Dossier gijzelsoftware (ransomware) 2018

Sinds de koers van de cryptovaluta Bitcoin tot astronomische hoogten is gestegen, was dat zelfde effect te zien voor andere cryptovaluta te zien. Hoewel van Bitcoin gedacht wordt dat deze volledige anoniem is, is dat niet het geval. Toegeven dat het wel de nodige energie kost om de eigenaar van een Bitcoin adres te achterhalen, maar het is mogelijk. En dat is iets wat criminelen niet willen. Voor de cybercrimineel is er een veiligere alternatief: Monero.

De cryptovaluta Monero is bedoeld om altijd anoniem te zijn en is daardoor populair aan het worden onder het dievengilde. Het jaar 2018 opende dan ook met het besmette van computers om Monero te ‘delven’. De term ‘delven’ (in het Engels ‘mining’ genoemd) duidt het proces aan hoe cryptovaluta ontstaat. In dit geval worden computers ingezet om een stukje Monero te vinden. Dit gebeurt door zeer forse berekeningen uit te voeren en wat ‘geluk’. Het berekenen kost veel elektriciteit en als beloning krijgt de computer eigenaar in Monero uitbetaald. Omdat meerdere computers aan eenzelfde berekening werken, krijgt alleen de snelste de beloning. Zie dit als de geluksfactor en daarmee is het delven van cryptovaluta met het delven van goud of andere delfstoffen te vergelijken.

Door de stijgende koersen van cryptovaluta eind 2017, is het interessant geworden om zoveel mogelijk computers te infecteren en die naar Monero te laten ‘delven’. In plaatst van computereigenaren af te persen, is het ongevraagd gebruiken van de computerkracht voor het ‘delven’ de trend van 2018 geworden. Sinds begin 2018 zijn er verschillende heimelijke cryptominers voorbij gekomen, waarbij niet alleen Windows computers misbruikt werden, maar ook Android telefoons en iOT apparatuur. Wat computerkracht betreft, stelt één apparaat niets voor, maar als er duizenden beschikbaar zijn, dan wordt het wel een lucratieve bezigheid.

Op 4 april 2018 werd door het bedrijf Palo Alto Networks bekend gemaakt dat de Rarog Cryptomining Trojan circa 166.000 machines misbruikt om Monero te delven. Rarog heeft als primair doel om Monero te delven, maar eenmaal geïnstalleerd kan de functionaliteit uitgebreid worden. Het vernieuwende van Rarog is de laagdrempeligheid voor de cybercrimineel. De lage prijs, Rarog kan op het darkweb voor circa $104,- in cryptovaluta gekocht worden, maakt het voor beginnende cybercriminelen ook interessant om mee te beginnen. En omdat er mensen zijn die vinden dat ongebruikte computerkracht verspilling is en door Rarog in te zetten, wordt die verspilling te niet gedaan. Althans zou kan er vanuit de cybercrimineel geredeneerd worden.

Die redenatie gaat overigens alleen op als de computereigenaar hier zelf voor kiest en zich bewust is van de extra elektriciteitskosten die met het delven naar Monero gepaard gaat. Het gebruik van Rarog is in eerste instantie computerhuisvredebreuk en daarna diefstal van elektriciteit, zoals dat in 1921 als het Elektriciteitsarrest bekend is geworden.

 

Het gevaar

De lage prijs, het eenvoudige gebruik en dat het gebruik van Rarog ervaren kan worden als niet echt iets verkeerds doen, maakt Rarog gevaarlijk. De drempel om Rarog te gebruiken, ligt namelijk laag en kan leiden tot nieuwe aanwas van cybercriminelen. Dit heeft weer ten gevolg dat cyberspace overspoeld kan gaan worden met Rarog en vergelijkbare varianten.

De ‘opbrengst’ van het gebruik van Raog valt tot op heden tegen. Van de 2.500 gedetecteerde Rarog Monero adressen, was het hoogste saldo $120,- aan Monero. Rarog is voor $104,- op het darkweb te koop. Wat dat betreft is het een slechte investering en voor de cybercrimineel is de neerwaartse spiraal begonnen. Immers de investering in Rarog verdient nauwelijks de investeringskosten terug. Het verlies moet wel op een andere manier worden terugverdiend en dat kan betekenen dat er naar alternatieven wordt uitgeweken.

Een cybercrimineel begint met iets ‘onschuldigs’ zoals Rarog om illegaal Monero te delven en komt er achter dat het relatief weinig oplevert. Maar omdat de cybercrimineel al wel in de criminele wereld bekend is, komt hij makkelijker in aanraking met alternatieven.

 

Hoe gaat de infectie dan te werk?

De wijze van infectie gaat via commerciële website platformen (Magento) die gehackt zijn en vervolgens komt Rarog via kwetsbaarheden in browsers en bijbehorende plug-ins op de computers van de slachtoffers binnen. Maak daarom altijd gebruik van de laatste versie van alle software die je gebruikt. Zet onnodige plug-ins uit en maak gebruik van in ieder geval een software firewall en een anti-viruspakket.

Op dit moment is Rarog in de volgende landen gesignaleerd: de Filipijnen, Rusland en Indonesië. De verwachting is, dat dit weleens heel snel kan veranderen.