KPN Security deelt realtime data over ransomware-besmettingen met de Nederlandse politie en buitenlandse opsporingsdiensten zoals de FBI, zo laat het bedrijf zelf weten. Het gaat onder andere om data over de REvil-ransomware, waar het bedrijf in 2019 voor het eerst onderzoek naar deed.
"We kwamen erachter dat REvil bij een bepaalde configuratie statistieken verzendt naar een lange lijst met domeinnamen”, vertelt beveiligingsonderzoeker Jordi Scharloo. “Waarschijnlijk gebruikt de REvil-bende deze functie om het overzicht te behouden en voor de afdracht van commissies. In de lijst stonden allerlei websites, waarvan een deel niet eens geregistreerd was."
KPN Security registreerde deze domeinen waarop mondjesmaat informatie vanaf besmette systemen binnendruppelde. Deze informatie was alleen versleuteld. De ip-adressen waarvandaan de informatie afkomstig was maakte het echter mogelijk om REvil-infecties vroegtijdig te signaleren. Zo konden bedrijven ingrijpen voordat de ransomware geactiveerd werd.
In eerste instantie waarschuwde KPN Security zelf een aantal Nederlandse bedrijven die met de ransomware waren besmet. “Maar dat was tijdrovend en voelde een beetje als dweilen met de kraan open. Bovendien ontvingen we ook veel informatie over buitenlandse organisaties die KPN Security niet kennen. Daarom besloten we de samenwerking te zoeken met het Team High Tech Crime van de Nederlandse politie. Via hen kwamen we in contact met Europol en buitenlandse opsporingsdiensten zoals de FBI", merkt Scharloo op.
Inmiddels is er sprake van een structurele samenwerking waarbij er realtime data over REvil-besmettingen met opsporingsdiensten wordt gedeeld. "Op deze manier krijgen de diensten een beeld van de omvang van het probleem. Daarnaast kunnen ze bedrijven in een vroegtijdig stadium waarschuwen en zo de impact van een aanval beperken", stelt Scharloo. De onderzoeker is positief over de samenwerking met politie. "We horen regelmatig dat een buitenlandse opsporingsdienst met behulp van onze data een grootschalige besmetting heeft weten te voorkomen."
Deze posting is gelocked. Reageren is niet meer mogelijk.