Je bitcoins of je leven!

In een oude houtzagerij, ergens bij de Nederlandse kust, is een bioscoop gebouwd. Bij deze arthouse-bioscoop vind je geen commerciële blockbusters, maar een artistieke documentaire van een onafhankelijke Iraanse filmmaker. Een kaartje kost 10 euro.

In 2015 krijgt de website van de bioscoop ontzettend veel bezoekers. Maar dat is gek: het dorpje waar de bios is gevestigd telt niet eens zoveel inwoners. De server kan al het verkeer nauwelijks aan, de eigenaar snapt er niets van. Precies rond dat moment worden op grote schaal Nederlandse computers geïnfecteerd met ransomware. De politie houdt die digitale gijzelingen al een tijdje in de gaten. Het spoor leidt naar een afgelegen plek, ergens in een bos aan de kust: precies de locatie van deze bioscoop. Wat gebeurt daar allemaal?

Dit verhaal begint bij Björn Persson uit Zweden. Björn is een IT’er en houdt de netwerken en infrastructuur van de Ikea veilig. Op een dag werkt de computer van Björn nauwelijks meer. Hij doet de welbekende truc: control-alt-delete, waarmee je bij Windows het schermpje oproept met alle processen. Welk programma laat zijn computer zo traag lopen? Maar control-alt-delete werkt niet. Björn merkt dat er met zijn computer is gerommeld; zijn computer wordt aangestuurd vanuit een computer in Nederland. Dan wordt zijn computer op slot gezet. Björn moet één bitcoin, toentertijd zo’n 200 euro per stuk waard, betalen aan cybercriminelen, anders krijgt hij geen toegang meer tot zijn bestanden. De Nederlandse computer blijkt een server te zijn van een ITbedrijf uit het noorden van het land.

Björn neemt contact op met de eigenaar: als het goed is staat daar de digitale sleutel waarmee hij weer toegang krijgt tot zijn bestanden. De eigenaar van het bedrijf doorzoekt de server en vindt daar inderdaad de sleutel van Björn: zijn server is gehackt en wordt misbruikt door criminelen. Hij stuurt de sleutel door en met een paar klikken is Björns computer weer ontgrendeld. De rest van de sleutels stuurt hij op naar de politie, misschien kunnen zij er wat mee.

Björns computer was versleuteld met de ransomware CoinVault. Dit virus wordt verstopt in dure software die mensen veelal illegaal downloaden, waaronder fotobewerkingsprogramma Photoshop. Omdat veel mensen te krenterig zijn om te betalen voor legale software maakt CoinVault veel slachtoffers, onder wie Björn. Hij mailt een Nederlandse techneut die onderzoek doet naar CoinVault en geeft hem al zijn informatie, in de hoop dat de criminelen achter de ransomware worden gepakt.

Sluw te werk

Die onderzoeker is Jornt van der Wiel. Hij houdt van malware, virussen en andere digitale gevaren, en onderzoekt ze voor zijn werk bij Kaspersky, een gerenommeerd cybersecuritybedrijf, bekend van de antivirusprogramma’s. Jornt onderzoekt welke nieuwe dreigingen op ons afkomen, zodat hun virusscanner daar optimaal op kan reageren.

Jornt vindt CoinVault ontzettend interessant. Het wordt voornamelijk verspreid in Nederland en dat is best bijzonder: veel ransomware richt zich op grotere markten, zoals Duitsland, Engeland en de Verenigde Staten. Ook opvallend: de tekst die CoinVault op besmette computers toont om mensen af te persen is beschikbaar in twee talen, Engels en Nederlands. En het Nederlands is voor de verandering helemaal foutloos geschreven.

Zou CoinVault door Nederlanders zijn gemaakt? Dat zie je eigenlijk nooit. Nederland komt vaak voor in cybercrime zaken, maar voornamelijk omdat onze digitale infrastructuur wordt misbruikt om malware te verspreiden. Ons internet is snel en goedkoop en wij zijn qua ligging een van de belangrijkste internetknooppunten van de wereld.

