Hoe ransomware veranderd is: van foto's versleutelen naar miljardenindustrie

Introductie

In 2016 ging een bijzondere samenwerking van start. In het hoofdkwartier van Europol in Den Haag kwamen de Nederlandse en Europese politie en twee beveiligingsbedrijven bij elkaar om er officieel afspraken over te maken. No More Ransom zou dé vuist worden tegen gijzelmalware, een fenomeen dat steeds meer slachtoffers maakte. Onlangs vierde het project zijn vierde verjaardag. Of het nog steeds relevant is, is maar de vraag. Ransomware is namelijk van een vervelende 'ik steel je vakantiefoto's voor wat tientjes' veranderd in een professionele business waar honderden miljoenen euro's in omgaan. Daardoor is het geen probleem meer dat je als systeembeheerder in je eentje kunt oplossen.

Ransomware is geen nieuw fenomeen, en dat was het in 2016 ook niet. De eerste verhalen erover zijn leuk om te lezen en bieden een grappig kijkje in retrotechnologie. Zo was er de AIDS-trojan, een malwarevariant die nog via floppydisks werd verspreid en die autoexec.bat overschreef en computers wist te vergrendelen. Zoals vaker in de geschiedenis van cybercrime was dit allemaal klein bier. Het viel in het niet bij de explosie die ransomware vanaf pak-em-beet 2012 doormaakte. In dat jaar werden cryptolockers groot. Een verkeerde klik op een phishingmail was genoeg om documenten en vakantiefoto's te vergrendelen, en daar werden steeds meer mensen slachtoffer van.

Toen No More Ransom in 2016 werd opgericht waren de meeste slachtoffers nog zulke 'gewone mensen'. Die maakten het verdienmodel lucratief, al was een infectie goed te genezen als het slachtoffer over een goede back-upstrategie beschikte. Er werden ook in die tijd wel bedrijven geïnfecteerd, maar dat gebeurde minder vaak en middels minder prominente aanvallen dan nu. Inmiddels is het schering en inslag. Universiteit Maastricht kwam er groot mee in de media en regelmatig verschijnen er verhalen over bedrijven waarvan de diensten als gevolg van gijzelsoftware niet meer beschikbaar zijn.

In dit artikel kijken we naar de evolutie die ransomware in de afgelopen jaren heeft doorgemaakt. Dat het risico voor ons als individuen inmiddels niet meer zo groot is, is evident. En ook dat bedrijven steeds vaker slachtoffer worden. Maar wat die verschuiving precies betekent voor de markt van ransomware, het profiel van criminelen en de toekomstverwachtingen rond gijzelsoftware, dat is minder helder.

Groei

De stijgende cijfers rond ransomware laten zich tegelijkertijd makkelijk als moeilijk duiden. Aan de ene kant is het overduidelijk dat ransomware nog steeds een groot probleem is dat snel groeit. Rapporten van beveiligingsbedrijven zijn daar unaniem over. Tegelijkertijd is het, zoals eigenlijk bij alle vormen van cybercrime, onmogelijk een definitief cijfer aan die groei te hangen. Verschillende meetmethodes en telemetrie van verschillende bedrijven zorgen voor verschillende resultaten. MalwareBytes heeft het over 363 procent groei in 2019. Check Point spreekt over 50 procent groei in dagelijks gemelde aanvallen en ESET noemt 200 procent.

Op het eerste gezicht lijkt één trend een open deur: bedrijven worden vaker getroffen dan individuele consumenten. Toch is het moeilijk een scheiding te maken tussen die twee typen slachtoffers. Rapporten maken dat onderscheid niet en lijken zich voornamelijk op bedrijven te richten. Misschien is dat logisch: de impact bij bedrijven die getroffen worden is groter en dat geldt ook voor de schadepost, dus zijn die cases interessanter om te bestuderen. Een andere verklaring is dat beveiligingsbedrijven steeds meer richting enterprisebeveiliging gaan en zich steeds minder richten op consumentenbeveiliging zoals antivirus, wat jarenlang een graadmeter was voor beveiligingstrends. En natuurlijk speelt mee dat verhalen over grote bedrijfshacks het goed doen in de media. Duidelijk is in ieder geval wel dat bedrijven prominente slachtoffers zijn.

Meer en hogere bedragen

Een andere duidelijke trend is dat organisaties steeds vaker betalen. Zowel het aantal betalingen als het totaal betaalde bedrag stijgt, blijkt wederom uit verschillende rapporten. Volgens een rapport van Cyber Edge betaalde in 2017 39 procent van de slachtoffers losgeld, in 2019 ging het om 58 procent. In een rapport van beveiligingsbedrijf Coveware staat dat bedrijven 104 procent méér losgeld betaalden in het eerste kwartaal van dit jaar dan in het kwartaal ervoor.

Die hogere bedragen hebben geen directe link met de explosieve stijging van de bitcoinkoers. De meeste beveiligingsexperts zijn het er echter wel over eens dat de bitcoin, en de opkomst van cryptovaluta in het algemeen, erg belangrijk is geweest voor de groei van ransomware. Cryptocoins zijn semi-anoniem en vooral makkelijk te verhandelen. Toen de eerste vormen van 'ransomware' opkwamen, ging het nog niet om de cryptolockers zoals we die nu kennen. Het ging dan bijvoorbeeld om scareware, zoals het beruchte Ukash-politievirus of om berichten van zogenaamde autoriteiten die dreigden met een 'boete'. "Zo rond 2012, 2013 zag je de opkomst van cryptolockers waarbij bestanden of computers op slot gingen. Die werden populair door het gemak van de bitcoin", zegt John Fokker van McAfee. Hij werkt hier als hoofd cyber investigations en bestudeert de markt en ontwikkelingen rondom ransomware al sinds 2014, toen hij meewerkte aan het opzetten van het No More Ransom-project. "Met bitcoins hoefde je geen geld meer in handen te hebben of gek te doen met iTunes-kaarten, zoals daarvoor. Het maakte afpersing relatief makkelijk."

Cryptomining

Er was even een tijd dat cryptomining groter was dan ransomwareEr was overigens een korte periode waarin cryptovaluta ervoor zorgde dat ransomware wat minder populair werd. "Je zag een tijdje dat er zoveel nieuwe cryptocoins kwamen dat bendes overstapten op coinminers", zegt Jornt van der Wiel, beveiligingsonderzoeker bij Kaspersky, dat naast McAfee oprichter was van No More Ransom. "Maar dat duurde uiteindelijk maar een jaartje." Dit gebeurde rond 2017. De populariteit was van korte duur, omdat coinminers snel te spotten waren en er door de stijgende koers steeds meer moest worden gemined om de malware interessant te houden. Criminelen leerden mede voor cryptomalware bedrijven te infecteren en kwamen er daarna snel genoeg achter dat ransomware daarbij meer opleverde dan cryptovaluta.

Het is niet alsof bedrijven vroeger helemaal niet werden getroffen. Het verschil zit in hoe ransomware destijds werd verspreid en hoe het nu gebeurt. Jaren geleden was de spray and pay-methode het effectiefst. Hackers stuurden phishingmails naar gigantische hoeveelheden slachtoffers door goedkope spamlijsten te gebruiken. Er waren altijd wel wat mensen die klikten, zichzelf infecteerden en betaalden. De zwakke plekken die bedrijven kunnen hebben waren er al toen ook al, en misschien zelfs wel meer dan nu, maar het paste niet in het toenmalige model om daar gebruik van te maken door bedrijven volledig offline te gooien en vervolgens af te persen. "Als een bedrijf geïnfecteerd werd door één medewerker die op een link klikte, stopte dat bij de deur", zegt John Fokker. Toen eind 2018 de SamSam-ransomware opkwam veranderde dat sentiment echter. Fokker: "De makers van SamSam gingen verder. Ze hackten zichzelf handmatig een netwerk binnen en zagen dat daar meer was te halen."

