Donderdag 17/06/2021

AchtergrondRansomware

De floppydisk met de allereerste ransomware ooit, hangt in een living in Zemst

De onschuldig uitziende introductie (l) gevolgd door de gijzelingsbrief (r) die erop volgde. Beeld RV
De onschuldig uitziende introductie (l) gevolgd door de gijzelingsbrief (r) die erop volgde.Beeld RV

Vandaag leggen ze er hele olieleidingen mee plat, maar het begon in België in 1989, op een onschuldig uitziende diskette bij de post. Het verhaal van de allereerste ransomware ooit, en hoe een jonge Belg het in twintig minuten ontmantelde. ‘Je kan me wel zien als ‘de Marc Van Ranst’ van de cybersecurity.’

De grootste oliepijplijn van de Verenigde Staten lag midden mei dagenlang stil door ransomware, oftewel gijzelsoftware. Hierbij worden de computersystemen platgelegd of versleuteld tot u ‘losgeld’ betaalt. De cyberaanval veroorzaakte brandstoftekorten in verschillende plaatsen van de VS en de hoogste prijsstijging sinds 2014.

Maar ook dichter bij huis blijven we al lang niet meer gespaard van gijzelsoftware. Sterker nog, volgens een internationaal rapport kregen Belgische ondernemingen in 2020 meer te maken met ransomware dan alle andere landen die in de studie aan bod komen.

Nochtans kunnen we de oorsprong van deze bijzonder winstgevende cyberaanval traceren naar een bijzonder onschuldig ogende floppydisk of diskette in 1989. U weet wel, de usb-sticks uit de jaren 80. Toen werden er 20.000 diskettes per post verdeeld onder de naam ‘AIDS Information’. En het was de toen 27-jarige Belg Eddy Willems die, na ‘gegijzeld’ te zijn’, in twintig minuten de ransomware wist te omzeilen en daar ook een oplossing voor aanreikte achteraf. Zijn verhaal deed hij 31 jaar geleden al bij VTM Nieuws, maar ook met het Amerikaanse CNN hing hij deze week aan de telefoon. Willems doet nu ook zijn verhaal aan deze krant.

De voorvader van de malware

Quellinstraat in Antwerpen, december 1989. Willems is aan de slag bij de Antwerpse vestiging van verzekeringsmaatschappij De Vaderlandsche. Als systeemanalist onderzoekt hij potentieel interessante programma’s voor hun klanten. Op een maandagochtend stapt zijn leidinggevende naar hem toe met een diskette. “Iets over ‘Aids Information’”, zegt de manager. De jonge analist steekt de floppy in zijn computer en krijgt een medische vragenlijst te zien. Met volgens hem “typerende vragen uit die tijd” zoals “heeft u betrekking gehad met mannen?”. Hij vult de lijst in en krijgt in ruil drie pagina’s aan informatie en statistieken over aids. “Legitieme informatie, maar weinig interessants voor de verzekeringsmaatschappij. Volgende week gooi ik het de vuilbak in”, zegt de jonge Willems tegen zijn manager.

Dinsdag. Willems start zijn computer en kan werken zoals gewoonlijk, maar ‘er klopt iets niet’. met zijn bestanden. Hij kan zijn vinger er niet op leggen, maar besluit het te laten rusten.

Woensdag. Deze keer krijgt Willems niet zijn gewoonlijke startscherm te zien, maar wel een zwarte introductiepagina (verschillende slachtoffers spreken ook over een blauwe achtergrond, KL) van de software ‘AIDS Information’. Hij gaat verder door de enterknop in te drukken, de enige actie die het programma toestaat, en het formele zwart maakt plaats voor een dreigend rood. De ‘gijzelbrief’. Hierin staan uitgebreide instructies om 189 dollar (vandaag iets meer dan 150 euro, KL) in een enveloppe op te sturen naar een postbus in Panama. De systeemanalist zit vast met het rode scherm, en merkt bovendien dat al zijn gegevens versleuteld zijn.

