De afgelopen twee jaar bracht ransomware 25 miljoen dollar op voor cybercriminelen. Een nieuwe studie identificeert enkele factoren die de malware zo succesvol maakten.

Ransomware-aanvallen haalden de afgelopen twee jaar 25 miljoen dollar op bij slachtoffers. Dat berekende Google in samenwerking met twee Amerikaanse universiteiten en het blockchainbedrijf Chainalysis in een nieuwe studie. Het cijfer maakt nog meer eens duidelijk waarom ransomware op korte tijd sterk aan populariteit won: de winsten die cybercriminelen binnenhalen zijn groot, terwijl het geen geavanceerde IT-kennis vraagt om computers te infecteren.

Russische connectie

Het onderzoek nam 34 ransomware-varianten onder de loep, waarbij de onderzoekers gebruik maakten van de uitgebreide malware-databank die Google over de jaren heeft aangelegd. Op basis van die informatie kon men bitcoinbetalingen traceren via de blockchain en een beredeneerde schatting maken van het geld dat cybercriminelen binnenhalen met verschillende ransomwareversies. 95 procent van het losgeld werd gecashd via de Russische bitcoinbeurs BTC-E, wat aangeeft dat het merendeel van de aanvallen uit die hoek van de wereld komen.

Arbeidsverdeling

De twee best verdienende ransomware-varianten zijn Locky en Cerber volgens de studie. Het was Locky dat de weg plaveide voor de grote ransomware-boom in 2016. Een belangrijke reden voor het succes van Locky was dat de cybercrimenelen voor de eerste keer een doorgedreven arbeidsverdeling invoerden. “Locky’s grote troef was het scheiden van de mensen die de ransomware ontwikkelden en de mensen die de machines infecteerden,” verklaart Damon McCoy, een van de wetenschappers die meewerkte aan het project, aan The Verge. De makers van Locky focusten zich op het ontwikkelen van de malware en namen anderen in de arm om hun software via botnets te verspreiden. Dat legde hen geen windeieren: tot nu toe heeft Locky 7,8 miljoen dollar binnengehaald. Ceber troggelde in totaal iets minder geld af als Locky, maar maakte nog altijd een stevige 6,8 miljoen dollar. Ceber is op dit moment een van de meest actieve ransomwareversies.

De bedragen staan in schril contrast met wat de twee meest bekende cyberaanvallen, WannaCry en NotPetya, wisten te verzamelen: respectievelijk 140.000 dollar en 10.000 dollar. Het is een sterke aanwijzing dat de aanvallen een ander motief hadden dan geld genereren.

No More Ransom

Het belangrijkste initiatief om ransomware tegen te gaan blijft nog altijd No More Ransom, een project dat boven het doopvont werd gehouden door Europol, McAfee, Kasperksy en de Nederlandse politie. Zij stellen via hun website gratis 54 verschillende decryptietools ter beschikking die 104 verschillende ransomware-infecties kunnen ontsleutelen. Via het project kon men al 28.000 computers herstellen zonder losgeld te betalen, zo maakte de organisatie onlangs bekend. Dat cijfer representeert 8 miljoen dollar die niet in criminele handen is beland.