Corona-explosie

De explosieve groei in 2020 schrijven sommige beveiligingsonderzoekers toe aan de coronapandemie, al is niet met zekerheid te zeggen of dat terecht is. Sommige ransomwareverspreiders lijken misbruik te maken van de verschuiving naar thuiswerken, bijvoorbeeld door gerichtere phishingmails te sturen en te profiteren van het feit dat veel thuiswerkers laks omgaan met hun digitale veiligheid. Binnen het grote plaatje lijkt COVID-19 echter geen grote katalysator te zijn die een nieuwe revolutie veroorzaakt.

Professionalisering van criminelen

Als er één trend rond ransomware duidelijk zichtbaar is, is het de professionalisering ervan. Inmiddels zijn zowel ondergrondse als bovengrondse markten ervoor ingericht. De ondergrondse economie van ransomware begon tegelijk met de opkomst van de cryptolockers. Nadat die succesvol bleken, ontstond er een markt van makers van ransomware die hun diensten verhuurden aan anderen. Vergelijkbaar met de trend die zichtbaar was bij software kreeg dat proces de naam ransomware-as-a-service. De 'dienstverlening' was simpel: in plaats van zelf ransomware te bouwen kon je ransomware gewoon huren van de makers. De koper kreeg dan naast toegang tot de ransomware vaak ook command-and-controlservers en handige tools om de ransomware uit te voeren. De opbrengsten van de ransomware werden vaak verdeeld: 70 procent voor de verspreider, 30 voor de originele maker.

Inmiddels mogen er dan wel topcriminelen bezig zijn met ransomware, het servicemodel is gebleven, zegt John Fokker. "Je ziet af en toe nog weleens nieuwe ransomware met wat nieuwe trucjes, maar wat vooral opvalt is dat het type zogeheten affiliates-systeem is veranderd." Vroeger kon je grof gezegd spreken van script kiddies die alleen wat point-and-click-tooltjes nodig hadden. "Ransomware was vooral een kwestie van zoveel mogelijk mensen infecteren. Dat was de spray and pay-methode, kwantiteit boven kwaliteit. Rond 2014 zag je vooral dat ransomware bestond uit mensen met een botnet."

Andere 'affiliates'

Omdat bedrijven steeds aantrekkelijkere doelwitten worden waar meer geld te halen valt, zijn de affiliates die Fokker noemt veranderd. Ze gaan op zoek naar hulp vanuit verschillende disciplines, om de impact maximaal te maken. Fokker ziet het op de hackersforums die hij regelmatig afstruint. "Je ziet daar mensen die alleen maar werken met ontwikkelaars die heel goed zijn in wat ze doen en die allemaal specifieke kennis hebben. Ze zoeken bijvoorbeeld mensen die alles weten van Hyper-V of Active Directory, of iemand die goed C kan lezen." Eigenlijk, zegt Fokker, zoeken ze een pentester, iemand die comfortabel is op een netwerk. "Als ze dan in een netwerk terechtkomen doen ze alsof ze een pentest doen, ze gaan op zoek naar het hoogst haalbare. Denk bijvoorbeeld aan domain control of adminrechten."

ransomware_pentest

Eng als dat klinkt, is het ook een lichtpuntje voor bedrijven. Die kunnen zelf een pentest laten uitvoeren om te kijken wat een hacker zoal kan tegenkomen. Bij het advies 'beter voorkomen dan genezen' is kennis over je zwakke plekken een goede verdediging.

Verkoop van kwetsbaarheden

Het verkopen van kwetsbaarheden in software is al jaren onderwerp van een verhitte discussie tussen zowel bedrijven en hackers als derde partijen. Een whitehat-hacker kan een zeroday - oftewel een lek dat nog niet bekend is - via responsible-disclosure-beleid bij een bedrijf melden voor 100.000 euro, of ermee naar een derde partij gaan die er misschien wel het vijfvoudige voor betaalt. Lange tijd ging het daarbij om een een discussie die losstond van ransomware, maar in de afgelopen twee jaar zijn ook cybercriminelen partij geworden in de markt voor softwarekwetsbaarheden.

Er worden exploits van bekende kwetsbaarheden die voor ransomware worden gebruiktDeze markt bestaat uit twee onderdelen. Aan de ene kant is er een markt ontstaan waarbij ransomwaremakers kennis over de kwetsbaarheden zelf opkopen. Securitybedrijf Check Point deed daar eerder deze maand onderzoek naar. De onderzoekers bekeken groepen die exploits schreven voor kwetsbaarheden. Daarbij werd onderscheid gemaakt tussen lekken die nog niet bekend zijn en lekken die al zijn opgemerkt door de beveiligingsindustrie. Die eerste categorie is zeldzaam en daarom veel geld waard. Dergelijke exploits worden vooral verkocht aan APT's of 'Advanced Persistent Threats' - meestal staatshackers van inlichtingendiensten die zich op high profile targets richten. De andere groep komt wat vaker voor, maar is daarom niet minder schadelijk. Het gaat dan om zogeheten onedays of N-days. Dit zijn kwetsbaarheden die al bekend zijn bij de fabrikant en waar in veel gevallen ook al wel een patch voor is uitgebracht. Die laatste soort N-days wordt steeds vaker verkocht aan malwaremakers, stelt Check Point. "We vermoeden ook dat als een zeroday is opgemerkt door de beveiligingsindustrie, die exploit wordt gerecycled en voor een lagere prijs wordt verkocht als een niet-exclusieve N-day."

Dat er een patch is uitgebracht betekent binnen de beveiligingswereld weinig. WannaCry maakte gebruik van een lek in het Remote Desktop Protocol waar al een patch voor bestond maar waar zelfs vandaag de dag nog honderdduizenden bedrijven kwetsbaar voor zijn. Ook nu maken miljoenen bedrijven gebruik van software die kwetsbaar is ondanks dat er patches voor bestaan, zoals Citrix en Pulse Secure. Criminelen kunnen zulke kwetsbaarheden kopen om op basis daarvan exploits te maken. Een aanvaller kan dan specifiek ransomware kopen die geschikt is voor bijvoorbeeld RDP of Pulse Secure.

Markt van inlichtingen

Criminelen verzamelen steeds vaker legitieme inlichtingen over een bedrijfDeze markt werkt alleen omdat er ook een andere markt bestaat, en dat is een markt rond inlichtingen over specifieke bedrijven en hun kwetsbaarheden. Ransomwareverspreiders kopen er informatie over kwetsbaarheden binnen een bedrijf, zowel voor het binnenkomen als voor het bewegen binnen het netwerk. John Fokker ziet ook daarin een professionaliseringsslag ontstaan, met name in de afgelopen maanden. "Cybercriminelen maken steeds meer gebruik van business intelligence. Dat is informatie die andere bedrijven of marktanalisten kunnen opvragen. Soms zien we dat informatie wordt aangeboden waarvan wij denken: 'Hoe weten ze dit nou?'"

ransomware_netwerk

Op basis van zulke informatie kunnen criminelen bijvoorbeeld bepalen wat de hoogte van het losgeld wordt. "Je kunt intern door de administratie van een bedrijf gaan, maar dat kost veel tijd en je loopt het risico te worden betrapt. Via diensten als Zoominfo is die informatie ook gewoon te achterhalen."

Dergelijke informatie wordt online vaak verkocht als compleet pakket. Fokker kent de advertenties en ziet ze steeds vaker voorbij komen. "Er worden pakketten verkocht waarin niet specifiek het bedrijf wordt genoemd, maar wel bepaalde eigenschappen. Dus in plaats van 'Tweakers' verkopen aanbieders de info van 'een bedrijf met een X-aantal medewerkers, actief in media gerelateerd aan tech, dat gebruikmaakt van deze versie van deze vpn'. Die informatie is waardevol als je een bedrijf wil infecteren."

Bovengrondse evolutie

Ransomware evolueert niet alleen aan de onderkant, op die zwarte markt met zijn dubieuze verdienmodellen. Bedrijven zijn in steeds grotere mate gedwongen er rekening mee te houden. Een infectie is inmiddels niet meer een probleem van alleen de ict-afdeling, maar van het hele bedrijf, betoogt Fokker. "Het gaat om een probleem waar iedereen op het C-niveau mee bezig moet zijn."

