Waarom stond de gemeente Antwerpen niet op de website van ransomwaregroep Play vermeld? De Vlaamse gemeente werd eind 2021 geïnfecteerd met ransomware, maar in tegenstelling tot hoe dat meestal gaat, verscheen de gemeente niet op de website van de ransomwarebende. Geen idee hoe dat kan, speelde Antwerpen de vermoorde onschuld, terwijl het bij hoog en laag bleef beweren het losgeld niet te betalen. Dat is een bijna onmogelijke redenering, want het is tegenwoordig heel makkelijk om slachtoffers van ransomware te spotten. Dat is in 2024 namelijk de realiteit geworden van gijzelsoftware. Die draait niet meer om het versleutelen van bestanden, maar ook om afpersing met gegevens. Sterker nog, experts zien dat de ooit zo gevreesde versleuteling regelmatig helemaal geen factor bij ransomware meer is.
/i/2001507491.png?f=imagenormal)
Professionalisering
Dat ransomware here to stay is, is inmiddels een cliché, maar wel met een reden. Bedrijven die getroffen worden door ransomwareaanvallen zijn anno 2024 aan de orde van de dag en zeker bij grote bedrijven is het vaak niet de vraag of, maar wanneer ze worden gehackt. Er vindt op die manier een flinke verschuiving plaats ten opzichte van een paar jaar geleden, toen voornamelijk bedrijven die hun beveiliging niet op orde hadden of geen goed herstelplan klaar hadden liggen, sneller ransomwareslachtoffer werden. De miljoenenbusiness is uitgegroeid tot een miljardenbusiness en dat betekent dat ook de verschillende disciplines van ransomwarebendes zijn geprofessionaliseerd. Die verandering zagen experts al in 2020, schreef Tweakers eerder. Zij zagen toen dat de winsten van ransomwarebendes al snel werden gestoken in specifieke expertises: een expert in Hyper-V, iemand die alles weet over Active Directory of iemand die goed C kan lezen.
Nieuwe druk
Tot voor kort werkten al die experts samen voor vaak maar één doel: versleuteling. Criminelen infiltreren de netwerken en proberen zich dagen- of soms zelfs wekenlang door het hele netwerk te bewegen, dat in kaart te brengen, verbindingen tussen gesegmenteerde netwerkonderdelen te leggen en waar mogelijk back-ups uit te schakelen. Vervolgens slaan ze op het juiste moment toe om zo in een klap alle computers, servers en andere apparatuur van een bedrijf te versleutelen met een cryptolocker. 'Bestanden terug? Dan eerst betalen', was het mantra. Maar als je zo de hele keten beschrijft, dan klinkt dat als wel erg veel werk. Dat is zeker het geval als het bedrijf daarop voorbereid is met goede back-ups om zo snel mogelijk weer operationeel te zijn. Of, zoals securitybedrijf Trellix zegt in een jaarrapport: "Omdat ransomwaregroepen primair financieel gedreven zijn, is het niet verrassend om te zien dat ze nieuwe manieren zoeken om hun slachtoffers geld af te troggelen en druk op ze te zetten."
Die druk ligt de laatste jaren in toenemende mate op datadiefstal. 'Wil je niet betalen? Niet alleen kunnen je werknemers dan niet meer op hun versleutelde pc's, maar we lekken ook de data die we hebben gestolen', is het nieuwe mantra. Die veranderende modus operandi betekent niet alleen meer druk op bedrijven, maar ook een heel veranderende dynamiek voor slachtoffers, bedrijven en bestrijdingsmethodes, zien meerdere experts waarmee Tweakers sprak.
/i/2006595070.png?f=imagenormal)
Websites als uithangbord
Dat begint al bij het zichtbaarste deel van een ransomwareaanval. Voor de meeste bedrijven is de website het belangrijkste uithangbord en dat geldt inmiddels ook voor ransomwarebendes. Dat zie je vaak al aan de URL's. Hoewel de websites van ransomwareverspreiders doorgaans achter Tor zitten en daarmee een aanvankelijk onsamenhangende .onion-URL hebben, doen hackers steeds vaker moeite om die URL enigszins herkenbaar te maken. Met tools als eschalot is het bijvoorbeeld mogelijk om een unieke .onion-link te bruteforcen. Zo gebruikt Lockbit .onion-URL's zoals lockbitkodidilol.onion en vind je het blog van 0Megalock op omegalock5zxwbhswbisc42o2q2i54vdulyvtqqbudqousisjgc7j7yd.onion. Het zijn nog steeds URL's die je niet kiest omdat ze zo makkelijk te onthouden zijn, maar ze helpen wel bij de naamsbekendheid. Het is al langer bekend dat ransomwarebendes de astronomische bedragen die ze binnenhalen, gebruiken om nieuw personeel te werven. "Daar zien we ook steeds vaker websitebeheerders tussen zitten", zegt een expert tegen Tweakers. "En dan niet alleen systeembeheerders, maar echte UX-ontwerpers."
