211service.com
Ware omvang van afpersing van Bitcoin-ransomware onthuld
Ransomware is een van de meest verontrustende soorten malware die de afgelopen jaren zijn opgekomen. Het werkt door de toegang tot computerbestanden te beperken totdat er losgeld is betaald. Slachtoffers zijn onder meer de Britse National Health Service, het Spaanse telecombedrijf Telefonica, de Russische oliegigant Rosneft en vele anderen.
Slachtoffers moeten meestal een Bitcoin-losgeld betalen dat gelijk is aan een paar honderd dollar om hun bestanden vrij te geven. Doorgaans neemt het losgeld in de loop van de tijd toe tot een deadline wanneer de bestanden zogenaamd worden vernietigd. Veel bedrijven en particulieren hadden weinig andere keuze dan te betalen.
En dat roept een interessante vraag op. Hoeveel geld hebben Bitcoin ransomware-programma's gegenereerd voor hun kwaadaardige meesters?

Amerikaanse dollarwaarde van losgeld betaald aan CryptoWall Bitcoin-accounts
Vandaag krijgen we een antwoord dankzij het werk van Mauro Conti aan de Universiteit van Padua in Italië en een paar collega's. Deze jongens hebben een database gemaakt met Bitcoin-accounts die worden gebruikt door ransomware-criminelen en hebben het losgeld opgeteld. Het resultaat is een uitgebreide analyse van de winst die cybercriminelen hebben geboekt in dit opkomende misdaadgebied.
Hoewel ransomware om betaling in valuta kan vragen, richten Conti en co zich alleen op degenen die om Bitcoin-betalingen vragen. Dat komt omdat Bitcoin-transacties openlijk worden geregistreerd en gratis kunnen worden bekeken. Het moet dus in principe mogelijk zijn om precies uit te rekenen hoeveel elke rekening ontvangt. Ons doel was om de USD-waarde van deze betalingen nauwkeurig te meten, zegt Conti en co.
Het team begon met het creëren van een database met Bitcoin-accounts die aan dit soort activiteiten zijn gekoppeld sinds 2013, toen de ransomware Cryptolocker de eerste was die om betaling in Bitcoin vroeg. We hebben twintig ransomware gevonden die voldeed aan onze selectiecriteria, d.w.z. die ransomware: (i) die Bitcoin gebruikte als ten minste één manier om losgeld te betalen, en (ii) waarvan ten minste één Bitcoin-adres publiekelijk bekend is, leggen ze uit.
Voor elke soort malware bieden ze een handig overzicht van de manier waarop het werkt en zich verspreidt en hoe het zich in de loop van de tijd heeft ontwikkeld.
Niet alle betalingen aan deze rekeningen zijn noodzakelijkerwijs losgeld. Dus ontwikkelden Conti en co een manier om losgeldbetalingen te onderscheiden van andere soorten. Ze doen dit door te zoeken naar betalingen die overeenkomen met de specifieke bedragen die de malware eist als losgeld.
Ten slotte tellen Conti en co alle losgeldbetalingen op die door elk type malware zijn ontvangen. Hun werk onthult de meest winstgevende ransomware, maar roept ook vragen op over de manier waarop deze accounts worden gebruikt en hoe ze kunnen worden gevolgd.
Veruit de meest winstgevende vorm van ransomware blijkt CryptoWall te zijn, die in november 2013 Windows-computers begon te infecteren. Het versleutelde de bestanden met behulp van het RSA-2048-coderingsalgoritme en eiste vervolgens een betaling van maximaal $ 1.400 om ze vrij te geven.
De malware verspreidde zich via verschillende vectoren, zoals downloadlinks die werden verzonden door het Cutwail-spambotnet. Sommige versies van de malware creëerden een uniek Bitcoin-betaaladres voor elke geïnfecteerde gebruiker en gebruikten het Tor darknet-systeem om anonieme links naar elk slachtoffer te verstrekken.
Tussen de release en december 2015 ontvingen Bitcoin-adressen die aan deze malware zijn gekoppeld $ 2,2 miljoen aan Bitcoin-betalingen en nog eens $ 2,3 miljoen aan transacties met een hogere waarde, waarvan Conti en co vermoeden dat het ook losgeldbetalingen zijn.