Ook verzekeringsmaatschappijen zien aan de bovenkant een noodzaak om in te spelen op de professionalisering van ransomware. Ze zien besmettingen als een risico dat voorkomen én genezen kan worden. Vorig jaar schreef Tweakers al dat veel verzekeraars het losgeld bij ransomware vergoeden. Daarover is inmiddels veel discussie ontstaan, zowel in de industrie als binnen de politiek. Onder andere minister Grapperhaus van Veiligheid en Justitie mengde zich daarin. Hij riep verzekeraars begin dit jaar op het losgeld niet te vergoeden. Vooralsnog was het een vergeefs verzoek.

Door de professionalisering is ook het beleid bij bedrijven en het advies vanuit de beveiligingsindustrie drastisch veranderd. Nog steeds is het officiële standpunt vaak dat slachtoffers onder geen beding moeten betalen. De argumenten zijn een open deur: de onzekerheid of bestanden daadwerkelijk terug worden gegeven, het ondersteunen van een crimineel verdienmodel, het risico op toekomstige aanvallen. Inmiddels is het sentiment onder beveiligers, onderzoekers en bedrijven echter wel veranderd. De belangen zijn anders, ransomware is door de verschuiving naar bedrijven meer dan alleen een vervelende gebeurtenis, het kan tot faillissement leiden, tot schade bij tientallen of honderden mensen, en in het geval van ziekenhuizen zelfs tot letsel. Voor dat laatste wordt regelmatig gewaarschuwd, al zijn er tot nu toe geen zaken bekend waarbij levens echt in gevaar zijn gekomen. Wel doken daar onlangs vermoedens van op: een Duits ziekenhuis zegt dat een patiënt is overleden omdat zij geen zorg kon krijgen vanwege een ransomwareaanval. De politie doet er momenteel onderzoek naar. Feit blijft dat bedrijven en instellingen meestal niet de luxe hebben om niet te betalen.

Afpersingen op afpersingen

Een andere relatief nieuwe trend van eerder dit jaar zijn afpersingen bovenop de ransomware. In plaats van alleen het versleutelen van data stelen bendes die data ook. Een bedrijf dat de criminelen vervolgens de vinger geeft en probeert back-ups terug te zetten wordt daarbij alsnog afgeperst met de dreiging bestanden online te zetten. De dreiging hiervan lijkt vooralsnog mee te vallen. Er zijn wel wat groepen die zich bezighouden met deze vorm van afpersing, maar het is nog niet zo wijdverspreid als je soms zou denken na het lezen van spectaculaire berichten. Ja, er zijn wat spraakmakende verhalen zoals de criminelen die beloofden gezondheidsorganisaties niet aan te vallen tijdens de coronacrisis - een belofte die overigens vrij snel verbroken werd. Dat zijn uitschieters. De bendes achter Maze liepen er sinds begin dit jaar veel mee te koop, maar zijn tot nu toe een van de weinigen. De verklaring is basaal: criminelen zijn niet te vertrouwen. Ze kunnen bewijzen dat een decryptor werkt en dat losgeld betalen daarom zin heeft, maar bewijs dat bestanden ook daadwerkelijk worden verwijderd bestaat niet.

De motivatie om die extra afpersing uit te voeren is logisch. Er is een extra reden om te betalen, want de schade die een datalek met zich meebrengt is ook groot. Maar die schade is moeilijker te berekenen dan die van bestanden die ontoegankelijk zijn. Klanten kunnen het vertrouwen verliezen, maar doen ze dat ook? Een bedrijf kan een boete krijgen voor een datalek, maar hoe groot is die kans? John Fokker denkt dat een bedrijf er in veel gevallen beter aan doet het geld dat anders voor losgeld bedoeld is anders te besteden. "Je kunt ook gewoon aan goede persvoorlichting doen en transparant zijn. Je meldt een datalek bij de autoriteiten en doorloopt alle stappen, dan verliest zo'n dreigement zijn kracht al snel."

Ddos-dreigementen vallen in dezelfde categorie. Er zijn hier en daar voorbeelden bekend van ransomware-infecties waarbij ook gedreigd wordt met een ddos-aanval. Fokker noemt dat 'een extraatje', maar het is geen serieuze dreiging. Het is moeilijk een ddos-aanval uit te voeren die permanent schade toebrengt aan een bedrijf, zeker een aanval die effectiever is dan een cryptolocker.

No More Ransom

No More Ransom was jarenlang hét initiatief waar de securitywereld naar keek als het ging om ransomwarebestrijding. Dat was niet zozeer vanwege de effectiviteit - uiteindelijk is voorkomen altijd de beste optie - maar vooral omdat het voor het eerst concrete hulp bood aan slachtoffers. Die hadden tot die tijd geen andere keuze dan te betalen. Ook de samenwerking tussen publieke instellingen en private bedrijven werkte goed. Door het delen van kennis en met behulp van in beslag genomen servers konden de aangesloten beveiligingsbedrijven decryptors ontwerpen voor bekende soorten ransomware. De cijfers spreken voor zich. Onlangs werd het initiatief vier jaar oud en pronkten de oprichters met de resultaten. De 163 bedrijven en andere partners die inmiddels zijn aangesloten leverden decryptors voor 140 soorten ransomware en in totaal zou meer dan 600 miljoen euro zijn 'bespaard' die niet naar criminelen ging.

Kanttekeningen

Wel zijn er kanttekeningen te maken bij het succes dat door alle deelnemende partners breed wordt uitgemeten in die cijfers. De manier waarop de cijfers worden berekend is niet erg wetenschappelijk onderbouwd. Neem bijvoorbeeld het aantal geholpen personen: dat is helemaal niet bekend. Sommige decryptors hebben vanwege privacyredenen geen telemetrie aan boord die kan doorgeven of ze überhaupt zijn ingezet, laat staan hoeveel bestanden er zijn teruggehaald. De uitbaters van No More Ransom kunnen alleen zien hoe vaak een decryptor is gedownload en maken op basis daarvan hun berekeningen over het aantal ontsleutelde bestanden, met gemiddeldes en schattingen. De decryptors van Emsisoft hebben overigens wel telemetrie aan boord, en uiteindelijk heeft dat bedrijf wel meer dan de helft van de beschikbare decryptors gemaakt.

nomoreransom2

Het bedrag dat slachtoffers daarmee in totaal zou zijn bespaard is ook een gok. Het gaat daarbij om geld dat slachtoffers anders betaald zouden hebben en dat de aanvallers dus zijn misgelopen dankzij No More Ransom. In die berekening wordt een aantal flinke aannames gedaan. Zo is ten eerste niet te zeggen hoe hoog het losgeld überhaupt zou zijn. Door het verdienmodel van ransomware-as-a-service kunnen de bedragen die aanvallers vragen flink uiteenlopen. Voor de ene infectie met Ryuk kan iemand bijvoorbeeld 100 euro vragen, bij een andere wel 500. Hoe hoog het losgeld bij infecties was die via No More Ransom zijn opgelost is niet te zeggen.

Ook is het onmogelijk om te zeggen of slachtoffers zonder de decryptietools alsnog betaald zouden hebben. Dat zou zelfs mét telemetrie niet te meten zijn, maar omdat er in de eerste plaats al niks gemeten wordt is de discussie over de opbrengsten sowieso niet relevant. Dat doet overigens weinig af aan het succesverhaal: de deelnemers benadrukken allemaal dat schattingen eerder te laag dan te hoog zullen zijn.

Toekomstige bestrijding

Inmiddels lijken de decryptors op No More Ransom wat minder belangrijk binnen het algemene ransomwarelandschap dan een paar jaar geleden. Voor bedrijven zijn de publieke decryptors minder geschikt; daarvoor zijn de aanvallen te specifiek en gericht. Dat wil niet zeggen dat No More Ransom helemaal niet meer relevant is, zegt Jornt van der Wiel. "We horen nog steeds veel verhalen over decryptors die worden ingezet. Sommige mensen leggen een geïnfecteerde harde schijf in de kast en kunnen soms na jaren ineens weer hun bestanden terugkrijgen."

