NOS Nieuws Binnenland Tech Aangepast

Ransomware kopen? Fluitje van een cent

ANP
Geschreven door
Joost Schellevis
Techredacteur

Het is kinderlijk eenvoudig om op internet aan ransomware, ook wel een 'gijzelvirus' genoemd, te komen. De NOS nam de proef op de som en kocht op een illegale marktplaats op internet de Philadelphia-ransomware en besmette daarmee succesvol computers op de redactie.

"Het grootste deel van de ransomware wordt tegenwoordig op deze manier verspreid", zegt beveiligingsonderzoeker Rickey Gevers. "Dit verklaart waarom het zo'n plaag is geworden." Het is een type virus dat je bestanden of zelfs je volledige computer op slot zet tot het slachtoffer betaalt.

Twee weken geleden werden in korte tijd veel computers besmet met Wannacry-ransomware. Dat kreeg veel aandacht in de media, maar in de jaren ervoor wist gijzelsoftware ook al steeds meer slachtoffers te maken. Volgens het Openbaar Ministerie is het een van de snelst groeiende vormen van internetcriminaliteit.

Het Nationaal Cyber Security Centrum zegt dat het steeds makkelijker wordt om ransomware te verspreiden. "We maken ons al langer zorgen over cybercrime as a service", zegt Patricia Zorko van die organisatie. "Cybercrime wordt daardoor voor een grotere groep toegankelijk."

Marktplaats voor illegaliteit

De afgelopen jaren is een scheiding ontstaan tussen mensen die de ransomware maken en mensen die het verspreiden, zegt Ezra Windhorst van beveiligingsbedrijf Surelock, dat ondernemers bijstaat die vaak getroffen worden. "Je kunt het gewoon kant-en-klaar aanschaffen."

En dat kopen is allesbehalve moeilijk. Op een anoniem deel van het internet, bereikbaar via een zogeheten versleutelde Tor-browser, kan iedereen met een enigszins gevulde beurs en een bescheiden hoeveelheid technische kennis computervirussen aanschaffen. Daaronder dus ook ransomware, maar bijvoorbeeld ook programma's om pinautomaten te kraken, in te breken op internetbankieren of om mensen te bespioneren.

De drempel om ransomware te verkopen is veel lager geworden.

Beveiligingsonderzoeker Rickey Gevers

De prijzen variëren flink: voor een simpel virus betaal je een dollar, terwijl software om pinautomaten te kraken maar liefst 7000 dollar kost. Een 'instapmodelletje' ransomware kost 300 dollar.

Dat het zo eenvoudig is geworden om de schadelijke software te verkopen, verklaart de plaag ten dele, zegt beveiligingsonderzoeker Gevers. "De drempel om ransomware te verspreiden, is veel lager geworden. Daarnaast is het eenvoudig geworden om het te gelde te maken: dankzij de bitcoin is het eenvoudiger om anoniem geld te vragen aan slachtoffers."

Zelf instellen

De verkopers van kwaadaardige computerprogramma's gedragen zich daarbij als verkopers die je ook aantreft op Marktplaats. "20 procent korting!", belooft de verkoper van de Philadelphia-ransomware. "Tijdelijke aanbieding!", spoort hij geïnteresseerden aan tot actie. We besluiten de Philadelphia-ransomware te kopen, voor 309 dollar. We betalen in bitcoins, maar los daarvan lijkt de koop op die van legitieme software: we moeten het softwarepakket zelfs activeren met een licentiecode.

Interface van de Philadelphia-ransomware NOS

Als we dat gedaan hebben, kunnen we het virus naar onze smaak instellen. Hoeveel geld we willen vragen voor het ontsleutelen van bestanden, welke tekst slachtoffers te zien krijgen en zelfs in welke kleuren die wordt getoond; we mogen dat allemaal zelf bepalen.

Vervolgens moeten de slachtoffers geïnfecteerd worden met 'onze' ransomware. Dat doen we natuurlijk niet met echte, onschuldige slachtoffers, maar met een computer die we zelf in beheer hebben. Die sturen we een phishing-mailtje, zogenaamd afkomstig van een incassobureau dat geld tegoed heeft van het slachtoffer.

Aanpassen van de Philadelphia-ransomware NOS

Het slachtoffer moet vervolgens nog wel een programmaatje uitvoeren. Geavanceerdere aanvallers kopen naast ransomware ook nog een exploit kit, waarmee ze een computer kunnen binnendringen zonder dat dat hoeft. "Eigenlijk heb je dat niet nodig", zegt onderzoeker Gevers. Veel slachtoffers voeren zo'n programmaatje namelijk gewoon uit, waarna de bestanden worden versleuteld.

De tijd die het kost om succesvol een ransomware-aanval op te zetten, is kort: binnen 24 uur na het kopen van de software, hebben we onze aanval draaiende. Een aanvaller die het écht goed wil doen, is waarschijnlijk wel iets langer bezig: zo hebben wij geen moeite gedaan om onze sporen te wissen, maar iemand die daadwerkelijk strafbare handelingen gaat verrichten, zal dat wel willen doen.

Sleutels

Na de infectie heeft het ransomware-slachtoffer een lastig dilemma: betalen, en een ecosysteem van criminelen in stand houden, of het risico lopen je bestanden kwijt te zijn. Het beste advies is om back-ups te maken, zodat je je bestanden niet kwijt bent bij een infectie. Maar heb je dat niet gedaan voordat je bent getroffen, dan heb je niets aan dat advies.

Voor sommige typen gijzelsoftware is er een programmaatje beschikbaar dat bestanden weer kan ontsleutelen. De politie heeft samen met beveiligingsbedrijven een overzicht gemaakt van virussen waarvoor zo'n programmaatje beschikbaar is.

Volgens de politie en het OM is het lastig om digitale criminelen te vervolgen, omdat deze zich vaak buiten Nederland bevinden. Een nieuwe wet die de politie verdachten moet laten hacken, is volgens het OM nodig om internetcriminelen aan te kunnen pakken. De Eerste Kamer buigt zich daar binnenkort over.

STER reclame