Analyse RaaS: ransomware voor iedereen?
Op 2 juli 2021 werd het Antwerpse IT-bedrijf ITxx slachtoffer van een ransomware-aanval waarbij veel data van zijn klanten versleuteld werden. Na enkele verwoede pogingen om alternatieve oplossingen te vinden en alles recht te zetten, gaf het bedrijf op en besloot het om losgeld te betalen aan de hackersgroep Conti, die verantwoordelijk was voor de aanval. Ze telden 252.000 euro aan bitcoins neer als losgeld voor de decryptiesleutel waarmee ze terug in hun systemen konden en alle data van hun klanten vrij konden geven.
De aanval op ITxx vond plaats in het kielzog van een veel grotere aanval op de internationale systemen van Kayesa, een Amerikaanse provider van IT-management. De malware verspreidde zich naar de klanten van Kayesa, met de nodige problemen tot gevolg. Hierbij werden in één klap meer dan 1.000 bedrijven en organisaties het slachtoffer van een ransomware-aanval. Even werd er gedacht dat beide aanvallen met elkaar gelinkt waren, maar dat bleek al snel niet het geval te zijn.
Ransomware-aanvallen zoals die bij ITxx zijn een alledaags voorbeeld van een wereldwijde pandemie. Ze komen steeds vaker voor en nemen niet enkel grote bedrijven in het vizier. In tegenstelling tot wat veel mensen denken, kunnen ook kleinere organisaties heel eenvoudig ten prooi vallen, zoals het bovenstaande voorbeeld aantoont. Het ziet er ook niet naar uit dat er snel verandering in zal komen. De stijging in aanvallen met ransomware is ook gedeeltelijk te verklaren door een verschuiving in hoe cybercriminelen er zelf mee omgaan. Ransomware wordt door hackers online aangeboden als een heuse dienstverlening, waardoor eigenlijk iedereen met een minimaal verstand van zaken ermee aan de slag kan. En dat is zeker geen goed nieuws.
Ransom-wat?
Om dieper in het probleem te kunnen duiken, moeten we even opfrissen wat de term ‘ransomware’ juist inhoudt. Ransomware is een bepaald type malware, oftewel kwaadaardige software die op je computersysteem geplaatst kan worden. Het vertaalt zich naar losgeld-software en dat is dan ook het grote doel van de hackers. Na een succesvolle phishing-aanval worden hele computersystemen met de malware geïnfecteerd en daarna door de software versleuteld. Gebruikers zullen dus geen toegang meer hebben tot hun computer en vaak de boodschap te zien krijgen dat hun systeem getroffen is door een aanval met ransomware. In het bericht zal tevens meer informatie staan rond hoe de getroffen gebruikers weer toegang kunnen krjigen tot hun bestanden. Daarvoor moeten ze dan grote sommen geld neertellen. Cybercriminelen persen hun slachtoffers af en geven hen een eenvoudige keuze: betaal het losgeld, of verlies je data. In sommige gevallen dreigen de hackers er ook mee om versleutelde bestanden online te gooien als ze weigeren te betalen. Dit was bijvoorbeeld het geval bij de Poolse game-ontwikkelaar CD Projekt Red. Zij weigerden echter op de eisen van de hackers in te gaan. Volgens de cybercriminelen hebben ze de broncode van allerlei games online verkocht, al heerst er daar nog de nodige onduidelijkheid rond.
Ransomware kan grofweg in twee verschillende vormen voorkomen. Ofwel zal de software slechts delen van de bestanden op je systeem versleutelen, ofwel zal je hele besturingssysteem worden vergrendeld. Er bestaan zelfs varianten die de twee vormen weten te combineren.
RaaS
Ransomware klinkt op zichzelf al enorm schrikwekkend, maar helaas wordt het nog iets meer sinister. De stijging van het aantal ransomware-aanvallen kan door een verandering in de aanpak van de hackers worden verklaard. Waar de cybercriminelen vroeger vrij rechtuit waren met hun aanval en software, wordt de ransomware nu online in kant-en-klare pakketten voorzien. De criminelen bieden nu RaaS (Ransomware-as-a-Service) aan, een model op basis van abonnementen waarmee hun ‘klanten’ alle gereedschappen in handen krijgen om aanvallen met ransomware uit te voeren. RaaS is afgeleid van SaaS (Software-as-a-Service), wat je eigenlijk kan zien als volledige softwarepakketten die je als gebruiker worden aangeboden. Denk hierbij bijvoorbeeld aan Microsoft 365, Dropbox, Slack of Google Workspace. Dat is hier bij de ransomware dus ook het geval.
Waar dit soort cybercriminaliteit vroeger enkel toegankelijk was voor mensen met de nodige kennis van programmeren en netwerken, wordt ze nu dus voor iedereen toegankelijk. Zelfs leken zijn nu in staat om ingewikkelde aanvallen uit te voeren dankzij de toegang tot deze software. Gebruikers maken een account op het platform van de ransomware-ontwikkelaar en geven daar alle nodige details in. Vervolgens krijgen ze toegang tot de software. De vergelijking met een alledaags SaaS-pakket stopt echter niet bij de geleverde malware. Veel van deze RaaS-modellen bieden (net als alle SaaS-producten) ook de nodige ondersteuning om het hun gebruikers zo makkelijk mogelijk te maken. Zo krijgen de klanten toegang tot online communities, handleidingen, ondersteuning en andere zaken die je ook bij legitieme SaaS-producten krijgt. Gebruikers die veel betalen, krijgen soms ook toegang tot meer diepgaande platformen waar ze alle informatie over hun aanvallen in real time kunnen bijhouden.