No More Ransom heeft daarnaast vooral achter de schermen nut gehad. "De lijntjes zijn korter", zegt John Fokker. De politie weet de industrie te vinden voor praktische hulp, en beveiligingsbedrijven kunnen snel samenwerken om bijvoorbeeld servers offline te laten halen. Fokker: "Dat gaat makkelijker als je weet wie je moet bellen."

No More [...]

Het succes is ook wel te zien aan het feit dat andere samenwerkingsverbanden een soortgelijke naam dragen. Al tijdens het opzetten van No More Ransom werd volgens ingewijden nagedacht over dezelfde aanpak tegen ddos-aanvallen. Inmiddels bestaat die ook: No More DDoS is een samenwerking tussen providers, SIDN, de politie en overheidsinstellingen zoals de Belastingdienst en het Agentschap Telecom, met als doel 'kennis te delen en een landsbrede aanpak voor ddos-aanvallen te ontwikkelen'.

"Mogelijk gaan criminelen in de toekomst ceo's fysiek afpersen"Het station waarbij de beveiligingsindustrie ransomware wilde uitroeien is inmiddels al lang en breed gepasseerd, voor zover dat punt überhaupt ooit is bereikt. Is er iets te zeggen over de toekomst ervan? John Fokker durft in ieder geval wel één voorspelling te doen. "Ik denk dat criminelen steeds vaker zullen overgaan tot het afpersen van medewerkers of bedrijfseigenaren. In het echt dan. Het is natuurlijk erg effectief om te zeggen dat je weet waar iemand woont en waar zijn kinderen naar school gaan ..."

Volgens Fokker is het een logische stap. "Alle elementen zijn er al. De criminelen hebben die informatie al buitgemaakt, ze hoeven alleen nog maar die stap te zetten." Op dat moment, zegt hij, vervaagt de lijn tussen online en fysieke criminaliteit, voor zover dat op dit moment niet al gebeurt. "Dat is een eng idee."

4. Bovengrondse evolutie
5. No More Ransom
6. Toekomstige bestrijding
71Reacties

Multipage-opmaak

Reacties (71)

Jelv 19 oktober 2020 06:26

Als je dit leuk vond kan ik de podcast Darknet Diaries over Shadow Brokers https://darknetdiaries.com/episode/53/ (NSA hacking tools die op straat kwamen te liggen) en Wannacry https://darknetdiaries.com/episode/73/ (ransomware obv EternalBlue exploid van de NSA die gelekt werd door Shadow Brokers) zeker aanbevelen.

[Reactie gewijzigd door Jelv op 23 juli 2024 14:01]

kami124 19 oktober 2020 10:22

Hebben clouddiensten zoals Onedrive en Dropbox, hier eigenlijk iets van een beveiliging tegen? Of wat kan ik het beste doen om deze bestanden te beschermen.

Als ze mijn PC zouden locken, dan zou ik dat niet zo erg vinden, want dan zet ik er gewoon een nieuwe Windows overheen. Maar als mijn bestanden die in de cloud staan ook gelockt zijn, dan heb ik een groot probleem.

wauwwie @kami124 • 19 oktober 2020 11:55

Je kunt op Win10 ook de ransomware protection (Controlled folders) aanzetten in security center.

Dat blokkeert alle apps die ongeauthoriseerd naar "Documents", "Pictures", etc willen schrijven en kun je via whitelisting uitzonderingen maken voor apps waarvan de developers hier geen rekening mee houden.

ochhanz @wauwwie • 20 oktober 2020 14:13

Ik gebruik Controlled Folders nu circa een jaar. In het begin is het tricky met sommige Windows processen en applicaties (zoals bijv Visual Studio) omdat je het een en ander moet whitelisten (gelukkig krijg je hier wel notificaties voor van Controlled Folder). Wat ook erg helpt is om een shortcut toe te voegen aan het context menu om een file of exe te whitelisten, dat voorkomt mogelijke errors tijdens de setup/installatie van een programma. ( https://www.tenforums.com...xt-menu-windows-10-a.html )
(natuurlijk alleen bestanden whitelisten die je vertrouwd

HallonRubus @kami124 • 19 oktober 2020 10:40

Voor Nextcloud is wel een Ransomware protection plugin.

It detects common file names used by ransomware and responds by blocking further uploads and warning the user and administrator

Bij veel cloud providers heb je ook gewoon file versioning, zodat je in ieder geval de belangrijkste bestanden een voor een kan terugzetten.

satisf @kami124 • 19 oktober 2020 10:41

Zowel onedrive als dropbox kunnen een full restore tot 30 dagen geleden doen als je een betaalde account hebt.

Er zijn enkele technische restrities bij beiden rond permanently deleted files, maar het is me eerlijk gezegd onduidelijk of die restricties kunnen uitgebuit worden door ransomware of niet. Dat zou een goede case zijn om eens te testen.

kami124 @satisf • 19 oktober 2020 10:50

Van deze functie weet ik inderdaad al af. Maar bij bijvoorbeeld de universiteit van Maastricht was alles al maanden geleden geëncrypt, zonder dat ze het doorhadden. Dus dan heb je niks aan zo'n functie. Of laten ransomware aanvallen op particulieren zich niet zo lang op zich wachten?

kw_nl

@kami124 • 19 oktober 2020 15:37

Niet helemaal, ze waren al maanden eerder binnen gekomen. In de weken voor de daadwerkelijke aanval hebben ze alles voorbereid. De daadwerkelijke encryptie begon vlak voor kerst na sluitingstijd (17:30 uit mijn hoofd).

Als ze een veilige backup hadden van voor de daadwerkelijke aanval, dan hadden ze veel minder problemen gehad. Dan kan je immers terug in de tijd en de aanval voorkomen.

kami124 @kw_nl • 19 oktober 2020 16:02

Je hebt gelijk. De back-ups waren online en daardoor ook geëncrypt. bron: nieuws: 'Ransomware infecteerde ook back-upserver van Universiteit Maastricht'

Ik dacht me te herinneren dat ze alles al maanden van te voren geëncrypt hadden en de encreptiesleutel overal in het werkgeheugen geplaatst hadden.Waardoor back-ups van maanden terug ook geëncrypt zouden zijn op het momentel dat de sleutel overal uit het werkgeheugen gehaald zou worden. Maar blijkbaar vergis ik me.

nst6ldr @kami124 • 19 oktober 2020 14:19

Of wat kan ik het beste doen om deze bestanden te beschermen.

Backups die je niet test zijn geen backups. En dan test je ze het liefst met een systeem dat niet voor andere dingen wordt gebruikt zodat daar geen ransomware proces draait wat de backups decrypt terwijl je ze wilt uitproberen.

Ook wil je dat iets alarm slaat zodra de inhoud van een bestand met meer dan X procent veranderde.

Dit zijn twee eenvoudige dingen die ook te automatiseren zijn met PowerShell. Als je daarbij zorgt dat je je lees en schrijfrechten goed hebt, dan vang je 99% van de gevallen op. Een gerichte ransomware aanval is niet tegen te houden, maar de bedrijven die dermate interessant zijn hebben ook wel budget om een dekkende disaster recovery op te zetten.

Eminus @kami124 • 20 oktober 2020 22:26

Zover ik weet dekt version control van OneDrive For business dit af met version control. Eerdere versies worden niet versleuteld.

5pë©ïàál_Tèkén 19 oktober 2020 06:54

Wat ik lees over ransomware is dat er maanden geïnvesteerd wordt om complete systemen en back ups te infecteren. De druk zit hem in het nooit meer bij je bestanden kunnen en de druk om je data te publiceren. Een hacker hoeft veelal geen bedrijfsnetwerk te hacken om privé informatie te vinden van mensen - social engineering en social media afstruinen werken daar net zo goed voor (of beter). Dit zijn andere takken van sport binnen de (digitale) misdaad wereld. Ja het klinkt eng als een anoniem iemand veel van je weet. Echter geloof ik niet dat een hacker met zijn laptop onder z'n arm je kind van school gaat halen. De switch van hacken naar ontvoering is zeer groot.
Een samenwerking tussen kidnappers en hackers zie ik ook niet snel gebeuren. Nogmaals - verschillende typen criminelen die gaan samenwerken, dat lijkt een scenario voor films, niet echt een real life bedreiging.
De ransom-sector zou ook veel meer en andere soort aandacht krijgen als dit zou gebeuren. Van financieel delict (waar in de maatschappij niet heel veel verontwaardiging uit voort komt) naar ontvoering (wat altijd het nieuws haalt, Amber alerts etc).
De beste man zal heus zijn vak kennen, maar ik ben terughoudend de praktische aspecten van zijn theorie te bestempelen al reëel.

