Deze maand ‘vieren’ we de 35e verjaardag van ransomware. Op 12 december 1989 noteerde men de eerste ransomwarecase waarbij fysieke diskettes met software circuleerden om personen te helpen beoordelen of ze zogezegd het risico liepen aids te ontwikkelen. In realiteit ging het om malware: de AIDS-trojan werd de allereerste referentie naar gijzelsoftware.
Sindsdien zijn er in Nederland tot 150 ransomwareaanvallen per jaar, meldt Cyberveilig Nederland in zijn Jaarbeeld Ransomware. Gelet op de geopolitieke ontwikkelingen verwacht Jan Heijdra, Field CTO Security van Cisco, dat het aantal zal toenemen.
In het pre-internettijdperk bleek het nog te moeilijk om malware als de AIDS-trojan te verspreiden en betalingen te innen. Sindsien zijn computers uiteraard verbonden met netwerken en is ransomware een belangrijke criminele activiteit geworden.
De evolutie van ransomware door de jaren heen:
– 1989: de eerste ransomwareaanval vindt plaats met de AIDS-trojan, die met diskettes wordt verspreid.
– 1996: onderzoekers van de universiteit van Columbia simuleren voor het eerst ‘afpersing via cryptovirus’, met vrijgave van een decoderingssleutel tegen betaling. Meteen ontstonden ook verdedigingsmechanismen als antivirussoftware en systeemback-ups.
– 2004: de eerste criminele ransomware GPCode werd via e-mail gedeeld onder het mom van een sollicitatie. De malware scande de computer van het slachtoffer en versleutelde gericht bestanden. Het was voor een aanvaller toen nog moeilijk om losgeld te innen zonder de eigen identiteit vrij te geven.
– 2013: met de opkomst van cryptovaluta’s zoals bitcoin vonden criminelen een effectieve manier om anoniem losgeld te innen, met de succesvolle CryptoLocker-ransomware als een van de eerste voorbeelden. Daarmee begon het criminele ecosysteem te professionaliseren met gespecialiseerde ransomwareproviders.
– 2016: met de nieuwe ransomwarevariant SamSam gaan cybercriminelen veel gerichter te werk gingen en eisen ze grotere bedragen. De bende combineerde hackingtechnieken met ransomware wat de cybermarkt grondig veranderde. Al snel gaven criminelen prioriteit aan bepaalde sectoren zoals de gezondheidszorg, de overheid en industriebedrijven.
– 2019: met Maze wordt voor het eerst dubbele afpersing gebruikt. Naast versleuteling van gegevens worden dan ook gevoelige gegevens gestolen. Slachtoffers betalen niet alleen voor een decoderingssleutel, maar ook om te voorkomen dat hun data openbaar wordt gemaakt.
Naar een driedubbele afpersing
Het IT-landschap in 2024 is een stuk geavanceerder dan dat van 1989 of 2004. Groepen zoals Conti opereren als professionele bedrijven, compleet met ondersteuningsdiensten, helpdesks en ‘klantenservice’ voor slachtoffers.
Volgens Jan Heijdra worden organisaties nu op drie manier afgeperst:
1. Decoderingssleutel: Betalen om weer toegang te krijgen tot vergrendelde bestanden.
2. Data-dreiging: Betalen om te voorkomen dat gestolen gegevens openbaar worden gemaakt.
3. Compliance-dreiging: Betalen om te voorkomen dat toezichthouders, zoals auditors, op de hoogte worden gesteld van de aanval.
“Volgens rapporten van Cyberveilig Nederland en het NCSC waren in 2023 ongeveer 150 organisaties het slachtoffer van ransomware. Daarbij zien we een trend waarbij criminelen bedrijven zelfs chanteren met dreigingen om datalekken te melden aan de compliance-auditor,” aldus Heijdra. “Dit voegt een extra drukmiddel toe, waardoor bedrijven zich nog meer genoodzaakt voelen om te betalen. We begrijpen dat het aanlokkelijk is maar daarmee sponsor je weer de volgende aanval.”
Focus op malware en ransomware voor de mobiele telefoon
Gelukkig hebben organisaties steeds meer mogelijkheden om zich te wapenen en slagen we er met AI in om kwetsbaarheden af te schermen. Dankzij betere software-engineering en patching is het voor ransomware nu moeilijker om systemen te infecteren. Daarmee wordt de mens nog meer de zwakke schakel in de verdediging.
“Bovendien groeit onze afhankelijkheid van devices, en wordt het gemakkelijker om disruptie te veroorzaken. Om die reden verwacht ik nog meer ransomware – mogelijk richting mobile. De smartphone is vaak nog onbeschermd”, waarschuwt Heijdra. “Toch moeten we ons niet machteloos voelen. Onze verdediging en ook de handhaving gaan er op vooruit. Vorig jaar hebben we samen met de Nederlandse politie het Babuk-ransomwarenetwerk gestopt. Dankzij Threat intelligence vanuit Cisco Talos was de politie in staat om deze bende op te rollen.”
Als we naar de toekomst kijken, is het volgens Heijdra onwaarschijnlijk dat we het einde van ransomware zien, simpelweg omdat het model nog te lucratief is. Er zullen nieuwe technieken en methoden ontstaan om het bedrijfsmodel te verbeteren en om met malware onder onze radar blijven.
Toch biedt samenwerking hoop. Initiatieven zoals het No More Ransom Project van Europol en samenwerkingen tussen beveiligingsbedrijven maken het moeilijker voor ransomwarebendes om te opereren. Cisco en Cohesity bijvoorbeeld versterken samen de databescherming, en helpen organisaties om na een aanval sneller te herstellen en hiermee de schade te beperken. Door snellere detectie, betere patching en geavanceerde forensische tools kunnen beveiligingsbedrijven criminelen steeds een stap voorblijven.
Read more