Voor een lange tijd, werden ze beschouwd als bijna onmogelijk te vangen: Hackers die hun slachtoffers geld afpersen via ransomware. De opsporingssuccessen van de politie tegen REvil tonen nu aan dat de strijd tegen ransomware niet zo hopeloos is als het lijkt.
Eigenlijk zijn “filialen” vrij duidelijk gedefinieerd in de net-economie. Affiliates”, soms ook “partners” genoemd, zijn publicisten die hun lezers of sitebezoekers via “affiliate links” naar de websites van de adverteerders leiden en dan een commissie ontvangen wanneer de lezers klanten worden.
Affiliates zijn gratis reclamepartners die geen geld verdienen met het uitzenden van advertenties alleen, maar uitsluitend via commissies. De winstgevendheid van affiliate programma’s varieert sterk. Sommige zijn uitstekende mogelijkheden, vooral voor grote websites, om geld te verdienen met hun werk; andere daarentegen leveren op zijn best maar een paar centen op.
Tot de meest lucratieve affiliate programma’s die momenteel te vinden zijn, behoren die van ransomware operators zoals REvil. Sinds enkele jaren nemen de auteurs van ransomware niet de moeite om de malware zelf op andere systemen te krijgen, maar vertrouwen zij op filialen om dit te doen.
Deze filialen krijgen de software van de hackers. Zij infiltreren in de systemen van het slachtoffer – soms zelf via gesofisticeerde hackingtechnologieën, soms via gewone spammails – en uploaden de ransomware. Als het slachtoffer dan betaalt, krijgt hij een deel van de opbrengst, meestal 70-80 procent. De auteurs van de ransomware, ondertussen, kunnen hun voeten omhoog leggen en kijken hoe het geld binnenrolt.
Onlangs is de Amerikaanse FBI achter deze filialen aangegaan. Rechercheurs kwamen op het spoor van een Russisch staatsburger, Aleksandr Sikerin, die in Sint-Petersburg verblijft.
FBI Seizes Cryptocurrency Worth $2.3 Million From REvil Ransomware Group Affiliate | #malware | #ransomware#earegun
US law enforcement seized 39.9 Bitcoins from an Exodus wallet, worth approximately $2.3 million (roughly Rs. 17.3 crore) from a Russian citizen suspected of … pic.twitter.com/yyjGMQ4Y85
— Estiuck Al Regun (@earegun) December 6, 2021
De FBI beschuldigt Sikerin van het verkrijgen van ongeautoriseerde toegang tot andere computers, het installeren van de REvil ransomware daar en vervolgens het witwassen van geld. Op basis van deze aanklacht namen ambtenaren een Exodus-portefeuille van Sikerin in beslag die 39,9 Bitcoins bevatte, of ongeveer 2,3 miljoen dollar.
Volgens de aanklacht is Sikerin medeverantwoordelijk voor ransomware-aanvallen die hebben geleid tot losgeldbetalingen van ongeveer 200 miljoen dollar. Gedeeltelijk kunnen deze losgeldbetalingen gelinkt worden aan Sikerin’s portemonnee, die nu onder FBI controle staat.
Hoe de FBI precies in het bezit is gekomen van “een Exodus portefeuille” is nog onduidelijk. Exodus is een portemonnee voor desktop computers en mobiele apparaten. Er is of wordt kritiek geuit omdat niet alle delen van de code open source zijn, maar het is vrij onwaarschijnlijk dat de portemonnee een achterdeurtje bevat dat zo uitgebreid is dat de Amerikaanse regering met een druk op de knop geld in beslag kan nemen. Waarschijnlijker is toegang door inbeslagname van apparaten of een hack.
Een internationale staking tegen REvil
De portefeuille kan ook deel hebben uitgemaakt van een bredere inbeslagname een maand geleden. Eerder in november had het Amerikaanse ministerie van Justitie een Oekraïner en een Rus ervan beschuldigd achter een van de ergste ransomware-aanvallen op Amerikanen te zitten.
