Beheer

Security
boos

De waanzin van ransomware ‘as a service’

Ransomware is erg, maar het wordt afpersers ook wel héél makkelijk gemaakt.

7 oktober 2021

Ransomware heeft de afgelopen tijd absurde vormen aangenomen. Begin dit jaar zat half Texas ineens zonder benzine, omdat Colonial Pipeline plat werd gelegd. In juni gingen duizenden bedrijven (en honderden in Nederland) voor gaas ‘dankzij’ REvil. In Ierland kreeg de HSE (de Health Service Executive, verantwoordelijk voor de gezondheidszorg in het land) een digitale gijzeling om haar oren. En dat zijn maar een paar van de meest in het oog springende voorbeelden.

Ik noem ze bewust vanwege het tamelijk platte karakter van die gijzelingen. De hackers van Colonial Pipeline boden achteraf nog net niet hun excuses aan voor de chaos bij de Texaanse benzinepompen: “Ons doel is om geld te verdienen, en niet om problemen te creëren voor de maatschappij.”

Daden, gevolgen

De hackers van de HSE gaven hun decryptor code uiteindelijk ‘gratis’ weg. Waarom werd niet helemaal duidelijk, maar het lijkt erop dat de hackers zelf een beetje waren geschrokken van de potentiële impact van hun actie. Het is al eerder gebeurd dat hackers de decryptor vrijwillig vrijgaven toen ze ontdekten dat ze ‘per ongeluk’ een heel ziekenhuis offline hadden gehaald.

REvil leek aan de ene kant een van de meest impactrijke aanvallen te hebben uitgevoerd die we in tijden hebben gezien - maar aan de andere kant worstelde de groep met een realistische manier om dat in geld om te zetten. Hackers prefereren tegenwoordig het moeilijker traceerbare Monero, maar deze cybercriminelen waren zo hebberig dat ze kozen voor Bitcoin, waar nu eenmaal de grootste bedragen in omgaan. In juli ging heel REvil ineens uit de lucht, en kort daarop kreeg slachtoffer Kaseya van een onbekende zomaar ineens de decryptiesleutel aangereikt.

Werk van amateurs

Dat alles suggereert dat veel ransomware-aanvallen, hoe groot en hoe heftig ze ook mogen lijken, het werk zijn van amateurs. Mocht je daar nog aan twijfelen, bedenk dan dit: bijna twee derde van alle ransomware-aanvallen in 2020 was afkomstig van RaaS-gebaseerde platformen.

Wat is Raas? Ransomware as a Service. En wat betekent dat? Dat je online, op het Dark Web, simpelweg een dienst kunt afnemen waarmee je naar believen kunt gijzelen wie je wilt. Als je dus snel rijk wilt worden door de halve wereld een poot uit te draaien, dan hoef je tegenwoordig geen James Bond-achtige superschurk meer te zijn, met een angstig hoog IQ, een misdadig groot netwerk en een ongelimiteerd budget. Alles wat je nodig hebt is een creditcard en een verwerpelijke moraal.

Dat klinkt verschrikkelijk amateuristisch, en dat is het ook. Maar het werkt. Zelfs zo goed dat de FBI afgelopen zomer nog een expliciete waarschuwing liet uitgaan voor ‘ransomware-partners’. Dat zijn dus partijen die RaaS gebruiken om organisaties af te persen en die in ruil voor hun RaaS-gebruik een deel van hun winst afdragen aan de ransomwareleverancier.

Slechte staat van security

Het succes van dit soort constructies zegt helaas meer over de staat van cybersecurity, dan over de criminelen zelf. In tegenstelling tot werkelijk geavanceerde cyberdreigingen zijn dit soort RaaS-diensten namelijk heel eenvoudig te herkennen. Hun IP-adressen zijn bekend. Ieder fatsoenlijk beveiligd DNS zou RaaS automatisch moeten blokkeren - maar het gebeurt niet.

En dat is symptomatisch voor de manier waarop nog veel te veel kleine en grotere bedrijven met hun beveiliging omgaan. Patches worden niet geïnstalleerd. Updates worden niet gedraaid. Wachtwoorden worden niet aangepast. Instellingen worden niet gecontroleerd. En vrij toegankelijke informatie over allerlei grote en kleine dreigingen wordt stelselmatig genegeerd. Het wordt aanvallers, inclusief amateurs, dus wel héél makkelijk gemaakt. Waanzin!

Reactie toevoegen