R3m3d7 @5pë©ïàál_Tèkén • 19 oktober 2020 09:51

Je kan inderdaad de backups infecteren maar die zijn dan nog niet encrypted en dus bruikbaar met een specialist ernaast die de ellende kan verwijderen voordat de encryptie opnieuw plaatsvind na de restore.
Belangrijk is dat je de backup data zelf goed beschermt door in ieder geval 1 kopie te airgappen en eigenlijk alles immutable te maken vanuit het OS gezien.
Je wilt de backup server eigenlijk niet op Windows draaien (90%+ van de ransomware is geschreven voor Windows) en je wilt, als dit niet anders kan, of al zo is, deze niet zonder MFA in het domein hangen. Daarnaast kan je de users met rechten tot de backup data op disk beperken tot het local system account en de user waaronder de backup software actief is. En zo zijn er wel meer stappen die mensen gewoon niet nemen. Ook binnen grote bedrijven gaat er van alles mis en onderschatten mensen de risico's. Een maand of twee geleden nog een bedrijf geholpen te herstellen van een succesvolle aanval.

[Reactie gewijzigd door R3m3d7 op 23 juli 2024 14:01]

paradoXical @R3m3d7 • 19 oktober 2020 18:18

Ik draai backups in een time window, een specifieke folder in mijn backup locatie staat op dat moment r+w. Na uploaden van de data zet het backup systeem deze folder read only (om ook nooit meer write rechten te krijgen, volgende backup's worden gemaakt in een nieuwe folder) en scan ik de files om te zien of deze encypted zijn ja/nee. Backup systeem zelf staat hier fysiek en is tevens goed beveiligd.

In mijn hoofd is dit 100% veilig

[Reactie gewijzigd door paradoXical op 23 juli 2024 14:01]

Rataplan_ @paradoXical • 19 oktober 2020 20:42

Leuk voor thuis maar op grote schaal geen werkbare oplossing.

paradoXical @Rataplan_ • 19 oktober 2020 20:54

Draai dit ook 'professioneel'. Maar inderdaad, gaat dan om kleinbedrijf. Zie niet in waarom dit niet op grote schaal te implementeren is trouwens.

Rataplan_ @paradoXical • 19 oktober 2020 22:11

't zou kunnen, maar met 10k+ vm's en petabytes aan data wordt het wellicht wat onhoudbaar. Maar belangrijker; ransomware draait in de regel met elevated rechten of zelfs SYSTEM. Niks weerhoud dat ervan om bestanden van read-only af te halen, ownership te nemen indien nodig en rechten toe te kennen. Triviaal stukje code in alle ellende die er al in zit. Ik denk niet dat je er bij een 'fatsoenlijk' stuk ransomware enige baat bij hebt...

paradoXical @Rataplan_ • 20 oktober 2020 01:42

Vergeet niet dat backups extern staan, malware/ransomware kan niets nadat mijn backup server de bestanden r-o zet.

De backup server zelf besmetten acht ik (redelijkerwijs) onmogelijk, secure linux installatie met geïsoleerde backup user.

[Reactie gewijzigd door paradoXical op 23 juli 2024 14:01]

Rataplan_ @paradoXical • 20 oktober 2020 08:30

Het helpt allemaal maar je bent veel te naïef en je onderschat de klootzakken die ransomware schrijven... Je backupserver is online als er naartoe geschreven wordt en dat kan genoeg zijn. En ook secure Linux bevat lekken / exoloits. Je kunt proberen het ransomware lastiger te maken en dat doe je goed! Maar je bent nooit helemaal waterdicht.

[Reactie gewijzigd door Rataplan_ op 23 juli 2024 14:01]

dvdmeer @paradoXical • 20 oktober 2020 14:23

Waarom niet een pull structuur aanhouden waarbij de backup server schrijfrechten heeft op het Windows systeem maar andersom kan het Windows systeem totaal niet bij het backup systeem? De backup server kan dan ook nooit besmet worden.

De Dikke @dvdmeer • 21 oktober 2020 15:22

En hoe komt het backup daarop? Je zal ooit wellicht geïnfecteerde bestanden moeten uploaden.

dvdmeer @De Dikke • 21 oktober 2020 16:13

Uiteraard zal de backup server dan geinfecteerde bestanden gaan backupen. Maar een ransomware proces op het windows systeem zal niet in staat zijn om de backup server zelf te infecteren.
Maar kan mij wel voorstellen dat je een aantal hashes hebt van kritieke bestanden en die bij iedere backup vergelijkt. Als je dan opeens geen match hebt dan moeten er alarmbellen afgaan.
De decryptie key zal misschien in het geheugen staan van het Windows systeem maar niet in het geheugen van de backup server. Dus als er een backup gemaakt wordt dan zullen er geencrypte bestanden gekopieerd worden. De hashes matchen dan niet meer.
In dit geval kun je een eerdere backup terugzetten.
Als je dagelijks een backup maakt dan zou je er na 1 dag achter moeten komen dat er wat veranderd is. Tenzij het weken duurt voordat de trigger bestanden geencrypt zijn.

paradoXical @dvdmeer • 21 oktober 2020 23:00

Dat is precies wat ik doe, van een aantal (statische) bestanden heb ik een hash, welke dan na uploaden checked wordt vs de bestanden die hier in een masterfile staan. Hiermee bepaal ik of een backup 'besmet' is of niet.

Lijkt me niet dat ransomware hier iets tegen kan doen behalve een selectie van files encrypten en hopen dat het systeem dit niet opmerkt.

De Dikke @dvdmeer • 23 oktober 2020 08:33

Als je eenmaal geïnfecteerde bestanden hebt ben je F@#*D of niet? die encrypten pas na weken waarbij al je backups ook besmet zullen zijn al zijn ze nog niet encrypt.

paradoXical @dvdmeer • 21 oktober 2020 22:58

Ja hele goede, ik zat hier ook aan te denken.. ik heb echter zoveel vertrouwen in deze setup dat ik me afvraag waarom. De backup user kan letterlijk niets op een systeem; connecten, (tijdelijk) jailed in 1 folder en that's it.

Alleen bij privilege escalatie... Maar zeker een verbetering op mijn huidige setup!

RiDo78 @R3m3d7 • 19 oktober 2020 17:26

Dat ligt ook aan je backupsoftware en aan de soort ransomware.

Onder windows is het namelijk mogelijk om filesystem-filters aan te maken. Verzoeken om een bestand weg te schrijven lopen via die filters en het resultaat beland (doorgaans) uiteindelijk op disk. En omgekeerd, een gelezen bestand loopt ook via die filters voordat de data zichtbaar wordt voor de applicatie.

Onder andere Bitlocker gebruikt deze methode voor het transparant encrypten en decrypten van je bestanden en anti-virus software gebruikt die methode om on-access scanning uit te voeren. Dus waarom zou een cryptovirus daar geen gebruik van maken?

Als er een besmetting optreed zal het effect hetzelfde zijn als met een bitlocker versleutelde drive. Met dat verschil dat je (als het goed is) de rescue-keys van Bitlocker in bezit hebt.

Wanneer je backup-tool gebruik maakt van de file-based toegang, dan zal het de (versleutelde) bestanden meestal gewoon kunnen lezen. Die backups gaan onversleuteld naar een backup-disk of tape en zijn later probleemloos terug te lezen. Maar gebruik je een restore om je Windows te herstellen, dan installeer je meteen het virus weer. Ook kan het zijn dat het virus opmerkt dat er een backup-tool aan de slag gaat. Door die tool goed in de gaten te houden kan het zien welke file-handles er geopend worden en op dat moment zijn 'lees' filter voor die file even 'uit' zetten zodat de backup de file versleuteld veilig stelt.

