​'Ransomware is voor internetcriminelen heel lucratief verdienmodel'

Paisan Homhuan/123RF

Wel of niet betalen?

Dat is de vraag die deze dagen op tafel ligt bij bedrijven en organisaties die zijn getroffen door de WannaCry-ransomware. Sinds afgelopen vrijdag zijn meer dan 200.000 computers in zeker honderd landen besmet geraakt met de gijzelsoftware.

Of er daadwerkelijk wordt betaald zal per situatie verschillen. Organisaties met een goede ict-afdeling zijn mogelijk in staat om een back-up terug te zetten, waardoor de ransomware verdwijnt. Maar dat geldt lang niet voor iedereen. Bovendien is de deadline voordat bestanden worden vernietigd pas later deze week.

50.000 dollar

Toch hebben sommige mensen al eieren voor hun geld gekozen. In de broncode van de ransomware zijn verwijzingen naar drie bitcoin-portemonnees van criminelen gevonden. Op het hoogtepunt zou hier 100.000 dollar in hebben gezeten, nu staat de teller op bijna 50.000 dollar. Op 200.000 infecties valt dat dus wel mee.

"Het roept allerlei vragen op", zegt cyberonderzoeker Rolf van Wegberg van TNO. "Zijn dit de enige portemonnees en hebben de criminelen een deel al doorgesluisd? De ironie van bitcoin is dat het heel transparant is, dus we zien precies hoeveel de actie oplevert."

Het is wachten op foutjes, zoals de kill switch die bij toeval werd ontdekt.

Rolf van Wegberg, cyberonderzoeker bij TNO

Het wordt volgens Van Wegberg lastig om erachter te komen van wie de bitcoins zijn. "Het is wachten op foutjes, zoals de kill switch die vrijdag bij toeval werd ontdekt en daardoor de verspreiding van de gijzelsoftware stopte. Als die uitblijft, wordt het heel ingewikkeld." Die kill switch bestond uit het registreren van een bepaalde domeinnaam.

Beveiligingsexpert Sijmen Ruwhof vindt dat de internetcriminelen wel heel veel schade aanrichten voor het geld dat ze ervoor terugkrijgen. "Daarnaast valt me op dat de software best slecht is geschreven. De impact hiervan was vooral zo groot dankzij de tool die de NSA op basis van het lek in Windows had geschreven."

Deadlines

Ruwhof verwacht dat de komende dagen de portemonnee voller wordt omdat de deadline voor betalen dichter bij komt. Als dat moment verstrijkt, gaat in eerste instantie de prijs omhoog en na de volgende deadline worden bestanden vernietigd. "Mensen willen vaak tot het laatste moment wachten en eerst kijken of ze via een computerexpert hun documenten kunnen redden."

Je moet nooit betalen, want dat inspireert andere ransomware-makers en het zorgt voor reclame.

Dave Maasland, beveiligingsbedrijf ESET

De aanval veroorzaakt veel discussie onder beveiligingsexperts: moet je nou wel of niet betalen? De politie adviseert van niet. "Ik snap dat wel", zegt Ruwhof, "want zo help je hun verdienmodel in stand te zouden." Dave Maasland van beveiligingsbedrijf ESET sluit zich daarbij aan. "Je moet nooit betalen, want dat inspireert andere ransomware-makers en het zorgt voor reclame."

Ruwhof snapt tegelijkertijd de positie van gebruikers die wel betalen. "Als je moet kiezen tussen al je vakantiefoto's en administratie kwijtraken of niet betalen is de keuze wellicht snel gemaakt."

1 miljard dollar

Ondanks het advies om de criminelen niet te steunen, geven mensen toch vaak toe in dit soort situaties. De FBI zei begin dit jaar dat er in 2016 voor 1 miljard dollar aan digitaal losgeld is betaald. En dan gaat het alleen over de gevallen die zijn gemeld. De verwachting is dat dit bedrag verder zal stijgen. "Het is gewoon een heel lucratief verdienmodel", zegt Van Wegberg. "Je kunt snel veel geld verdienen."

De tot nu toe relatief kleine opbrengst bij de WannaCry-ransomware roept wel de vraag op wat het doel was van de aanvallers. Voor Ruwhof staat dat al vast: ordinair geld verdienen. Maar een andere theorie is dat dit meer een proof of concept is, laten zien wat je als crimineel in korte tijd kunt doen.

Van Wegberg en Maasland houden die optie ook open, juist omdat er zo weinig verdiend is. "Pas als 3 procent van de slachtoffers betaalt, draai je als crimineel break-even", zegt Van Wegberg. Dat lijkt hier vooralsnog niet het geval te zijn.