Zondag 16/06/2019

Ransomware

SamSam, de ransomware die WannaCry in het niets doet verdwijnen

Beeld EPA

Wie ransomware zegt, denkt al snel aan WannaCry, de aanval die op een paar dagen tijd meer dan 230.000 computers over de hele wereld infecteerde. Die aanval verdwijnt in het niets als je ze vergelijkt met ransomware SamSam, die ook in België slachtoffers maakte. Dat blijkt uit een uitgebreid rapport van securitybedrijf Sophos.

Minstens 200.000 computers in 150 landen werden vorig jaar gegijzeld door de ransomware WannaCry. Ransomware is gijzelingssoftware die bestanden op computers versleutelt. Om de versleuteling op te heffen wordt er losgeld gevraagd, meestal in de vorm van cryptomunten. Hoewel er heel veel media-aandacht naar de aanval ging, viel de buit mee: maximaal 50.000 euro. Er werd zelfs even gedacht dat WannaCry een uit de hand gelopen reclamestunt was voor een hackersabonnement.

Veel minder bekend, maar des te efficiënter is de ransomware SamSam. Dat blijkt uit een rapport van het Britse securitybedrijf Sophos, dat deze week de resultaten van een jarenlang onderzoek naar de software publiceerde. In de afgelopen 2,5 jaar hebben de criminelen achter SamSam ongeveer 5 miljoen euro buit gemaakt. Dat is ongeveer 30.000 euro per week.

Gericht kiezen

Los van het hoge bedrag, is volgens Sophos vooral de gesofisticeerde manier waarop de hackers te werk gaan opvallend.

Waar bekende aanvallen zoals WannaCry en NotPetya zich automatisch verspreiden via traditionele spamberichten of geïnfecteerde websites, rekenen de aanvallers van SamSam op hun eigen hackerskwaliteiten. Ze kiezen zelf heel gericht hun slachtoffers uit. SamSam richtte tot nu toe het meeste schade aan in de Verenigde Staten (74%), gevolgd door het Verenigd Koninkrijk (8%). Opvallend is dat België op een derde plaats prijkt met 6 procent van de aanvallen. Om wie het gaat is niet duidelijk.

Veel aanvallen beginnen bij een lek in een remote desktop applicatie, die worden door IT-diensten van bedrijven en overheden gebruikt om de computer van iemand over te nemen. De hackers scannen vervolgens het hele netwerk en installeren 's nachts ransomware op de belangrijkste computers. Doordat alles manueel gebeurt, kunnen hackers beveiligingsmuren in verschillende pogingen proberen omzeilen.

Men ging er tot nu toe van uit dat SamSam zich vooral richtte op organisaties in de gezondheidszorg, het onderwijs en de overheid. Zo berichtte de technologiewebsite Wired dat de Amerikaanse stad Atlanta meer dan 2 miljoen euro spendeerde om het chantagebedrag van 45.000 euro niet te moeten betalen.

Volgens het onderzoek gaan de aanvallen van SamSam veel breder dan overheden. Grote en middelgrote bedrijven stonden in voor vijftig procent van de inkomsten. Het probleem is dat zij de aanvallen niet melden aan de bevoegde autoriteiten. De nieuwe Europese privacywetgeving (GDPR), die in mei in werking trad, verplicht organisaties nochtans om dat te doen.

Full-time job

Wie er achter de aanvallen zit, is niet duidelijk. De FBI riep in 2016 al de hulp in van securitybedrijven om de identiteit van de aanvallers te achterhalen. Experts gaan ervan uit dat het om een kleine, goed georganiseerde groep hackers gaat. "We geloven niet dat de moedertaal van de criminelen Engels is", zegt Peter Mackenzie van Sophos aan Wired. Daarvoor staan er te veel spelfouten in de code en in de bestanden die slachtoffers uitleggen hoe ze het geld moeten overmaken.

De daders lijken nog enig berouw te tonen tijdens hun diefstal. Zo werd de naam bestanden als HOW-TO-DECRYPT-YOUR-FILES.html veranderd naar
 SORRY-FOR-FILES.html. 

Mackenzie wijst er tot slot op dat de criminelen professioneel te werk gaan. "Ze scheppen niet op over hun werk op Twitter en ze lijken niet te communiceren met andere groepen, waardoor het moeilijk is om ze te identificeren. Het ziet ernaar uit dat SamSam hun fulltimejob is."

Tot slot wijst het onderzoek erop dat de werkmethode van de criminelen constant evolueert. Ze worden steeds beter om zichzelf te verstoppen. "We kunnen er alleen van uit gaan dat hun ransomware nog efficiënter zal worden."

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
© 2019 MEDIALAAN nv - alle rechten voorbehouden