De eerste overwinning van het No More Ransom Platform is een feit. Kaspersky Lab wees de politie en het Openbaar Ministerie op de locatie van de WildFire command and control-server, waarna ze de server offline haalden. Hierbij werden bijna 5800 decryptiesleutels bemachtigd, waarvan drieduizend voor Nederlandse en 2100 voor Belgische infecties.
In totaal betaalden 236 slachtoffers en verdienden de cybercriminelen in een maand 135.9 Bitcoins (bijna zeventigduizend euro). Met behulp van de speciaal door Kaspersky Lab en Intel Security ontwikkelde decryptietools kunnen slachtoffers hun geïnfecteerde bestanden nu ontgrendelen zonder losgeld te betalen. Naar verwachting zullen er binnenkort nog meer sleutels aan de tools worden toegevoegd.
WildFire
De ransomware WildFire lijkt vooralsnog vooral op Nederland en België te zijn gericht, aangezien de afgelopen weken zeker 50 procent van de infecties in Nederland is geregistreerd en 36 procent in België. WildFire’s infection vector vertoont overeenkomsten met Zyklon en GNLocker: vanaf gehackte servers wordt namens een transportbedrijf een spam e-email gestuurd met de mededeling dat een levering niet is nagekomen en het verzoek om, middels een te downloaden Word-bestand, een nieuwe afspraak te maken. Zodra de ontvanger het Word-bestand opent en de macro-functionaliteit is ingeschakeld, wordt de malware gedownload en geïnstalleerd, waarna WildFire de bestanden op de computer versleutelt. Het gevraagde losgeld bedraagt zo’n driehonderd euro per slachtoffer, maar als dit niet binnen acht dagen betaald is, wordt dit bedrag verdrievoudigd.
Offline
De Nederlandse politie en het OM hebben er inmiddels voor gezorgd dat de WildFire-server offline is, waardoor geen nieuwe slachtoffers meer kunnen worden gemaakt. Daarna zijn computers die besmet zijn met WildFire niet langer in staat om verbinding te maken met de servers van de criminelen. In plaats daarvan wordt het slachtoffer gewaarschuwd met de boodschap dat het kwaadaardige domein in beslag is genomen door de Nederlandse politie en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden en hun bestanden te ontgrendelen zonder losgeld te betalen.
Samenwerking
John Fokker, digital team coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie: ‘De bemachtiging van WildFire decryptiesleutels bewijst nogmaals dat cybercrime, en met name ransomware, succesvoller bestreden kan worden door nauw met andere partijen samen te werken. De Nederlands politie streeft ernaar om slachtoffers van ransomware te helpen door malwaregerelateerde zaken te onderzoeken, criminele infrastructuren plat te leggen en decryptiesleutels beschikbaar te stellen. Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware.’
Jorn van der Wiel van Kaspersky Lab sluit zich hierbij aan. ‘Het is van groot belang dat er meer partners uit zo veel mogelijk verschillende disciplines aansluiten om deze vorm van ransomware nóg voortvarender tegen te gaan. We maken goede vorderingen, maar dit is slechts het begin en met een hechte samenwerking kunnen we zoveel meer bereiken.’
Ik vind het echt ongelooflijk: “Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware.”???
Wanneer je je ramen en deuren openzet – en daar ook nog eens melding van maakt – en er wordt ingebroken, wat zeggen de politie en de verzekering toch ook niet, dat je de beste strategie tegen dit soort inbraken is om een kopie van je spulletjes aan te schaffen?
Iedereen is het er toch over eens, dat je ALLES zou moeten doen om dit soort zaken te voorkomen?
Ransomware kan ALLEEN zonder waarschuwing geïnstalleerd worden op Windows-systemen.
Je zou dan toch verwachten, dat daar eindelijk eens in alle openheid over gesproken wordt??
Dat door ICT-leveranciers gekeken wordt naar alternatieven en dat justitie eens een praatje gaat maken met de firma, die Windows op de markt brengt?
We hebben onlangs op deze site een hele discussie gevoerd over het thema beveiliging. Ik heb daarbij toen gewezen op dit issue. (https://www.computable.nl/artikel/nieuws/security/5810840/250449/bedrijfsleven-ontbeert-beveiligingskennis.html#comments)
Beveiligingsexperts weten dit ook allang, maar waarom zou je ergens iets aan doen, zolang je eraan kan verdienen?
Hoe is het mogelijk, dat ook de redactie zelf opnieuw geen enkele kanttekening maakt? Is dat misschien uit angst voor het mislopen van Microsoft advertenties?
@ Willem Massier. Zeroday blijft zeer lastig maar er bestaat wel degelijk al een endpoint protection platform waarmee ransomware na besmetting verwijderd kan worden. Op dit moment alleen beschikbaar voor de zakelijke markt. Maar dat gaat wellicht in de toekomst veranderen.
Zie ook: http://www.cyberinsecurity.nl
@Ben en @Jean Mijn ‘ongeloof’ heeft betrekking op het feit, dat niemand het blijkbaar aandurft om Microsoft te noemen als de leverancier van Windows, het enige werkstation, waarop het sinds jaar en dag mogelijk is om ransomsoftware zonder enige waarschuwing te installeren.
