No More Ransom, het internationale samenwerkingsverband van politie en it-beveiligingsbedrijven, heeft in de eerste vijf jaar van zijn bestaan 121 decryptie-tools gratis beschikbaar gesteld voor gebruikers. Deze software helpt in de strijd tegen honderdvijftig ransomware-families. Inmiddels zijn de tools zes miljoen keer gedownload. In 2016 is het project mede op initiatief van Kaspersky en McAfee gestart. Reden voor een gesprek met Jornt van der Wiel, security-onderzoeker bij Kaspersky, over wat er in dit eerste lustrum is bereikt.
Ontsleuteltools worden een steeds belangrijker wapen in de strijd tegen ransomware. Ze helpen slachtoffers van deze onuitroeibare vorm van cybercriminaliteit hun versleutelde bestanden terug te krijgen zonder de criminelen te betalen.
No More Ransom, het internationale samenwerkingsverband van politie en securitybedrijven, heeft de afgelopen vijf jaar 121 decryptie-tools gratis beschikbaar gesteld voor gebruikers. Deze software helpt in de strijd tegen 150 ransomware-families. Inmiddels zijn de tools 6 miljoen keer gedownload.
Volgens het initiatief wist het hiermee te voorkomen dat negenhonderd miljoen dollar (764 miljoen euro) in de zakken van cybercriminelen verdween. Meer dan 600.000 mensen kregen hun data terug zonder aan de afpersers tegemoet te komen.
‘Het initiatief tot No More Ransom ontstond uit een samenwerking van het team High Tech Crime van de Nederlandse politie en Kaspersky’, vertelt Jornt van der Wiel, it-beveiligingsonderzoeker bij Kaspersky. ‘Een Zweedse medewerker van Ikea had op zijn computer een infectie opgelopen. Door een server uit Nederland te hacken kwamen criminelen in het bezit van de encryptiesleutels. De Zweed had contact gezocht met de eigenaar van de server en zijn sleutel teruggekregen. Wij konden met de sleutels een decryptie-applicatie maken. De Nederlandse ransomware makers werden ontmaskerd. Ze werden veroordeeld tot een taakstraf. De politie gaf alle sleutels aan Kaspersky.’
Stormlopen
Dit succes smaakte naar meer. Behalve de Nederlandse politie, Kaspersky en McAfee trad Europol toe. Ook werd geprobeerd het initiatief breder te trekken door meer rechtshandhavers en it-beveiligers erbij te vragen. Maar volgens Van der Wiel werd vaak lauw gereageerd. ‘Andere partijen waren minder enthousiast of zeiden geen tijd te hebben.’
McAfee wilde de lancering uitstellen totdat er een echt grote affaire kwam die meer publiciteit zou opleveren. Dat gebeurde toen in Duitsland een server met 200.000 á 250.000 encryptiesleutels werd opgerold. Dat leverde een grote decryptie-applicatie met een hoop sleutels op. ‘Toen liep het echt storm op de site van No More Ransom,’ herinnert Van der Wiel zich.
Ook criminelen stortten zich op de site. Met ddos-aanval probeerden ze alles plat te gooien, maar de hosting bij AWS voorkwam dit. Daarnaast veranderden de ransomware-makers de bestandsnamen via gewijzigde extensies. No More Ransom trok zoveel aandacht dat private-equity-partijen het initiatief wilden kopen. Maar Kaspersky, McAfee en andere makers van decryptie-tools werken met gesloten beurzen. Ieder neemt zijn eigen verantwoordelijkheid. ‘Verkoop zou veel gedoe geven,’ aldus Van der Wiel. Toen No More Ransom bleek aan te slaan, wilden opeens heel veel securitybedrijven zich aansluiten. Het aantal partners ligt inmiddels boven de 170. De Federale Politie in België doet inmiddels ook mee, net als Cert.be, het Computer Emergency Response Team, de operationele dienst van het Centrum voor Cybersecurity België (CCB).
Opveren
Kaspersky droeg bij aan vijf decryptie-tools van het initiatief. Die hielpen bij het terughalen van gegevens die 32 ransomware-families hadden versleuteld.