De laatste tijd fungeren die websites steeds vaker niet alleen als uithangbord, maar ook als dreigmiddel en onderdeel van de afpersingscampagne. De websites spelen een cruciale rol in de afpersing, omdat ze het verhaal naar de buitenwereld overbrengen. Op de sites wordt data gepubliceerd die relatief makkelijk toegankelijk is en soms zelfs kant-en-klare beschrijvingen bevat over hoe je de datastructuur moet uitlezen. Tegenwoordig bevatten de websites ook bijna allemaal een grote aftelklok, die afpersing een nieuwe dimensie geeft. De deadline is dan niet alleen iets waar het bedrijf intern rekening mee moet houden, maar ook extern. Onderzoekers en journalisten houden de websites van grote bedrijven regelmatig in de gaten en kunnen zo precies zien welke bedrijven er recent zijn geïnfecteerd met ransomware. Je infectie geheimhouden is er vaak niet meer bij. 'Dan seinen we je klanten of gebruikers, waarvan we nu de data hebben, lekker in', is de boodschap van aanvallers in zo'n geval.
Betalen voor add-ons
Recenter speelt daar ook mee dat ook die exfiltratieafpersing evolueert. Een jaar geleden was die nog rechttoe rechtaan: 'Betalen, of we lekken.' Vroeger kozen ransomwarebendes in de meeste gevallen dan ook voor een vast losgeldbedrag. Dat bedrag stemden ze vaak heel precies af op het bedrijf door bijvoorbeeld naar jaaromzetten te kijken of uit te zoeken hoe hoog de verzekeringspolis is. Daar konden slachtoffers, vaak met hulp van specialisten, meestal wel over onderhandelen, maar het losgeld werd meestal vastgesteld als een vast bedrag. Experts zien dat model nu 'escaleren', zoals de onderzoeksafdeling Unit 42 van het securitybedrijf Palo Alto Networks beschrijft. Die onderzoekers zagen dat gebeuren bij de Medusa-ransomware. De groep zet op zijn site niet alleen een aftelklok naar het moment dat data lekt, maar voegt daar verschillende tiers aan toe. "Als onderdeel van hun multi-extortionstrategie biedt Medusa de slachtoffers meerdere opties wanneer hun gegevens op de leksite worden geplaatst, zoals tijdverlenging, gegevensverwijdering of het downloaden van alle gegevens. Aan al deze opties hangt een prijskaartje, afhankelijk van de organisatie die door deze groep wordt getroffen", schrijft het bedrijf in een recent rapport.
Klanten afpersen
/i/2006595072.png?f=imagemedium)
Een bijkomend voordeel voor de afpersers is dat ze niet alleen het geïnfecteerde bedrijf kunnen aanspreken, maar ook de klanten. Het geïnfecteerde bedrijf moet, bijvoorbeeld, een miljoen euro losgeld betalen, maar waarom zouden criminelen niet ook wat geld lospeuteren van klanten? 'Voor slechts 10.000 euro verwijderen wij alleen jouw data die we bij je leverancier te pakken hadden', is dan de boodschap. Een securitybedrijf zag dat in 2022 al gebeuren bij een Australische verzekeraar.
Nu het afpersingsmodel verandert, veranderen ook de slachtoffers. Waar vroeger ieder bedrijf fair game was voor criminelen en de sector niet veel uitmaakte, zolang je maar geld had, richten criminelen zich steeds vaker op bedrijven en instanties die aantoonbaar gevoelige data in huis hebben, zoals ziekenhuizen, verzekeraars en advocatenkantoren. Die data is vaak meer waard. Als NAW-gegevens op straat komen te liggen, is dat minder erg dan wanneer het gaat om medische dossiers of vertrouwelijke gesprekken tussen verdachten en hun advocaten. Slachtoffers zijn vaak bereid meer te betalen om die data veilig te houden.
