Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware

Europol heeft een samenwerking met de Nationale Politie en beveiligingsbedrijven Intel Security en Kaspersky Lab aangekondigd om ransomware te bestrijden. Onder de naam 'no more ransom' is er een website ontwikkeld waar slachtoffers onder andere decryptietools kunnen vinden.

Daarnaast biedt de site nog andere mogelijkheden. Zo kunnen slachtoffers aan de hand van een speciale tool identificeren met welke vorm van ransomware zij geïnfecteerd zijn. Op dit moment zijn er decryptietools te krijgen voor een klein aantal varianten, waaronder Coinvault en Shade. Daar kunnen in de toekomst echter nog meer bijkomen, zo stelt een onderzoeker van Kaspersky tijdens de persconferentie. Zo ontbreekt op dit moment nog de sleutel voor TeslaCrypt, deze wordt later echter nog toegevoegd. Ook bevat de pagina veel informatie over preventie, waarmee bedrijven en personen infecties kunnen voorkomen.

De samenwerking betreft een niet-commercieel open platform, dat is opgezet door de toenemende dreiging door ransomware. Volgens Steven Wilson van Europol staat deze vorm van malware in de top drie van dreigingen voor Europa. Raj Samai van Intel Security voegt daaraan toe dat er een explosieve groei vast te stellen is wat betreft ransomware. Zo was er tussen de maanden januari en maart van dit jaar een verdrievoudiging van het aantal infecties waar te nemen.

In gesprek met Tweakers stelt Samani dat vooral nieuwe varianten als Locky en Cerber daaraan hebben bijgedragen, maar ook 'ransomware as a service'. "Met een dergelijke dienst kan zelfs mijn vader een carrière als internetcrimineel beginnen en 7000 tot 10.000 dollar per week verdienen met TeslaCrypt", legt hij uit. Voor de toekomst verwacht hij een migratie van ransomware naar mobiele apparaten en het internet-of-things. Intel Security wil daarover een proof-of-concept presenteren op de BlackHat-conferentie die volgende week plaatsvindt. "Criminelen volgen onze eigen trends, dus ook naar dat soort apparaten. Het is laaghangend fruit voor hen", aldus Samani.

Op dit moment zijn er op de site meer dan 160.000 decryptiesleutels beschikbaar. In het geval van de Shade-ransomware komen deze vanaf een command-and-control-server die door Kaspersky in een onderzoek is gekraakt. Volgens de onderzoeker van het bedrijf is dit ook de manier om ransomwaresoorten te bestrijden die hun cryptografie op orde hebben. Hierbij wordt de nadruk gelegd op het feit dat iedereen aan het vinden van dit soort servers kan meewerken, zo stelt een medewerker van het OM aan Tweakers. Vondsten kunnen aan het Team High Tech Crime gemeld worden, een Pastebin-linkje wordt vaak al op prijs gesteld.

Samani stelt dat het absoluut mogelijk is om ook grote ransomwarefamilies op deze manier te bestrijden. "Het duurt alleen wat langer om het schijnbaar onmogelijke te realiseren", zo stelt hij, en wijst daarbij op het feit dat de geavanceerde Gameover Zeus-malware uiteindelijk ook is gestopt.

Tijdens de persconferentie wordt de nadruk gelegd op twee boodschappen: het niet-betalen aan criminelen en het melden van infecties aan de politie. Dat de optie voor niet-betalen voor veel mensen geen mogelijkheid is, wordt door de partijen onderkend. Maar door de site zou er in ieder geval een nieuwe optie zijn. Door het melden van infecties aan de politie kan deze informatie verzamelen en waar nodig onderzoeken opzetten.

No more ransomware

IT-banen

Reacties (37)

Ricepuppet 25 juli 2016 14:05

Ik weet nog uit eigen ervaring, toen ik bij de Politie werkte, de kennis van Ransomware onder collega's - lees: niet het Team High Tech Crime - ver onder maats was.