Gebruikt je backuptool de Windows API's om ruwe disk toegang te krijgen of maak je buiten het OS om een backup van de virtuele disk, dan zou het zo maar eens kunnen zijn dat je vrolijk versleutelde data aan het backuppen bent. Terwijl de data binnen het OS nog gewoon toegankelijk is. Dan is het simpelweg een kwestie van tijd voor het virus zich presenteert. Als een virus zich op die manier 3 / 6 / 12 maanden verborgen weet te houden dan zijn je backups ook waardeloos. Windows mag dan wel starten, maar als je voorbij een bepaalde datum bent (of als het virus geen NTP server en/of kan vinden) krijg je meteen het 'Pay now' scherm voor je kiezen. Want zeg nu zelf, wie voert er nu echt regelmatig een restore-test uit?

Of er al crypto-virussen zijn die zo geavanceerd zijn dat ze rekening houden met backups, weet ik niet, het is voor mij puur theorie. Maar als ze er nog niet zijn dan is het gewoon een kwestie van tijd. Zeker als er zoveel geld in om gaat.

offtopic:
Overigens, wie wat tijd over heeft zou zich eens kunnen vermaken met de boeken van Mark Russinovich. Vele mensen kennen hem als hacker, anderen als DE man achter de Sysinternals tools. Maar niet veel mensen weten dat hij ook een paar leesboekjes heeft geschreven. Zero Day bijvoorbeeld. Een auteur die (voor de afwisseling) WEL weet wat techniek wel en niet kan.

[Reactie gewijzigd door RiDo78 op 23 juli 2024 14:01]

paradoXical @RiDo78 • 19 oktober 2020 20:56

Leuke offtopic tip!

R3m3d7 @RiDo78 • 19 oktober 2020 21:54

> Want zeg nu zelf, wie voert er nu echt regelmatig een restore-test uit?

Ik moest hard hierom lachen, ik ben de ontwikkelaar van een tool die dat testen automatiseert en de resultaten rapporteert. Ik weet dus precies hoeveel mensen dit doen en hoe groot de risico’s zijn.

Bedankt verder voor je uitgebreide reactie, zeker wat van opgestoken.

Eminus @R3m3d7 • 20 oktober 2020 22:23

Je wil je backups media

a) niet online aan je netwerk knopen
b) per dag controleren (een encrypt bestand is OOK een gewijzigd bestand en wordt gewoon in de backup meegenomen; versleutelde tapes => onbruikbaar)

Eminus

Verwijderd @5pë©ïàál_Tèkén • 19 oktober 2020 13:15

Ik denk inderdaad dat er een vrij grote scheiding zit tussen het soort mensen wat je kinderen ontvoert en het soort mensen wat ransomware verspreid. Niks ten nadelen van die laatste soort criminelen (hele rare zin), maar degene die openlijk hier over praten zien er niet uit als mensen die zomaar zoiets zouden doen inderdaad. Ook de goede hackers, die praten op conferenties, zijn vaak toch wel meer richting het stereotype IT'er dan een gangster die je vingers er eens even af komt snijden.
Aan de andere kant zijn de 'traditionele' criminelen weer echt niet geschoold genoeg in de IT om zulke aanvallen uit te kunnen voeren, en hebben waarschijnlijk heel weinig interesse in communicatie met zulke mensen. Hooguit zullen ze ze 1x betalen om iets uit te voeren, maar die willen absoluut niks met elkaar te maken hebben.

lulkoekje @5pë©ïàál_Tèkén • 19 oktober 2020 14:53

Hoe heeft u geregeld dat de echte wereld zichzelf begrensd naar wat uw inbeeldingsvermogen voor mogelijk houdt?
Helaas, leven we wel in een wereld waar je wel met dergelijke scenario's rekening moet houden. Wat denk je wat er te halen valt bij een gemiddeld fortune 500 bedrijf. Hier komen geraffineerde goed voorbereide aanvallen zeker voor. Waarbij sommige elementen de wat meer fysieke benaderingen niet zullen schuwen. Natuurlijk komt dit niet (zo snel) bij een gemiddelse mkb'er voorbij. Maar ik zou niet zo hard durfen stellen dat zaken die het nieuws niet halen daadwerkelijk ook niet gebeuren...

Niek_Luinge 19 oktober 2020 06:16

Het allermooiste zou toch zijn als elke aardbewoner gewoon zijn geld zou verdienen met werken en niet met diefstal. Alle criminaliteit zou in zijn algemeenheid verboden moeten worden, dan zou de wereld een prachtige plek zijn!
Ik ben een beetje melig, deze post is niet serieus, al zou het wel leuk zijn wat ik suggereer.

Blokker_1999

Ransomware
Beveiliging en antivirus

@Niek_Luinge • 19 oktober 2020 06:24

Denk je dat die criminelen het gemakkelijk hebben? Die moeten ook hard werken om de software te schrijven, slachtoffers te vinden, het geld rond te sturen zodat ze niet ontdekt kunnen worden en moeten heel de tijd over hun schouders kijken en opletten dat ze niet gevolgd worden. Neen, die moeten er ook hard voor werken!

Alle criminaliteit is uiteraard verboden. Anders zouden we criminelen niet kunnen veroordelen en opsluiten als we ze eenmaal gepakt hebben. Alleen is het een kwestie van risico tegenover mogelijkse winsten. Als ik jouw morgen 1 miljoen zou geven met een 10% risico dat je 10 jaar naar de gevangenis zult moeten, is het je dat waard? Velen zouden ja zeggen. Zeker als ze al met hun rug tegen de muur staan.

Spijtig genoeg zijn we vooral op zoek naar zo veel mogelijk geld voor zo min mogelijk werk. En dat is zo bij vele mensen, niet alleen criminelen. Voor sommige is dat dus het zetje dat ze nodig hebben om de criminaliteit in te duiken.

lucatoni @Blokker_1999 • 19 oktober 2020 07:25

En dat maakt het allemaal wel bijzonder. Allemaal mannen (en vrouwen) die hebben geïnvesteerd in zichzelf en vermoedelijk ook geschoold zijn. Over het algemeen beland je dan op het rechte pad toch? En ga je, ondanks dat het vermoedelijk veel oplevert, geen geld stelen. Hoe praat je dat jezelf goed?

Enige wat ik mij kan voorstellen is dat er een groter doel is, een overheid of ander orgaan die dit soort mensen inzet en dat het dus niet alleen maar draait om geld stelen.

Verwijderd @lucatoni • 19 oktober 2020 09:31

Hoe praat je dat jezelf goed?

Je valt bedrijven aan, geen individuen.
Je valt geen essentiële organisaties aan, dat zag je met ziekenhuizen die geinfecteerd raakten waarbij de criminelen direct gratis de sleutels overhandigen.
Zij hebben toch geld zat.
Zij missen dat toch niet.
Ik heb het veel slechter als die mensen.
Het geld interesseert ze toch niet, ze zwemmen er in.
Ze zullen er vast wel verzekerd voor zijn.

Ik kan zo wel door blijven gaan, excuses zat. Het probleem is dat we druk bezig zijn met globalisering en criminaliteit over de hele wereld nu in de gaten krijgt hoe eenvoudig het is (de mensen in) de rijke landen op te lichten. Dit wordt nog veel groter allemaal. De boel professionaliseert en verzekeraars gaan er polissen voor aanbieden.

Admiral Freebee

@Verwijderd • 19 oktober 2020 09:57

Klopt. Mensen hebben een erg goed mechanisme om zaken goed te praten. Vrijwel iedereen doet het. Zo weten we allemaal ook wel dat de zaken die we kopen gemaakt zijn met behulp van kinderarbeid, dierenleed, massale milieuvervuiling, enz. maar we sussen ons geweten met andere argumenten zoals dat het de verantwoordelijkheid is van de bedrijven of dat het komt door de lakse wetgeving van andere landen. Onze eigen bijdrage gaan we dan minimaliseren.

Hetzelfde gebeurt met dit soort criminaliteit en de redenen die @Verwijderd aanhaalt zijn ook de zaken waar ik aan denk. Je kan er misschien nog aan toevoegen dat sommige kleine medewerkers misschien zelfs geloven dat men een dienst levert door de beveiliging van de bedrijven te testen.

