. "Door de e-mail aan personen te richten leek het bericht een stuk betrouwbaarder", legt Fokker uit.
Wat zo opvallend was aan Wildfire, is dat de ransomware werd verspreid met een oud Russisch botnet: een netwerk van geïnfecteerde computers dat door criminelen word bediend. Dat botnet stuurde eerder spammail over afslankpillen, nu verspreidde het ransomware in Nederland.
Ook werd Wildfire niet verspreid in Rusland, Oekraïene en Moldavië. "Dat zien we wel vaker", verklaart Fokker. "In deze landen is het maken van kwaadaardige software niet strafbaar, maar het verspreiden ervan wel. Op deze manier proberen ze in hun eigen land niet de wet te overtreden."
Nederlands bitcoin-bedrijf
Kaspersky vond een Wildfire-server op het anonieme netwerk Tor die de ransomware aanstuurde. Normaal gesproken weet je niet waar zo'n Tor-server zich bevindt, maar toch lukte de onderzoekers het om de exacte locatie te vinden. Hoe precies wil Van Lom niet zeggen. "Laten we het op een configuratiefout houden."
De THTC nam de server in beslag en kon zo zien hoe de mensen achter Wildfire precies te werk gingen. Ze hadden bijvoorbeeld een soort helpdesk waar slachtoffers terecht konden met vragen. Uit de serverdata bleek dat ze meer dan 4000 chats voerden met gedupeerden.
Sommige slachtoffers zeiden dat ze te weinig geld hadden of juist dat ze het bedrag te hoog vonden. Een ander slachtoffer was wat directer: "IK ZAL JE VINDEN KLOOTZAK. Ik ben van de cyberpolitie en jij zal STERVEN in de gevangenis."
Ook hadden de mensen achter Wildfire toegang tot een dashboard waar ze alle infecties en betalingen konden monitoren. In een maand verdienden ze meer dan 135 bitcoins aan losgeld, waarvan een deel werd betaald via het Nederlandse Bitcoin-bedrijf Bitonic. Via Bitonic kwam de politie in contact met slachtoffers van Wildfire, en vroeg het hen om aangifte te doen.
Wie zat er achter Wildfire?
Het is nog steeds niet duidelijk wie er achter Wildfire zat. Volgens Van Lom lijkt het erop dat de ransomware door een Nederlander is gekocht en vervolgens is aangepast.
Kaspersky vond een configuratiebestand waarin je onder andere kon instellen hoe hoog het bedrag voor het losgeld moet zijn. Daarna is het een kwestie van verspreiden. "Je kunt dan in een korte tijd een paar ton verdienen, het is een lucratieve business."
Doordat THTC de server in beslag had genomen, kon het ook de website en helpdesk van de criminelen overnemen. Dat deed de politie ook, en het plaatste zijn eigen logo met een melding op de website.
"We hadden het idee dat we hadden gewonnen", vertelt Fokker. Maar 's avonds op weg naar huis krijgt hij een vervelend bericht: de website is teruggepakt door de Wildfire-verspreiders, en ze eisen weer losgeld van slachtoffers.
Uiteindelijk lukte het de politie om de website weer terug te krijgen en plaatste er een uitleg op hoe duizenden slachtoffers zonder te betalen weer toegang konden krijgen tot hun bestanden.
'Criminelen worden steeds slimmer'
Wildfire is lang niet de laatste ransomware-uitbraak. Neem bijvoorbeeld Hades en Serpent, twee ransomware-versies waar No More Ransom nog geen decryptietool voor aanbiedt.
Fokker: "Deze criminelen worden steeds slimmer en gebruiken hele goede versleutelingstechnieken. Wat je nu ziet is dat ze infrastructuur uitsplitsen over verschillende landen waardoor het lastiger is om de verspreiding te stoppen."
Ook Van Lom merkt dat ransomware steeds geavanceerder wordt: "Besmetting voorkomen is niet altijd mogelijk. Ransomware wordt inmiddels zo goed en snel verspreid dat je gemakkelijk geïnfecteerd kunt raken, vooral als je gebruikmaakt van oudere systemen, zoals in ziekenhuizen of energiecentrales gebeurt."
Het blijft daarom lastig om tegen deze cybercriminelen de strijden, zegt Fokker: "Ze mogen dan veel geld hebben, we geven niet op. We hebben nog een lange Wanted-lijst met ransomware-versies die we willen aanpakken."
Tips over decryptiemogelijkheden en centrale sleutelservers blijven dan ook 'meer dan welkom', ze kunnen duizenden slachtoffers helpen weer toegang te krijgen tot hun geliefde foto's en documenten.
Lees meer over cybercrime:
Slachtoffers van ransomware: 'Je schaamt je wel'
'Makers Petya-ransomware bespioneerden bedrijven maandenlang'