Geeneen van mijn collega's wist erover en wat het deed. Als er burgers aangiftes kwamen doen, werden zij met een holle blik aangestaard. Een aantal keer was ik daar niet bij, een enkele keer wel. Zo heb ik een burger na sluitingstijd geholpen door de link te geven voor een bootable USB Rescue Disk. Dit is omdat ik niet alleen hier op Tweakers zit, maar ook uit eigen interesse.

Deze burger was zo blij en had niet verwacht dat 'de Politie' dit wist. Ik was zeer blij om deze man te helpen, maar het schortte (toen) aan kennis bij de rest van mijn (ex) collega's.

Mijn punt is; als het (reguliere) Politie personeel niet eens weet hoe zij dit aan burgers moet duidelijk maken - maar wel allemaal aangifte komen doen - hoe moet dit dan administratief verwerkt worden? Het lijkt mij handiger als het personeel eerst word getraind middels een cursus/Powerpoint presentatie; desnoods met instructies op flyers die zij kunnen uitdelen aan burgers die aangifte komen doen - met in de flyer allerlei oplossingen en verwijzingen -

Niet iedereen is tech savvy; vrijwel alle burgers die aangifte wilden doen waren ouderen die niet begrepen wat er met hun computer was gebeurd.

[Reactie gewijzigd door Ricepuppet op 23 juli 2024 07:30]

DJMaze @Ricepuppet • 25 juli 2016 14:29

Bij andere bedrijven bel je de helpdesk, die hebben ook een standaard verhaaltje.
Vervolgens wil je iets specifieks en wordt je ook van het kastje naar de muur gestuurd.
Heel logisch, je kan toch niet verwachten dat elke medewerker alles weet?

Ik zie liever dat de politie meerdere mensen op de afdeling "aangifte" heeft zitten met elk een specialisatie.
Maar dat kan natuurlijk niet (lees bezuiniging).

Meedenken aan een oplossing die werkt zal iedereen wel willen...

Ricepuppet @DJMaze • 25 juli 2016 14:41

Bij andere bedrijven bel je de helpdesk, die hebben ook een standaard verhaaltje.
Vervolgens wil je iets specifieks en wordt je ook van het kastje naar de muur gestuurd.
Heel logisch, je kan toch niet verwachten dat elke medewerker alles weet?

Ik zie liever dat de politie meerdere mensen op de afdeling "aangifte" heeft zitten met elk een specialisatie.
Maar dat kan natuurlijk niet (lees bezuiniging).

Meedenken aan een oplossing die werkt zal iedereen wel willen...

Je redenering is in mijn ogen niet hetgeen waar het over gaat; de Politie is een aanspreek punt. Als burger verwacht je daar antwoord op vragen betreffende criminaliteit. Dat een helpdesk steken laat vallen van een particulier bedrijf moeten ze geheel zelf weten. Het gaat erom dat een Politie bureau een eerste aanspreek punt is voor de aangifte van burgers. En aangezien hier word geopperd om vooral aangifte bij de Politie te doen, lijkt het mij verstandig dat de eerste lijn medewerkers enige kennis bezitten.

Overigens is het niet te doen om specialisaties in te richten op een bureau; dat is resource verspilling. De een zal het drukker dan de andere hebben en als de ene persoon op vakantie is (of meerdere van die specialisatie) wat dan?

edit: en aangifte via internet is al helemaal niet aan ouderen besteed, zeker niet als de PC gelocked is door de ransomware.

[Reactie gewijzigd door Ricepuppet op 23 juli 2024 07:30]

Gomez12 @Ricepuppet • 25 juli 2016 14:49

[...]
Je redenering is in mijn ogen niet hetgeen waar het over gaat; de Politie is een aanspreek punt.

Tegenwoordig lijkt het er meer op dat de politie tegen wil en dank in aanspreekpunt is, ze doen er in ieder geval zoveel mogelijk aan om niet aangesproken te worden.
Aangifte doen, tja dat gaat zomaar niet...

