Uitlegparty: Dorifel-virus en Citadel-botnet
Het nieuwe Dorifelvirus licht Nederlanders op. Hoe werkt het? Hoe kom je ervan af? En waarom blijft het botnet achter het virus online?
Sinds vorige week zijn zeker drieduizend Nederlandse computer besmet geraakt met het Dorifel-virus. Maar dat is nog een lage schatting. Het kunnen er volgens onderzoeksbureau Digital Investigation zelfs tienduizenden zijn. Van honderden Nederlanders zijn bankgegevens gevonden op een server die de criminelen achter het virus gebruiken.
Ook bellen oplichters inmiddels slachtoffers om hen nep-antivirussoftware te verkopen. Ze doen zich daarbij voor als Microsoft-medewerkers die hulp bieden tegen het virus. Het verkochte antiviruspakket werkt echter helemaal niet, maar de oplichters hebben al wel van tientallen mensen de creditcardgegevens ontvreemd.
Phishing
Het Dorifel-virus dook vanaf woensdag op. Ook tientallen gemeenten en bedrijven werden erdoor getroffen. Het virus stond al ongemerkt op de computers maar werd geactiveerd door een Citadel-botnet. Over dit netwerk van besmette computers hebben criminelen controle. Het Citadel-botnet is voor allerlei zaken te gebruiken, maar de aanvallers lijken zich dit keer te richten op het plunderen van Nederlandse bankrekeningen. Dat komt relatief weinig voor.
Het botnet is bedoeld voor phishing, het verspreiden van nepsites van banken, bedoeld om slachtoffers hun gegevens afhandig te maken. Het ging bijvoorbeeld om nepsites als Bank-auth.org, die inmiddels offline is. Zelfs al zijn de nagemaakte banksites uit de licht, dan kan de cybermaffia het soms alsnog proberen per telefoon.
Word- en Excel-files
Wat doet het virus? Dorifel versleutelt Word- en Excel-bestanden op netwerkschijven en usb-sticks. Deze bestanden worden veranderd in uitvoerbare files, maar doordat ze hetzelfde icoontje hebben lijken ze het originele bestand. Als andere gebruikers in het netwerk ze aanklikken, raakt ook hun systeem besmet met het virus. Doordat het zich op deze manier verspreid, zijn relatief veel bedrijven en overheden getroffen, omdat die nu eenmaal vaker werken met netwerkschijven dan de gemiddelde consument. Volgens Kaspersky verspreidt Dorifel zich trouwens niet alleen via het Citadel-botnet, maar ook via besmette attachments in spammails.
Wie een Office-document opent dat opeens niet meer leesbaar is, moet zich zorgen gaan maken. Het zou om Dorifel kunnen gaan. De Office-bestanden worden voorzien van een .scr-extensie, zodat ze makkelijk zijn te vinden door te zoeken op files die eindigen op extensies als .doc.scr of .xls.scr. Netwerkbeheerders kunnen actie ondernemen door het openen van uitvoerbare bestanden vanaf gekoppelde netwerkschijven te beperken via onder meer Windows Group Policy.
Anti-virus-updates
Hoe weet je of je bent besmet? De makkelijkste manier om het virus te detecteren is het gebruik van een anti-virusprogramma, mits de laatste updates zijn geïnstalleerd. Update dus eerst de virusdefinities voordat je gaat scannen. Dorifel is inmiddels te vinden en te verwijderen met de meeste antivirussoftware, zoals te zien is in dit overzicht. Surfright heeft ook een speciale tool voor het verwijderen van besmette bestanden. Meer tips zijn ook te vinden bij de Waarschuwingsdienst.nl.
Een erg slim virus is Dorifel eigenlijk niet. Normale malware probeert juist zo lang mogelijk onzichtbaar te blijven, maar doordat Dorifel zich verspreidt via Word- en Excel-bestanden en die aanpast, waardoor ze soms niet meer zijn te openen, valt de besmetting vrij snel op bij de gebruiker.
Uit een fraaie analyse van het virus door ict-journalist Brenno de Winter en Digital Investigations blijkt dat de virusschrijver vrij slordig is. Hij verwijst in de code overigens naar meerdere films en tv-programma's, waaronder Breaking Bad en Scarface.
Slachtoffers
De uitbraak maakt ook weer duidelijk dat er nog van alles mis zit met de ict-beveiliging bij Nederlandse overheden. Computers bij meerdere overheden waren onderdeel van het Citadel-botnet, waaronder diverse gemeenten, de provincies Brabant en Noord-Holland, het ministerie van Onderwijs, Cultuur en Wetenschap en het RIVM.
Relatief veel Nederlanders van wie gegevens zijn gevonden op een Citadel-server zijn klant bij ING. "Indien de ING onregelmatigheden detecteert zal zij de betaalfunctie van de desbetreffende klanten in Mijn ING (internetbankieren) direct blokkeren. Deze klanten worden door ING hiervan op de hoogte gesteld", meldt de bank. ING zou slachtoffers compenseren. Van andere grote banken, zoals ABN Amro, Rabobank en SNS, lijken voorlopig minder gegevens gestolen.
Operatie anti-Citadel
Verontrustend is dat de cybercriminelen die het Citadel-botnet beheren op elk moment weer een andere malware kunnen gaan verspreiden. Het beveiligingsbedrijf Fox-It meldde al dat de botnetbeheerders op een klein aantal met Dorifel besmette pc's ook de nieuwe Hermes-trojan hebben geüpload. Hermes werd afgelopen weekend nog door weinig antivirusprogramma's ontdekt.
Dat zal door blijven gaan, zolang dat botnet in de lucht is en daarom zijn de autoriteiten druk met het aanpakken van de servers die het botnet van commando's voorzien. De jacht op het botnet is in volle gang. Het Openbaar Ministerie heeft samen met de High Tech Crime Unit al verscheidene domeinen van de botnetheerders uit de lucht gehaald, in binnen- en buitenland. Maar daarmee zijn de criminelen zelf nog niet geraakt.
Bovendien duiken er regelmatig nieuwe botnets die van het Citadel-platform gebruik maken op. Zo verspreidt een ander Citadel-botnet sinds vorige week ransomware onder Amerikanen. Slachtoffers krijgen de fake-melding dat de FBI hen heeft betrapt op bezoeken van illegale sites. Hun pc zou zijn vergrendeld totdat ze dit met een boete afbetalen, uiteraard is die meteen online aan 'Justitie' over te maken. In werkelijkheid gaat het geld naar de cybermaffia.
Terughacken mag (nog) niet
Dorifel en Citadel roepen de vraag op hoe autoriteiten botnets kunnen en mogen aanpakken. Politie en justitie zouden de opdracht kunnen geven om de criminelen terug te hacken om zo hun infrastructuur helemaal uit te schakelen. Maar dat zit juridisch allemaal erg lastig. In de VS is dit wel toegestaan, maar in Nederland nog niet. De politiek zou er wel groen licht voor kunnen geven.
Er kleven bezwaren aan. Als Justitie gaat hacken is er kans op schade bij onschuldige bedrijven en organisaties. Die partijen zouden dan de schade kunnen gaan verhalen. De status quo is dat de Nederlandse overheid vooralsnog geen cybermaffia gaat terughacken. Er loopt wel een strafrechtelijk onderzoek en meerdere schakels in het botnet zijn onschadelijk gemaakt. In samenwerking met hosters en providers is het botnet te verstoren. Maar van Citadel zijn we nog lang niet af.