Waarom is cryptoware zo succesvol?

Het is code rood rondom de ‘nieuwe’ dreiging van cryptoware. Althans: de publicatie van de Nederlandse politie en het NCSC duidt erop dat er blijkbaar een bepaalde grens is overschreden. Interessant, want het gebeurt eigenlijk maar zelden dat er vanuit justitie een waarschuwing over malware wordt uitgezonden. Waarom nu dan wel? Waarom is cryptoware zo succesvol?

Waarom waarschuwt de politie ons voor cryptoware? Het antwoord is simpel: cryptoware is waarschijnlijk helemaal niet veel succesvoller dan andere malware. Maar het is wel veel zichtbaarder. Malware is de laatste jaren uiteindelijk juist ontworpen om vooral onopgemerkt op computers aanwezig te zijn en via bijvoorbeeld de diefstal van data op indirecte wijze geld te verdienen voor de makers. Er zijn tal van voorbeelden van malware die al jaren in computernetwerken aanwezig waren voordat ze werden ontdekt. Leveranciers van technologie die in staat is om deze ‘stiekeme’ malware alsnog te detecteren, claimen dat in 100 procent van de gevallen waar hun apparatuur geplaatst is, dergelijke sluimerende malware werd ontdekt.

Ransomware, en in dit geval met name cryptoware, is er juist op gericht om je heel duidelijk te laten merken dat je besmet bent. Het maakt je het werken onmogelijk, zodat je eerder geneigd bent om het losgeld te betalen. Het is dus niet zozeer succesvoller, het is alleen zichtbaarder. En ook: het is echt enorm verstorend als je ermee te maken krijgt.

Er is ook malware in omloop die mensen niet dwars zit: de bekende Trojans. Stiekeme sluipmoordenaars die uit zijn op identiteitsgegevens, wachtwoorden, bankgegevens en intellectueel eigendom. Bij dit soort malware kan je gewoon doorwerken terwijl je pc toch volledig onder controle is van een digitale inbreker. Juist bij gebrek aan herkenning zijn er geen harde cijfers,  maar ik neem uit ervaring toch aan dat een substantieel deel van het mkb op deze wijze doorlopend gecompromitteerd is, zonder dat ze het weten. Wie zich zorgen maakt over surveillance praktijken door de NSA moet zich realiseren dat dit vaak nog wel een factor ernstiger zal zijn. Dat de alarmbellen over dit soort malware in veel mindere mate rinkelen, is niet goed. Maar het is natuurlijk wel een uitdaging!

Maar goed, we hadden het over cryptoware. Ook ik zie de afgelopen maanden hoe Nederlandse bedrijven er steeds meer mee worstelen. En inderdaad: ook het mkb en publieke instellingen worden getroffen, maar ik zou niet willen stellen – zoals de politie wel doet – dat juist dit ‘aantrekkelijke doelwitten’ zijn. Dit soort malware is namelijk niet gericht op specifieke doelwitten of sectoren. Het wordt ontwikkeld om zoveel mogelijk slachtoffers te maken. Er worden eerder bepaalde doelwitten bewust uitgesloten (denk aan opsporingsinstanties of security bedrijven) dan dat ze daartoe worden beperkt. Dat vooral het mkb en gemeenten worden getroffen, lijkt mij eerder het gevolg van het feit dat kleinere organisaties simpelweg onvoldoende zijn voorbereid op dit soort dreigingen. De impact van deze vorm van malware is daarom groot, en dat zal dus ook sneller bekend worden bij de politie. Maar in feite is iedereen en iedere organisatie een potentieel doelwit. Geluiden als ‘wij zijn toch niet interessant voor cybercriminelen’, zijn echt misplaatst en naïef en zorgen er voor dat er niets wordt gedaan. Mkb, gemeenten en alle andere organisaties die hiermee te maken kunnen krijgen – en dan met name de beleidsmakers en het management – zouden de dreiging van malware en computercriminaliteit veel serieuzer moeten nemen.

Wat ik in de praktijk vooral zie gebeuren (en vaak met echt desastreuze gevolgen), is dat één systeem in een bedrijfsnetwerk geïnfecteerd raakt, en dat van daaruit vervolgens niet alleen de lokale bestanden worden versleuteld, maar ook de bestanden op netwerkschijven. Ik ken voorbeelden waarbij hele afdelingen of zelfs complete bedrijven stil kwamen te liggen omdat de hele bestandsopslag onbruikbaar was geworden. En waar dan natuurlijk vervolgens bleek dat de ingeplande backups al een poosje niet goed hadden gefunctioneerd… Het is al een tijd geleden dat ik malware ben tegengekomen die zo verstorend werkt. Het is echter heel goed mogelijk dat we dit nu vaker gaan zien, omdat het succes ervan natuurlijk opvolging stimuleert.

De politie raadt bedrijven in dit kader aan om regelmatig een backup te maken. En om veilig internetgebruik te betrachten. Voor dat laatste heeft het NCSC een tiental vuistregels opgesteld die dus ook bruikbaar zijn ter preventie van cryptoware en andere malware. Maar vanuit de dagelijkse (zakelijke) praktijk wil ik bij die aanbevelingen toch nog wel een aantal kanttekeningen plaatsen:

1. Installeer een antivirusprogramma. Absoluut. Maar niet alleen installeren: ook beheren! Dagelijks.

2. Installeer steeds de software-updates. Dit is praktisch gezien niet altijd mogelijk. Een Intrusion Prevention System (IPS) is een goede compenserende maatregel.

3. Gebruik sterke wachtwoorden. En niet alleen op je Windows computer (of in de Active Directory van het bedrijfsnetwerk) maar in alle applicaties, ook in de cloud.

4. Maak alleen verbinding met vertrouwde wifinetwerken. Overweeg dus een 4G dongel voor mobiele medewerkers en/of een vpn-verbinding en een desktop firewall.

5. Open geen berichten en onbekende bestanden die je niet verwacht of niet vertrouwt. Dit is heel belangrijk. Train mensen hierin, via eLearning of een demonstratie van hoe een phishing-aanval werkt.

6. Installeer alleen apps via de officiële applicatiewinkels. En controleer centraal welke apps er op computers en mobiele toestellen geïnstalleerd zijn, en welke reputatie deze hebben.

7. Controleer het adres van websites. Dit is in feite alleen mogelijk door gebruik te maken van reputatiesystemen, want anders houdt niemand dit bij.

8. Sluit pop-ups in je browser af met Alt-F4. Ik gok dat dit niet echt een werkbaar advies is voor zakelijke omgevingen. Dus op zoek naar alternatieven is geen overbodige luxe…

9. Bedenk goed wat je met wie deelt op internet. Overweeg om een extra emailadres aan te maken bij bijvoorbeeld Google of Microsoft, voor registratie bij mogelijk bedenkelijke internetdiensten.

10. Gebruik je gezond verstand. Maar besef ook dat dit niet altijd voldoende is. Zelfs de meest doorgewinterde it’ers trappen wel eens in de vallen van computercriminelen. Dus neem ook technische beschermingsmaatregelen.