Politie en NCSC: Toename besmettingen met cryptoware

13-04-2015

Cryptoware is een vorm van malware welke je bestanden versleutelt. Het aantal slachtoffers neemt ook in Nederland toe. In de eerste maanden van 2015 zijn er al meer besmettingen met cryptoware geconstateerd dan in heel 2014. De politie en het Nationaal Cyber Security Centrum (NCSC) adviseren iedereen waakzaam te zijn voor cryptoware-aanvallen, regelmatig back-ups te maken en deze niet op een computer te bewaren.

Besmetting
Cryptoware is een malware die anders dan ransomware het doel heeft de bestanden op de computer te gijzelen en niet de gehele computer. Het kan gaan om bestanden in alle formaten op de harde schijf van de computer, maar ook een virtual (cloud) disk, externe harde schijf en usb­sticks kunnen tijdens een besmetting worden vergrendeld.

Computers kunnen op verschillende manieren besmet raken met cryptoware. In de meeste gevallen gaat dat via besmette links, websites of bijlagen in (spam)mails. Ongemerkt worden alle gegevensbestanden versleuteld. Veel van de gemelde besmettingen zijn ontstaan via e-mails die afkomstig lijken van webwinkels of andere diensten. De ontvanger van de e-mail krijgt bijvoorbeeld het bericht dat hij een openstaande rekening op zijn naam heeft staan en wordt verzocht een bedrag te betalen. Wanneer hij op zoek gaat naar meer informatie in de bijlage of via een hyperlink, raakt zijn computer besmet met de malware. De bestanden raken versleuteld waardoor de gebruiker niet meer bij zijn bestanden kan. De criminelen vragen vervolgens 'losgeld' en beloven in ruil daarvoor de bestanden weer te herstellen.

De versleutelingstechniek bij cryptoware is zo sterk dat het proces onomkeerbaar is. Ook (gedeelde) bestanden die zijn opgeslagen in bedrijfsnetwerken kunnen worden versleuteld. Wanneer besmetting plaatsvindt op een computer dat deel is van een groter netwerk, kunnen ook gedeelde documenten volledig worden versleuteld. Het bereik van de versleuteling hangt af van de privileges van de werknemer in het netwerk. Werknemers kunnen op deze manier dus ook het bedrijfsnetwerk besmetten met cryptoware.

Preventie
Een volledig effectieve manier om besmetting met cryptoware tegen te gaan is er nog niet. Antivirussoftware kan mogelijk wel de malware van de computer verwijderen, maar de bestanden niet terugbrengen; de versleuteling is niet te doorbreken. Om deze reden adviseert het NCSC aan iedereen ervoor te zorgen dat je systemen up-to-date zijn, niet met beheerdersrechten te werken als dat niet noodzakelijk is en regelmatig offline back-ups te maken en deze te testen. In het geval van een besmetting kunnen deze back-ups worden teruggezet en zijn de documenten weer toegankelijk.

Organisaties kunnen daarnaast de kans dat ze getroffen worden verkleinen door werknemers voor te lichten over cryptoware via een awarenesscampagne. Tijdens deze campagne kan de werkgever de werknemer bewustmaken van de risico’s van cryptoware en instructies geven hoe de kans op besmetting verkleind kan worden.

Betaling van het gevraagde losgeld kan tot ontsleuteling van de bestanden leiden, maar door het toegeven aan eisen van de criminelen wordt het versturen van meer cryptoware aangemoedigd. Het komt dan ook niet zelden voor dat personen of bedrijven twee keer slachtoffer worden van cryptoware. Slachtoffers wordt geadviseerd aangifte te doen bij de politie. Daarnaast wordt specifiek aan de rijksoverheid en vitale sectoren gevraagd om in geval van besmetting altijd melding te doen bij het NCSC. Dit leidt weliswaar niet tot het ontsleutelen van de bestanden maar geeft de politie en het NCSC wel inzicht in de aard en omvang van het probleem.

Lees ook het bestuurlijk advies* dat het Team High Tech Crime van de politie in 2014 heeft uitgebracht.

*Door op de links met een sterretje te klikken, word je naar een externe website gestuurd. De link opent automatisch in een nieuw tabblad.