Dat is de huidige realiteit die eerst doorbroken moet worden, pas als de politie weer behoorlijk aangiftes gaat opnemen dan kan je pas na het traject daarna kijken.

Terrestrial @Ricepuppet • 25 juli 2016 16:20

Je kunt best op een bureau 2 tot 4 mensen hebben die zich met dit soort dingen bezig houden maar je hebt het over het eerste aanspreekpunt. Maar er verdwijnen steeds meer politie bureau's en als je dan komt om aangifte te doen wordt je verwezen naar het internet. Waar je dan in zeer korte bewoording moet uitleggen wat er is gebeurd. En daar hoor je vervolgens dan nooit meer wat van..

Jij werkt nu niet meer bij de politie, (jammer!) maar snap je ook dat dit niet werkt? Naar mijn idee moet er zoveel veranderen bij de politie wil ik nog het idee hebben dat er wat aan hebt als burger.

xrf @Ricepuppet • 25 juli 2016 14:45

Het is eigenlijk belachelijk hoe weinig de politie van digitale misdaad afweet, zeker als je bedenkt dat inmiddels meer dan de helft van de misdaad digitaal is (statistiek voor het VK, zal in NL wel niet veel anders liggen).

[Reactie gewijzigd door xrf op 23 juli 2024 07:30]

Gurd @Ricepuppet • 25 juli 2016 16:01

Dat is naar mijn ervaring nog steeds zo.

Ik moest een tijd geleden aangifte doen namens een bedrijf. Vriendelijke agent maar begreep er weinig van. Had al het bewijsmateriaal verzameld op USB maar daar kon hij op dat moment niks mee. Bied ik aan het dan op een later tijdstip door te mailen krijg ik weken later de vraag om even naar het politiebureau te komen en de USB stick daar achter te laten omdat ze het toch nodig bleken te zijn.

Met dit soort aangiftes doe je het niet eens voor jezelf maar juist om even een signaal te geven dat er weer een nieuwe variant rond gaat.

Ik weet ook niet of ik nog een keer het advies ga geven om aangifte te doen bij dit soort zaken. Ik heb het druk zat en het voelde toch als een gigantische verspilling van mijn tijd.

SilverRST @Ricepuppet • 25 juli 2016 18:21

De training gaat wel veel tijd kosten en duurt het ook lang voor je alles goed begrijpt
hoe een PC werkt met allerlei programma's en hoe je de problemen kunt oplossen.
Je moet eigenlijk er aanleg voor hebben en ervaringen opdoen hoe je de problemen
kunt oplossen en dat doe je door zelf te zoeken naar oplossingen.
Ik begon met Windows waar je commando's moest invoeren op en mijn echte interesse
kwam in 2002 of 2003. Ik wist toen eigenlijk bijna niets maar door zelf te zoeken
naar problemen die je zelf hebt veroorzaakt of door familie of door virussen, maakt niet uit,
altijd op eigen benen staan en verschillende oplossingen uitproberen.
De instanties zien het niet zitten om zo veel en zo lang te gaan investeringen in trainingen.

[Reactie gewijzigd door SilverRST op 23 juli 2024 07:30]

neeecht 25 juli 2016 13:00

Super tip, als je een simpele realtime backup wilt en geen IT tech bent:
Gebruikt OneDrive of GoogleDrive voor je belangrijke bestanden.

Zo ook gebeurde bij een familie lid. Ransomware en alles gewist (copy/rename, origineel gewist).
Maar alle bestanden stonden nog in de prullenbak bij OneDrive.

Ideaal, backup gemaakt (eerst terugzetten dus via een browser en gesynct op een andere pc).
Toen Windows 10 en Office er opnieuw op, even inloggen met je account en alles werkte weer.

- OneDrive is nu 5GB gratis, maar 1TB voor 7 eur per maand. Ideaal voor een simpele oplossing voor een simpel bedrijf.

