Nieuwe tool met 160.000+ sleutels helpt slachtoffers hun gegevens terug te halen

Sinds vandaag bundelen Europol, de Nederlandse Nationale politie, Kaspersky Lab en Intel Security hun krachten en introduceren ze een initiatief onder de naam No More Ransom. Dit is een nieuwe stap in de samenwerking tussen wetshandhavingsdiensten en de particuliere sector om gezamenlijk ransomware te bestrijden. No More Ransom is een nieuwe online portal, gericht op het informeren van het publiek over de gevaren van ransomware. Bovendien helpt het slachtoffers om hun gegevens te herstellen zonder losgeld te betalen aan de cybercriminelen.

Ransomware is een vorm van malware die de computer van de slachtoffers vergrendelt of hun data versleutelt. Hierna wordt losgeld geëist om de controle over het getroffen apparaat of de bestanden terug te krijgen. Ransomware is een grote bedreiging voor de rechtshandhaving in de EU: bijna tweederde van de EU-lidstaten doet onderzoek naar deze vorm van malware-aanvallen. Hoewel vaak gericht tegen apparaten van individuele gebruikers, worden ook bedrijven en zelfs overheidsnetwerken getroffen. Het aantal slachtoffers groeit in een alarmerend tempo: volgens onderzoek van Kaspersky Lab steeg het aantal door cryptoware aangevallen gebruikers met 550%, van 131.000 in 2014-2015 tot 718.000 in 2015-2016. In Nederland ging dit zelfs van 814 naar 9.967, een stijging van maar liefst 1.224%.

NoMoreRansom.org

Het doel van de portal www.nomoreransom.org is het bieden van een nuttige online bron voor slachtoffers van ransomware. Gebruikers vinden er informatie over ransomware, hoe het werkt en, belangrijker nog, hoe zich ertegen te beschermen. Bewustwording is essentieel, aangezien er geen decryptie-tools zijn voor alle momenteel bestaande vormen van malware. Als u besmet raakt, is de kans groot dat de gegevens voor eeuwig verloren zijn gegaan. Bewust gebruik maken van internet door een aantal eenvoudige cyberbeveiligingstips te volgen, kan infectie helpen voorkomen.

Het project levert gebruikers tools die hen kunnen helpen hun gegevens te herstellen, zodra deze zijn vergrendeld door criminelen. In de beginfase bevat de portal vier decryptie-tools voor verschillende soorten malware, waarvan de nieuwste in juni 2016 werd ontwikkeld voor de Shade-variant.

Shade is een ransomware-type Trojan die eind 2014 opdook. De malware wordt verspreid via kwaadaardige websites en geïnfecteerde e-mailbijlagen. Na te zijn binnengedrongen in het systeem van de gebruiker, versleutelt Shade op het apparaat opgeslagen bestanden en maakt een .txt bestand met de losgeldbrief en instructies van de cybercriminelen over wat de gebruiker moet doen om de persoonlijke bestanden terug te krijgen. Shade gebruikt een krachtig decryptie-algoritme voor elk versleuteld bestand, met twee willekeurig gegenereerde 256-bit AES-sleutels: één wordt gebruikt om de inhoud van het bestand te versleutelen, terwijl de andere wordt gebruikt om de bestandsnaam te versleutelen.

Sinds 2014 hebben Kaspersky Lab en Intel Security meer dan 27.000 pogingen om gebruikers aan te vallen met de Shade Trojan verhinderd. Het merendeel van de infecties deed zich voor in Rusland, Oekraïne, Duitsland, Oostenrijk en Kazachstan. Ook werd Shade-activiteit geregistreerd in Frankrijk, Tsjechië, Italië en de Verenigde Staten.

Door nauw samen te werken en informatie te delen tussen verschillende partijen, werd de Shade command & control server in beslag genomen die door de criminelen werd gebruikt om decryptiesleutels op te slaan, waarna de sleutels werden gedeeld met Kaspersky Lab en Intel Security. Dit hielp hen een speciale tool te ontwikkelen die slachtoffers kunnen downloaden via de No More Ransom portal, zodat ze hun gegevens kunnen herstellen zonder de criminelen te betalen. De tool bevat meer dan 160.000 sleutels.

