Beveiligingsbedrijf beoordeelt ransomware op ‘klantvriendelijkheid’

0
230

Beveiligingsbedrijf F-Secure heeft de ‘klantvriendelijkheid’ van verschillende ransomware-varianten onderzocht. Het rapport lijkt met een knipoog geschreven, maar biedt desalniettemin een interessant inzicht in de processen achter ransomware-operaties.

Het onderzoek is opgezet door eerst op zoek te gaan naar varianten van ransomware die voorzien waren van een werkende command-and-control-server, en die de mogelijkheid boden om via verschillende kanalen ondersteuning te krijgen. Daarbij kwamen de onderzoekers uit op vijf types: Het bekende Cerber met daarnaast de varianten Cryptomix, Jigsaw, Shade en Torrentlocker.

Er ontbrak alleen nog een slachtoffer. Dat was echter snel gevonden met het fictieve personage ‘Christine’, een veertigjarige vrouw met een baan en kinderen, zonder enige kennis van ransomware. Christine zou vervolgens haar eveneens fictieve bestanden laten versleutelen door de verschillende malware-types en zich op de ‘klantreis’ van een ransomware-slachtoffer begeven. Bij het beoordelen werd onderscheid gemaakt tussen het product, dat wil zeggen de interface van de malware, en de dienstverlening in de vorm van ondersteuning.

De grote verliezers in de categorie ‘product’ zijn Jigsaw en Torrentlocker, op de hielen gevolgd door Shade en Cryptomix. Zij scoorden niet hoger dan een drie of vier uit negen mogelijke punten. Zo gaf Jigsaw een neongroene tekst weer met daaronder een paar ontblote borsten en een timer. De interface van Torrentlocker bleek gestolen van neefje Cryptolocker, dus daar kon het ook niet veel punten mee verdienen. Ook bleken de webpagina’s alleen in het Nederlands beschikbaar te zijn, iets waarvoor de onderzoekers ook geen verklaring hebben. Andere varianten bevatten bijvoorbeeld alleen een aantal html-pagina’s, waar ook geen eer mee te behalen is.

De duidelijke ‘winnaar’ op het gebied van interface is Cerber met 8,5 punten. Deze malware heeft een professioneel uiterlijk en biedt ondersteuning voor wel twaalf talen. Bovendien kan een slachtoffer gratis een enkel bestand ontsleutelen als een vorm van trial. Ook biedt deze ransomware duidelijk uitleg in de vorm van een tekstbestand op de desktop. De malafide software claimt overigens ‘ontworpen te zijn om voorlichting te bieden op het gebied van informatiebeveiliging en te dienen als certificering voor bruikbare antivirussoftware’. Hij sluit af met de boodschap: “samen maken wij het internet een betere en veiligere plek”.

Er bleek daarnaast een soort omgekeerd verband te bestaan tussen de kwaliteit van interface en dienstverlening. Zo scoort Jigsaw negen uit elf mogelijke punten op het gebied van dienstverlening, ondanks de waardeloze interface. Ook Cryptomix en Shade scoren daarin hoger dan Cerber, dat slechts zes punten ontving. Torrentlocker scoorde maar één punt, doordat er geheel geen antwoord werd gegeven op een ingevuld ondersteuningsformulier.

Ook bleek de vertegenwoordiger van Cerber geen korting te willen bieden op de gevraagde som van 530 dollar. De hoogste korting bood Cryptomix door te zakken van 1900 naar 635 dollar. Ook Jigsaw en Shade boden tot 30 procent ‘korting’. In alle gevallen werd alleen betaling via bitcoin geaccepteerd, andere opties waren uitgesloten. Vaak reageerden supportmedewerkers binnen enkele minuten op e-mails en deden dit meerdere keren per dag. Daaruit leiden de onderzoekers af dat reputatie een belangrijke factor is binnen de wereld van ransomware, zonder vertrouwen zouden slachtoffers immers niet betalen.

Aan het einde van het onderzoek is een uitgebreid gesprekslogboek opgenomen met een Jigsaw-‘medewerker’. Deze is uiterst behulpzaam in het geven van uitleg over betaling via bitcoin en het verkrijgen daarvan. De conversatie strekt zich uit over meerdere dagen. De onderzoekers hebben uiteindelijk niet betaald voor het ontsleutelen van bestanden. Voor sommige slachtoffers zit er soms echter niets anders op dan het losgeld te betalen, ook al houdt dit deze praktijken in stand. Daarom is het belangrijk om back-ups uit te voeren, regelmatig updates te installeren en verdachte e-mails zeer kritisch te behandelen.

    De interface van Jigsaw en Torrentlocker