Om het te vereenvoudigen: de computerfolders worden verborgen door in de namen bepaalde letters overeen te laten komen met bepaalde cijfers. Willems gebruikt een ‘rebootdiskette’ om de computer te herstarten en handmatig enkele instellingen terug te wijzigen naar hun oude staat. Onbewust heeft Willems de allereerste gijzelsoftware ooit ontmanteld, in twintig minuten.

Op dit moment denkt de 27-jarige Willems nog steeds dat het simpelweg over een foutje in het programma gaat. Om even te schetsen: in 1989 staan computervirussen nog in hun kinderschoenen. Volgens Willems waren er op dat moment welgeteld vijf virussen in omgang.

Eddy Willems reist (in betere tijden) de wereld rond als 'veiligheidsevangelist'. Hij geeft adviezen, lezingen, trainingen etc. omtrent cyberveiligheid. Beeld rv
Eddy Willems reist (in betere tijden) de wereld rond als 'veiligheidsevangelist'. Hij geeft adviezen, lezingen, trainingen etc. omtrent cyberveiligheid.Beeld rv

Vrijdag. Willems ploft neer in de zetel en ziet op VTM een nieuwsreportage voorbijkomen over mensen die wereldwijd zijn opgelicht door ‘AIDS Information’, vanaf dan ‘AIDS Trojan’ gedoopt. Het licht bij Willems brandt nu. “Er is nog geen enkele oplossing voor gevonden”, klinkt het bij VTM. Het licht gaat nog wat feller branden. Hij brengt de nieuwsredactie van de commerciële zender op de hoogte van zijn oplossing.

Zaterdag. De systeemanalist geeft het eerste tv-interview in zijn leven, waarin hij bijna stapsgewijs uitlegt hoe iemand ontsnapt van het rode scherm. Verschillende media, ook uit het buitenland, komen terecht bij de 27-jarige Vlaming. In de dagen erop krijgt Willems geen malafide diskettes meer in de bus, maar wel bloemen en chocolade. “Zelfs een pakketje uit Japan!”, zegt hij hierover. Het voorval dient als heuse opstap voor Willems, die vandaag werkt als security evangelist bij G DATA, een Duits security bedrijf. “Je kan me wel zien als ‘de Marc Van Ranst’ van de cybersecurity.” (lacht)

Bekijk hier de passage van Willems in het VTM Nieuws in 1989:

Waarom de naam Eddy Willems minder snel terug te vinden is op Wikipediapagina’s over ransomware heeft volgens de nu 58-jarige Zemstenaar te maken met een zekere Jim Bates. De Brit komt in 1989 ongeveer tegelijkertijd tot dezelfde conclusie, namelijk dat de bestandsnamen zijn gewijzigd, en niet de bestanden zelf, en publiceert dit – ongeveer een maand na de VTM-reportage – in veiligheidsmagazine Virus Bulletin. Hij staat later ook mee aan de wieg van het AIDSOUT-programma waarmee de slachtoffers vrij simpel kunnen ontsnappen aan de ‘AIDS Trojan’. Al is het onduidelijk hoeveel slachtoffers uiteindelijk het losgeld betaald hebben.

Condoom op de neus

Maar wie was er nu verantwoordelijk voor die 20.000 Trojaanse paarden? Geen kwaadaardig meesterbrein of een gefrustreerde tiener in een kelder zo blijkt, maar wel een van Harvard afgestudeerd bioloog genaamd Joseph L. Popp. De Amerikaan was een part-timeconsulent voor de Wereldgezondheidsorganisatie (WHO) en deed onderzoek naar hiv en aids.

