“Dit besturingssysteem is geblokkeerd vanwege veiligheidsredenen.” Steeds meer internetgebruikers worden geconfronteerd met dit soort berichten. Ransomware, een bepaald soort malware, is hiervan de oorzaak. Het is een scam die gebruikt maakt van malware om de computers van de slachtoffers uit te schakelen totdat er losgeld betaald wordt om de toegang terug te krijgen.
Cybercriminelen maken vaak gebruik van trucs zoals het versturen van valse berichten die zogenaamd afkomstig zijn van de politie, om de slachtoffers te overtuigen om te betalen. De berichten bevatten vaak waarschuwingen als ‘je hebt illegale materialen bekeken en moet daarom een boete betalen’.
Norton by Symantec meldt (klik hier voor het Whitepaper) in de afgelopen 2 jaar een toename van het aantal georganiseerde cyberbendes die gebruik maken van ransomware.
Deze frauduleuze activiteiten, ontworpen om computers over te nemen en de eigenaren te chanteren, hebben zich behoorlijk ontwikkeld door de tijd heen:
– Na de eerste verschijnselen in 2009 in Rusland en Oost-Europa, heeft ransomware zich verspreid naar West-Europa, de Verenigde Staten en vele andere landen. Dit heeft een toename in het aantal slachtoffers en grotere frustraties voor consumenten veroorzaakt.
– Georganiseerde cyberbendes gebruiken vaak intelligente malware die, zodra deze op de computer zit, identificeert in welk land de gebruiker woont (dit gebeurt via het IP-adres) en hierna het bericht laat zien in de lokale taal met een logo van de lokale overheid.
– De ransomware blokkeert het toestel volledig en is ontworpen zodat het lijkt alsof de enige manier om de functionaliteit te herstellen is, door de boete te betalen. Dit misleidt de meeste consumenten en zorgt ervoor dat het losgeld betaald wordt.
– Nieuwe en verschillende varianten van malware worden continue ontwikkeld waarbij de code steeds iets varieert. Dit helpt malware langs beveiligingssoftware te komen. Eén van de ernstigste varianten is 500.000 keer gedetecteerd in 18 dagen.
€26.000 op één dag
Experts van Symantec hebben geanalyseerd hoe criminelen aan deze praktijken geld verdienen. Gedurende een maand bekeken de expert één specifieke aanval in meer detail. In deze maand heeft 2,9 procent van de besmette gebruikers naar aanleiding van deze aanval daadwerkelijk uitbetaald. Dit lijkt misschien een klein percentage, maar het levert wel veel geld op voor de criminelen:
– Gedurende deze maand werden 68.000 computers geïnfecteerd: dit is gelijk aan 5.700 computers dagelijks.
– Ransomware vraagt meestal een bedrag tussen $60 (circa €45) en $200 (circa €155) om de computer te ontgrendelen.
– Op een gegeven dag betaalde 2,9% van de besmette gebruikers, wat gelijk staat aan 168 gebruikers, het gevraagde bedrag. Hierdoor kunnen criminelen per dag $33.600 (circa €26.000) verdienen, wat betekent dat de criminelen per maand een bedrag van $394.000 (circa €305.000) kunnen verdienen.
Vanwege het aantal verschillende malware-varianten en criminele bendes die gebruik maken van ransomware, wordt geschat dat ongeveer 5 miljoen dollar (circa 3.9 miljoen euro) per jaar afgeperst wordt.
Aanvullende feiten:
– Ransomware wordt vooral aangetroffen op verdachte websites, en komt op een computer terecht via ‘drive-by downloads’, stealth-downloads of wanneer een gebruiker klikt op een geïnfecteerde advertentie. Distributie via e-mail is ook mogelijk.
– Ransomware heeft in 2012 veel slachtoffers gemaakt in Frankrijk, Duitsland, de VS en het Verenigd Koninkrijk.
– De berichten veranderen naar verloop van tijd. Cybercriminelen maken gebruik van verschillende insteken om gebruikers erin te luizen. Eerdere varianten maakten gebruik van een gesloten scherm met pornografische afbeeldingen om gebruikers te dwingen de boete te betalen. Tegenwoordig worden logo’s van overheidsinstanties gebruikt om gebruikers te lokken.
– Ransomware is tegenwoordig meer verfijnd met ingebouwde technieken om berichten in de juiste taal en met de juiste instantielogo’s te versturen.
– Zelfs als gebruikers het losgeld betalen herstellen de cybercriminelen vaak niet de functionaliteit. De enige betrouwbare manier om de functionaliteit te herstellen is het verwijderen van de malware.