Vreemd genoeg was de totale waarde van de betalingen die door deze Bitcoin-adressen werden ontvangen meer dan $45 miljoen. De meeste van deze transacties waren door Conti en co niet rechtstreeks gekoppeld aan losgeldbedragen. Dat is een aanzienlijk bedrag en roept de voor de hand liggende vraag op waarvoor het werd betaald.
De volledige rangschikking van Bitcoin-ransomwareprojecten op basis van het bedrag in Amerikaanse dollars dat ze hebben gegenereerd, is als volgt:
Ransomware Bitcoin-losgeld ontvangen USD-waarde
CryptoWall 5.351,2329 2.220.909.12
CryptoLocker 1403.7548 449.274,97
DMA-kluisje 339.4591 178.162.77
WannaCry 47.1743 86.076,76
CryptoDefense 126.6960 63.859.49
NotPetya 4.0576 9835,86
KeRanger 9999 4.173,12
Interessant is dat de WannaCry-uitbraak enorme media-aandacht kreeg toen de malware zich wijd verspreidde. Maar de aanval werd verijdeld door cybersecurity-onderzoeker Marcus Hutchins, die een ingebouwde kill-schakelaar ontdekte en activeerde die verhinderde dat de malware destructiever werd.
De algehele impact (inclusief financiële verliezen) als gevolg van WannaCry-infectie had erger kunnen zijn … dankzij de vroege detectie van de kill-schakelaar, die verhinderde dat de geïnfecteerde computers WannaCry verder verspreidden, zeggen Conti en co.
Het team bespreekt ook andere vormen van malware die om losgeld hebben gevraagd, maar geen substantieel losgeld lijken te hebben ontvangen. Deze omvatten TeslaCrypt, Hi Buddy! en KillDisk.
Diverse andere groepen hebben soortgelijke analyses uitgevoerd en komen tot soortgelijke conclusies. Conte en co stellen hun dataset echter openbaar beschikbaar zodat anderen erop kunnen voortbouwen. De dataset bevat een gedetailleerde transactiegeschiedenis van alle adressen die we voor elke ransomware hebben geïdentificeerd, zeggen ze.
Cybercriminelen gebruiken Bitcoin omdat het een schijnbaar anonieme manier is om betalingen te verzamelen en te doen. Bitcoin is echter pseudoniem in plaats van anoniem. Dat betekent dat gebruikers hun identiteit kunnen beschermen, op voorwaarde dat geen van hun transacties kan worden gekoppeld aan hun echte identiteit. Maar zodra een enkele transactie wordt gekoppeld aan hun persoonlijke identificatiegegevens, worden al hun transacties op dezelfde manier gekoppeld.
Een bruikbare analogie is die voor auteurs die onder een pseudoniem publiceren. Zolang de identiteit van de auteur nooit is gekoppeld aan een van de pseudonieme artikelen, blijft hij of zij anoniem. Maar als het is gekoppeld aan slechts één pseudoniem artikel, is het aan allemaal gekoppeld en gaat de anonimiteit verloren.
Dus pseudonieme bescherming is een kwetsbaar iets. Een enkele transactie die een Bitcoin-account aan een persoonlijk account koppelt, kan de identiteit van een cybercrimineel onthullen. En persoonlijke gegevens lekken voortdurend in webgebaseerde transacties.
Vorig jaar schreven we over de onvolkomenheden in de anonimiteit van Bitcoin-transacties. Dat zou enige hoop moeten bieden om deze criminelen op te sporen.
Conti en co hebben dit type onderzoek als toekomstig doel gesteld. We zullen proberen na te gaan hoe het ontvangen losgeld is gebruikt en door wie, zeggen ze.
Dat is moedig en ambitieus. Maar het roept ook een vraag op: wat doen wetshandhavingsinstanties in de tussentijd?
Referentie: arxiv.org/abs/1804.01341 : Over de economische betekenis van ransomware-campagnes: een perspectief op Bitcoin-transacties