Hackers vallen elkaar aan met ransomware
Hackers die een Distributed Denial of Service-tool (DDoS) wilden downloaden, kregen een onaangename verrassing te slikken. Een onbekende hacker had het tooltje namelijk gebruikt als vermomming voor vergevorderde, nagenoeg onkraakbare ransomware. Wie getroffen werd, moest losgeld betalen ter waarde van 1.000 euro. Dat hackers elkaar plots aanvallen, is op zich al opvallend. Kurt Berghs, Product Manager bij Vasco Data Security is er nog meer aan de hand.
Star Trek
Midden maart krijgt Avast-onderzoeker Jakub Kroustek van enkele hackers te horen dat een anonieme hacker zijn collega’s op het oog heeft. De aanvaller hecht zijn Kirk-ransomware vast aan een DDoS-tool die vrij te downloaden is. Wie gebruik maakt van de tool, zal in eerste instantie gewoon zijn aanval kunnen plannen, maar nog voor die in werking kan treden, zal de downloader plots merken dat al zijn bestanden werden versleuteld.
Om de bestanden weer te bevrijden, moeten de slachtoffers betalen met Monero, een variant op Bitcoin. “Bitcoin is de laatste tijd veel makkelijker te traceren dan voordien,” weet Berghs. “De hacker die de aanval heeft opgezet gebruikt daarom Monero: terwijl Bitcoin centraal wordt beheerd, wordt je geld bij Monero als het ware verspreid over verschillende servers, waardoor je transacties veel moeilijker te volgen zijn.” Het is niet verwonderlijk dat de hacker zichzelf zo verstopt, meent Berghs: “Je gaat niet zomaar achter hackers aan, je wilt je zo goed mogelijk beschermen tegen represailles.”
[related_article id=”213992″]Een hoger doel
Gewone gebruikers die geen kwade bedoelingen hebben, en geen DDoS-tools downloaden, moeten zich volgens Berghs geen zorgen maken om de ransomware: “Vermoedelijk gaat het om een ervaren hacker of een beveiligingsfirma die zich richt op onervaren nieuwelingen. Aangezien hacking-tools vandaag zo makkelijk te vinden zijn en in principe iedereen ermee aan de slag kan, zal de aanvaller er genoeg van hebben. Hij zal nieuwe hackers willen ontmoedigen.”
Voor een cyberoorlog moeten we nog niet meteen vrezen. “De aanval zal niet gericht zijn tegen hackers die werken voor een overheid of tegen Anonymous, die gekend staat om het gebruik van DDoS-aanvallen,” meent Berghs. “Een aanwijzing daarvoor vinden we in de gebruikte encryptie: die bevat 4096 bits.” Voor leken: dat is bijna onkraakbaar. Ransomware gebruikt doorgaan 256 bits of, in zeldzame gevallen 1024 bits.
Klutsen
“Wanneer je encrypteert, wil dat zeggen dat de bestandscode van jouw data wordt door elkaar geklutst,” legt Berghs uit. “Bij 128 bits wordt een code willekeurig aangepast naar een van 128 mogelijkheden, aan de hand van een encryptiesleutel. 4096 bits-encryptie is daardoor bijna onmogelijk te kraken; het zijn simpelweg onnoemelijk veel mogelijke combinaties.”
Voor een ervaren hacker in dienst van een regering – die beschikken doorgaans over de beste hackers met de beste tools – zou het niet al te moeilijk zijn om de encryptie tegen te houden. 4096 bits is enorm sterk, maar dat betekent ook: enorm traag. Volgens Berghs is het hele verhaal daarom terug te brengen tot een ervaren hacker die nieuwbakken scriptkiddies met hun voeten op de grond wenst te zetten.