Ik ben er van overtuigd dat er een deel mensen in zo'n organisatie zitten die goed weten waar ze mee bezig zijn en het grote geld binnenharken maar in grote organisaties zitten sowieso ook kleine garnalen die ook wel weten dat de activiteiten niet kosher zijn maar het weten goed te praten en het zien als een manier om een inkomen te verdienen ten koste van bedrijven die het toch wel kunnen missen. Hetzelfde stel ik mij ook voor bij al die callcentermedewerkers die niets anders doen dan heel de dag mensen opbellen "Hello, this is Microsoft...". Voor hen is het gewoon een manier om een inkomen te hebben.

Let op, ik praat dit soort criminaliteit niet goed maar de redenen voor een persoon om hieraan mee te doen kunnen complex en divers zijn en we kunnen niet alles bekijken vanuit onze comfortabele Westerse levensstijl.

Luctia @Admiral Freebee • 19 oktober 2020 14:34

Wat betreft het goedpraten door scammers, een tijd geleden zat ik een scambaiting video te kijken die ik nu even niet terug kan vinden waar de YouTuber de scammer vroeg waarom hij het deed, hoe hij het goedpraat dat hij geld steelt van oude omaatjes. Zijn antwoord was dat ze "domme Amerikanen" targeten en dat ze zo dom zijn dat ze het verdienen.

RiDo78 @Luctia • 19 oktober 2020 17:44

Kitboga misschien?

Tinuz___

@Verwijderd • 19 oktober 2020 12:05

Vergeet daarbij de rol van het geweten niet: ik denk dat je opsomming geldt voor mensen waar dat nog wel enigszins functioneert. Maar bij complete afwezigheid ervan zal het je worst wezen van wie je wat steelt en welke schade of welk leed je veroorzaakt, het enige dat telt is dat je het gewiekst genoeg doet om niet gepakt te worden.

svennd @lucatoni • 19 oktober 2020 08:35

pfeuh programmeren kun je op zeer goedkope hardware, en leren op zeer jonge leeftijd... tegen dat ze 18 zijn hebben ze een beter en veiliger inkomen dan de straat crimineel.

0 schooling nodig.

TWeaKLeGeND @lucatoni • 19 oktober 2020 11:05

Geschoold zijn geeft geen garantie op een redelijk leven/inkomen/toekomstperspectief. Genoeg progammeurs die nauwelijks rondkomen terwijl 'de ongeschoolde vuilnisman in NL relaxed woont in zijn rijtjeswoning op 120m2 met redelijke tuin en 2 aardige vakanties per jaar.' Vooral het stukje toekomstperspectief en het idee dat jouw maandsalaris 1x aftroggelen gelijk staat aan wat hij in een heel jaar binnen krijgt. Zo lang er genoeg prikkels + kennis zijn heb je mensen in de hacking-for-profit-scene. De kennis is via zelfstudie op afval hardware te vergaren overigens, ergens in siberie zit er nu een ventje van 8 zijn eerste programma te tikken terwijl hij zijn hele jeugd zijn ouders keihard zal zien werken voor niks (in vergelijking met wat hij op internet ziet). Ik vermoed dat de grootste prikkel 'bijna geen toekomstperspectief' is. Verder kan je je bijv ontzettend genaaid voelen door een 'Amerika' en dan ook meedogenlozer zijn richting amerikanen etc terwijl je je eigen landgenoten en buurlanden met rust laat (ook ivm lagere pakkans als je je alleen bezig houd met slachtoffers ver weg). In jezelf investeren heeft verder helemaal niks te maken met een recht pad overigens. Het is je omgeving die veel bepalender is ongeacht scholingsniveau. Er zullen ook ongetwijfeld programmeurs deze business in rollen onder enige dwang. Niet dat ze dan niet blij zijn met de centen maar ze waren het niet zelf van plan maar zijn aangespoord door simpel gezegd 'de lokale maffia' (die al in de drugs prostitutie afpersing etc zit). Net zoals de 'IT expert' de taak gekregen zal hebben om darkweb handel in te gaan namens de organisatie.

[Reactie gewijzigd door TWeaKLeGeND op 23 juli 2024 14:01]

Vizzie @Blokker_1999 • 19 oktober 2020 07:34

Ach ja de arme mensen met hun rug tegen de muur die dan maar ziekenhuizen af gaan persen voor miljoenen.

Sorry als ik even moeite heb medeleven te vinden voor die arme mensen.

Je kan het nog zo moeilijk hebben, het is nog altijd een keuze om dan maar andere mensen (waarvan je ook niet weet of ze het makkelijk hebben) kwaad te doen.

Ik geloof ook niet dat dit soort criminaliteit gepleegd wordt door arme mensen die hun kinderen geen eten kunnen geven maar gewoon door hebberige eikels (m/v) die te lui zijn om te werken voor een normaal inkomen.

Verzekeringsmaatschappijen zouden elke keer als ze losgeld betaalden evenveel geld moeten inzetten Om de schuldigen op te laten sporen en op te laten sluiten.

[Reactie gewijzigd door Vizzie op 23 juli 2024 14:01]

Verwijderd @Vizzie • 19 oktober 2020 08:29

Verzekeringsmaatschappijen zouden elke keer als ze losgeld betaalden evenveel geld moeten inzetten Om de schuldigen op te laten sporen en op te laten sluiten.

Daar hebben ze toch geen enkel belang bij? Igor uit Bulgarije in de bak en dat kost ze dan nog een paar miljoen extra. Voor die maatschappij wellicht geen probleem, die innen het wel weer bij de premie betaler.

Vizzie @Verwijderd • 19 oktober 2020 08:47

Uiteindelijk heeft iedereen er belang bij dat misdaad niet loont. Dat leidt tot minder misdaad. Daardoor hebben zowel de verzekeraars als de premiebetalers lagere kosten en heeft iedereen een betere wereld.

Behalve criminelen dan, maar daar lig ik niet wakker van.

[Reactie gewijzigd door Vizzie op 23 juli 2024 14:01]

Verwijderd @Vizzie • 19 oktober 2020 09:32

Helaas werkt het zo dus niet. Je rolt de één op en de ander springt in het gat. Dat zie je toch overal? Heeft het oppakken van bijvoorbeeld Escobar er voor gezorgd dat er geen cocaine meer uit Colombia komt? Nee natuurlijk niet. Er is iemand anders die zijn plek heeft ingenomen en die hebben geleerd van de fouten die hij gemaakt heeft.

In dit geval heeft het toch echt alleen maar tot gevolg dat de premie betaler mag betalen voor een klopjacht die hen onder aan de streep niets oplevert.

bikabob 19 oktober 2020 08:07

Ik heb altijd nog gedacht dat de opkomst van cryptolockers zorgt voor betere beveiliging en een pro is op lange termijn. Nu er een prijs staat op het beveiligen van je netwerk, ga je dat uiteindelijk ook wel doen.

HoppyF 19 oktober 2020 10:18

Mooi artikel maar wat ik mis is de aanpak van de criminelen zelf.
Wie zijn de criminelen nu echt en hoe groot is de pakkans en hoe hoog zijn de straffen die ze kunnen krijgen en hoeveel criminelen worden er uiteindelijk veroordeeld?
Als de pakkans enorm stijgt door betere opsporingsmethoden en de straffen hoog zijn en landen goed samenwerken, kan de criminaliteit flink teruglopen op dit gebied.
Welke crimineel die bv in Duitsland zit wil uitgeleverd worden naar Turkije en daar jaren in een vieze cel zitten?
Dit soort vooruitzichten zouden criminelen kunnen ontmoedigen om ook maar aan dit soort afpersing te beginnen. Zeker als de straffen uitgebreid bekend gemaakt gaan worden.
Voor een deel ligt de oplossing dus binnen het bereik. Kwestie van goede internationale afspraken maken maar daar heeft ieder land dan weer belang bij.

Mantis @HoppyF • 19 oktober 2020 12:27

Helaas zitten de grootste criminelen in Rusland en zolang ze geen Russische bedrijven lastig vallen en soms eens de staat buitenlandse intel bezorgen, wordt er niets aan gedaan.

