Visie: Het gijzelen van data: lucratieve business!
Tot voor kort draaide cybercriminaliteit meestal om diefstal van persoonsgegevens, intellectueel eigendom en concurrentiegevoelige data. Zeer waardevol, maar voor de cybercrimineel komt er toch wel wat voor kijken om die te bemachtigen. De crimineel moet niet alleen ongemerkt binnen weten te dringen in de systemen van zijn doelwit, maar er vervolgens ook voor zorgen dat de buit – eveneens ongemerkt – wordt weggesluisd. En dan moet die buit nog te gelde worden gemaakt. Maar cybercriminelen hebben een veel eenvoudiger manier ontdekt om aan geld te komen: het gijzelen van data.
Volgens het Team High Tech Crime (THTC) van de politie is ransomware de snelst groeiende vorm van cybercrime. En onlangs heeft de Nederlandse politie in samenwerking met security-bedrijven twee mannen gearresteerd die verdacht worden van het verspreiden van ransomware in meer dan 20 landen. Het is een klassieke misdaad in eigentijdse vorm: digitale afpersing. Het hulpmiddel: ransomware. Deze malware versleutelt data en vraagt een losgeld voor het weer vrijgeven. Het grote voordeel: er hoeft helemaal niets weggesluisd te worden. Nu is dit niet nieuw, maar de laatste tijd is het aantal aanvallen met ransomware enorm toegenomen, zoals ook de Quarterly Threats Reports May 2015 en August 2015 van Intel Security uitwijzen.
Criminele innovatie
De toename heeft een paar oorzaken. Om te beginnen zijn ook cybercriminelen innovatief. Zij bedienen zich van zeer geavanceerde aanvalsmethoden, waarmee zij detectie kunnen voorkomen. Eenmaal binnen kan de ransomware direct zijn werk doen en de data versleutelen. Hoe meer hoe beter, als de organisatie maar stil komt te liggen. Dat zorgt voor de hefboom: betaal om grote schade te voorkomen.
Fast food-ketens als voorbeeld
Maar de innovatie beperkt zich niet tot aanvalsmethoden en slimme (sluwe) software. Ook het criminele bedrijfsmodel kent vernieuwing. Net zoals fast food-ketens, kapsalons en belastingadviseurs bestaan er nu ‘ketens’ van cybercriminelen die als franchisemodel tegen betaling van royalties de beschikking krijgen over geavanceerde malware. Ze hoeven zelf niets te ontwikkelen of te verzinnen maar kunnen direct met de afpersingsformule aan de slag. Ook een vorm van ‘georganiseerde’ misdaad en bijzonder lucratief.
Virtuele munten
De laatste reden voor de explosieve toename van ransomware is dat het losgeld nu veel gemakkelijker anoniem in ontvangt kan worden genomen. Zakken met ongemarkeerde bankbiljetten op een afgesproken plek of traceerbare rekeningnummers, dat hoeft allemaal niet meer. De virtuele Bitcoin-munt – ook wel toepasselijk met cryptocurrency aangeduid - is ervoor in de plaats gekomen. Voor Bitcoin-transacties is niet of nauwelijks te achterhalen wat de identiteit van de ontvanger is. Ideaal voor het ontvangen van losgeld dus.
Sterke hefboom
Cybercriminelen hebben met deze ransomware een zeer sterke hefboom in handen – en dus een grote financiële incentive om zich al dan niet binnen een franchiseformule op digitale afpersing te richten. En dat ongeacht de sector of aard van de organisatie, want het gaat hier niet om de waarde van de data voor anderen, maar om de waarde van de data voor de desbetreffende organisatie. Het gaat om de schade die een organisatie oploopt als data ontoegankelijk worden. Het kan een organisatie zelfs compleet stilleggen.
Risico’s breder trekken!
Organisaties moeten hun risicoafwegingen nu echt breder trekken. Wie denkt over (voor anderen) weinig waardevolle data te beschikken en daardoor geen doelwit te zijn, kan maar beter naar de bedrijfscontinuïteit kijken en bepalen wat de schade is als de organisatie wordt lamgelegd doordat de data niet meer toegankelijk zijn. En wat te doen als er gechanteerd wordt? Betalen, of anders blijft uw data versleuteld! Dan kun je er maar beter zeker van zijn dat er geen ransomware kan toeslaan op de bedrijfssystemen. De digitale afpersingsgolf vereist dan ook een andere dynamiek van de beveiliging, die niet alleen moet beschermen tegen binnendringers, maar ook inzicht moet geven in wat er precies op het netwerk en binnen de systemen gebeurt.
Wim van Campen is Vice President Noord- en Oost-Europa, Intel Security