Publiek-private samenwerking

Het project is opgezet als een niet-commercieel initiatief, gericht op het onder één paraplu samenbrengen van openbare en particuliere instellingen. Als gevolg van de veranderende aard van ransomware, omdat cybercriminelen op regelmatige basis nieuwe varianten ontwikkelen, staat de portal open voor samenwerking met nieuwe partners.

Wilbert Paulissen, hoofd Landelijke Recherche van de Nationale Politie: “Als Nederlandse politie kunnen wij cybercriminaliteit en in het bijzonder ransomware niet alleen bestrijden. Dit is een gezamenlijke verantwoordelijkheid van de politie, justitie, Europol en ICT-bedrijven, en vereist een gezamenlijke inspanning. Daarom ben ik zeer tevreden over de samenwerking van de politie met Intel Security en Kaspersky Lab. Samen zullen we al het mogelijke doen om de fraudepraktijken van criminelen te verstoren en bestanden terug te laten keren naar hun rechtmatige eigenaren, zonder dat deze er veel geld voor hoeven te betalen.”

“Het grootste probleem met cryptoware op dit moment is dat wanneer waardevolle gegevens van gebruikers vergrendeld zijn, zij er gemakkelijk toe overgaan criminelen te betalen om het terug te krijgen. Dat geeft een stimulans aan de ondergrondse economie, met als gevolg een toename van het aantal nieuwe spelers en het aantal aanvallen. Die situatie kunnen we alleen veranderen als we onze inspanningen bij het bestrijden van ransomware coördineren. Het ontstaan van decryptie-tools is slechts de eerste stap op deze weg. We verwachten dit project te kunnen uitbreiden, en binnenkort zullen veel meer bedrijven en wetshandhavingsinstanties uit andere landen en regio’s gezamenlijk ransomware bestrijden”, zegt Jornt van der Wiel, Security Researcher bij het Global Research and Analysis Team van Kaspersky Lab.

“Dit initiatief toont de waarde van publiek-private samenwerking bij het ondernemen van serieuze actie in de bestrijding van cybercriminaliteit”, aldus Raj Samani, EMEA CTO voor Intel Security. “Deze samenwerking gaat verder dan het uitwisselen van inlichtingen, consumentenvoorlichting en uitschakelen van criminelen, omdat we daadwerkelijk helpen de schade te herstellen die is toegebracht aan het slachtoffer. Door de toegang tot hun systemen te herstellen, laten we gebruikers zien dat ze actie kunnen ondernemen en het belonen van de criminelen via een losgeldbetaling kunnen voorkomen.”

Wil van Gemert, Europol Deputy Director Operations, tot slot: “Ransomware is sinds een aantal jaar uitgegroeid tot een belangrijk punt van zorg voor de rechtshandhaving in de EU. Het is een probleem dat zowel burgers als bedrijven, en zowel computers als mobiele apparaten treft. Criminelen ontwikkelen steeds geavanceerdere technieken om de hoogste impact te veroorzaken op de gegevens van hun slachtoffers. Initiatieven zoals het No More Ransom project tonen aan dat het koppelen van expertise en het bundelen van krachten de beste manier is om cybercriminaliteit succesvol te bestrijden. We verwachten veel mensen te kunnen helpen om de controle over hun bestanden te herstellen, terwijl we daarnaast de bewustwording bevorderen en de bevolking voorlichten over manieren om hun apparaten vrij te houden van malware.”

Altijd melden

Aangifte doen van ransomware bij wetshandhavingsdiensten is zeer belangrijk om de autoriteiten een duidelijker algemeen beeld te helpen krijgen van het probleem, en daarmee meer capaciteit om de dreiging tegen te gaan. De No More Ransom portale biedt slachtoffers de mogelijkheid om een misdaad te melden, via een rechtstreekse verbinding met Europols overzicht van nationale aangiftemechanismen.

Als u op een of andere manier slachtoffer bent geworden van ransomware, raden wij u aan om het losgeld niet te betalen. Door te betalen steunt u het verdienmodel van de cybercriminelen. Bovendien is er geen garantie dat u na betaling weer toegang krijgt tot de versleutelde gegevens.