image

Politie vindt decryptiesleutel 5800 ransomware-slachtoffers

dinsdag 23 augustus 2016, 20:15 door Redactie, 4 reacties

De politie heeft een server op het Tor-netwerk offline gehaald die criminelen achter de WildFire-ransomware gebruikten en zo de decryptiesleutels van 5800 slachtoffers bemachtigd, waarvan zo'n 3.000 Nederlanders en 2100 Belgen. Dat is vanavond bekendgemaakt.

In samenwerking met beveiligingsbedrijven Intel Security en Kaspersky Lab is er nu op de website NoMoreRansom.org een decryptietool ter beschikking gesteld. Met deze tool kunnen slachtoffers kosteloos hun bestanden terugkrijgen. De WildFire-ransomware werd in juli voor het eerst opgemerkt. De ransomware werd via e-mail verspreid en richtte zich vooral op Nederlandstalige internetgebruikers. De e-mail deed zich voor als een bericht van een transportbedrijf en liet ontvangers weten dat er een pakket niet kon worden afgeleverd. Via een link in de e-mail kon er een document worden gedownload om een nieuwe afspraak te maken. Het ging om een Word-document met een kwaadaardige macro.

Macro's staan vanwege veiligheidsredenen standaard in Microsoft Office uitgeschakeld. Het document stelde in zowel het Engels als Nederlands dat de inhoud op een oudere versie van Microsoft Word was gemaakt en de gebruiker macro's moest inschakelen om de inhoud weer te geven. In werkelijkheid werd er door de macro's WildFire-ransomware op de computer gedownload die bestanden voor losgeld versleutelde. De ransomware vroeg slachtoffers om zo'n 300 euro. In een maand tijd betaalden 236 slachtoffers het gevraagde losgeld in bitcoins, zo'n 4% van de slachtoffers. Het gaat om een bedrag van 135,9 bitcoin, wat met de huidige wisselkoers bijna 70.000 euro is.

Door het offline halen van de command & control-server kan de ransomware geen nieuwe slachtoffers maken. Computers van al wel geïnfecteerde gebruikers kunnen ook geen verbinding meer met de server maken en krijgen een boodschap te zien dat het domein door de Nederlandse politie in beslag is genomen en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden en hun bestanden te ontsleutelen zonder losgeld te betalen.

"De bemachtiging van WildFire-decryptiesleutels bewijst nogmaals dat cybercrime, en met name ransomware, succesvoller bestreden kan worden door nauw met andere partijen samen te werken. De Nederlands politie streeft ernaar om slachtoffers van ransomware te helpen door malware-gerelateerde zaken te onderzoeken, criminele infrastructuren plat te leggen en decryptiesleutels beschikbaar te stellen. Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware", zegt John Fokker, Digital Team Coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie.

Tor-server

De server die de criminelen gebruikten bevond zich op het Tor-netwerk en werd door Kaspersky Lab gevonden. De Russische virusbestrijder tipte vervolgens de politie. "We kunnen niet precies uitleggen hoe we de server vonden, anders kunnen we dit in de toekomst niet meer doen", zegt Jornt van der Wiel, beveiligingsonderzoeker bij Kaspersky Lab, in een interview met Security.NL. "We hebben in ieder geval geen beveiligingslek in Tor gevonden. Was dit wel het geval, dan hadden we de Tor-ontwikkelaars ingelicht zodat het verholpen kon worden. Het is dan ook waarschijnlijker dat het om configuratieproblemen ging." Nadat de server was ontdekt ging er een rapport richting de politie met informatie, zodat de politie zelf ook de server kon vinden. Hierna stapte de politie naar de officier van justitie waarna de server in beslag werd genomen en de aanwezige sleutels met de beveiligingsbedrijven werden gedeeld.

Volgens Van der Wiel waren de e-mails die de criminelen achter WildFire gebruikten in opvallend goed Nederlands opgesteld. “Het was duidelijk geen Google Translate”, aldus de onderzoeker. Wat ook opviel was dat in de e-mails de naam van het aangeschreven bedrijf of organisatie stond vermeld. Daardoor kwam het bericht veel authentieker over. Een andere eigenschap was dat de malware computers in Rusland, Oekraïne en Moldavië niet infecteerde.

NoMoreRansom

Slachtoffers van WildFire kunnen de decryptietool zoals gezegd via NoMoreRansom.org downloaden. Het project werd eind juli door de politie, Europol, Intel Security en Kaspersky Lab gelanceerd. Sinds de lancering zijn er voor verschillende nieuwe ransomware-varianten decryptietools verschenen. "Als er meer partijen meedoen en mensen meer informatie met de politie delen, dan kunnen ze meer servers in beslag nemen. En hoe meer servers we in beslag nemen, en hoe meer decryptietools worden gemaakt, des te kleiner wordt de kans dat mensen zullen betalen, omdat ze dan zullen hopen dat er mogelijk in de toekomst een decryptietool zal verschijnen", zegt Van der Wiel.

Op dit moment doen van de beveiligingsbedrijven alleen Intel Security en Kaspersky Lab aan het project mee. "Dat gaat binnenkort veranderen", laat Raj Samani, cto van Intel Security, aan Security.NL weten. Er zullen binnenkort namelijk twee nieuwe partners worden aangekondigd. "En we hebben van veel organisaties verzoeken gekregen die ook mee wilden doen. Samen staan we veel sterker." Volgens Samani is het belangrijk dat beveiligingsbedrijven en opsporingsdiensten op dit vlak samenwerken. "De cybercriminelen doen het tenslotte ook."

Image

Reacties (4)
23-08-2016, 22:23 door Anoniem
"We kunnen niet precies uitleggen hoe we de server vonden, anders kunnen we dit in de toekomst niet meer doen", zegt Jornt van der Wiel, beveiligingsonderzoeker bij Kaspersky Lab, in een interview met Security.NL. "We hebben in ieder geval geen beveiligingslek in Tor gevonden. Was dit wel het geval, dan hadden we de Tor-ontwikkelaars ingelicht zodat het verholpen kon worden.

Zie je wel dat het blackhats zijn bij Kaspersky! Ik heb het altijd al geweten!
24-08-2016, 08:40 door hw28
De titel "Politie vindt decryptiesleutel" doet het goede werk van politie en Kaspersky tekort.
Dit is het resultaat van puik opsporingswerk geweest waardoor de C&C servers in beslag zijn genomen waarop o.a. ook de decryptiesleutels stonden.

Er is veel kritiek op de opsporingsinstanties, en vaak ook terecht. Maar in dit geval verdienen ze alle credits.
24-08-2016, 10:27 door Anoniem
Door herby: De titel "Politie vindt decryptiesleutel" doet het goede werk van politie en Kaspersky tekort.
Dit is het resultaat van puik opsporingswerk geweest waardoor de C&C servers in beslag zijn genomen waarop o.a. ook de decryptiesleutels stonden.

Er is veel kritiek op de opsporingsinstanties, en vaak ook terecht. Maar in dit geval verdienen ze alle credits.

Kaspersky kennende zullen ze wel gewoon een stiekeme account op een forum/marketplace hebben.

2/10
24-08-2016, 11:22 door Anoniem
Mooi dat Europol en de Nederlandse Politie samen werken met KASPERSKY...
Dikke vinger naar de lokale partijen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.