Zoeken

Ransomware: hoe het begon

Tien jaar geleden werd ransomware bestempeld als “tijdelijke trend”… Dit is wat er sindsdien is gebeurd.

De oude versie van ransomware… in een floppy disk

Ransomware kan worden beschreven als “een subset van malware waarin de data op de computer van het slachtoffer wordt vergrendeld – meestal door middel van encryptie – en betaling wordt geëist voordat de data in kwestie wordt ontgrendeld en de toegang er tot weer vrijgegeven aan het slachtoffer.

Het eerst geval dat onder deze definitie valt, alhoewel de definitie ervan pas jaren later zou volgen, was de AIDS Trojan. De malware werd zo genoemd omdat alle slachtoffers waarop gemunt was, afgevaardigden waren van de 1989 World Organization AIDS conferentie in Stockholm.

Zij ontvingen alle een floppy disk (kennen we deze nog?) die kwaadaardige code bevatten die de namen van alle bestanden versleutelde en alle mappen op de schijf verborg nadat het systeem voor de 90ste keer was opgestart na te zijn geïnfecteerd. Dit had tot gevolg dat het systeem onbruikbaar werd.

Slachtoffers kregen een briefje waarin stond dat ze $189 naar een postbus in Panama moesten sturen als ze wilden dat hun systemen hersteld werden. Hoewel deze aanval weinig meer lijkt op de ransomware aanvallen vandaag de dag, staat het bekend als de eerste poging om slachtoffers geld afhandig te maken door de toegang tot hun bestanden en systemen te blokkeren. Gelukkig was het in dit geval mogelijk, door de zwakke encryptie die door de Trojan werd gebruikt, voor security onderzoekers om een gratis decoderingstool vrij te geven.

Ransomware: een tijdelijke trend

Na de eeuwwisseling bleef ransomware zich ontwikkelen en begon gebruik te maken van sterkere, vaak ‘off-the-shelf’ encryptie mechanismes. De aanvallen waren gebruikelijk beperkt tot thuisgebruikers met losgeld van niet meer dan een paar honderd dollar. Dit kan worden toegeschreven aan het feit dat het losgeld moest worden betaald in de standaardvaluta, wat de criminelen weinig vorm van verborgenheid bood.

In een artikel in eWeek in 2012 stond: "In plaats van de hele harde schijf te versleutelen, gebruiken criminelen tamelijk ongekunstelde ransomware om de PC van een slachtoffer te vergrendelen en vervolgens contant geld voor de ontgrendeling te eisen". Dit was een van de weinige vroege waarnemingen van de opkomende nieuwe dreiging die ransomware heette – een van de talloze bedrijfsmodellen waarmee cybercriminaliteit op dat moment experimenteerde. De journalist sloot het artikel af met deze zin: "Ik denk dat het maar een tijdelijke trend is totdat iemand een betere manier vindt om geld te verdienen".

De opmerking over een 'beter idee om geld te verdienen' wees destijds op de achilleshiel van ransomware, namelijk dat er geen gemakkelijke manier was om betaling te ontvangen van het slachtoffer van de ransomware, waarbij de crimineel gedwongen werd zijn toevlucht te nemen tot het gebruik van prepaidkaarten of geldoverdrachten.

Destijds werd aangenomen dat ransomware als vorm van criminaliteit geen vlucht zou nemen, want het wat te lastig om geld te ontvangen van het slachtoffer. Tegenwoordig lijkt die afsluitzin bijna ironisch. De trend, zo is immers gebleken, was allesbehalve tijdelijk.

Openbaar gemaakte ransomware gevallen in de loop van tijd

Openbaar gemaakte ransomware gevallen in de loop van tijd. Bron: Orange Cyberfense en de Temple University. Project: ‘Critical Infrastructures Ransomware Attacks (CIRWAs). Bevat 687 records die zijn verzameld uit openbaar gemaakte incidenten tussen november 2013 en augustus 2020.

Ransomware: het bijna perfecte cyberwapen

Ransomware was in het cybercrime-ecosysteem van 2012 een natuurlijke spil. Het vertegenwoordigde een bedrijfsmodel dat generen van directe inkomsten genereren mogelijk maakte, in tegenstelling tot bijvoorbeeld het stelen van gegevens, die vervolgens zouden moeten worden doorverkocht om er winst te maken.

Ransomware had ook een andere voordelen, met name dat er minder noodzaak is voor de malware operator om een Command and Control kanaal (C&C) met de geïnfecteerde machine te onderhouden.

Maar er ontbrak nog steeds één significant voordeel. Het kon de goedkope en betrouwbare betalingsnetwerken van de creditcardmaatschappijen niet gebruiken om de betaling van zijn klanten te onttrekken, wat destijds het model was. Er was geen veilige en efficiënte manier om betalingen van slachtoffers te ontvangen of verifiëren, en dat betekende dat ransomware als bedrijfsmodel geen schijn van kans had.

Toen ransomware Bitcoin ontdekte

De domeinnaam bitcoin.org werd geregistreerd op 18 augustus 2008. Later dat jaar publiceerde de mysterieuze Satoshi Nakamoto zijn baanbrekende paper over methodes om peer-to-peer te gebruiken op "een systeem voor elektronische transacties zonder te vertrouwen op vertrouwen". Op 3 januari 2009 zag het bitcoin-netwerk het leven.

Bitcoin bleek het missende puzzelstukje voor het ransomware misdaadmodel: een veilige, goedkope, eenvoudige en betrouwbare manier om betaling van doelwitten te kunnen ontvangen. Afgezien van de hoge mate van anonimiteit, kan een hacker simpelweg naar de openbare blockchain kijken om te weten of, en wanneer een slachtoffer heeft betaald; of zelf een uniek betalingsadres aanmaken voor elk slachtoffer en het proces van het ontgrendelen van hun bestanden automatiseren na een bevestigde bitcoin-transactie.

In 2013 had de CryptoLocker ransomware tak – die losgeld verzamelde middels Bitcoin – in slechts twee maanden tijd ongeveer 27 miljoen dollar verdiend.

Cryptocurrencies hebben ertoe bijgedragen dat ransomware een winstgevend bedrijfsmodel voor cybercriminaliteit is geworden. Toen cyberverzekeringspolissen het losgeld begonnen te betalen namens het slachtoffer, veroorzaakte dat de perfecte storm. Ransomware is mega populair in het cybercriminaliteit landschap en voor zover we kunnen zien, zet de trend zich nog wel even door…

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11