Het aantal ransomware-aanvallen is sinds 2016 sterk toegenomen. ‘Met de opkomst van mining software voor bitcoins kwam er even een daling. Een aantal criminele groepen installeerde heimelijk software op computers van nietsvermoedende burgers en bedrijven. Die besmette computers werden onderdeel van een netwerk dat cryptomunten ging delven voor misdaadsyndicaten. Dat leverde criminelen langdurig een gestage stroom van inkomsten op. Bovendien maakte niemand zich druk om die mining. Maar toen deze business minder lucratief werd, veerde de ransomware weer op. Verder verschoven de aanvallen van consumenten naar bedrijven.’
Leveranciersketen
Criminelen voeren de laatste tijd steeds vaker aanvallen via de leveranciersketen uit. Een bedrijf laat zijn infrastructuur door een serviceprovider beheren. Die partij beheert het netwerk van afstand via een ‘systeem administrator tool’. Als die tool een kwetsbaarheid bevat zoals bij Kaseya VSA kunnen aanvallers veel vliegen in één klap slaan. Zonder dat de eindklant daar iets aan kan doen, weten de criminelen via de tool binnen te dringen bij de service providers om uiteindelijk bij hun klanten te belanden. Daar is weinig kruid tegen gewassen. Het begint bij de ‘remote tools’.
Volgens Van der Wiel is het voor managed service providers lastig te zien hoe veilig die software is. Ze moeten er maar op vertrouwen dat de softwarefabrikant zijn claims kan waarmaken. Alleen grote partijen zoals KPN, kunnen voor de aanschaf de veiligheid van deze tools testen. Een probleem is ook dat de externe software library lek kan zijn terwijl de software zelf goed is. Wat wel een goed teken is, is als een leverancier snel met nieuwe patches komt nadat een kwetsbaarheid aan het licht is gekomen.
Voor de eindklanten ligt alles nog moeilijker. Middelgrote en kleine bedrijven die werken met managed service providers, kunnen naar zijn mening vrijwel onmogelijk zien welke risico’s zij lopen. Dit geldt zeker voor de kleine bedrijven zonder eigen it-afdeling. De service provider zal altijd volhouden dat bij hem alles veilig is.
Geen soelaas
Bedrijven die na een aanval met ransomware niet meer bij hun bestanden kunnen komen, moeten hopen op het tijdig beschikbaar komen van een decryptie-tool. Als ze geluk hebben, werkt een van de decryptie-tools die No More Ransom op de website heeft staan. Anders moeten ze wachten totdat een securitybedrijf een tool heeft ontwikkeld. Tijd kan heel kostbaar zijn vooral wanneer de bevroren bestanden verdere verkopen belemmeren.
Aanvallers weten ook precies wanneer ze het beste kunnen toeslaan. Vlak voor Kerst is het erop of eronder voor een e-commerce bedrijf. Vaak vinden aanvallen tijdens het weekeinde of op feestdagen plaats wanneer it’ers vrij zijn. Probleem is dat je niet weet of en hoe snel een decryptie-tool beschikbaar is. Bovendien kost het tijd voordat de bestanden weer toegankelijk zijn en alles weer normaal draait.
Volgens Van der Wiel is een goede encryptiesleutel niet te kraken tenzij je de server in handen krijgt waarop de sleutels slaan. De sterkte van de encryptie verschilt per sleutel. ‘Als de implementatie helemaal klopt staan we machteloos. ‘Maar gelukkig maken criminelen soms foutjes. Daar kunnen we dan gebruik van maken.’
Volgens de veiligheidsexpert van Kaspersky Lab biedt meer rekenkracht geen soelaas. ‘Er bestaan meer cryptografische sleutels dan zandkorreltjes op aarde. Als je alle berekeningen moet uitvoeren ben je tweehonderd eeuwen verder. Quantum computers bieden geen redding. Je kunt daarmee een aantal gevallen oplossen, maar niet alle. Algoritmes hebben maar een beperkte werking. Het wordt een moeilijk verhaal als de aanvaller net weer een ander algoritme gebruikt.’