Dat komt door de Amsterdam Internet Exchange, afgekort tot ams-ix: dat is een soort digitale rotonde die internetpakketjes van over de hele wereld de juiste kant op stuurt. Daar komt nog eens bij dat hostingpartijen, waar cybercriminelen hun ransomware bewaren en verspreiden, hier niet wettelijk verantwoordelijk zijn voor de troep op hun servers. Ofwel, Nederland is een ideaal land om als cybercrimineel je virussen over de hele wereld te verspreiden.

Jornt krijgt een belletje van de politie. Ze hebben een zak digitale sleutels gekregen waarmee slachtoffers van Coin- Vault weer bij hun bestanden kunnen.

De politie weet dat Jornt met de zaak bezig is, hij heeft er immers een blogpost over geschreven. Of hij interesse heeft in de sleutels. Als Kaspersky nou een tooltje zou bouwen waarmee slachtoffers hun computer weer kunnen ontgrendelen, zou dat helemaal mooi zijn. Jornt gaat meteen aan de slag en bouwt in een weekend exact dat programma.

In de tussentijd wordt steeds meer duidelijk over CoinVault. De cybercriminelen gaan heel sluw te werk. Het virus dat ze verspreiden, gijzelt niet direct een computer. Eerst infecteren ze het apparaat zodat ze altijd toegang hebben. Dan kijken ze of er toevallig een digitale portemonnee met bitcoins op de computer staat. Dat digitale geld kunnen ze dan gelijk stelen. En ze kijken of er inloggegevens voor andere computers of servers zijn te vinden: die kunnen ze dan ook direct overnemen en infecteren. Pas zodra de criminelen op een knop drukken, gijzelen ze een computer met CoinVault. Dat doen ze niet per computer, maar vaak per tientallen of zelfs honderden.

De digitale sleutels om toegang te krijgen tot je bestanden worden door criminelen op een slimme manier opgeslagen. Ze hacken de achterkant van een website waar alle data worden opgeslagen, zoals gebruikersnamen en wachtwoorden – de zogeheten database. Daarin maken ze een extra ruimte aan, helemaal voor zichzelf, waarbij ze per computer de sleutel bewaren. Door websites van anderen te hacken hoeven de criminelen geen eigen servers te huren waarmee ze mogelijk makkelijker te traceren zijn. Daarom zag Björn dat zijn computer werd gegijzeld door een bedrijf dat niets met het virus te maken had.

In samenwerking met de politie lanceert Kaspersky Jornts encryptieprogramma voor CoinVault en de bedankjes van getroffen computergebruikers stromen binnen. Opeens hebben mensen weer toegang tot hun meest dierbare digitale bestanden: foto’s van je bruiloft, een kopie van de brief van je overleden vader of je muziekcollectie waar jaren werk in zit.

Zo’n domme fout?

Ondertussen graaft Jornt verder in de ransomware. Beetje bij beetje haalt hij het virus uit elkaar. De computercode is solide en netjes geschreven en zeker niet het werk van amateurs. Jornt kijkt dan naar een specifiek onderdeel van de software: naar de program database, afgekort pdb. Daar zie je hoe software – en dus ook kwaadaardige als malware –is gebouwd en op wat voor soort apparaat. Al die regels code moeten namelijk samenkomen tot een stukje software.

Dit proces wordt ook wel compilen genoemd. Als er iets stukgaat tijdens dat proces, bijvoorbeeld omdat er een typefout in de programmeercode staat, dan vind je die fout terug in de pdb en kun je hem makkelijk oplossen. Cybercriminelen slopen die pdb vaak uit hun malware omdat die informatie bevat over hun computer, bijvoorbeeld het model of de naam van de gebruiker.

Toch besluit Jornt voor de zekerheid even naar die pdb te kijken. Hij ziet daar een computer pad: C:\Users\ en dan een voor- en achternaam. Van een Nederlander. Hij kan zijn ogen niet geloven. Heeft de maker van deze slimme malware zo’n domme fout gemaakt? Jornt heeft geen idee, maar geeft de naam wel door aan de politie.

Kevin en Bart

Benieuwd naar de rest van het artikel? Lees het in de nieuwste Panorama of bekijk het gratis op Blendle.

Het boek Ik weet je wachtwoord van Daniël Verlaan ligt vanaf 23 oktober in de winkel en is dan ook online te bestellen.