HoppyF @Mantis • 19 oktober 2020 13:53

Dan kun je ze nog terugpakken met hun eigen maatregelen.
Kortom belangrijke Russische bedrijven aanvallen als ze daar niet mee willen werken.
Klinkt niet vriendelijk maar wie niet luistert moet maar voelen.

darkvader 19 oktober 2020 09:38

Ik hoop dat er een keer globaal aandacht komt om dit groeiende probleem aan te pakken bij de oorzaak.
Naar mijn idee is vooral de anonimiteit van digitale valuta hier nog steeds de grote boosdoener. Verbeter me maar als het niet zo is. Zonder deze valuta zou dit business model nooit zo groot zijn geworden.

OCU-Macs @darkvader • 19 oktober 2020 10:38

Boosdoener is een groot woord, maar het is zeker een katalysator. Bovendien zorgt digitale valuta dat je geen fysieke crimineel hoeft te zijn een dergelijke afpersing uit te kunnen voeren.

Je kunt het nu volledig van achter je scherm plannen, opzetten, uitvoeren en voor financiële afwikkeling zorg dragen.

Dit terwijl je in een ander scenario (als het middels een fysieke transfer van geld of andere waardemiddelen moet) over andere 'competenties' dient te beschikken: Je moet aan een ontraceerbaar voertuig kunnen komen, fysiek de overdrachtslokatie plannen, Bereid zijn eventueel geweld te gebruiken tijdens je vlucht (dus over wapens kunnen beschikken), een netwerk hebben om e.e.a. wit te kunnen wassen, en vast nog wel veel meer.

Met dit vereenvoudigde, puur digitale, profiel opent zich een wereld aan nieuwe (kennis)criminelen die dit 'werk' helemaal autonoom kunnen uitvoeren.

novasurp @darkvader • 19 oktober 2020 13:34

Vroeger ging het met een PaySafeCard.

De oorzaak is dat Windows heel makkelijk te infecteren is. Voor Mac, Linux, iOS, en Android heb je niet zo vaak ransomwareaanvallen.

[Reactie gewijzigd door novasurp op 23 juli 2024 14:01]

RiDo78 @novasurp • 19 oktober 2020 17:50

Nee, er zijn gewoon veel meer Windows machines (zeker als je de desktop mee neemt), waardoor dat lucratiever is. Andere besturingssystemen zijn net zo kwetsbaar.

novasurp @RiDo78 • 19 oktober 2020 20:49

Er zijn meer Android-telefoons dan Windows-PC’s.

Blokker_1999

Ransomware
Beveiliging en antivirus

@darkvader • 19 oktober 2020 11:37

En welke oorzaak is dat dan? Het is iets dat je voor heel veel criminaliteit kan zeggen: we moeten het aanpakken bij de bron. Maar de bron is vaak iets waar we zelf niet veel aan kunnen doen. Er is een brede aanpak nodig op meerdere vlakken.

Als we geen cryptovaluta hadden (die nooit bedoeld zijn geweest om anoniem te zijn) dan had men wel andere manieren gebruikt om aan het geld te komen.

darkvader @Blokker_1999 • 19 oktober 2020 12:37

Ze hadden dan inderdaad wel andere manieren gevonden om aan geld te komen maar het zou een stuk lastiger zijn dan nu.
Ook zou het dan vaak beter traceerbaar zijn en de dus ook de pak kans groter.

Helaas is dit inderdaad iets wat alleen globaal aangepakt kan worden.
En dat zou ook moeten gebeuren naar mijn idee. Misschien iets voor Rutte om op te pakken

dakka @darkvader • 19 oktober 2020 13:41

het is maar wat je lastig vindt, (het is tamelijk moeiteloos, laat staan als je het via een Oezbekistan of Roemenië doet), het is makkelijker bitcoin te traceren, zelfs als je het een tumbler in gooit

Centelte @Blokker_1999 • 19 oktober 2020 18:50

Sommige cryptovalutas zijn wel degelijk bedoeld om anoniem te zijn (Monero is hier een goed voorbeeld van)

dakka @darkvader • 19 oktober 2020 13:33

de grote boosdoener is armoede,ongelijke kansen, etc, ja aan de top zitten mensen die rijk willen worden, maar degene die de operatie daadwerkelijk draaiend houden zijn meestal gewoon mensen die geen ander werk konden vinden.

Als dit niet met crypto gedaan werd, dan werd het wel gedaan met gestolen accounts, witwassers en katvangers met gewone valuta.

[Reactie gewijzigd door dakka op 23 juli 2024 14:01]

Tweddy 19 oktober 2020 13:03

Maar wat is nou de kans dat ik als particulier wordt getroffen op mijn pc door dit soort gijzelsoftware?

fockarty @Tweddy • 19 oktober 2020 13:27

Vraag eens aan mijn buren, lekje in de qnap, 4.5tb encrypted foto's van kinderen, overleden familie enz.. er is betaald en alles is weer uitgepakt. De qnap is offline

Tweddy @fockarty • 19 oktober 2020 13:33

Heftig hoor, daarom heb ik alles 2x gebackupt op externe harde schijven. Toch enge gedachte dat criminelen je computer op slot kunnen zetten.

HoppyF @fockarty • 19 oktober 2020 13:56

Stond deze Qnap dan per ongeluk open naar buiten?
Of hebben hackers eerst een PC gekraakt en daarmee toegang gekregen tot het netwerk?

fockarty @HoppyF • 19 oktober 2020 15:41

Hing aan het internet, qnap had patches aanbevolen en het lijkt erop dat er bij qnap ook iets niet lekker zat. Ben er niet verder naar op zoek geweest. Was al oudere qnap

Skyrunner @fockarty • 19 oktober 2020 16:41

Dat is toch wel een ding. Mijn Synology hangt uiteraard ook aan het 't Internet met zaken als admin accounts disabled, moeilijk wachtwoord, 2-traps raketten en dat soort geneuzel. Daarnaast sync'ed deze realtime met een 2e NAS elders en maak ik wekelijks automatisch een backup naar een USB drive.

Ik ben al 40jr in de weer met computers en IT in het algemeen, maar dit soort dingen gaan me al snel boven de pet, en ook ik heb Gb's aan belangrijke foto's en documenten op m'n NAS staan.

Moet ik me zorgen maken? Ik weet het niet. Ik heb altijd mijn bedenkingen gehad bij Synology's Quickconnect service, wat als daar iemand illegaal binnenkomt?

RiDo78 @Skyrunner • 19 oktober 2020 17:59

Als je het niet vertrouwd, waarom gebruik je het dan?

En als je wekelijks een backup maakt dan is het maar net hóe je dat doet. Overschrijf je daarmee de data op de andere NAS hou je een history intact? In het eerste geval heb je (in het gunstigste geval) een week om te restoren. Met de tweede optie kun je op een oudere backup terugvallen.

Wat je je ook af moet vragen: hoe belangrijk is het om alles altijd online te houden. Je kunt je 'archief' met belangrijke foto's OOK op een (oude) harde schijf / USB stick / DVD zetten en die ergens in een kast leggen. Als dan alles ineens weg is, heb je kans dat de harde schijf / USB stick / DVD nog leesbaar is.

Skyrunner @RiDo78 • 19 oktober 2020 18:17

Ik denk dat een zekere mate van wantrouwen nooit verkeerd is, maar goed, dat is niet mijn punt.

Mijn backups schrijven alleen nieuwe files bij ; de oude veranderen nooit.

Het online stukje is wel redelijk belangrijk voor mijn documenten. Voor mijn werk reis ik veel en is toegang van buitenaf een vereiste.

donderz 19 oktober 2020 14:16

Moet het niet "spray and pray" zijn in plaats van "spray and pay"?

Cis @wilcomt5 • 19 oktober 2020 10:20

Waargebeurde reactie:
Ik snap niet wat de relatie is met het artikel. Ik kan natuurlijk wel gissen, maar misschien moet je je reactie nog eens na (laten) lezen en herschrijven.

Op dit item kan niet meer gereageerd worden.