Ransomware gaat van dubbele, driedubbele naar meervoudige afpersing

­De daders waren staatsgetrainde professionele hackers, die nu nog altijd op vrije voeten zijn. Naast die ‘premier league’ voor hackaanvallen zijn er nog vele andere niveaus waarop cybercrime wordt bedreven. Ook daar is allang sprake van flinke professionaliserings­slagen. Op technisch niveau, maar ook zeker op operationeel en zakelijk niveau.
Eerst was er de relatief recente verfijning van ransomware, dat als malwarefenomeen al sinds 1989 bestaat. Dankzij praktisch onkraakbare encryptie én digitale betaling via cryptovaluta heeft ransomware een grote vlucht genomen. Vervolgens is er op dit digitale afpersen een dosis zakelijk vernuft losgelaten: waarom data niet ook stelen, als je er toch al toegang toe hebt?
Exfiltratie is weliswaar een andere operatie dan lokale encryptie, maar voor veel cybercriminelen is het zeker te doen. Eenmaal geïdentificeerde gevoelige gegevens rustig aan naar buiten brengen, terwijl ondertussen de encryptie op een laag pitje z’n gang gaat. Langzame datadiefstal en voorzichtige versleuteling zorgen ervoor dat de daders onder de radar kunnen blijven.

Net zoals goede ondernemers proberen cybercriminelen hun middelen optimaal te benutten. Dat omvat ook gestolen goederen, zoals data. Hoe vallen die beter of nogmaals te verzilveren? Nou, bijvoorbeeld met double extortion. Gestolen data kun je proberen te verkopen, via een heler aan andere cybercriminelen. Maar de meest geïnteresseerde klant is vaak toch wel de oorspronkelijke eigenaar. Dat geldt voor ontsleutelen van gegijzelde gegevens, maar geldt ook voor geheim houden van gestolen gegevens.

Dubbele afpersing (double extortion) is dus dataversleuteling plus datadiefstal. Voor het terugkrijgen van je data, in ontsleutelde vorm, moet je dan betalen. En voor het wissen van je gekopieerde data, in handen van de afpersers, moet je dan ook betalen. Met dat eerste krijg je weer toegang tot je digitale kroonjuwelen, zoals financiële administratie, lopende projecten, externe maar ook (mogelijk gênante) interne communicatie, enzovoorts.

­Data zijn veel waard, ook voor eventueel betrokken derde partijen. Denk aan klanten, burgers, maar naast consumenten ook aan zakelijke afnemers en mogelijk ook toe­leveranciers. Meedogenloze afpersers hebben zulke externe partijen ook wel aangeschreven met hun eisen.
Enerzijds met de (al dan niet expliciete) oproep om het eigenlijke ransomware­slachtoffer onder meer druk te zetten. Anderzijds om die belanghebbende partijen en personen tot eigen betalingen aan te zetten. Snoepen van meerdere walletjes, met een en dezelfde dataset. Want als een gehackte organisatie wel of niet betaalt, valt er misschien nog geld te halen bij andere mensen waar de gestolen informatie betrekking op heeft.
Deze derde mogelijkheid valt onder de noemer drievoudige afpersing (triple extortion), hoewel sommige security-experts als ‘nummer drie’ een hele andere afpersingstactiek (be)noemen. Namelijk de klassieke DDoS-aanval. In het verleden hebben kwaadwillenden al wel sites en systemen van hun doelwitten bestookt met grote hoeveelheden verkeer als afleidingsmanoeuvre. Het neerhalen of onbereikbaar maken van sites en systemen is dan niet het eigenlijke doel.

­In een aanvalsscenario met ransom­ware dient een DDoS-aanval om herstel- en desinfectie-operaties zoveel mogelijk te bemoeilijken. Daarnaast is een effect van DDoS als aanvalsmiddel ook het verstoren van communicatie met de buitenwereld. Klanten, burgers, partners, afnemers en toeleveranciers zijn dan veel lastiger te informeren over de situatie die is ontstaan door een ransomware-aanval.
Daarnaast kan een DDoS ook wel direct als afpersingsmiddel dienen. Dit geldt zeker voor puur online gedreven bedrijven, zoals webwinkels, internetuitgevers of cloud­communicatie-aanbieders. Een voorbeeld van dat laatste is Bandwidth.com dat door een DDoS-aanval verliezen moest noteren van 9 tot 12 miljoen dollar. De trend lijkt hoe dan ook dat afpersing door maar ook mét DDoS-aanvallen toeneemt.

Over de definities of grenzen van dubbele of drievoudige (of zelfs viervoudige) afpersing valt veel te discussiëren. Want wat er precies gedreigd wordt met gestolen gegevens kan beschouwd worden als weer twee vormen van afpersing. Buitgemaakte data kunnen geopenbaard worden, door ze op internet te publiceren en daar veel ruchtbaarheid aan te geven. Maar geëxfiltreerde data kunnen ook verkocht worden op digitale zwarte markten. In het geval van bedrijfsgeheimen kan dit funest zijn. In het geval van klantgegevens kan dit nog een lange staart hebben, met bijvoorbeeld identiteitsdiefstal en fraude als gevolg.
De discussie over definities en grenzen van ransomware is er mede afhankelijk van of zo’n gesprek gevoerd wordt met een marketeer, een techneut, een securityleverancier, een slachtoffer, of een andere partij. Bij experts en leveranciers wordt dit natuurlijk ook beïnvloed door de expertise en het aanbod van oplossingen; voor security, back-up en herstel, monitoring, dataprotectie, mailfiltering, enzovoorts.

Sommigen maken nog wel onderscheid tussen ransomware en extortionware. Dat onderscheid blijkt echter flinterdun te zijn. De redenatie hierbij is dat de benaming ransomware ‘gereserveerd’ wordt voor klassieke versleuteling van data, die dan de ICT-infrastructuur van het slachtoffer niet verlaat.
Bij extortionware gaat het om data stelen waarna het slachtoffer wordt afgeperst met het dreigement van openbaarmaking. Bij de klassieke vorm van ransomware vragen cybercriminelen echter ook geld (in cryptovaluta); voor het decrypten van de data. Dus dat valt gewoon als afpersing te zien. Bovendien doet hedendaagse ransomware vaak aan beide vormen van afpersing.
Qua soorten ransomware lijkt er meer overeenstemming te zijn. Er is de klassieke, dataversleutelende soort (crypto ransomware), de systeemvergrendelende soort (lockers), en dan de tweedubbele, driedubbele, viervoudige aanval (double, triple, quadruple extortion). Die laatste opsomming valt natuurlijk af te dekken door het gewoon meervoudige afpersing (multi-extortion ransomware) te noemen. (Vergelijkbaar met multifactorauthenticatie, MFA.)