Er bestaat een heuse markt voor het RaaS-model. Een onderzoek van het Amerikaanse cybersecuritybedrijf PurpleSec stelt dat ransomware vorig jaar 20 miljard dollar kostte. Of opleverde, afhankelijk van uit welk perspectief je het bekijkt. Steeds meer ontwikkelaars verkopen hun eigen RaaS-pakketten, wat tot de nodige concurrentie leidt. De cybercriminelen voorzien daarom professioneel ogende websites met eigen mediacampagnes om zoveel mogelijk klanten aan te trekken.
Winst
Binnen het RaaS-model zijn er vier grote submodellen waar de ontwikkelaars winst mee kunnen maken. Niet elk platform past altijd perfect binnen een hokje, maar dit zijn wel de meest voorkomende manieren van werken.
Vast abonnement
Sommige platformen werken met een vaste abonnementskost. Gebruikers betalen elke vooraf bepaalde periode een vast bedrag om zo toegang te krijgen tot de software. Deze abonnementen kunnen ook in lagen werken, waarbij mensen die meer betalen ook toegang krijgen tot meer diensten en ondersteuning.
Affiliates
Sommige ransomware-platformen vragen een vaste periodieke kost en vragen daar nog eens een bepaald percentage van de winst van de gebruiker van. Dit percentage varieert sterk, maar ligt doorgaans in de buurt van 25 procent. De gebruikers krijgen dan ook wel vaak toegang tot extra diensten en dashboards om hun aanvallen beter op te volgen.
Eenmalige kost
Het abonnementsmodel kan voor sommige ontwikkelaars te traag werken. Zij zien immers graag in één klap grote sommen geld binnenkomen. Voor een eenmalige, doorgaans vrij hoge kost, krijgen de klanten een volledig ransomware-pakket in handen waar ze mee aan de slag kunnen.
Winstdelend partnerschap
Klanten kunnen soms kiezen om voor langere periodes samen met de ontwikkelaar in zee te gaan. Zij voeren dan samen de aanvallen uit en verdelen de mogelijke winst op een ‘eerlijke’ manier.
Wat te doen?
Nu rest ons natuurlijk nog de vraag wat je tegen ransomware kan beginnen. Een logische eerste stap is preventie. Veel van de problemen bij ransomware beginnen bij phishing-aanvallen. Het is dus belangrijk dat je steeds op de hoogte bent van de nieuwste phishing-technieken en er ook op je werk voor zorgt dat jouw collega’s en personeel er voldoende training rond krijgen. Slechts één foute link kan immers een volledig systeem saboteren.
Vergeet ook niet te investeren in geschikte antivirussoftware. De kost ervan zal hoe dan ook veel lager liggen dan het losgeld dat gevraagd wordt. Zorg ervoor dat je besturingssysteem en alle bijhorende software over de meest recente patches beschikt. Op die manier wordt al zoveel mogelijk malware buitengehouden.
Back-ups
Als tweede stap moet je er steeds voor zorgen dat je over voldoende back-ups van jouw gegevens bezit. Eén back-up is vaak niet genoeg, want ook zulke kopies zijn niet onfeilbaar. Sla ze tevens op verschillende plaatsen op, zodat je er zeker van bent dat er steeds eentje veilig is. Neem ze regelmatig genoeg, want zelfs een week werk kwijtspelen kan soms vrij grote gevolgen hebben. Daarnaast is het ook verstandig om af en toe te controleren of alle data aanwezig is.
Als je dan toch het slachtoffer wordt van ransomware en niets van back-up hebt, dan rest je een moeilijke keuze: betalen of je gegevens verliezen. Het betalen van losgeld wordt door de meeste onderzoekers echter afgeraden. Als gebruikers en bedrijven immers blijven toegeven aan de eisen van de criminelen, dan kan dit mogelijk leiden tot een aanzuigeffect van meerdere aanvallen. Daarnaast ga je er ook nog eens van uit dat de criminelen hun belofte waarmaken en je daadwerkelijk de decryptiesleutel sturen, wat niet altijd het geval is. De kans dat je bij een aanval alle data kwijtraakt, is dus groter dan dat je ze mogelijk recupereert. In veel situaties is het makkelijk om als buitenstaander te eisen dat bedrijven dit losgeld niet ophoesten, maar in veel gevallen hangt er voor hen veel van af en kunnen (belangrijke) klanten een risico lopen.
Op sommige plaatsen denkt men al na over het instellen van een verbod om losgeld te betalen. De overheden hopen hier natuurlijk mee dat ze cybercriminelen kunnen afschrikken om bedrijven en organisaties binnen hun landsgrenzen aan te vallen. De hamvraag blijft of ze hiermee wel voldoende impact kunnen hebben op het gedrag van die criminelen. Daarnaast zal ook veel afhangen van de straffen die organisaties dan krijgen als ze het verbod negeren. Als alle systemen van een bedrijf compleet lamgelegd worden, zonder beschikbare back-up, dan is de kans groot dat er enkelen bij zullen zijn die alsnog beslissen om het losgeld te betalen. De bijkomende straf nemen ze er dan wel bij, zolang ze maar verder kunnen werken.
Angst is een slechte raadgever
Het is natuurlijk niet de bedoeling dat we je hier nodeloos bang zitten maken. Zeker niet iedereen zal hier ooit het doelwit worden van hackers. De cijfers liegen er wel niet om: aanvallen met ransomware zitten in de lift. Niet alleen grote bedrijven moeten zich ertegen wapenen, ook individuele gebruikers kunnen nog altijd het slachtoffer worden. Als de ransomware door de cybercriminelen als een heuse commerciële dienst wordt aangeboden, met alle nodige ondersteuning en dat in een zeer competitieve markt, dan vermoeden we dat het ergste nog moet komen. Een gewaarschuwd man is er twee waard.