Verschillende recente berichten in de pers meldden reeds dat nieuwe malware onder de naam ‘Locky’ ook Belgische bedrijven niet heeft gespaard. Locky is een nieuwe variant van ransomware die – net zoals het gekende cryptolocker-virus – computerbestanden versleutelt en deze slechts na betaling terug vrijgeeft. Ransomware is niet nieuw, maar blijft hardnekkiger dan ooit bedrijven in de Benelux teisteren. Toch brengt de komst van malware zoals Cryptolocker twee belangrijke trends met zich mee waar de IT-sector rekening mee moet houden: een grote professionaliseringsslag van cybercriminelen met een businessmodel, en de komst van de “eerlijke en betrouwbare cybercrimineel” die hieruit voortvloeit. Zo zijn Rex Mundi en de Armada Collective misschien wel cybercriminelen, maar wel cybercriminelen met een zekere beroepseer.
Hagelbui
De vraag of je bij ransomware zoals Cryptolocker nu ook effectief gehackt bent is vaak een kwestie van semantiek. Wat versta je onder ‘gehackt’ zijn? Ransomware is het best te vergelijken met een hagelbui, aangezien niemand zich echt specifiek op jou richt. Je hebt gewoon het ongeluk om erdoor getroffen te worden door bijvoorbeeld op een specifieke link te klikken of een bepaald bestand te openen. In die zin van het woord ben je dus niet gehackt, maar het wijst wel degelijk op een duidelijk beveiligingsprobleem in de organisatie, waardoor men nog verder kan binnendringen.
Cybercriminelen met een businessmodel en een helpdesk
Ransomware zoals Cryptolocker is ook een belangrijk bewijs dat er op vlak van cybercriminaliteit een grote professionaliseringsslag is. Hierdoor kan men volgens hem dan ook niet meer spreken over cybercriminelen, maar eerder over georganiseerde criminaliteit met een businessmodel.
Het businessmodel is dan ook nog eens heel eenvoudig! De cybercrimineel blokkeert al je gegevens en als je genoeg betaalt, ontgrendelt hij ze voor je. Toch zit er een hele industrie achter met een management en een uitvoerende tak die je effectief probeert te besmetten. Vaak werken ze zelfs met een helpdesk, want vaak wordt er gevraagd om met bitcoins te betalen, terwijl het grootste deel van de bevolking daar nog nooit van gehoord heeft of er nog nooit mee gewerkt heeft. Deze mensen kunnen dan naar een specifieke helpdesk mailen die hen alle uitleg doorstuurt. Na betaling krijg je van die helpdesk ook de sleutel om je bestanden terug te ontgrendelen.
De opkomst van eerlijke en betrouwbare cybercriminelen, maar ook van copycats
Verder heeft de komst van ransomware en het bijhorende businessmodel niet alleen voor het ontstaan van een generatie van eerlijke en betrouwbare cybercriminelen gezorgd, maar ook dat deze betrouwbaarheid een hoeksteen wordt van hun businessmodel, zoals bijvoorbeeld bij Rex Mundi of het Armada Collective.
Heel eenvoudig gezegd, de cybercrimineel heeft er alle belang bij om een man van zijn woord te zijn. Zonder vertrouwen, geen geld! Als de afperser de gegevens niet terugzet nadat hij de bitcoins heeft ontvangen, zal er uiteindelijk niemand meer betalen. Vooral omdat dit soort incidenten altijd het nieuws zal halen. Als de publieke opinie doorheeft dat er niets gebeurt, zelfs al betaal je, gaat in de toekomst niemand nog de cybercriminelen betalen. Ook al keur ik zijn daden zeker niet goed, zie ik bijvoorbeeld een cybercrimineel als Rex Mundi als iemand met een zekere beroepseer, of in ieder geval met een consistente werkwijze.
Anderzijds zie je ook dat dergelijke criminele activiteiten ook copy cats aanmoedigen, die niet per se hun woord houden. Je ziet dat op dit moment vooral in de ddos-wereld een verwijzing naar het Armada Collective gebruikt wordt om bedrijven af te persen. Echter, deze bedreiging wordt niet altijd uitgevoerd als iemand niet betaalt. Voor ransomware zou dat ook zomaar kunnen veranderen, zodat je dus ineens je bestanden niet meer terugkrijgt, ook al heb je betaald.
Betalen of niet betalen?
Bij een besmetting met ransomware zoals Cryptolocker is de belangrijkste vraag natuurlijk altijd of je moet betalen, of net niet. Dit is vaak zo omdat het losgeld niet altijd in verhouding staat tot de kosten om de data op een andere manier weer toegankelijk te maken, wat zeker het geval is bij bedrijfskritieke data.
Vaak zien we echter dat de Cryptolockers van vandaag tot op zo’n specifiek niveau ontwikkeld zijn dat het virtueel onmogelijk is om data zelf terug te halen zonder de hulp van cybercriminelen. Hoe tragisch het ook is, weigeren wij echter aan onze klanten te zeggen dat ze moeten betalen, want niets garandeert dat ze een paar maanden na betaling niet gewoon opnieuw proberen binnendringen bij je bedrijf. Indien bedrijven zich dan niet beter beschermen kom je in een vicieuze cirkel terecht.
Goede back-up kan al veel voorkomen
Zijn de data dan volledig verloren? Helemaal niet, maar alleen indien bedrijven de nodige maatregelen getroffen hebben om dit te voorkomen. Vaak kan dit al gaan over verschillende heel eenvoudige dingen, zoals een goede back-up. Maar daar wringt bij veel bedrijven in de Benelux nog steeds het schoentje.
Het belangrijkste verdedigingsmiddel tegen ransomware zoals Cryptolocker is om ervoor te zorgen dat, indien je bedrijf getroffen wordt, het je niet deert. Als je ergens een kopie van die bestanden staan hebt, kan je deze zelf terugzetten en moet je jezelf de vraag niet eens stellen of je zou betalen of niet. Toch zien we dat veel bedrijven in de Benelux niet genoeg investeren in back-ups en hierdoor de gevolgen van ransomware blijven dragen. Zo werk je eigenlijk ransomware passief in de hand, aangezien je op deze manier voor cybercriminelen een mogelijkheid maakt om je erdoor te laten gijzelen.
Erik De Jong, Lead Expert Cybercrime bij Fox-IT
