Home » De onbeminde killer-app van Bitcoin blijft ongehinderd groeien

De onbeminde killer-app van Bitcoin blijft ongehinderd groeien

by Patricia

Het Bundesamt für Informationssicherheit (BSI) publiceert een situatieverslag over IT-beveiliging in Duitsland. Ransomware komt er meer dan eens in voor. Tijd voor een update over de meest impopulaire killer-app van Bitcoin. Brengt de afpersende malware de legitimiteit van cryptocurrencies in gevaar?

Onlangs heeft het Bundesamt für Informationssicherheit (BSI) het Situation Report on IT Security in Germany 2021 gepubliceerd.

Het verslag schetst op 100 bladzijden de “bedreigingssituatie van de IT-beveiliging in Duitsland”, met de nadruk op “aanvallen op bedrijven, overheids- en openbare instellingen en particulieren”. Het woord “ransomware” komt 79 keer voor op deze 100 pagina’s. Dit wijst op het grote belang van deze “chantagesoftware” onder de bronnen van gevaar uit cyberspace.

Ransomware is echt geen nieuw fenomeen. “Malware die de toegang tot gegevens of systemen beperkt, bijvoorbeeld door middel van encryptie, zodat de aanvaller vervolgens losgeld kan afpersen” bestond al vóór Bitcoin. Maar pas sinds het rond 2013 gebruikelijk werd om Bitcoins te vragen voor betalingen, werd het “ransomware business model” HET succesverhaal van de internationale cybercriminaliteit – en dat ononderbroken gedurende ongeveer acht jaar.

Waarom Bitcoin? Waarom werd de cryptocurrency een herkenningspunt voor ransomware?

Bitcoins zijn niet anoniem. De digitale munten zijn zeer transparant. Net als een slak die zijn slijmspoor achterlaat, laat elke transactie een overduidelijk spoor na op de blockchain. Experts zoals de voormalige generaal van de CIA … zeggen daarom dat Bitcoin het slechtst denkbare betaalmiddel is voor criminelen.

Bitcoins zijn echter voor één ding heel goed: Om anoniem geld te ontvangen. Iedereen kan een adres aanmaken om geld te ontvangen. Daarvoor heb je geen ID nodig, geen bankrekening, geen telefoonnummer, zelfs geen emailadres. Bovendien zijn Bitcoins waarvan u de private sleutel hebt, niet te bevriezen, en inkomende transacties niet te censureren. Met deze eigenschappen stimuleerde Bitcoin ransomware – wat vervolgens een Bitcoin “killer app” werd waar de scene liever niet over praat.

Strikt genomen vormt ransomware een behoorlijke bedreiging voor Bitcoin. In de VS zijn er tendensen om grootschalige afpersing, bijvoorbeeld tegen een vooraanstaand advocatenkantoor, als cyberterrorisme te classificeren. Ransomware kan de reden – of het voorwendsel – worden waarom cryptocurrencies (nog) strenger gereguleerd en mogelijk ook verboden worden.

All the stops for mafia protection rackets

Het BSI-rapport laat zien hoe de situatie rond ransomware zich in Duitsland van juni 2020 tot mei 2021 verder heeft ontwikkeld. Het is uitstekend om een beeld te krijgen van deze opkomende “handel” – en de schade die hij aanricht.

Sommige trends springen er letterlijk uit. Zo wordt de sector bijvoorbeeld op de proef gesteld door een verandering in het denken onder slachtoffers. Steeds vaker zijn slachtoffers dankzij een back-up meer ontspannen over de aanval of volgen zij de aanbevelingen van de autoriteiten om geen beschermingsgeld te betalen.

