De duivelse creativiteit achter de nieuwe generatie afpersware

De wereld van cybercriminaliteit evolueert constant, maar er wordt in geen enkel gebied meer innovatie en creativiteit gepompt dan in ransomware: software die ontworpen is om een computer gegijzeld te houden tot er betaald is.

De afgelopen maanden is het gebruik van ransomware enorm toegenomen. Cybercriminelen hebben duivelse nieuwe manieren bedacht om doelwitten in de luren te leggen en zelfs compleet nieuwe businessmodellen rondom ransomware bedacht.

Ten eerste maken ransomware-ontwikkelaars gebruik van een nieuwe tactiek: crowdsourcing. Dat begon in mei, toen de siteTox op het darkweb kwam. Iedereen kon hier gratis een stuk ransomware downloaden en verspreiden naar believen. Als een slachtoffer betaalde, werd de cash gedeeld tussen de ontwikkelaar van Tox en zijn nieuwe partner. Het is een geniaal idee: door de malware gratis weg te geven, in plaats van verkopen, had de maker van Tox distributie geoutsourced.

De site ging niet lang mee. De maker kon blijkbaar de druk niet aan dat de FBI achter hem aan zat.

In juli verscheen er echter ineens een andere site die hetzelfde model als Tox hanteerde, dit maal onder de naam "Encryptor Raas." En een maand later nog een, "ORX-Locker." Dit zijn de eerste stapjes in gecrowdsourcde ransomware, maar het is duidelijk dat het een idee is dat cybercriminelen wel zien zitten.

Ransomware stamt uit de late jaren 80, maar is de afgelopen paar jaar pas echt populair geworden. In 2013 begon een variant die CryptoLocker heette de anonieme valuta Bitcoin te gebruiken, waardoor de afpersing op enorme schaal kon worden ingezet. Honderduizenden systemen werden in de eerste 100 dagen na de release van de malware geïnfecteerd. ZDNet kwam erachter dat er in die tijd meer dan $27 miljoen naar CryptoLocker Bitcoin-adressen vloeide.

Na dat succes sprongen kopieën als paddestoelen uit de grond, waaronder CryptoWall en TorrentLocker. Andere cybercriminelen vonden nieuwe manieren om doelwitten te infecteren, zoals zogenaamde "drive-by downloads," waarbij slachtoffers malware oppikten als ze op een geïnfecteerde site kwamen. Of door direct smartphones te targeten. Tegen juni 2013 had beveiligingsbedrijf McAfee meer dan 250.000 unieke soorten ransomware ontdekt.

Ransomware infecteerde in die tijd niet alleen de computers van individuele computergebruikers, maar ook organisaties en zelfs politiebureau's. Eerder dit jaar werden er ook honderden computers van de VU in Amsterdam geïnfecteerd met CryptoLocker.

Maar dat was de vorige generatie afpersware. Ondertussen is de scene alleen maar diverser geworden, en wordt er van steeds meer kanalen gebruik gemaakt om slachtoffers geld te laten ophoesten.

Een aantal doen zich voor als porno-apps, die gedownload worden door het doelwit voordat de telefoon wordt overgenomen. Sommige van deze apps maken zelfs een kiekje met de camera om mensen nog meer te intimideren.

Andere cybercriminelen zijn van doelwit gewisseld en targeten nu grote corporaties in plaats van kleine bedrijven en individuen. In plaats van de bestanden op één computer te versleutelen, gaan ze achter de centrale opslagplekken van data aan. Als ze toegang hebben, kopiëren ze alle bestanden en verwijderen ze de originele. Toegegeven, dit is geen ransomware, maar het resultaat is hetzelfde: flinke sommen geld eisen voor de teruggave van bezit.

"Het verschil is dat de hacker je niet alleen weghoudt bij je data, maar deze gewoon heeft en kan dreigen met publiceren of verwijderen als er niet betaald wordt," zegtTK Keanini, CTO van beveiligingsbedrijf Lanscope.

De rijkdom en gewiekstheid van verschillende soorten afpersware laat zien hoe innovatief deze ruimte is. De populariteit stijgt nog altijd, dus wie weet wat de toekomst ons nog gaat brengen.