Steeds meer slachtoffers bevrijd van gijzelingssoftware

Cybercriminaliteit

Zo’n 75.000 mensen die ransomware ontvingen, kregen het afgelopen half jaar hun bestanden terug dankzij No More Ransom.

Foto iStock

Verstard zat Rina van de Vlekkert (59) uit Meppel afgelopen zomer naar haar computer te kijken. Ze had de bijlage geopend van een mail met wat een nepfactuur bleek, zogenaamd van KPN. Haar bestanden werden een voor een onleesbaar. Eerst Wordbestanden, daarna Excelbestanden, foto’s en uiteindelijk kon ze nergens meer bij. Ze trok haar usb-stick uit de computer, maar te laat. Ook het Wordbestand van haar eerste boek was inmiddels versleuteld. Van de Vlekkert bleek slachtoffer van ransomware.

Afgelopen weekeinde maakte de politie bij het televisieprogramma Kassa bekend dat het samenwerkingsinitiatief No More Ransom afgelopen half jaar wereldwijd ongeveer 75.000 mensen heeft kunnen bevrijden van deze gijzelingssoftware. Het project is een initiatief van de Nationale Politie en werd afgelopen zomer gelanceerd met de Europese politieorganisatie Europol, Kaspersky Lab en Intel Security. Inmiddels zijn 25 landen en een tiental ICT-beveiligingsbedrijven aangesloten. Op de site staan gratis programma’s waarmee slachtoffers hun bestanden kunnen terugkrijgen, een soort sleutels.

Met No More Ransom probeert de politie het verdienmodel van de criminelen te ontwrichten, zegt Petra Haandrikman, leider van het Team High Tech Crime van de politie. Als slachtoffers zo weer gratis bij hun bestanden kunnen, zullen steeds minder mensen geneigd zijn om de criminelen te betalen. „Als we mogen dromen en elk land meedoet met het project, is ransomware binnen een paar jaar niet meer interessant voor criminelen.”

Ransomware is al lucratief als slechts een klein deel van de slachtoffers betaalt om hun bestanden terug te krijgen. Volgens het Centraal Planbureau varieert de omzet van criminelen bij ransomware tussen de 70.000 en 1,5 miljoen euro, terwijl de kosten laag zijn.

Explosieve groei

Haandrikman spreekt van een „explosieve groei” van ransomware. Wereldwijd staat Nederland vierde op de lijst van meest getroffen landen, zo stelde beveiligingsbedrijf Symantec in een onderzoek. Dat komt mede doordat Nederlanders relatief vaak bereid zijn om te betalen om hun bestanden terug te krijgen, schreef het Rathenau Instituut vorige week.

Precieze cijfers zijn lastig te achterhalen, omdat bij cyberdelicten naar schatting slechts 8 procent van de mensen aangifte doet bij de politie.

De politie heeft grote moeite met het opsporen van de criminelen die ransomware verspreiden, omdat zij internationaal opereren en zich online kunnen verschuilen met diensten die anonimiteit bieden, zoals het Tor-netwerk en VPN-verbindingen.

De zogeheten decryptieprogramma’s die op nomoreransom.org staan, maakt de Nederlandse politie niet zelf, zegt beveiligingsexpert Jornt van der Wiel. Dat doen ICT-bedrijven zoals Kaspersky Lab, waar hij werkt. Om zo’n programma te kunnen maken, is het essentieel dat de politie de computer die de crimineel in beheer heeft toch fysiek in handen krijgt. Daar staat de sleutel die de criminelen gebruiken op. Van der Wiel schrijft dan een programma waarmee de computer gratis wordt ontgrendeld.

Gegijzeld in hotel

Van ransomware zijn geavanceerdere vormen in opmars. De variant Spora, die binnenkomt als malafide e-mailbijlage, analyseert met een algoritme of het gaat om een privécomputer of een professioneel gebruikt apparaat. Zo wordt de hoogte van het losgeld bepaald. Via een chat kunnen slachtoffers vragen stellen aan ondersteuningspersoneel, bijvoorbeeld over hoe ze precies moeten betalen.

Ongerichte besmettingen worden bovendien steeds vaker vervangen door op de persoon of organisatie gerichte aanvallen. In de Oostenrijkse Alpen werd een hotel afgelopen winter drie keer getroffen door ransomware, waarbij de elektrische deursloten werden gegijzeld en gasten niet meer in hun kamer konden. Uit de VS is een voorbeeld bekend waarbij ransomware MRI-apparatuur in een ziekenhuis gijzelde.

Lees ook: Bijna tweederde van de gemeenten meldde vorig jaar een datalek van persoonlijke gegevens van burgers

De snelle opmars van ransomware is mede te verklaren door de toename van ‘crime as a service’, aldus het Rathenau Instituut. Op het ‘dark web’ – een verborgen deel van het internet – zijn licenties voor enkele tientallen dollars te koop en vangen de ontwikkelaars vaak eenderde van de winst. „We zien dat ‘gewone’ criminelen online gaan opereren,” zegt Haandrikman. „Het ICT-kennisniveau hoeft daarvoor niet hoogte zijn.”

Rina van de Vlekkert betaalde niet en houdt de site No More Ransom in de gaten voor een programma voor haar ransomwarevariant. Haar boek kon ze, grotendeels, terugkrijgen: gelukkig had ze het al naar een vriendin gemaild.

    • Liza van Lonkhuyzen