Anonyymm @neeecht • 25 juli 2016 14:00

Geen goede tip in mijn bescheiden mening. Althans niet om alleen daar van afhankelijk te zijn. Ik denk dat je hier geluk gehad hebt. Er zijn al zoveel varianten in omloop.

Er zijn al ransomware varianten welke via drive mappings of favorieten in Windows Verkenner bestanden encrypten.
Met OneDrive kan automatisch gesynchroniseerd worden. Lokaal geïnfecteerd zorgt ervoor dat de bestanden in OneDrive ook gepakt worden. OneDrive voor persoonlijk gebruik heeft volgens mij ook geen 'vorige versie optie'.
Daarnaast zijn er ook al 'sleeper' varianten. Deze worden pas na een x-aantal dagen actief. Dan bestaat de kans dat je OneDrive, GoogleDrive bestanden ook al geïnfecteerd zijn.

RogerDad @neeecht • 25 juli 2016 13:15

Of nog goedkoper, vraag een invite aan voor Stack van TransIP: https://www.transip.nl/stack 1TB gratis voor persoonlijk gebruik, door een Nederlands bedrijf in Nederland. En met Stack heb je ook de mogelijkheid om die cloudstorage via webdav als drive te mounten.

wica @RogerDad • 25 juli 2016 13:19

EN TransIP geeft gratis 1TB weg, zonder er maar iets voor terug te willen?

RogerDad @wica • 25 juli 2016 13:22

In een interview bij BNR digitaal werd door TransIP uitgelegd waarom ze dit kosteloos aanbieden: http://www.bnr.nl/radio/b...-stack-en-de-stemcomputer.
Zelf zou ik in ieder geval mijn backup's wel encrypten voordat ik ze op de clouddrive zet, maar dat is omdat ik paronoide van beroep ben

Mezz0 @RogerDad • 25 juli 2016 13:25

Zowiezo alle backup's buiten mn netwerk zijn ecnrypted

r2504 @neeecht • 25 juli 2016 13:09

Een realtime backup zonder versioning is eigenlijk waardeloos (geencrypteerde bestanden worden er namelijk ook gewoon naar gesynchroniseerd).

Een voorbeeld van een online backup met versioning is bijvoorbeeld Crashplan (59 dollar per jaar voor unlimited storage).

DarkBlazer 25 juli 2016 12:59

Dit is goed nieuws voor particulieren en bedrijven die slachtoffer zijn geworden van Randsomware.
Maar is dit eigenlijk niet meer iets van dweilen met de kraan open? Aangezien dat er telkens weer een nieuwere versie komt van de Randsomware?

Anoniem: 126717 @DarkBlazer • 25 juli 2016 13:19

Ik mis ook de lijst met IP-adressen van servers die ransomware versturen. Die is er wel en wordt bijgehouden, weet alleen niet meer waar hij staat.

Mopperman @Anoniem: 126717 • 25 juli 2016 13:41

deze?

http://www.malware-domains.com/files/
https://ransomwaretracker.abuse.ch/blocklist/

[Reactie gewijzigd door Mopperman op 23 juli 2024 07:30]

dutchgio @Anoniem: 126717 • 25 juli 2016 13:54

Hier onder andere:
https://ransomwaretracker.abuse.ch/tracker/

Daar kun je vervolgens ook een blocklist van downloaden.

Edit: spuit11.
Tweakers niet gerefreshed, antwoord was al gegeven.

[Reactie gewijzigd door dutchgio op 23 juli 2024 07:30]

Anoniem: 382732 @DarkBlazer • 25 juli 2016 13:27

Net zo dweilen met de kraan open als iedere andere vorm van misdaad. We hebben al honderden jaren een politiemacht in wat voor vorm dan ook, maar er is nog steeds criminaliteit.

