Kunnen cybercriminelen een miljard dollar verdienen met ransomware?
'Bitcoin is gebaseerd op blockchain, een openbaar register voor transacties. Dus alle bitcointransacties zijn openbaar', zegt Mikko Hyppönen, Chief Research Officer van F-Secure. 'Je weet alleen niet wie er precies achter zit. Maar we zien wel hoe het geld zich verplaatst en hoe groot de bedragen zijn.'
Elk slachtoffer van ransomware – malware die bestanden versleutelt en ze pas na betaling vrijgeeft – krijgt een unieke wallet (portemonnee) om het geld naar over te maken. Na het betalen verplaatsen sommige ransomware-bendes de bitcoins naar een centrale wallet.
'We hebben een aantal van die wallets gemonitord', vertelt Mikko. 'En we zien hoeveelheden bitcoins die miljoenen waard zijn. Het gaat echt om heel veel geld.'
Dat criminelen zoveel geld binnenhalen, en nog belastingvrij ook, zette de securitygoeroe aan het denken: 'Ik vroeg me af of er al cybercrime-unicorns bestaan.'
Een cybercrime-unicorn?
Een tech-unicorn is een niet-beursgenoteerd technologiebedrijf met een geschatte waarde van meer dan een miljard dollar. Denk aan Uber, Airbnb of Spotify. Maar een cybercrime-unicorn heeft geen investeerders, overheadkosten en toezicht. (Al is deze vorm van afpersing zo winstgevend dat de afdeling klantenservice van sommige bendes zich kan meten met een kleine start-up.)
'Mag je deze bendes wel met unicorns vergelijken?', vraagt Mikko zich af. 'Waarschijnlijk niet, nee.'
Een groot verschil is dat het simpelweg te moeilijk is om te cashen. In een legaal bedrijf als Uber worden miljarden dollars geïnvesteerd. Maar ransomware-bendes moeten constant nieuwe manieren bedenken om hun bitcoins naar geld om te zetten.
'Ze kopen er prepaidkaarten van en verkopen deze vervolgens op eBay en Craigslist', weet Mikko. 'En veel bendes wassen het geld wit in online casino’s.'
Maar ook dat is zo eenvoudig nog niet. Zelfs als je probeert al je geld aan een ander bendelid te geven door keer op keer expres van hem te verliezen.
'Wanneer je grote bedragen verspeelt, krijg je een ban. Daarom begonnen deze bendes bots te gebruiken die op een realistische manier spelen en nog steeds verliezen – maar niet te duidelijk.'
Politie en justitie zijn zich wel degelijk bewust van deze goudmijn voor cybercriminelen. In 2015 kreeg de afdeling cybercrime van de FBI maar liefst 2.453 klachten over ransomware, met een totale schade van 1,6 miljoen dollar.
Effectiviteit ransomware
In 2016 ging nog geen maand voorbij zonder dat een grote ransomware-zaak het nieuws haalde. Zo betaalde het Hollywood Presbyterian Medical Center 40 bitcoins aan losgeld, toen ongeveer 17.000 dollar waard, om bestanden te herstellen. En dan zijn dit alleen nog maar de aanvallen die in de media komen.
Ransomware is dus zeer effectief. Je zou bijna denken dat de FBI slachtoffers aanraadt om het losgeld ook echt te betalen. Maar het ligt toch iets genuanceerder.
'Het officiële standpunt is dat de FBI geen advies geeft over het wel of niet betalen', schrijft Sean Sullivan, Security Advisor bij F-Secure. 'Maar als de slachtoffers geen voorzorgsmaatregelen hebben genomen, is het overmaken van het losgeld de enige manier om hun bestanden terug te krijgen.'
Welke voorzorgsmaatregelen? Daar hoeft Mikko niet lang over na te denken.
'Back-ups. Als je systeem geïnfecteerd raakt, zet je gewoon de back-up van gisteren terug en je kunt weer aan de slag. Het wordt al een stuk lastiger als je gehele netwerk besmet is. Maar je moet natuurlijk ook altijd goede en actuele offline back-ups hebben. Met de nadruk op ‘offline’!'
In de praktijk zien we nog steeds dat maar weinig mensen goed voorbereid zijn op een ransomware-aanval.
F-Secure verwacht dat ransomware een reële dreiging blijft, tenzij de markt voor bitcoins wordt verstoord. Cybercriminelen zullen steeds gerichter te werk gaan om nog grotere bedragen los te peuteren.
Als jij in de vervelende positie zit dat je bestanden gegijzeld worden en je geen back-up gemaakt hebt, onthoud dan dat je te maken hebt met iemand die cybercrime heel zakelijk benadert. Je kunt dus proberen met die persoon te onderhandelen.
Maar ons allerbeste advies: zorg ervoor dat je goede endpoint-security hebt draaien, je werknemers goed voorgelicht zijn én je back-ups in orde zijn. Dan is jouw bedrijf niet voor één gat te vangen.