Afgelopen september hoorde ik voor het eerst van cryptolocker, een zeer serieuze computerbedreiging. Cryptolocker is een hoogst geavanceerd virus met een bijpassend business model.
Kort gezegd is cryptolocker een stuk ransomware. Het is een virus die een computer besmet, de bestanden encrypt en tegen betaling een passende sleutel aanbiedt om overal weer bij te komen. In tegenstelling tot de ransomware die we tot op heden tegen kwamen past cryptolocker echter zeer serieuze encryptie toe, met gebruikmaking van pki-achtige technieken.
Hoe werkt cryptolocker?
In de meeste gevallen raakt een pc besmet via spam, waarbij een gebruiker een kwaadaardige bijlage heeft geopend. Na besmetting van de pc met cryptolocker worden alle gebruikers bestanden (zoals .docx, .jpg, .xls, et cetera) ge-encrypt. Bijzonder is dat cryptolocker niet alleen op de lokale harde schijf kijkt. De software encrypt ook usb-sticks, gekoppelde netwerk shares (bijvoorbeeld nas), en zelfs cloud drives. De sleutel wordt na het encrypten weggegooid.
De gebruiker krijgt vervolgens de keuze tussen het betalen van driehonderd dollar, via MoneyPak of Bitcoin, in ruil voor een sleutel om de bestanden te decrypten, of gedag zeggen tegen de bestanden. Deze keuze moet wel binnen 72 uur gemaakt worden.
De tweestrijd bij het aanpakken van cryptolocker
Cryptolocker maakt gebruik van veel servers op internet. Deze servers worden onder andere gebruikt om encryptie/decryptie sleutels te verspreiden. Verschillende (overheids)diensten jagen actief op deze servers en proberen ze uit te schakelen. Dat werkt goed bij een standaard botnet bijvoorbeeld, maar in dit geval is er een keerzijde aan de medaille. Het kan namelijk zo zijn dat een getroffen gebruiker betaalt om zijn bestanden terug te krijgen, maar dat de server met daarop zijn decryptie sleutel door de politie is ontmanteld.
De adviezen spreken elkaar dan ook tegen. In Nederland zegt de politie niet te betalen, in de Verenigde Staten echter zijn er zelfs politiebureaus die de betaling voor je verrichten en je helpen om uit de ellende te komen.
Er bestaat in dit geval geen beste advies is. Natuurlijk moet je criminelen niet betalen, maar als al je bedrijfsdocumenten verdwenen zijn wil je wel graag een oplossing. En het laatste waar je dan behoefte aan hebt is tegengewerkt worden door politie en opsporingsinstanties.
Waar gaat het heen?
Het meest schrikbarende aan cryptelocker is eigenlijk niet zozeer de technologie die toegepast is. Die is bekend, en we konden er op wachten dat het een keer door kwaadwillenden ingezet zou gaan worden.
Het business model achter cryptolocker is eigenlijk veel angstaanjagender. Feitelijk is cryptolocker een ‘perfect product’. Het doet wat het moet doen en dan nog zeer goed ook. Daarnaast lijkt de klantenservice niet eens zo beroerd. Er worden steeds meer mogelijkheden aangeboden om uit de ellende te komen. Voor (veel) extra geld kun je zelfs de termijn van 72 uur overschrijven bijvoorbeeld.
Ik vrees dat cryptolocker de eerste incarnatie is van een nieuwe generatie kwaadaardige software. Cryptolocker verlegt de lat voor virusbouwers en kan dienen als referentiemodel voor andere virusontwikkelaars. Een goede bescherming tegen cryptolocker vergt werkelijk een beveiligingsmodel over verschillende lagen. Een echte uitdaging voor de security specialist.
Soms ben ik echt diep gelukkig met Linux . . . .
Hoezo Jan,
Ken jij dan nog niet een heel rijtje van andere besturingssystemen die ook geen last van dat soort onzin hebben ?
Uiteindelijk is het altijd de aap achter het toetsenbord die de oorzaak is van het probleem.
Tsja, wie maakt er tegenwoordig nog een backup?
Ewout, de NSA, Google, et cetera, haha
Nooit maar dan ook nooit betalen. Zodra ze je geld hebben gaan ze naar de volgende. En naar je bestanden kan je fluiten.
@Pascal: De aap achter het toetsenbord kan uiteindelijk met een simpele browser van alles installeren.
Want dat is lekker ‘simpel’.. Lekker ‘simpel’ voor de hackers inderdaad ja 🙂
Ook is het de vraag of je alles zo simpel moet willen maken, dat een aap het uitvoeren kan. De normale gebruiker zal binnen no-time ook op het niveau van die aap zitten.
Wat ik eigenlijk wil zeggen is dat we het spek behoorlijk op de kat gebonden hebben wat betreft cybersecurity risico’s.
Technicus,
Ik had van jou precies zo’n antwoord verwacht. En inderdaad zo is het ook.
De situatie is helaas zo dat de meeste problemen ontstaan door het gebruik van een enkel maar veelvuldig ‘besturingssysteem’.
Gebruikers zonder specialistische kennis wel dat soort systemen zelf moeten beheren.
Niet erg handig, als zij geen enkel idee hebben wat het installeren van allerlei spul tot gevolg kan hebben.
Maar vooral, dat we heel graag over security filosoferen maar absoluut niet bereid zijn zinvolle (draconische) maatregelen te nemen.
Hier zouden dezelfde regels op toegepast moeten worden als bij ontvoering: niet betalen, hoe erg dit ook is voor de individu, opsporen van de misdadigers en hen voorzichtig uitschakelen.
Het gaat hier dus om pure chantage. Leuk bedacht, dat ‘perfecte business model’, maar dat is natuurlijk niet van toepassing op dit soort praktijken. Reken maar dat je betaalt als een deel van je bedrijfsgegevens onbereikbaar wordt. Ik vermoed dat de tegenmaatregelen richting makers (wanneer deze ooit bekend worden)wel eens op fysieke basis zouden kunnen worden beslecht, de gemoederen zullen immers hoog oplopen. Back-up naar WORM-media zoals dvd en Blu-ray blijven vooralsnog een (beperkte) oplossing.
Beste Anthony,
M.i. is een tijdige verdediging de beste aanval… Als we er vanuit gaan dat het niet zozeer een vraag is óf iemand voor de bijl gaat, maar enkel wánneer, waar en hóe, dan kan je bekijken hoe je het probleem omzeilt. Werk dus met een scenario waar het kwaad al is geschied. Dan is dus de vraag wat je al ruim van tevoren had kúnnen doen en vervolgens nog moet doen om weer online te geraken, dus heb je back-ups, hoe vaak worden die gemaakt, welke is ‘clean’, etc.? en hoe zit het met jouw device, kan/moet je dat opnieuw inrichten? Dat zal allemaal niet gemakkelijk zijn, maar het doordenken van de ‘worst case’en daarop anticiperen met een draaiboek lijkt me dan toch echt de beste methode en tja, als je die moeite niet kan opbrengen…