Enkele weken nadat Popp de malware loslaat op de wereld trekt hij de aandacht van de autoriteiten in het Nederlandse Schiphol omdat hij zich ‘abnormaal gedraagt’. Zo zou hij bijvoorbeeld “DR. POPP IS VERGIFTIGD” gegraveerd hebben in de bagage van een medepassagier. Ook de postbus in Panama leidt uiteindelijk naar de Harvard-alumnus. Even later wordt hij in de VS gearresteerd door de FBI en uitgeleverd aan het Verenigd Koninkrijk, waar hij terechtstaat voor onder meer chantage.

Verschillende media, waaronder The Guardian, berichtten dat Popp zich steeds vreemder begint te gedragen naarmate het proces vordert. De bioloog zou bijvoorbeeld in de rechtbank verschijnen met condooms op de neus en krulspelden in zijn baard “om straling af te weren”. Zijn advocaten beargumenteren dat de bioloog door een psychose ging en nog steeds gaat . In november 1991, bijna twee jaar nadat onze landgenoot zijn floppydisk ontving, wordt Popp ontoerekeningsvatbaar verklaard en keert hij terug naar de VS. Hij overlijdt in 2007.

Wraak tegen de WHO?

Tot op vandaag is Popps motief een mysterie. Een van zijn advocaten verklaarde destijds dat de bioloog de opbrengsten van zijn ransomware wilde schenken aan aidsonderzoek. Ironisch, want onder zijn slachtoffers bleken er opvallend veel WHO-medewerkers en hulporganisaties te zitten, waarmee hij eigenlijk een grote klap uitdeelde aan aidsonderzoek door net die systemen plat te leggen. Andere bronnen hebben het over een wraakactie nadat hij een functie bij de WHO misliep.

Wat zijn motieven ook mochten zijn. De erfenis die hij achterliet is meer voelbaar dan ooit, erkent ook een van zijn allereerste slachtoffers.

Willems: “De systematiek van Popp, wordt vandaag nog steeds gebruikt in malware en phishingmails (valse mails met als doel persoonlijke informatie zoals bankgegevens te ontfutselen, KL). Want wat heb ik toen fout gedaan? Enerzijds heb ik de gebruikersovereenkomst niet gelezen. Daar stond in piepkleine letters dat ik de software kon gebruiken voor de som van 189 dollar. Om zichzelf af te schermen voor rechtszaken, al is zoiets vandaag niets meer waard natuurlijk. Anderzijds, en daar ligt het hoofdprobleem vandaag, heb ik zonder nadenken op de verkeerde link gedrukt.” Of in het geval van Willems zoveel jaren terug: de verkeerde floppy ingestoken.

“Daarom is naast ransomware ook phishing zo populair bij cybercriminelen de laatste jaren”, zegt de beveiligingsdeskundige. “We klikken nog steeds te vaak en te graag op de verkeerde links. Onze curiositeit en naïviteit doet ons drukken op die link, net zoals ik in 1989 die diskette in mijn computer stak zonder na te denken.” Het is net dat gedrag, die “social engineering”, dat cybercriminelen heel slim weten te manipuleren, zegt de veiligheidsevangelist.

Volgens Willems zijn vandaag 80 procent van de online veiligheidsproblemen aan die ‘social engineering’ te wijten. “De overige 20 procent kan je nog steken op een oude software of een slechte update”, zegt de Zemstenaar. Maar die 80 procent die zonder nadenken op een internetmijn stappen maakt dat malware een extreem winstgevende economie blijft, weet Willems. “En wat in 1989 nog in cash met de post werd opgestuurd, wordt vandaag betaald in cryptomunten. Niet te traceren.”

Voor Eddy Willems was het in 1989 alleszins de eerste en de laatste keer dat hij ondoordacht ‘klikte’. De bewuste ‘AIDS Information’-floppydisk is 32 jaar later een fysieke herinnering aan die ene fout én een van de bouwstenen van malware in de 21ste eeuw. De voorvader van de malware, zeg maar, die momenteel ophangt in een living in Zemst.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234