Autriv 25 juli 2016 13:08

Ransomware blijft een grote ergernis voor consumenten en (kleine) bedrijven.
Een infectie kan praktisch gezien gewoon je hele netwerk platleggen, en alle werkzaamheden stil leggen, daarom moet er voorzichtig mee omgegaan worden:

Theoretisch:
- Collega's / Werknemers inlichten (Wijzen op gevaarlijke links etc. etc, algemene kennis creëren)
- Zorgen dat Collega's / Werknemers het tijdig aangeven dat ze iets niet vertrouwen, bijvoorbeeld in de mail.
- Bij enige twijfel direct de juiste maatregelen nemen (Bij gespotte infectie meteen betreffend device van elke mogelijke verbinding halen)

Praktisch:
- Regelmatig updaten en security patches downloaden
- Zorgen voor eventuele redundantie in je netwerk
- Back-up's, Back-up's, Back-Up's, desnoods Back-up's van Back-up's (Het liefst off-site, niet aangesloten op hetzelfde netwerk!)

Volledig voorkomen zal waarschijnlijk nooit lukken, de ransomware schrijvers zijn zeker niet achterlijk. Maar schade inperken is zeker mogelijk.
In de meeste gevallen van totaal dataverlies was er gewoon niet voldoende rekening gehouden met Back-Up's en redundantie

TheSiemNL @Autriv • 25 juli 2016 13:38

Als ik tegen klanten zeg dat 1 backup geen backup is kijken ze me wel eens raar aan. Ik zelf heb er 5 en de meeste klanten van me 3.

Autriv @TheSiemNL • 25 juli 2016 13:44

Op het bedrijf waar ik nu vakantiewerk doe maken we standaard om bepaalde tijden een Back-Up op Ultrium tapes (Van ~3 tb) Waarvan we per week 17 nodig hebben (~50tb aan totale Back-Up (Servers niet meegerekend!))

- Dag Back-up's (Mogelijkheid tot terugval naar gisteren) (Bij uitgebreid eergisteren)
- Week Back-Up's (Mogelijkheid tot terugval naar max 4 week terug)
- Maandelijkse Periode Back-Up (6 maanden) (Mogelijkheid tot terugval half jaar terug) (Worden verplicht lang bewaard, exacte termijn weet ik niet, waarschijnlijk 2 jaar)
Dus met de periode tapes kunnen we 4x een halfjaar terug, oftewel 2 jaar terug (Mocht dit ooit nodig zijn)

Het is niet moeilijk, je moet er gewoon je systeem in vinden die je met jouw middelen en budget kan waarmaken.

[Reactie gewijzigd door Autriv op 23 juli 2024 07:30]

Mopperman @Autriv • 25 juli 2016 13:47

Als er financial data op staat gok ik 5 of 7 jaar?

Hier hebben we dag, week, maand en jaar backups. Allen offsite.
Totaal 7 per dag. En nog hebben hier ;last van. Kost altijd veel tijd.

the_shadow @TheSiemNL • 25 juli 2016 13:50

Beste is toch een 3-2-1 strategie: 3 kopieen van de data, 2 verschillende media, 1 off-site. Gecombineerd met een retention policy die noodzakelijk is voor je RPO.

[Reactie gewijzigd door the_shadow op 23 juli 2024 07:30]

PolarBear @Autriv • 25 juli 2016 13:19

Theoretisch:
- Collega's / Werknemers inlichten (Wijzen op gevaarlijke links etc. etc, algemene kennis creëren)
- Zorgen dat Collega's / Werknemers het tijdig aangeven dat ze iets niet vertrouwen, bijvoorbeeld in de mail.

Bij mij werkt het wel. Kwestie van vaak herhalen, praktijk voorbeelden geven etc.

Autriv @PolarBear • 25 juli 2016 13:25

Vooral het gedeelte praktijkvoorbeelden mis ik op bedrijven.
Het is gewoon een ontzettend beveiligingsrisico dat mensen (te vaak) onderschatten..