Dreigen met de AVG
Met het lekken van gevoelige data kunnen criminelen slachtoffers nog een extra prikkel geven. De AVG ligt namelijk op de loer. Sommige ransomwarebendes dreigen bijvoorbeeld zelf een datalek te melden bij toezichthouders, tenzij slachtoffers betalen. Dat doet bijvoorbeeld de bende Ransomed.vc. Het onderzoeksplatform Daily Dark Web publiceerde eerder dit jaar een interview met Ransomed.vc. Nu moet je de uitspraken van criminelen altijd met een korrel zout nemen, niet in de minste plaats omdat ze vaak hun prestaties mooier maken dan ze zijn, maar Ransomed zegt opvallende dingen. De bende zet bijvoorbeeld de AVG in om de dreiging te vergroten. Onder de AVG is er een meldplicht voor datalekken. Ransomed zegt dat het regelmatig een datalekmelding doet bij de landelijke privacytoezichthouder, die daarmee mogelijk een AVG-onderzoek kan starten. "It's very good to have something that has a blade next to their balls", zegt iemand van de bende.
Dat gebeurt ook buiten Europa. In de Verenigde Staten deed de Alphv/Blackcat-ransomwarebende een melding bij de Securities and Exchange Commission. Die verplicht in ieder geval beursgenoteerde bedrijven om datalekken binnen 24 uur te melden. De bende deed dat toen bleek dat MeridianLink, het bedrijf dat zij hadden gehackt, maar geen contact opnam om te onderhandelen.
Dubbele afpersing
Experts zijn niet verrast door de nieuwe aanpak, die 'double extortion', ofwel dubbele afpersing, wordt genoemd. John Fokker, hoofd cyberonderzoeken bij securitybedrijf Trellix, beschrijft het als de CIA-triad, een principe in de beveiligingsindustrie dat staat voor confidentiality, integrity and availability, in het Nederlands ook wel bekend als de BIV-classificatie voor beschikbaarheid, integriteit en vertrouwelijkheid. Klassieke ransomware richtte zich altijd op beschikbaarheid. Als een bedrijf goede back-ups heeft, is die beschikbaarheid een minder groot probleem. Daarom is het aanvallen van de vertrouwelijkheid van documenten ook interessant. En waarom dan niet allebei om de druk te vergroten?
/i/2006595074.png?f=imagenormal)
Neem het voorbeeld van een bende die data bij een advocatenkantoor steelt. "Genoeg van die kantoren hebben papieren back-ups van hun gegevens", zegt Fokker. Dergelijke bedrijven zijn de afgelopen jaren wijzer geworden en hebben goed gekeken naar wat er met gegijzelde bedrijven gebeurde. Ook stellen verzekeraars steeds vaker stevige eisen aan bedrijven, zoals dat die goede back-ups moeten hebben. Fokker: "Met zo'n papieren back-up kun je als bedrijf makkelijker doorgaan met je zaak. Het afpersen omdat je anders geen toegang meer hebt tot je bestanden, is daarmee minder aantrekkelijk." Maar als criminelen dreigen data openbaar te maken, heeft het slachtoffer een heel ander probleem.
Waarom nog versleutelen?
Waarom zouden criminelen data überhaupt nog versleutelen? Het is een opvallende trend die steeds meer securityexperts voorbij zien komen. Het komt steeds vaker voor dat criminelen hun aandacht en middelen verleggen van het versleutelen naar vooral het stelen. Unit 42 van Palo Alto Networks zag dat in een onderzoek naar BianLian. "BianLian is onlangs ook overgestapt van een dubbel afpersingsschema naar afpersing zonder encryptie. In plaats van de data van hun slachtoffers te versleutelen voordat ze gegevens stelen en dreigen deze te publiceren als ze het losgeld niet betalen, gaan ze nu direct over op het stelen van gegevens om slachtoffers te motiveren om te betalen", schrijft het bedrijf.
