Waarom weten we zo weinig over de daders?

Afpersers die de data op je pc gijzelen, zijn meester in het wissen van hun sporen. Totdat ze zich een keer vergissen.

Illustratie Peter Lipton, iStock

Je zou hem de Hansje Brinker van de cyberwereld kunnen noemen. Terwijl de ransomware-worm WannaCry afgelopen weekend de wereld dreigde te overspoelen, stak Marcus Hutchins, een 22-jarige Britse veiligheidsexpert, zijn vinger in de dijk.

Hutchins onderzocht de kwaadaardige software waarover iedereen sprak en zag dat WannaCry tijdens de installatie verbinding zoekt met een niet-bestaande website. Zodra die verbinding er is, breekt de ransomware af en worden de bestanden op de besmette computer niet gegijzeld.

Hutchins aarzelde niet. Door voor een tientje het domein iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com te registeren, trok hij de stekker uit WannaCry en voorkwam daarmee een mogelijke ramp.

Zulke ontwerpfouten in ransomware zijn zeldzaam. Nog zeldzamer zijn de fouten waarmee de identiteit van de online afpersers achterhaald kan worden.

Cybercriminelen hebben veel opties om hun sporen te verbergen. Een belangrijk hulpmiddel is het TOR-netwerk (The Onion Router) dat de identiteit van computers begraaft in een grote berg versleuteld webverkeer. Zo blijft onduidelijk hoe de ransomware bestuurd wordt en waar de sleutels (om gegijzelde data weer te ontgrendelen) vandaan komen.

En het geldspoor dan? Bij ransomware rekent het slachtoffer rechtstreeks af bij de dader, via de digitale munteenheid Bitcoin. Bitcoin is anoniem maar houdt wel transacties bij. Om het geldspoor te verbergen wordt de bitcoin-stroom vermengd met andere geldstromen (‘bitcoin mixer’). Ook hiervoor wordt het TOR-netwerk gebruikt.

Dat klinkt wellicht ingewikkeld, toch is de drempel om afpersingssoftware rond te sturen erg laag. Alle basis-ingrediënten zijn beschikbaar als doe-het-zelfpakket; de bedenker van de software laat het afpersen aan anderen over, in ruil voor een percentage van de opbrengst.

Veel ransomware-bendes opereren vanuit Rusland en Oost-Europa maar over de bedenkers van WannaCry is nog weinig bekend. De besmetting was wereldwijd, zonder duidelijk patroon. Vaak zijn cybercriminelen geneigd hun eigen nest niet al te veel te bevuilen. Ook usual suspects als China en Rusland waren het slachtoffer van WannaCry.

Opsporing is complex omdat de daders bij voorkeur slachtoffers in het (verre) buitenland maken en servers gebruiken die in weer een ander land staan. Het vergt veel administratieve rompslomp om daar een vinger achter te krijgen.

In Nederland zijn ongeveer dertig mensen van het Team High Tech Crime bezig met ransomware. Opsporing van de daders heeft voor de politie niet de hoogste prioriteit. De politie wil allereerst het verdienmodel van de criminelen frustreren door encryptiesleutels vrij te geven.

Lees ook het interview met Patricia Zorko, directeur Cyber Security van de NCTV: ‘Het ergste lijkt voorbij met deze cyberaanval’

Ondanks de geringe pakkans lopen toch met enige regelmaat ransomwarebendes tegen de lamp. Ze struikelen meestal over hun eigen slordigheden. In 2015 werden twee Nederlandse jongens aangehouden die vermoedelijk achter ransomware Coinvault zaten. Elke keer was ingelogd via een niet te herleiden TOR-server, maar één keer vanaf een adsl-verbinding in Amersfoort.

Nog een beginnersfout: de Windows-gebruikersnamen waren in de Coinvault-code terug te vinden. Een van de verdachten stond zelfs keurig met voor- en achternaam vermeld.

Sjoemelsoftware

Nog even over reddingsactie van Marcus Hutchins. Waarom zouden hackers überhaupt een schakelaar inbouwen die hun software onklaar maakt? Hutchins’ theorie doet denken aan de sjoemelsoftware van Volkswagen.

WannaCry probeert erachter te komen wanneer het getest wordt. Veiligheidsonderzoekers testen malware in een afgesloten omgeving die elk webverzoek van de software een positief antwoord geeft – ook bij een niet-bestaande website.

Het zal niet lang duren voordat er een WannaCry-variant rondwaart die zich niet door een Hansje Brinker laat tegenhouden. Ook afpersers leren van hun fouten.