Het is prachtig, dat er een ‘endpoint protection platform waarmee ransomware na besmetting verwijderd kan worden’ en het is nog veel mooier, dat ‘antivirusbedrijf AVG in zijn particuliere portfolio (de winkelpakketten) van de betalende versies een nieuwe module, genaamd anti-ransomware gaat aanbieden …, waarmee … enkel toegestane programma’s toe (wordt gestaan) om bestanden aan te passen’.
Ik vind, dat dit laatste de verantwoordelijkheid zou hebben moeten zijn van Microsoft zelf.
Daarnaast en tevens hiermee verband houdend vrees ik, dat
1. lang niet alle ICT-leveranciers AVG gaan aanbieden, omdat ze nu eenmaal leverancier zijn van een concurrerend product
2. leken moeilijk in staat zullen zijn om adequaat met deze add-on om te gaan
3. het nog maar de vraag is of AVG in staat zal zijn alle Windows updates steeds bij te houden
Ik heb de moed allang opgegeven, dat Microsoft zelf haar verantwoordelijkheid hierin neemt. Waarschijnlijk omdat het inziet, dat het een onmogelijke opgaaf is. En dat doet meteen het ergste vrezen voor third party producten.
Ik adviseer bedrijven en particulieren inmiddels om Windows te beschouwen als een gepasseerd station en na te gaan denken over de mogelijkheid om volledig in de Cloud te gaan werken met leveranciers, die via ISO 27001 garantie geven aan hun gebruikers op het gebied van veiligheid, beschikbaarheid en integriteit.
Als dat namelijk kan, is een simpel Chromebook voldoende als werkstation. Een computer die altijd werkt en … waarop de gebruiker zelf helemaal niets KAN installeren.
Niet leuk voor de nerds natuurlijk, maar voor wie graag efficiënt wil kunnen werken ….
Werken met windows standaard account ipv windows Administrator account zal al veel problemen oplossen, in windows standaard account kan geen programma geinstalleerd worden zonder administrator rechten. Dit zal al veel problemen en virussen voorkomen, maar blijkbaar werken weinig mensen op deze manier.
Nog geen winkel ontdekt die de klant vertelt dat er nog een Windows standaard account bestaat. Laat staan een guest account. Ze geven de computer mee en zoek het maar uit. Degene die er geen verstand van heeft, loopt de meeste kans het haasje te worden. Komt ook op de meeste computercursussen (waar meestal Windows onderwezen wordt) NIET aan bod. De meeste gebruikers interesseert dat ook niet; het systeem moet het gewoon doen. Dus aan de slag ….. onwetend als Admin.
@Johan
Voor kantoorautomatisering gaat jouw redenatie wel op, maar ga je kijken naar software ontwikkeling / R&D / productontwikkeling etc. dan hebben de gebruikers doorgaans zelf Admin rechten nodig om hun werk goed te kunnen doen.
o.a. hierdoor kunnen er dus kwetsbare groepen ontstaan.
Maar ook admin’s kunnen getroffen worden door ransomware, waarmee het ook weer verder verspreid kan worden onder de kantoorgebruikers zonder admin rechten.
Ofwel, het wereldje zit denk ik iets complexer in elkaar.
Ransomeware komt meestal binnen per E-Mail.
Ook in Windows kun je uitschakelen dat een aanhang uitgevoerd wordt of kan worden.
In internet vindt je hoe dat in de diverse mail-clients gaat.
@Willem, het is (inmiddels) te kort door de bocht om te stellen dat het probleem bij Windows ligt. Windows 7, 8 en 10 hebben wel degelijk een goede beveiliging in huis maar helaas wordt veel software geleverd die niet zonder admin-rechten funktioneert.
@Jan
Ransomware komt al lang niet meer binnen via e-mail, het aanklikken van een link op een website is de nieuwe toegang. Voordat je weer eens uit de bocht vliegt aangaande oplossingen die in de jaren 80 al geadresseerd waren lijkt het me handig als je serieus kijkt naar realiteit van de ‘elevated rights’ binnen de gebruikers community met SSO op fileshares. Ransomware is gewoon een virus met een verdienmodel dat gebaseerd is op de naïviteit van de gebruiker.
P.S.
Kan redactie enige duidelijkheid geven over het feit dat slachtoffers ‘redirected’ worden naar de tool die voor decryptie zorgt en hoe de politie aan de sleutel komt om dit mogelijk te maken?
@Jan
Waarom is het volgens jou ‘ (inmiddels) te kort door de bocht om te stellen dat het probleem bij Windows ligt’? Alleen gebruikers van Windows (ook de door jou genoemde versies) kunnen hierdoor toch zonder waarschuwing worden getroffen? Dan zou je toch van de leverancier moeten kunnen EISEN, dat hij daar iets aan doet?
Stel je eens voor, dat een auto standaard geleverd zou worden door een garage met de rem los of half los gekoppeld? Helaas gaat de vergelijking niet goed op, want daar merk je het waarschijnlijk al snel, waardoor je meteen kan ingrijpen.
@willem het is en blijft de verantwoording van de eindgebruiker een bestand te downloaden (en te openen). Je kan van een fabrikant eisen wat je wil, voldoen aan alle voorwaarden maar dan nog……