Rusland lijkt een vrijplaats te zijn voor criminelen die op creatieve manieren proberen ondernemers geld af te troggelen. Gijzeling van mensen gebeurt daar al langer, maar ook Excel-sheets en andere bedrijfsgegevens zijn niet langer veilig.
Deze zogeheten ‘ransomware’ is nog niet buiten Rusland gesignaleerd, maar volgens Roel Schouwenberg, senior research engineer bij Kaspersky Labs Benelux, is dat slechts een kwestie van tijd. “Op dit moment vinden we het recent ontdekte JuNy.b-virus nog niet terug in de Benelux of andere landen buiten Rusland.”
“Er komen sowieso veel nieuwe virussen uit die streken. Ze zijn daar behoorlijk creatief en dan is het meestal een kwestie van tijd voordat ze ook in andere landen worden ingezet”, meent Schouwenberg. Als het virus zich in het systeem nestelt, gaat het op zoek naar een aantal verschillende bestandsformaten, waaronder Excel. Vervolgens versleutelt het virus die bestanden en laat de gebruiker weten dat zijn bestanden zijn gegijzeld. Om het de antivirusproducenten moeilijk te maken, verwijdert de encrypter zichzelf vervolgens van de machine.
Na betaling van het ‘losgeld’ wordt een programmaatje aangeboden om de bestanden weer te ontsleutelen. De hoogte van het losgeld ligt rond de twintig dollar. Het lage bedrag geeft min of meer aan dat vooral kleine bedrijven en particulieren slachtoffer worden van deze praktijken.
Weinig zorgen
Volgens Schouwenberg hoeven de meeste bedrijven in Nederland zich voorlopig weinig zorgen te maken. Het virus is op dit moment nog gemakkelijk te herkennen door anti-virussoftware, al is niet precies duidelijk hoe het systemen binnendringt.
“Mochten er toch bestanden zijn versleuteld dan kan ons anti-virusproduct die gemakkelijk opheffen”, aldus Schouwenberg. “De criminelen gebruiken vooralsnog redelijk eenvoudige encryptiemethodes. Het terugdraaien is dus nog niet ingewikkeld.” Schouwenberg verwacht wel dat de criminelen steeds inventiever worden. “Als de encryptiealgoritmes ingewikkelder worden, zal het meer tijd kosten om via reverse engineering te zoeken naar de methodiek.”
Wel over de grens gekomen
Ronald Prins, directeur van Fox-IT, vreest dat de oplossing minder eenvoudig is. “Als de virusmakers gebruikmaken van public-key cryptografie zal reverse engineering weinig nut meer hebben. Alleen de eigenaar van de private sleutel, die dus niet in de viruscode zit verstopt, is in staat de versleuteling ongedaan te maken.”
Verder ziet Prins wel degelijk dat afperspraktijken inmiddels over de grens zijn gekomen. “We hebben klanten die afgeperst zijn na een hack. De hackers gooien het dan vooral op imago. Zo hebben ze bijvoorbeeld een bank bedreigd om van alle rekeninghouders hun naam, rekening en saldo publiek te maken. Uiteindelijk is dit niet gebeurd omdat we tijdens de onderhandelingen de ware identiteit van de daders konden achterhalen.
