Politie vindt 5800 WildFire-ransomware decryptiesleutels, Intel Security komt met decryptietool

Politie vindt 5800 WildFire-ransomware decryptiesleutels, Intel Security komt met decryptietool

DearBytesNieuwsOver DearBytesPolitie vindt 5800 WildFire-ransomware decryptiesleutels, Intel Security komt met decryptietool

De politie heeft een server op het Tor-netwerk offline gehaald die criminelen achter de WildFire-ransomware gebruikten en zo de decryptiesleutels van 5800 ransomware slachtoffers bemachtigd, waarvan zo’n 3.000 Nederlanders en 2100 Belgen. Dat is vanavond bekendgemaakt.

In samenwerking met beveiligingsbedrijven Intel Security en Kaspersky Lab is er nu op de website NoMoreRansom.org een decryptietool ter beschikking gesteld. Met deze tool kunnen ransomware slachtoffers kosteloos hun bestanden terugkrijgen. De WildFire-ransomware werd in juli voor het eerst opgemerkt.

Wildfire-ransomware: hoe werkt het?

De ransomware werd via e-mail verspreid en richtte zich vooral op Nederlandstalige internetgebruikers. De e-mail deed zich voor als een bericht van een transportbedrijf en liet ontvangers weten dat er een pakket niet kon worden afgeleverd. Via een link in de e-mail kon er een document worden gedownload om een nieuwe afspraak te maken. Het ging om een Word-document met een kwaadaardige macro.

Macro’s staan vanwege veiligheidsredenen standaard in Microsoft Office uitgeschakeld. Het document stelde in zowel het Engels als Nederlands dat de inhoud op een oudere versie van Microsoft Word was gemaakt en de gebruiker macro’s moest inschakelen om de inhoud weer te geven. In werkelijkheid werd er door de macro’s WildFire-ransomware op de computer gedownload die bestanden voor losgeld versleutelde. De ransomware vroeg slachtoffers om zo’n 300 euro. In een maand tijd betaalden 236 slachtoffers het gevraagde losgeld in bitcoins, zo’n 4% van de slachtoffers. Het gaat om een bedrag van 135,9 bitcoin, wat met de huidige wisselkoers bijna 70.000 euro is.

Wildfire-ransomware decrypt

Door het offline halen van de command & control-server kan de ransomware geen nieuwe slachtoffers maken. Computers van al wel geïnfecteerde gebruikers kunnen ook geen verbinding meer met de server maken en krijgen een boodschap te zien dat het domein door de Nederlandse politie in beslag is genomen. Tevens krijgt men het advies om NoMoreRansom.org te bezoeken om de decryptietool te downloaden en hun bestanden te ontsleutelen zonder losgeld te betalen.

John Fokker, Digital Team Coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie:

“De bemachtiging van WildFire-decryptiesleutels bewijst nogmaals dat cybercrime, en met name ransomware, succesvoller bestreden kan worden door nauw met andere partijen samen te werken. De Nederlands politie streeft ernaar om slachtoffers van ransomware te helpen door malware-gerelateerde zaken te onderzoeken, criminele infrastructuren plat te leggen en decryptiesleutels beschikbaar te stellen. Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware”

Tor-server

De server die de criminelen gebruikten bevond zich op het Tor-netwerk en werd door Kaspersky Lab gevonden. De Russische virusbestrijder tipte vervolgens de politie. “We kunnen niet precies uitleggen hoe we de server vonden, anders kunnen we dit in de toekomst niet meer doen”, zegt Jornt van der Wiel, beveiligingsonderzoeker bij Kaspersky Lab, in een interview met Security.NL.

“We hebben in ieder geval geen beveiligingslek in Tor gevonden. Was dit wel het geval, dan hadden we de Tor-ontwikkelaars ingelicht zodat het verholpen kon worden. Het is dan ook waarschijnlijker dat het om configuratieproblemen ging.”

Nadat de server was ontdekt ging er een rapport richting de politie met informatie, zodat de politie zelf ook de server kon vinden. Hierna stapte de politie naar de officier van justitie waarna de server in beslag werd genomen en de aanwezige sleutels met de beveiligingsbedrijven werden gedeeld.

Volgens Van der Wiel waren de e-mails die de criminelen achter WildFire gebruikten in opvallend goed Nederlands opgesteld. “Het was duidelijk geen Google Translate”, aldus de onderzoeker. Wat ook opviel was dat in de e-mails de naam van het aangeschreven bedrijf of de organisatie stond vermeld. Daardoor kwam het bericht veel authentieker over. Een andere eigenschap was dat de malware de computers in Rusland, Oekraïne en Moldavië niet infecteerde.

No More Ransom

Slachtoffers van WildFire kunnen de decryptietool zoals gezegd via NoMoreRansom.org downloaden. Het project werd eind juli door de politie, Europol, Intel Security en Kaspersky Lab gelanceerd. Sinds de lancering zijn er voor verschillende nieuwe ransomware-varianten decryptietools verschenen. “Als er meer partijen meedoen en mensen meer informatie met de politie delen, dan kunnen ze meer servers in beslag nemen. En hoe meer servers we in beslag nemen, en hoe meer decryptietools worden gemaakt, des te kleiner wordt de kans dat mensen zullen betalen, omdat ze dan zullen hopen dat er mogelijk in de toekomst een decryptietool zal verschijnen”, zegt Van der Wiel.

Op dit moment doen van de beveiligingsbedrijven alleen Intel Security en Kaspersky Lab aan het project mee. “Dat gaat binnenkort veranderen”, laat Raj Samani, cto van Intel Security, aan Security.NL weten. Er zullen binnenkort namelijk twee nieuwe partners worden aangekondigd. “En we hebben van veel organisaties verzoeken gekregen die ook mee wilden doen. Samen staan we veel sterker.” Volgens Samani is het belangrijk dat beveiligingsbedrijven en opsporingsdiensten op dit vlak samenwerken. “De cybercriminelen doen het tenslotte ook.”

Voor meer informatie over ransomware verwijzen we graag naar onze blogs en download de poster met een stappenplan om adequaat te reageren op ransomware.


Bron: security.nl