Ook securitybedrijf CheckPoint ziet dat gebeuren. Het bedrijf zegt in een onderzoek zelfs dat 'ransomware op het punt staat om uit te sterven'. Daarmee verwijst het specifiek naar de versleutelcomponent. "De dynamiek verandert. Dat komt omdat ransomwarebendes schakelen en zich richten op data-exfiltratie en niet op vernietiging en chaos", schrijft het bedrijf. Met andere woorden: het versleutelen van computers en systemen is steeds vaker niet meer het hoofddoel van een aanval, maar de aandacht gaat naar het stelen van gegevens.
Technisch ingewikkeld
/i/2006595076.png?f=imagemedium)
Experts zien dat als logisch, omdat ransomware technisch ingewikkeld is. Met de enorme aantallen infecties en de dagelijkse stroom ransomwarenieuws, zou je misschien denken dat een bedrijf gijzelen vrij eenvoudig is, maar het tegendeel is waar. "Succesvolle aanvallen uitvoeren op de huidige cyberbeveiligingsinfrastructuren is niet meer zo eenvoudig als vroeger", stelt CheckPoint. "Als gevolg hiervan moeten cybercriminelen voortdurend nieuwe aanvalsmethoden creëren, in een potentieel eindeloze en uitputtende cyclus. De hackers verliezen uiteindelijk hun interesse in ransomware ten gunste van eenvoudigere en even lucratieve cyberaanvalsvormen."
John Fokker van Trellix beaamt dat. "Dubbele afpersing zie je nog steeds, maar er zijn de afgelopen jaren een aantal zaken veranderd. Bedrijven investeren bijvoorbeeld veel meer in behavorial detection en het versleutelen is heel complex omdat bedrijven steeds vaker gebruikmaken van VM's en virtualisatie. Die zijn best foutgevoelig; je loopt als aanvaller snel het risico dat alle data verloren gaat. Dat is nadelig voor het verdienmodel." Daartegenover staat dat data-exfiltratie juist eenvoudiger is. "Daarvoor heb je bijvoorbeeld vaak geen domainadmintoegang nodig."
Nieuw type crimineel
Ook aan de kant van de criminelen is een verschuiving te zien, deels veroorzaakt door het eeuwige kat-en-muisspel tussen ransomwarebendes en opsporingsdiensten. Vooral die opsporingsdiensten werken de laatste jaren steeds meer internationaal samen. Dat leidde tot grote acties waarbij beruchte bendes zoals Ragnar en Hive offline werden gehaald. Een van de grootste klappen kwam begin dit jaar, toen onder meer de Nederlandse politie de website van Lockbit in beslag nam.
Dergelijke politieacties worden soms vergeleken met een aanval op de veelkoppige Hydra: zodra je daar de kop afhakt, groeien er twee nieuwe voor in de plaats. Toch werkt dat bij ransomware niet helemaal zo, zegt John Fokker. Hij ziet 'een verschuiving' in het traditionele ransomware-as-a-servicemodel. Daarin maakt een ransomwaregroep de gijzelsoftware en gaat die in zee met andere bendes die deze vervolgens inzetten tegen bedrijven. "Die zogenaamde affiliates zijn door de jaren heen heel kundig geworden. Maar als affiliate heb je heel andere competenties nodig dan voor het maken van malware."
Het ontsleutelen is een essentieel onderdeel van het verdienmodel van ransomware.
Als bepaalde bendes zoals Conti of Lockbit uit elkaar vallen, gebeurt er iets interessants. "Er ontstaat dan een verschuiving", zegt Fokker. "De groepen zijn er nog wel en die zijn erg goed in het inbreken op systemen. Maar ze zijn steeds minder afhankelijk van cryptolockers, die misschien wel maar misschien ook niet goed werken." Bij klassieke versleutelende ransomware komt meer kijken dan bij data-exfiltratie. "In dat model moet je de malware eerst uitrollen, dan starten, maar je moet het versleutelen ook weer kunnen terugdraaien. En juist dat laatste is erg complex."
Ransomware kunnen terugdraaien is een essentieel onderdeel van het verdienmodel. De perversiteit van het criminele verdienmodel is dat bedrijven doorgaans alleen willen betalen als ze de crimineel vertrouwen. Bij een cryptolocker kan een aanvaller dat bewijzen door een paar bestanden te ontsleutelen. Op basis daarvan kan een bedrijf bepalen of het de moeite waard is het volledige losgeldbedrag te betalen. Dat betekent dat het voor criminelen nodig is dat ze weten dat hun cryptolockers werken: een slachtoffer blij maken met een dode mus, werkt slechts één keer, maar daarna kun je je criminele operatie wel inpakken. Bij data-exfiltratie hoef je al die moeite niet te doen.