Concreet ging het om de aanval op de softwareleverancier Kaseya in juli door de REvil ransomware. Omdat de software in talrijke systemen zit, ging de aanval de hele wereld rond. Duizenden bedrijven werden getroffen, waaronder, bijvoorbeeld, alle koops in Zweden.
Supply chain attacks continue to have a widespread impact and this is an example of how deep they can go.
800 supermarkets closed because of their POS provider’s MSP’s software provider experiencing a ransomware attack.
= A mouthful of supply chain risk. https://t.co/EdtrZF6Z0U
— Sandeep Kumar (@deepsand) July 3, 2021
De Oekraïner Yaroslav Vasinsky werd in oktober van dat jaar in Polen gearresteerd. Hij en zijn Russische collega Yevgeny Polynin worden ervan beschuldigd te hebben ingebroken in de computers van slachtoffers en de REvil ransomware te hebben geïnstalleerd. In tegenstelling tot Vasinskij, is Polynin nog steeds op vrije voeten.
In de loop van deze onderzoeken hebben de Amerikaanse autoriteiten Bitcoins en Monero ter waarde van meer dan zes miljoen dollar in beslag genomen, die teruggaan op losgeldbetalingen. Naast de FBI waren ook Europol en andere politiediensten betrokken.
Volgens Europol werden begin november in Roemenië nog twee verdachten gearresteerd voor de verspreiding van REvil ransomware, en ambtenaren in Zuid-Korea bevestigden dat zij drie verdachten hadden gearresteerd. In totaal achtervolgden rechercheurs 12 verdachten die verantwoordelijk zouden zijn voor ransomware-aanvallen in 71 landen.
Geen perfecte misdaad
Lange tijd werd ransomware beschouwd als een “perfect misdrijf” omdat het bijna onmogelijk leek om de daders op te sporen. Nu lijkt het tij langzaam te keren. Tenminste, de onderzoekssuccessen tegen REvil spreken voor zich.
Een reden hiervoor zou kunnen zijn dat de ransomware hackers te ver zijn gegaan. De hack van een beroemd advocatenkantoor was voor de Amerikaanse regering al reden genoeg om van “cyberterrorisme” te spreken; de voortdurende aanvallen op stadsbesturen, ziekenhuizen en universiteiten hebben waarschijnlijk het geduld van de autoriteiten uitgeput; de hack van de Koloniale Pijpleiding en van Kasey waren de druppel die de emmer deed overlopen.
Bitcoin en het Darknet dwingen wetshandhavers over de hele wereld om supranationaal samen te werken. We weten dit al van soms spectaculaire successen tegen darknet-marktplaatsen. Nu zet de politie de middelen en competenties die zij daarbij heeft opgebouwd, consequent in bij de bestrijding van ransomware.
Daarnaast lijkt ook een verandering van strategie veelbelovend. Kimberly Goody, directeur van het beveiligingsbedrijf Mandiant, verklaarde dat het veelbelovender zou kunnen zijn om op te treden tegen filialen dan tegen de kern van de ransomware-bende. Dit komt niet alleen omdat filialen dichter bij de plaats van het misdrijf staan – zij, niet de auteurs van de ransomware hacken de computers – maar ook omdat zij vaak minder voorzichtig zijn en “hun vaardigheden meer gevraagd zijn dan encryptiesoftware”. Sommige filialen werken ook voor meerdere bendes. Het is dus mogelijk dat het niet zozeer de softwareontwikkelaars zijn, maar de filialen die de knelpunten vormen van de ransomware-economie.
In feite lijkt het moeilijk om bij de makers van de software zelf te komen. De makers van REvil trokken zich in de zomer al terug nadat Colonial Pipeline was gehackt. Vermoedelijk realiseerden ze zich dat hiermee een grens was overschreden.
