Ransomware is malware die zijn slachtoffers chanteert. Het houdt een computer gegijzeld of blokkeert of vernietigt bepaalde bestanden totdat het slachtoffer een code opgeeft. Voor zo’n code moet altijd veel geld betaald worden. De afgelopen tijd is deze vorm van malware sterk in opkomst, zo stellen beveiligingsexperts.

Niet nieuw

Het aantal gevallen van nieuwe ransomware groeit de afgelopen maanden flink. Eind vorige week maakte beveiliger F-Secure bekend dat zij een variant van die malware vonden die een registratiescherm van Windows nabootste. In maart dook een virus op dat zich voordeed als de Duitse politie en de computer blokkeerde omdat de gebruiker ‘illegaal had gedownload’. Zo waren er de afgelopen tijd meer meldingen van innovatieve ransomware.

Alhoewel ransomware vaak als relatief nieuwe vorm van malware wordt neergezet, is het dat volgens Eddy Willems niet. De beveiligingsexpert van G-Data stelt ransomware in feite al sinds 1989 bestaat. “Dat was toen de AIDS Information Trojan diskette”, legt hij uit. “die diskette deed zich voor als software om te bekijken of je behoorde tot een groep die het risico liep om AIDS te kunnen krijgen of niet”.

De historische malware deed zich dus net als de moderne varianten voor als iets dat het niet was. Willems: “In het echt versleutelde het twee dagen later je harddisk en moest je een bepaalde som geld overmaken op een Panamese bankrekeningen”. “Het is dus iets wat je twintig jaar lang niet gezien hebt”, stelt hij, “maar de laatste jaren begint het weer steeds meer op te komen”, aldus de Belg.

Malware ziet er legitiem uit

De beveiligingsexpert stelt wel dat deze software er steeds legitiemer uit moet zien om ‘de gewone man’ te neppen. Hij geeft hierbij het voorbeeld waarbij de oplichters zich voordeden als antivirusbedrijven maar ook als de Duitse politie. Die laatste manier van oplichten is volgens hem te wijten aan de manier waarop de Nederlandse politie slachtoffers van Bredolab informeerde: Via een pop-up. “Ik heb daar toen al voor gewaarschuwd”.

Volgens Willems is ransomware voor de normale gebruiker simpelweg heel moeilijk te onderscheiden van het echte. “Ze kunnen heel moeilijk controleren of iets echt is of niet. Voor kenners is dat normaal maar voor de gewone man is dat niet zo evident”, aldus de beveiligingsevangelist.

Beveiligingsonderzoeker Gavin O’Gorman van Symantec meent dat dit soort malware er niet per se legitiem hoeft uit te zien. “Het kan ook psychologisch werken”, zegt hij. Bijvoorbeeld Ransomlock, dat in december werd ontdekt. Die sluit de desktop af en eist 300 euro om die weer te openen. Tegelijk verandert het de achtergrond van de desktop naar een pornografische afbeelding. “Mensen zijn dan minder snel geneigd om technische hulp te zoeken en zullen eerder betalen”, aldus O’Gorman.

Gericht bedrijven aanvallen

In de toekomst zal het aantal gevallen van ransomware alleen nog maar stijgen, zo verwachten de experts. Dat zal dan in eerste instantie alleen op de gewone gebruiker zijn gericht. Willems sluit echter niet uit dat de malwaremakers zich ook op bedrijven zullen gaan richten.

“Je kunt het natuurlijk gewoon ook voor een bedrijf gebruiken”, meent de beveiligingsdeksundige. “Met een gerichte aanval kun je een bedrijf er zelfs mee afpersen”, voegt hij daar aan toe. “Gelukkig hebben we dat nog niet gezien, maar het is nooit uit te sluiten”. Hij baseert dat risico op het groeiende aantal aanvallen dat gericht wordt op één bedrijf.

“Als je die groeiende aanvallen combineert en je gaat er gericht een bedrijf mee aanvallen, dan kan dat nogal wat averij oplopen”, zegt hij. De schade zal dan waarschijnlijk nogal in de papieren lopen.