De hackers reageren hierop met twee tactieken: Aan de ene kant versleutelen ze niet alleen de gegevens, maar stelen ze ook. Op die manier kunnen zij hun positie verbeteren met de dreiging van gegevenslekken. Daarnaast dreigen ze ook met DDoS-aanvallen om het slachtoffer het losgeld te laten betalen. Volgens het BSI bijvoorbeeld “zou een online postorderbedrijf door een ransomware-aanval gedwongen worden over te schakelen op een webaanwezigheid die minder bestand is tegen DDoS-aanvallen, dan zou zo’n DDoS-aanval het nog moeilijker maken om de ransomware-aanval het hoofd te bieden”.

Dus dit brengt ransomware dichter bij multidisciplinaire maffia-achtige bescherming rackets. Elk middel is goed als het druk opbouwt.

De ransomware als de finale van de jacht op groot wild

Een tweede trend in ransomware is een interne professionalisering. In andere verslagen is hier reeds over geschreven, zoals over de taakverdeling tussen softwareontwikkelaars, distributeurs en witwassers.

Het BSI voegt hieraan toe dat de aanvallen uit meerdere fasen bestaan. In plaats van malware als een sleepnet door de oceaan van IT-systemen te slepen, richten hackers zich steeds meer op “APT-spionageaanvallen”. Dit zijn ingewikkelde, complexe, professionele en gerichte – handgemaakte, zogezegd – aanvallen op overheidsinstanties en bedrijven. Zij richten zich op een doelwit, werken kwetsbaarheden uit, soms maandenlang, en buiten die dan uit met alle middelen die hun ter beschikking staan. Dergelijke aanvallen worden ervan verdacht te worden gefinancierd of bevorderd door de gebruikelijke schurkenstaten: China, Rusland, Iran en Noord-Korea.

In het geval van ransomware, bijvoorbeeld, is dit hoe het werkt: Ten eerste, de Emotet Trojan nestelt zich in Outlook. Daar analyseert het het e-mailverkeer van het slachtoffer om “bijzonder authentiek ogende social engineering-aanvallen op de contacten van het slachtoffer” uit te voeren. Emotet opent dan de download zodat de hackers de spionage-malware Trickbot kunnen installeren. Deze scant nu het hele systeem en, indien mogelijk, ook het netwerk. Pas in de laatste stap – en alleen als het de moeite waard is – uploaden de hackers de ransomware Ryuk. Dit versleutelt dan de gegevens.

De ransomware wordt zo het sluitstuk van een lang georkestreerde overname van computersystemen.

De hackers richten zich steeds meer op financieel sterke slachtoffers. De BSI noemt dit “jacht op groot wild”. Deze trend bestaat al een tijdje en manifesteert zich bij steeds bekendere en grotere slachtoffers, van Zweedse supermarkten tot Italiaanse energieleveranciers.

Elke week een nieuw publiek slachtoffer

De schade van ransomware is moeilijk in te schatten. Maar het wordt duidelijk dat ze enorm moeten zijn.

Volgens de voorzitter van het BSI, Arne Schönbohm, wordt de IT van ten minste één Duits stads- of districtsbestuur elke week lamgelegd door ransomware. Wanneer het misgaat in de Duitse administratie, kan dat steeds vaker te wijten zijn aan ransomware.

Het BSI maakt niet bekend hoeveel ransomware Duitse bedrijven en instellingen jaarlijks betalen. Als het deze informatie al weet. Maar het losgeld is slechts een deel van de schade die door ransomware wordt aangericht – en waarschijnlijk niet eens het grootste.

“Het duurt meestal gemiddeld 23 dagen vanaf de ontdekking van een infectie totdat de systemen zijn opgeschoond en weer volledig werken […] Deze onmiddellijke impact wordt meestal gevolgd door vervolgkosten voor het afhandelen van de aanval.”

Gemiddeld duurt het dus ruim drie weken voordat de systemen weer volledig intact zijn. In het geval van een onlinewinkel bijvoorbeeld kan dit zeer kostbaar zijn. Als er ook nog reputatieschade ontstaat door de publicatie van gegevens, “kan de schade van een ransomware-aanval het voortbestaan van een getroffen organisatie bedreigen”, aldus de BSI.

