De crypto-voetafdruk van ransomware

Cybercriminelen hebben van 2016 tot 2017 meer dan $ 16 miljoen verdiend met ransomware.

Hoe beter we de werkwijze en operationele schaal van cybercriminelen begrijpen, hoe effectiever we te werk kunnen gaan om ze te bestrijden. In het geval van ransomware is het beoordelen van het succes en de winstgevendheid van een bepaalde criminele groep geen eenvoudige taak. Verkopers van beveiligingsproducten leren normaal gesproken over dit soort aanvallen door te observeren en met hun klanten te communiceren, wat in principe betekent dat we vaak alleen de pogingen zien die falen. De slachtoffers van ransomware blijven ondertussen vaak stil (zeker als ze betaald hebben).

Het gevolg hiervan is dat betrouwbare gegevens over de succesvolle aanvallen beperkt zijn. Tijdens het Remote Chaos Communication Congress 2020 (RC3) presenteerde een team aan onderzoekers echter een opmerkelijke methode voor het analyseren van de campagnes van cybercriminelen van het begin tot het einde, gebaseerd op cryptocurrency-voetafdrukken.

Analisten van de Princeton University, New York University en de University of California, San Diego, evenals werknemers van Google en Chainalysis, voerden dit onderzoek in 2016 en 2017 uit. Er is inmiddels een aantal jaar verstreken, maar hun methode blijft toepasbaar.

Onderzoeksmethode

Criminelen zijn bang voor het achterlaten van geldsporen, en daarom bestaat er bij moderne cybercriminaliteit een voorkeur voor cryptocurrency (vooral Bitcoins), wat nagenoeg ongereguleerd is en anonimiteit garandeert. Bovendien is cryptocurrency voor iedereen beschikbaar, en gemaakte transacties kunnen niet worden geannuleerd.

Er is hier echter ook een ander relevant kenmerk van Bitcoin van toepassing: alle Bitcoin-transacties zijn openbaar. Dat betekent dat het mogelijk is om de financiële stromen te traceren en een glimp op te vangen van de schaal van de interne werkingen van de economie van cybercriminaliteit. En dat is precies wat de onderzoekers deden.

Sommige aanvallers (niet allemaal) genereren een uniek BTC-portemonnee-adres voor elk slachtoffer, dus de onderzoekers verzamelden eerst de wallets die bedoeld waren voor betalingen van losgeld. Ze vonden een aantal van deze adressen in openbare berichten over de infecties (veel slachtoffers publiceerden online screenshots van de losgeldberichten) en verkregen andere door ransomware op testmachines te laten draaien.

Vervolgens traceerden de onderzoekers het pad van de cryptocurrency nadat het was overgemaakt naar de wallet, waarbij het in sommige gevallen nodig was om zelf microbetalingen met Bitcoins uit te voeren. Bitcoins ondersteuning van cospending, waarbij geld van verschillende wallets naar één wallet wordt overgemaakt, stelde cybercriminelen in staat om losgeldbetalingen van verschillende slachtoffers te consolideren. Maar voor dit soort operaties moet het meesterbrein de sleutels tot meerdere wallets hebben. Hierdoor maakt het volgen van dit soort operaties het mogelijk om de lijst met slachtoffers uit te breiden en tegelijkertijd het adres te vinden van de centrale wallet waar het geld naartoe gaat.

Na gedurende twee jaar de financiële stromen via de wallets te hebben bestudeerd, kregen de onderzoekers een idee van de inkomsten van cybercriminelen en de methodes die werden gebruikt om die wit te wassen.

Belangrijkste vondsten

De belangrijkste vondst van de onderzoekers was dat er in een tijdsbestek van twee jaar 19.750 slachtoffers ongeveer $ 16 miljoen overmaakten aan de operators van de vijf meest gebruikelijke soorten ransomware. Toegegeven, dit cijfer is niet helemaal nauwkeurig (het is onwaarschijnlijk dat ze alle transacties traceerden), maar het biedt een ruwe schatting van de schaal van cybercriminaliteit een aantal jaar geleden.

Het is interessant om te zien dat ongeveer 90% van de inkomsten van de Locky- en Cerber-families kwamen (de twee actiefste ransomware-dreigingen in die jaren). Ook valt op dat het beruchte WannaCry niet meer dan honderdduizend dollar verdiende (hoewel experts deze malware als wiper classificeerden, en niet als ransomware).

Schatting van de inkomsten van de makers van de meest wijdverspreide ransomware van 2016–2017.

Veel interessanter was het onderzoek naar hoeveel van die inkomsten de cybercriminelen opnamen en hoe ze dit deden. Hiervoor gebruikten de onderzoekers dezelfde methode voor het analyseren van transacties om te zien welke wallets van de cybercriminelen naar voren kwamen in gezamenlijke transacties waarbij bekende wallets van online wisseldiensten voor digitale munten betrokken waren. Natuurlijk konden niet alle geldstromen op deze manier getraceerd worden, maar de methode stelde ze wel in staat om vast te stellen dat cybercriminelen het vaakst geld opnamen via BTC-e.com en BitMixer.io (autoriteiten sloten beide wisseldiensten later, en u raadt het al: dat was vanwege het witwassen van illegaal verkregen financiën).

Helaas biedt de RC3-website niet de volledige videopresentatie, maar de volledige tekst van het rapport is wel beschikbaar.

Hoe u zich tegen ransomware beschermt

De grote opbrengsten die verkregen worden via ransomware hebben ertoe geleid dat cybercriminelen steeds onbeschaamder te werk gaan. De ene dag doen ze alsof ze een moderne versie van Robin Hood zijn door in goede doelen te investeren, en de volgende dag financieren ze een advertentiecampagne om slachtoffers verder lastig te vallen. In dit onderzoek probeerden de onderzoekers de drukpunten te lokaliseren die de financiële stromen zouden stoppen en twijfel zouden zaaien bij de cybercriminelen over de winstgevendheid van nieuwe ransomware.

De enige echte effectieve methode om cybercriminaliteit tegen te gaan is door infecties te voorkomen. Daarom raden we aan om u aan de volgende regels te volgen:

  • Train werknemers zodat ze social engineering-technieken herkennen. Afgezien van een aantal zeldzame gevallen proberen aanvallers normaal gesproken om computers te infecteren door gebruikers een schadelijk document of link toe te sturen.
  • Update alle software regelmatig, en dan vooral de besturingssystemen. Ransomware en de leveringstools benutten erg vaak bekende maar nog niet verholpen kwetsbaarheden.
  • Gebruik beveiligingssystemen met ingebouwde anti-ransomware-technologieën — het liefst een die in staat is om zowel bekende als nog ongedetecteerde dreigingen aan te pakken.
  • Maak regelmatig back-ups van uw gegevens en sla die vervolgens bij voorkeur op aparte media op die niet permanent zijn verbonden met het plaatselijke netwerk.

Tips