Politie stopt ransomwareserver
De Nederlandse politie heeft samen met het OM een ransomwareserver offline gehaald, die voornamelijk malware serveerde aan Nederlandse en Belgische slachtoffers. In totaal gaat het om ongeveer 5800 geïnfecteerde computers.
Daarvan maakten 236 slachtoffers gezamenlijk een bedrag van 70.000 euro aan de criminelen over om hun bestanden terug te krijgen, zo meldt de politie. Bij de malware draait het om de zogenaamde Wildfire-ransomware. Samen met Intel Security en Kaspersky is er een decryptietool voor de malware ontwikkeld. Ook zegt de politie dat slachtoffers automatisch een bericht kregen dat deze tool beschikbaar is door aanpassingen te maken aan de server. De twee beveiligingsbedrijven werken samen met de politie en Europol aan het zogenaamde 'no more ransom'-project, dat eind juli van start ging.
In een blogpost schrijft Intel Security dat de ransomware werd verspreid door spam-e-mails, waarin Nederlandse tekst was opgenomen over een mislukte bezorgpoging van een pakket. Daarbij maakten de criminelen gebruik van de gegevens van bestaande vervoersbedrijven, om het bericht zo echt mogelijk te laten lijken. Daardoor acht het beveiligingsbedrijf het niet ondenkbaar dat een Nederlandse groep bij de verspreiding was betrokken. De criminelen achter de ransomware zouden echter hoogstwaarschijnlijk uit Oost-Europa komen, omdat deze landen in de broncode waren uitgesloten. Ook duidt Russisch commentaar in de code erop dat het zou kunnen gaan om ransomware as a service.
De 'no more ransom'-site is volgens de Nederlandse politie inmiddels ongeveer 300.000 keer bezocht en heeft enkele honderden personen geholpen hun bestanden terug te krijgen. De site biedt een manier om ransomware te identificeren en er zijn verschillende decryptietools te vinden. Ook bevat de site voorlichting over ransomware en tips om zo min mogelijk schade door een infectie te ondervinden, bijvoorbeeld door van back-ups gebruik te maken.