20 Februari 2014

Net als gewone criminelen willen ook cybercriminelen gewoon zo veel mogelijk geld verdienen in een zo kort mogelijke tijd, waarbij de pakkans minimaal is. Om de cashflow van deze criminelen verder te vergroten is een nieuw huwelijk gesloten, namelijk die van de gijzelsoftware en de Bitcoin.

Wat is er aan de hand ?

Criminelen verspreiden kwaadaardige software, bijvoorbeeld in een verkorte link in een Twitter berichtje [1]. Het slachtoffer wordt vervolgens in “no time” besmet met zogenaamde gijzelsoftware [2] die via een commando-server [3] ergens op het Internet precies doet wat op dat moment wordt opgedragen door de crimineel.

Dit gebeurt door uw computer volledig te versleutelen en u krijgt alleen de sleutel terug indien u een opdracht uitvoert die de crimineel op de commando-server heeft ingesteld. Indien u niet gehoorzaamt aan de crimineel bent u voor altijd uw kostbare gegevens kwijt. Indien u wel gehoorzaamt is het nog maar de vraag of u hiermee in een veilig vaarwater terecht komt [4].

Bovendien draagt u door een betaling [5] te doen direct bij aan de “business case” van de crimineel en de algehele promotie van dit soort criminaliteit.

En raad eens waarin u mag betalen?

U mag betalen in Bitcoins omdat deze Internet-valuta niet wordt gereguleerd door een centrale monetaire autoriteit die kan toezien op het gebruik hiervan. Dit maakt de pakkans voor de crimineel een stuk kleiner dan met gewoon geld. Iets waar criminelen van smullen! Bovendien lijkt een goedgevulde virtuele “bankrekening” met Bitcoins een goede investering. De waarde van Bitcoins neemt toe omdat de vraag toeneemt doordat slachtoffers verplicht zijn om het “losgeld” in Bitcoins te betalen.

Tegelijkertijd wordt het aantal reeds gegenereerde Bitcoins schaarser indien de ransomware de Bitcoins van het slachtoffer zelf tijdelijk of permanent ontoegankelijk maakt. Vanwege het virale effect van de verspreide Bitcoins is het zelfs mogelijk dat criminele organisaties gaan speculeren met Bitcoins op basis van “voorkennis”, want de geavanceerde malware maakt namelijk gebruik van centrale commando-servers die wereldwijd opereren.

Zelf als u de criminelen betaalt in Bitcoins en u het geluk heeft dat u daarmee de sleutel tot uw gegevens terugkrijgt dan gaat de crimineel gezellig door om uw computer zonder dat u dit weet te misbruiken voor het vinden van nieuwe Bitcoins [6].

Waar blijft de opsporing?

Opsporing is lastig omdat we hier te maken hebben met een mondiaal probleem. “Follow the money” bij Bitcoins is wel te doen, maar de bezitter van Bitcoins is gehuld in een deken van anonimiteit. De extra inkomsten voor de aanvallers leidt er toe dat de aanvallers ook extra worden aangetrokken tot deze manier van geld verdienen. De verworven middelen kunnen door criminelen worden aangewend voor nog betere aanvals- en verdedigingstechnieken [7].

Wat kan ik doen om mijzelf te beschermen?

Een oude wijsheid. Voorkomen is beter dan genezen. Doe in dit geval voor de zekerheid maar beide, want ook hier bestaat geen 100% veiligheid [8]. Verlaag dus de kans op besmetting: gebruik een actuele en betrouwbare virusscanner. Installeer geen software van onbekende Internet sites. Vertoon in het hele gezin veilig surfgedrag [9], klik niet in het wilde weg Internet linkjes aan. Anders wordt het Internet echt voor u een “Wild Wide Web”.

Let ook op de beveiliging van het thuisnetwerk en “vreemd” gedrag van uw computer, zoals het spontaan opnieuw opstarten van uw computer of het trager worden van uw computer na verloop van tijd. Verlaag de schade na een eventuele besmetting: betrouwbare back-ups en snel kunnen opschonen van de besmette computer, zodat u simpelweg niet kunt worden gedwongen om Bitcoins te betalen.

Tot slot

Dit artikel wekt wellicht de indruk dat Bitcoins alleen maar te gebruiken zijn als een criminele valuta. Niets is minder waar. Bitcoin wordt ook door anderen met interesse gevolgd en gebruikt voor volledig legitieme betalingen[10].

De anonimiteit van Bitcoin, wat gunstig is voor criminelen, wordt vandaag de dag al meer in twijfel getrokken. Alle transacties zijn openbaar. Iedereen kan alle transacties volgen. Aan steeds meer "wisselkantoren" worden eisen gesteld die in de financiële wereld al gangbaar zijn. Zoals het vaststellen van de identiteit van gebruikers. Het verzilveren van crimineel geld is daarom lastiger aan het worden. Een goed voorbeeld hiervan is op internet te vinden m.b.t. Sheep Marketplace [11]. Een van de oprichters is er met veel Bitcoins vandoor gegaan. Deze zijn via allerlei tussenrekeningen weggesluisd en vervolgens weer verzameld op één rekening. Al deze transacties zijn gevolgd en uitgeplozen. Op de uiteindelijke rekening staat het geld nu geparkeerd. Het lijkt erop dat het nu niet te verzilveren is, omdat dan de identiteit van de eigenaar wordt prijsgegeven.

 

Referenties:

  1. http://about-threats.trendmicro.com
  2. https://www.security.nl/posting/364415/Agressieve+ransomware+steeds+vaker+ingezet 
  3. http://www.scmagazine.com/more-than-12k-cryptolocker-victims-in-less-than-a-week/article/321514/ 
  4. http://www.neowin.net/news/ransomware-email-attachment-demands-bitcoin-payments
  5. http://www.nu.nl/tech/3649202/opkomst-bitcoin-leidt-golf-van-ransomware.html
  6. http://blog.malwarebytes.org/intelligence/2013/09/ransomware-puts-your-system-to-work-mining-bitcoins/ 
  7. http://www.coindesk.com/tens-millions-uk-may-targeted-cryptolocker-bitcoin-ransomware-gang/
  8. http://www.capgemini.com/blog/cto-blog/2013/11/technovision-2014-bon-risk-appetit 
  9. http://www.surfsafe.nl 
  10. http://nl.wikipedia.org/wiki/Bitcoin 
  11. http://en.wikipedia.org/wiki/Sheep_Marketplace