Deze dinsdagavond is de zesde variant ontdekt van het beruchte Dorifelvirus, opnieuw met een nieuwe encryptie waardoor antivirus- en antimalwareprogramma's van de meeste (grote) leveranciers het bestand de computer gewoon laten binnenglippen. “Deze zesde variant is wat groter dan de eerste variaties, maar ziet er verder hetzelfde uit", zegt Mark Loman van SurfRight, dat de ontwikkelingen nauwlettend in de gaten houdt. “Behalve de encryptie is er verder weinig veranderd sinds de eerste uitbraak van Dorifel in Spanje."

In tegenstelling tot wat eerder werd gedacht blijkt namelijk de uitbraak in Nederland in augustus, waarbij vooral overheidsinstellingen in het nieuws kwamen vanwege de besmetting, niet het eerste grote incident te zijn met Dorifel. In Spanje was al enige tijd een verspreiding van een besmetting met het virus, maar dat ging met wat stillere trom gepaard.

Elke dag een nieuwe variant

Sinds de ophef over door Dorifel versleutelde bestanden bij Nederlandse gemeenten bleef het een tijdje stil, maar in de afgelopen anderhalve week volgen de nieuwe varianten van Dorifel zich snel op; de laatste paar dagen zelfs elke dag een nieuwe. Opmerkelijk is dat daarvan alleen de versleuteling is aangepast en het virus zelf dezelfde werking en aansturing lijkt te hebben.

Op het moment dat Loman van SurfRight een nieuwe variant in de smiezen heeft, stuurt hij zijn bevindingen naar collega's en partners, waaronder het Oostenrijkse bedrijf Emsisoft. Daar wordt dan vervolgens hard gewerkt aan een decrypter, die de gegijzelde bestanden op een geïnfecteerde computer van zijn versleuteling ontdoet en het virus zichtbaar maakt.

Ook stuurt Loman de karakteristieken door naar de securityleveranciers. “De nieuwe variant, de zesde dus, was dinsdagavond slechts te herkennen door drie van de 42 securitypakketten", zegt Loman, “en dat was deze woensdagochtend al beter doordat ze aan de hand van onze bevindingen de signatuur konden toevoegen."

Eerste variant de slimste

De enige variant tot nu toe die afwijkt van de rest, is opmerkelijk genoeg de eerste Spaanse. “Die injecteerde zichzelf in processen, veel slimmer dan wat het virus nu doet, het verstoppen in bestanden. Ik weet niet waarom de maker daarvan is afgestapt", zegt Loman.

Hij gaat er vooralsnog vanuit dat het virus, in al zijn varianten, nog steeds wordt gemaakt door één en hetzelfde individu, maar dat het gebruik van het virus varieert. Dat betekent dat er meer criminele organisaties zijn die het virus gebruiken om er geld mee te verdienen. Dat verklaart ook de snelheid waarmee nieuwe varianten van het Dorifelvirus verschijnen plus de grote verschillen in locatie waar de eerste uitbraken zich voordoen.

De criminele bendes die via malware geld uit de zakken van gedupeerden willen kloppen, nemen daarvoor een beheerder van een botnet in de arm. Die zorgt ervoor dat de malware op de juiste plaatsen terecht komt. “Het zijn allemaal zogenaamde affiliate programma's", zegt Loman. Elke criminele club kan malware afnemen van de maker en voor de verspreiding ervan een botnet huren. Je kan alles inkopen, bijvoorbeeld tegen een percentage van de winst."

Volgende pagina: Doel van Nederlandse variant blijft onduidelijk

Doel Nederlandse variant onduidelijk

Die winst was er niet bij de grote uitbraak van Dorifel in Nederland, maar de andere vijf varianten zijn potentiële goudmijntjes. “Het is nog steeds onduidelijk wat nu precies het verdienmodel in Nederland is geweest, en of die er wel is geweest. Maar via Dorifel zien we een grote toename in vooral ransomware." Daarmee wordt je computer als het ware bevroren en kan de gedupeerde consument alleen weer controle over zijn pc krijgen als hij een bepaald bedrag betaalt.

De mogelijkheden van ransomware zijn groot. Het maakt niet uit in welk land het virus belandt; aan de hand van het IP-adres krijgt de ontvanger een in zijn taal opgestelde waarschuwing op het scherm. In Nederland bijvoorbeeld een alarmerend bericht van Buma/Stemra of de politie, met officieel logo.

Ransomware niet speciaal gemaakt

Loman: “Een besmette pc krijgt dus in Nederland een ander bericht te zien dan in Duitsland, of de Verenigde Staten. Dat betekent niet dat een virus speciaal wordt gemaakt voor of verspreid in Nederland, maar dat de server de juiste malware stuurt aan de hand van het ontvangen IP-adres van de besmette computer."

Op dergelijke hostingservers staan vaak honderden soorten van dergelijke malware klaar om gebruikt te worden op het juiste moment. Een test met een besmette pc of met een sample van het virus zal in Nederland dus altijd een Nederlandstalige ransomeware opleveren, ondanks dat het virus zelf verder niet in het wild in Nederland voorkomt.