Gijzelsoftware maakt veel gedupeerden, daders stoppen ineens
Een nieuwe vorm van gijzelsoftware heeft in de afgelopen tijd duizenden organisaties over de hele wereld geraakt. Maar vanuit het niets hebben de makers van de ransomware aangekondigd dat ze ermee stoppen. Ze gaven 2934 ‘sleutels’ vrij, codes waarmee de gedupeerden hun gegijzelde bestanden gratis terug kunnen krijgen. En dat verbijstert beveiliger KPN Security, dat de cybercriminelen al een tijdje in de gaten hield.
De ransomware heet Avaddon. Die is sinds juni vorig jaar heel actief. Zo werd de Aziatische tak van verzekeraar AXA getroffen, net als een financiële dienstverlener in de Verenigde Staten, een politieke partij in Australië en een consultant in België. Ook in Duitsland en Frankrijk zijn aanvallen uitgevoerd.
De criminelen gaan heel geraffineerd te werk. Als ze eenmaal ergens binnen zijn, blijven ze lang stil, om niet ontdekt te worden. Ze brengen geduldig het hele systeem van het slachtoffer in kaart. Zo kijken ze waar de reservekopieën zijn. Als het lukt om die te versleutelen, staat een bedrijf met lege handen en wordt de druk om te betalen groter. Ook stelen ze interne bestanden, die op ondergrondse marktplaatsen worden verkocht. Dat voert de druk nog verder op. Gedupeerden moeten 40.000 tot 600.000 dollar aan losgeld betalen in bitcoins.
In Nederland zijn nog geen aanvallen bekend, maar het is „niet ondenkbaar” dat de cybercriminelen ook hier bedrijven en organisaties hebben getroffen, zegt cyberspecialist Jordi Scharloo van KPN Security. „Het is niet zo dat ze wel België en Duitsland doen, maar dan denken: we laten Nederland links liggen. Ze weten dat hier ook wat te halen valt, dat er bedrijven zijn met diepe zakken, en dat er bedrijven zijn die al eerder losgeld betaald hebben.”
Het is niet bekend wie achter de ransomware zitten. Er zijn wel wat aanwijzingen. De ransomware is komen bovendrijven op Russische forums en de schadelijke software is zo gemaakt dat organisaties in Rusland en andere voormalige Sovjet-landen niet kunnen worden getroffen. Dat kan volgens Scharloo betekenen „dat de criminelen een speciale band met de regio hebben”, maar dat wil niet zeggen dat ze bijvoorbeeld in Rusland zitten. In de afgelopen jaren zijn grote Russische cybercriminelen gearresteerd in onder meer de Malediven, Griekenland, Bulgarije, Spanje, Thailand en Israël.
De makers van Avaddon krijgen mogelijk steun van een regeringsdienst. Het motief is niet duidelijk. „Misschien willen landen informatie halen. Maar het kan ook zijn dat ze schade willen berokkenen bij een rivaal. Het kan zo simpel zijn als: leef je uit bij een land dat wij niet mogen.”
De makers van Avaddon verkochten hun buit op het dark web, het afgeschermde deel van internet. Maar hun sites daar zijn sinds afgelopen weekend ineens niet meer te bereiken. Bovendien kregen beveiligingsonderzoekers vanuit het niets de duizenden sleutels om computersystemen te ontgrendelen. KPN Security spreekt van een „rare twist, als je ziet hoe succesvol ze tot nu toe zijn”. De criminelen zelf hebben hun besluit niet toegelicht. Scharloo: „Soms zeggen groepen dat ze stoppen vanuit morele overwegingen, hoeveel waarde je daar dan ook aan moet hechten. Soms is er onenigheid en valt een groep uit elkaar. Soms zijn de zakken gevuld en zijn ze klaar. Het kan ook zijn dat de grond ze te heet onder de voeten werd.”
Maar een andere mogelijkheid is dat het een schijnbeweging is. De makers hebben weliswaar 2934 gijzelingen gestopt door de sleutels vrij te geven, maar dat wil niet per se zeggen dat ze nu met lege handen staan. „Misschien is het maar een tiende van wat ze hebben, dat weten we niet. Misschien gaan ze met dezelfde technologie onder een nieuwe naam verder, of verkopen ze het door. En het is ook mogelijk dat ze helemaal niet op zoek waren naar losgeld, maar naar informatie.”