Wie vertrouwt de crimineel?
Deze manier van werken vraagt wel om andere afwegingen van slachtoffers. Bij cryptolockers kun je om bewijs vragen dat de decryptiesleutel werkt. Maar hoe vraag je bewijs dat data verwijderd is, en met welke garanties dat data niet uitlekt, neem je genoegen? Hoe bewijst een crimineel een negatief feit? "Vertrouw nooit een boef", zegt Fokker stellig, een uitspraak waarin hij beslist niet alleen staat. Deze uitspraak hoor je ook bij de politie, experts, onderhandelaars en verzekeraars. Wat is het woord waard van iemand die jouw bedrijf afperst?
Slachtoffers van data-exfiltratie hebben nog minder zekerheden dan die van cryptolockers. Sterker nog, er zijn genoeg voorbeelden waarbij bendes hun beloftes braken en data toch uitlekten. Fokker noemt Lockbit als voorbeeld. "Die zette data van slachtoffers gewoon online. Oudere data, waarvan ze vooraf hadden gezegd het niet te lekken. Dat was pure wraak voor de politieactie waardoor ze werden neergehaald. Ze wilden laten zien dat ze er nog steeds zijn."
Bendes kunnen zich niet verschuilen achter het excuus dat gestolen data ook ergens anders vandaan zou kunnen komen. De structuur of de opmaak van een dataset maakt dat onderzoekers met vrij grote zekerheid kunnen zeggen dat een dataset van Lockbit of van een andere bende afkomstig is.
Nieuwe experimenten, nieuw landschap
Het is moeilijker criminelen te vertrouwen als ze data stelen.
Al zo lang ransomware bestaat, speelt hij een kat-en-muisspel met opsporingsdiensten en beveiligers. Nu lijkt het er even op dat de beveiligers aan de winnende hand zijn omdat het steeds moeilijker wordt om netwerken te versleutelen. Daar proberen bendes nu op in te spelen door dan maar het versleutelen over te slaan. Of dat standhoudt en of versleutelloze ransomware daadwerkelijk de toekomst is, is de grote vraag.
Vooralsnog draait het merendeel van de ransomware-infecties nog steeds om een dubbel afpersingsmodel, waarbij data nog wél wordt versleuteld. Een verdienmodel waarbij enkel en alleen data wordt gestolen, staat nog in de kinderschoenen, al zeggen de meeste beveiligingsbedrijven dat dergelijke aanvallen aan een opmars bezig zijn. Symantec schrijft bijvoorbeeld dat 'sommige groepen (succesvol) experimenteren met encryptieloze aanvallen'. Maar dat blijft voorlopig wat het is: een experiment.
:strip_exif()/i/2004648164.jpeg?f=fpa)
:strip_exif()/i/2004648158.jpeg?f=fpa)
/i/2005822240.png?f=fpa)
/i/2004763458.png?f=fpa)
:strip_exif()/i/2006507258.jpeg?f=fpa)
:strip_exif()/i/2004648162.jpeg?f=fpa)
/i/2005545676.png?f=fpa)
/i/2004735348.png?f=fpa)
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/98843/tmpgeel601.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1054197/crop5ad4ec0b091b1.jpeg?f=community){kind=small}
/u/95528/crop5af15e0d92966_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/498936/crop5b62bb30b720d_cropped.jpeg?f=community){kind=small}
/u/13460/JUN982.GIF?f=community){kind=small}
:strip_exif()/u/133175/got-icon.gif?f=community){kind=icon}
/u/665878/crop65d35dac89800_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/215244/crop5fe47915ce321_cropped.jpeg?f=community){kind=small}
/u/5035/avatar.png?f=community){kind=avatar}
:strip_exif()/u/22916/scouts_cartman.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/497894/crop616aa11b15e39_cropped.jpg?f=community){kind=small}
/u/1176/crop635f8931b2b68_cropped.png?f=community){kind=small}
/u/25680/crop5db009d1c28fb_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/2011098/crop6654a90e3a54b_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/183368/crop627e5ba0436e8_cropped.jpg?f=community){kind=small}