Uit Frans onderzoek dat beveigingsexpert Brian Krebs publiceerde, blijkt dat er per dag rond de vijftig Nederlanders honderd euro betalen om van de malware af te komen. Als deze trend zich daadwerkelijk de rest van het jaar zou doorzetten, komt dat neer op 1,8 miljoen euro per jaar.

Lucratieve malware

De onderzoekers kregen toegang tot een admintool waarmee criminele bendes de malware distribueren. Zij ontdekten vervolgens statistieken die duidelijk maakten dat de verspreiding van de schadelijke software bijzonder lucratief is.

Brian Krebs kreeg screenshots toegespeeld van het administratiepaneel en zet de cijfers van twee opvolgende dagen achter elkaar. Daaruit blijkt dat op 17 mei 45 Nederlanders in totaal 4300 euro betaalden. Een dag later droegen 72 Nederlanders 6650 euro over aan de afpersers. Daarmee betalen Nederlanders relatief meer dan slachtoffers in andere landen.

Direct aangifte

Het gaat om de gijzelingsmalware Reveton. Deze ransomware bevriest het scherm met een boodschap van de politie dat er illegaal gedownload materiaal op de computer is aangetroffen en eist dat de gebruiker een boete betaalt. Uiteraard blijft de ransomware ook na betaling van de boete de getroffen pc gijzelen.

De malware maakt na besmetting contact met een command-and-control-server en downloadt de waarschuwing voor het juiste land, met de juiste taal en het juiste politielogo. Reveton waart onder meer rond in grote delen van Europa en de VS. Het KLPD waarschuwde in maart dat een Nederlandse variant opdook. Cybercentrum NCSC adviseert slachtoffers om direct aangifte te doen.

Ook meteen Citadel cadeau

Overigens wordt de ransomware in dit geval volgens Krebs niet via Citadel verspreid, in tegenstelling tot een eerdere waarschuwing van de FBI. Het is eerder nog andersom: via Reveton wordt meteen de Citadel-trojan geïnstalleerd die de besmette computer toevoegt aan een botnet.

“Het is zeker mogelijk dat Reveton via Citadel wordt verspreid, maar het ligt meer voor de hand dat BlackHole wordt gebruikt." De Franse onderzoekers hebben toegang gekregen tot een admintool die de verspreiders van Reveton gebruiken. Daaruit blijkt onder meer dat de verspreiding het meest voorkomt via verouderde Java-versies.

Handmatig opschonen onvoldoende

Reveton richt meer schade aan dan alleen het gijzelen van computers. Volgens Krebs zijn huidige versies zo uitgerust dat ze onder meer wachtwoorden opslurpen en doorsturen naar de C&C-server. Daarnaast worden de botnets van Citadel volgens de onderzoeker uitgebreid via Reveton en mogelijk worden er nog veel meer slinkse acties uitgevoerd.

Dus zelfs als Reveton handmatig wordt verwijderd door een dll-bestand te wissen, is de aanwezigheid van de ransomware een indicatie dat de pc ernstig besmet is geraakt met allerhande virale ongein. Krebs adviseert een goede back-up bij de hand te houden om het OS inclusief schone bootsector terug te plaatsen.