Maar niet alleen de verwerking van een aanval slokt middelen op – ook de preventie ervan. Het BSI beveelt uitgebreide maatregelen aan: Bedrijven moeten een back-up bijhouden, namelijk een back-up die volledig offline is en regelmatig wordt gecontroleerd op zijn reconstrueerbaarheid. Netwerkgegevensoverdrachten moeten ook nauwlettend worden gevolgd om gegevensdiefstal te voorkomen of in een vroeg stadium op te sporen. Kwetsbaarheden, zoals verbindingen met de buitenwereld, moeten tot een minimum worden beperkt, besturingssystemen en programma’s moeten regelmatig en tijdig worden bijgewerkt, en netwerken moeten intern worden gesegmenteerd. Werknemers moeten “uitvoerig en voortdurend” worden opgeleid, de toegang tot administratieve niveaus moet consequent worden beperkt.

Dergelijke maatregelen zijn zeker zinvol. Zij kunnen aanvallen niet volledig voorkomen, maar zij kunnen de kans erop wel veel kleiner maken. Maar ze zijn duur. Zij vergen een vrijwel constant onderhoud van de IT-systemen, vergen de tijd van alle werknemers en vertragen processen, bijvoorbeeld wanneer gegevensoverdrachten worden geblokkeerd. Ze gooien roet in het eten.

In dit licht bezien wordt ransomware niet alleen een lucratief bedrijfsmodel in cybercriminaliteit met een laag risico – maar ook een wereldwijde sabotage van de economie en de staat. Of zij daadwerkelijk al invloed hebben op de mondiale economische groei of het uitblijven daarvan, is echter nogal speculatief.

Een bedreiging voor de democratie?

De BSI maakt zich steeds meer zorgen dat ransomware en andere malware niet alleen bedrijven aanvallen, maar ook de openbare veiligheid bedreigen. De tekenen zijn er al:

“Vorig jaar deed zich een nieuwe bedreigingssituatie voor door incidenten waarbij cybercriminelen of overheidsactoren specifiek bedrijven en instanties uit de gezondheidssector aanvielen. Anders dan aan het begin van de pandemie heeft het BSI in de huidige verslagperiode gerichte IT-aanvallen in verband met COVID-19 op sleutelgebieden van de gezondheidssector waargenomen. Het gaat bijvoorbeeld om de aanval op het Europees Geneesmiddelenbureau (EMA), aanvallen op buitenlandse vaccinfabrikanten, een DDoS-aanval op het COVID-19-vaccinatieportaal van de Duitse deelstaat Thüringen en een ransomware-aanval op een Duitse fabrikant van COVID-19-antigeentests.”

Een prominent geval is ook een aanval op een universitair ziekenhuis in Noordrijn-Westfalen, dat door een ransomware-incident tijdelijk zonder systeem kwam te zitten en 13 dagen lang geen nieuwe patiënten op de intensive care kon opnemen. Het ziekenhuis in kwestie kan het ziekenhuis van Düsseldorf zijn geweest. Ook de luchthaven van Saarbrücken, waar de IT-systemen enige tijd plat lagen na een aanval bijna een jaar geleden, werd getroffen.

Het BSI speculeert dat ransomware ook een bedreiging voor de democratie zou kunnen vormen als het de electorale omgeving aanvalt. Een ransomware-aanval op het bestuur van een stad of graafschap kan bijvoorbeeld leiden tot vertragingen bij het houden of tellen van de verkiezingen als bijvoorbeeld de e-mailcommunicatie door de aanval onbeschikbaar is. Dit zou het vertrouwen in de verkiezingsprocessen kunnen schaden, onderdeel kunnen worden van een fraudeoperatie en het moeilijk of onmogelijk maken om elektronische stemsystemen in te voeren.

Related Posts

Leave a Comment