Anoniem: 636203 25 juli 2016 14:25

Vrijwel zinloos omdat steeds meer ransomware goed geschreven is en feitelijk niet meer te kraken. Het is betalen of een backup terug zetten.

Wat mij blijft verbazen is dat veel mensen gewoon geen backup hebben, zelfs MKB bedrijven hebben gewoon hun hele administratie op één harddisk zonder backup. Bij verlies is het gewoon het einde van het bedrijf.

wica @Anoniem: 636203 • 25 juli 2016 14:52

Verbaast je dat? Ja mij eigelijk ook wel.
WIj hebben hier intern zelf het verbod gekregen om over backup te praten. Gevolg, mensen maken zelf backups, op hun eigen spullen, welke ze weer mee naar huis nemen.

Maar owee als je er iets van zegt

stresstak @Anoniem: 636203 • 25 juli 2016 14:59

Wat mij blijft verbazen is dat veel mensen gewoon geen backup hebben, zelfs MKB bedrijven hebben gewoon hun hele administratie op één harddisk zonder backup. Bij verlies is het gewoon het einde van het bedrijf.

Daarover zou dringende voorlichting en waarschuwingen op zijn plaats zijn. Positieve spam.!

-Roken is slecht- en -Lenen kost geld-, ja, maar niet iedereen rookt of leent. Terwijl de meesten wel computeren. Bedenk wat je zou doen of zou missen als morgen je harddisk weg is of onbereikbaar.
Als bedrijf al helemaal.

xrf 25 juli 2016 14:10

Het lijstje met decrypters is nogal beperkt; met even tellen kom ik uit op zo'n 18 verschillende ransomwarenamen. Vergelijk dat met de 145 soorten die ID ransomware (zie hieronder) ondersteunt.

Grote spelers zoals Cerber ontbreken, zelfs al zijn daar decrypters voor beschikbaar.

Verder doet de site ook niet zoveel om je te vertellen welke ransomware je hebt. Een linkje naar ID Ransomware zou 'm tien keer nuttiger kunnen maken.

Wat ik verder nog mis is een stuk advies voor mensen wiens computer is geïnfecteerd. Dit is wat ik zou aanraden:

Maak een image van je systeem zodat je een backup hebt van de ransom notes, versleutelde bestanden en alle andere zaken die je nodig kunt hebben voor het ontsleutelen
Zoek uit of er een gratis decrypter beschikbaar is, zo ja: probeer het op die manier; zo nee (of als de gratis decrypter niet werkt): zoek uit of het waarschijnlijk is dat er in de nabije toekomst een werkende decrypter beschikbaar komt. (Bleeping Computer is een goede site hiervoor.)

Als er geen decrypter beschikbaar is of binnenkort beschikbaar komt, zijn er twee opties: je betaalt met het risico dat je het geld kwijt bent zonder oplossing, of je betaalt niet en houdt de backup image achter de hand in de hoop dat er tóch een oplossing komt.

Al met al is deze site nog niet zo heel nuttig, behalve als je het "geluk" hebt een van de ransomwaresoorten die er op vermeld staan te pakken te hebben.

[Reactie gewijzigd door xrf op 23 juli 2024 07:30]

mutley69 25 juli 2016 17:34

In feite zou je voor ransomware altijd een klacht met burgerlijke partijstelling moeten indienen. Als ze de daders pakken, kan je tenminste pogen zelf de schade te verhalen of dit via een class-action pogen te doen. Het laten registreren helpt ook om te bepalen hoeveel 't onderzoek mag kosten.

Anoniem: 636203 26 juli 2016 08:41

De politie adviseert ook om niet te betalen. Lekker makkelijk praten van ze als je al je bestanden kwijt bent. Ik kan me heel goed voorstellen dat mensen gewoon betalen.

Op dit item kan niet meer gereageerd worden.

Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware

Lees meer

IT-banen

Reacties (37)

Sorteer op:

Weergave: