De evolutie van ransomware is zonder twijfel opmerkelijk te noemen. Wat ooit begon als een relatief kleine cyberdreiging, is uitgegroeid tot een fenomeen dat grote organisaties wereldwijd beïnvloedt. In deze blog zoomen we in op de geschiedenis van ransomware en hoe organisaties zich door de jaren heen hebben verdedigd.
Nu ransomware steeds complexer en frequenter wordt, zoeken gebruikers naar voortdurende bescherming tegen cyberdreigingen. Het afgelopen jaar werd er een stijging van 27% genoteerd in het aantal ransomware-aanvallen ten opzichte van het jaar voordien, wat de noodzaak van een doordachte beveiligingsstrategie onderstreept. Lees verder om te ontdekken hoe ransomware zich in de loop der jaren heeft ontwikkeld.
Belangrijke mijlpalen in de geschiedenis van ransomware
- Een overzicht van de belangrijkste ransomware-aanvallen sinds 1989:
- 1989 – De eerste ransomware-aanval
- 1992 – David Naccache en Sabstian von Solms
- 1996 – Young en Yong
- 2000 – Onel de Guzman
- Midden jaren 2000 – Opkomst van de eerste ransomware-virussen
- Eind jaren 2000 – RSA wordt commercieel succesvol
- 2010 – Verschijning van schermvergrendelde ransomware
- 2013 – Ransomware gericht op wetshandhavingsinstanties
- 2016 – Introductie van Javascript-ransomware
- 2018 – Start van ‘Big Game Hunting’ (BGH)
1989 – De eerste ransomware-aanval
In 1989 vond de eerste ransomware-aanval plaats. Ongeveer 20.000 mensen ontvingen per post een pakketje dat een floppydisk en een informatieblad bevatte. Dit bleek geen gewoon pakketje te zijn. Het was afkomstig van een neporganisatie genaamd ‘PC Cyborg Corp’.
De fraude werd gepleegd door Dr. Joseph L. Popp, een evolutionaire bioloog die onlangs een functie bij de Wereldgezondheidsorganisatie (WHO) had misgelopen. Popp besloot wraak te nemen op de deelnemers van de WHO-conferentie.
Het informatieblad bij de floppydisk verklaarde dat de disk een interactief programma over AIDS en alles wat met de ziekte te maken heeft bevatte.
De floppydisk bevatte echter twee bestanden, waarvan één een virus was. Wanneer de disk in de computer werd geplaatst, nam het virus onmiddellijk de autoexec.bat, het bestand dat Windows opstart, over. Hierdoor kon het virus alle bestandsextensies versleutelen, waardoor ze onbruikbaar werden. Vervolgens verscheen er een losgeldbrief waarin de slachtoffers werd gevraagd jaarlijks of eenmalig losgeld van respectievelijk $189 en $378 te betalen voor de decryptie van hun bestanden.
De kwetsbaarheden én nasleep van de aanval
Vooruitgang in moderne technologie zorgde ervoor dat specialisten tal van gebreken in Popp’s ransomware konden ontdekken.
De nasleep van deze aanval was verwoestend door het enorme verlies van waardevolle data. Omdat de meeste slachtoffers medische onderzoekers waren, had dit dataverlies desastreuze gevolgen voor de mensheid, en de impact is nog steeds voelbaar in de medische wereld. Wat nog opmerkelijker is, is dat Popp niet eens voordeel heeft gehaald uit zijn misdaad; geen enkele medische medewerker betaalde het losgeld. In plaats daarvan kozen zij ervoor hun computers te wissen, wat resulteerde in een massaal verlies van data.
1992 – David Naccache en Sebastian von Solms
Enkele jaren na de kostbare en riskante cyberaanval van Popp voerden twee andere gedurfde individuen, David Naccache en Sebastian von Solms, een aanval uit op RSA. Deze aanval richtte zich specifiek op RSA-systemen met een lage publieke exponent.
De kwetsbaarheden én nasleep van de aanval
De gevolgen van deze aanval waren enorm omdat ze aantoonden hoe kwetsbaar systemen met lage publieke exponenten waren. Veel systemen gebruikten destijds lage publieke exponenten om de snelheid van encryptie en decryptie te verbeteren, zonder zich bewust te zijn van de risico’s die deze aanpak met zich meebracht.
Deze aanval resulteerde in aanzienlijke veranderingen binnen ransomware, waarbij veilige opvulmethoden essentieel werden. Technieken zoals OAEP en PSS, die randomisatie aan de platte tekst toevoegden voordat deze werd versleuteld, werden geïntroduceerd.
1996 – Young and Yong
Een opmerkelijke episode in de geschiedenis van ransomware betreft de aanvallers die bekend stonden als ‘Yong’ en ‘Young’, oftewel de ‘Yong en Young-aanval’. Deze opportunistische hackers maakten gebruik van hun kennis van de vroege internetdagen om zwakke wachtwoorden en ongepatchte software uit te buiten. Ze slaagden erin toegang te krijgen tot sterk beveiligde omgevingen én wisten zelfs binnen te dringen bij militaire instellingen en de NASA.
De beruchte Britse hackers leken zich te richten op datadiefstal en het manipuleren van gevoelige informatie. Ze exfiltreerden vertrouwelijke gegevens en verstoorden reguliere communicatie.
De kwetsbaarheden én nasleep van de aanval
Deze aanval heeft niet alleen grote organisaties en bedrijven getroffen, maar onderstreepte ook de dringende noodzaak om de algehele cyberbeveiliging te versterken.
2000 – Onel de Guzman
In 2000 probeerde de jonge Filipijnse student Onel de Guzman internettoegang te verkrijgen door een beruchte computerworm. Deze worm verspreidde zich snel en stal wachtwoorden om toegang te krijgen tot internetverbindingen, die hij vervolgens voor eigen gebruik benutte.
Wanneer ontvangers de besmette e-mail openden, overschreef het script bestanden, stal het wachtwoorden en verzond het zichzelf naar alle contacten in de e-maillijst van de ontvanger. Deze aanval, bekend als het ‘lovebug’- of ‘ILOVEYOU’-virus, behoort tot één van de vroegste en meest beruchte aanvallen in de geschiedenis van ransomware.
De kwetsbaarheden én nasleep van de aanval
De verspreiding van dit virus was zo omvangrijk dat het miljoenen mensen wereldwijd trof. Het veroorzaakte niet alleen massaal gegevensverlies en enorme informatie-diefstal, de geschatte financiële schade liep op tot tussen 5,5 en 8,7 miljard dollar.
Onel de Guzman werd echter niet vervolgd omdat er op dat moment geen wetgeving in de Filipijnen was die cybercriminaliteit bestrafte. Deze aanval droeg wel bij aan de ontwikkeling van de E-Commerce Act van 2000, een wet die onder meer bepalingen voor computergerelateerde misdaden bevat.
Midden jaren 2000 – Eerste ransomware-virussen
Midden de jaren 2000 nam het aantal cyberdreigingen sterk toe, wat een belangrijk keerpunt markeert in de geschiedenis van ransomware. Cybersecurityspecialisten wijzen de wereldwijde digitalisering, waarbij het aantal internetgebruikers steeg van 39,14 miljoen in 1995 naar 2 miljard in 2010, aan als één van de belangrijkste redenen voor de aanzienlijke toename van cybercriminaliteit.
In die tijd maakten hackers vaak gebruik van aangepaste decryptiesleutels, waardoor de aanvallen relatief eenvoudig konden worden gekraakt.
De GPcode-decryptor hack uit 2005 illustreerde -hoe hackers ransomware-aanvallen beschouwden als een bijverdienste. Deze aanvallen waren veel minder geavanceerd dan de ransomware-aanvallen van vandaag de dag.
Eind jaren 2000 – RSA commercieel succes
Aan het eind van de jaren 2000 ondergingen cyberdreigingen een ingrijpende transformatie. Hackers begonnen RSA-encryptie toe te passen op hun virussen, wat een belangrijke ontwikkeling markeerde. Het succes werd vooral duidelijk toen GPCode in 2010 werd bijgewerkt met RSA-1024.
2010 – Opkomst van screen-locking ransomware
In 2010 verscheen een nieuw type malware, screen-locking ransomware. Dit type ransomware vergrendelt het scherm van een computer of mobiel apparaat, waardoor de gebruiker er geen toegang meer toe heeft. De gebruiker wordt vervolgens gevraagd om een klein bedrag van enkele honderden euro’s te betalen om weer toegang te krijgen tot het toestel.
Naarmate het aantal aanvallen met screen-locking ransomware steeg, sterkten bedrijven hun kennis van ransomware en hun algehele cyberbeveiliging aan. Om hackers een stapje voor te blijven, werden apparaten voortaan regelmatig bijgewerkt met de nieuwste beveiligingspatches.
2013 – Wethandshavingsfraude
Wetshandhavingsransomware vergrendelde het scherm van het apparaat en toonde een vals bericht van een autoriteit. Het bericht beweerde dat de gebruiker een misdrijf had gepleegd en eiste onmiddellijke betaling van losgeld om het apparaat te ontgrendelen. Dit type ransomware was bijzonder angstaanjagend en verspreidde zich erg snel.
Dit aanvalstype toonde aan hoe ver hackers bereid zijn te gaan door de angst van mensen voor juridische gevolgen uit te buiten. Autoriteiten moesten waarschuwingen verspreiden om gebruikers te informeren dat het om oplichting ging en hen te adviseren het losgeld niet te betalen. Ondanks deze waarschuwingen was de schade enorm. Zowel de FBI als Europol versnelden hun inspanningen om de verantwoordelijke hackers op te sporen en voor de rechter te brengen.
2016 – JavaScript-ransomware
Een andere belangrijke gebeurtenis in de geschiedenis van ransomware is de opkomst van JavaScript-ransomware. Bij deze aanvallen werden gebruikers misleid om een JavaScript-bestand uit te voeren, waarna ransomware op hun systeem werd gedownload en geactiveerd.
Hackers maakten slim gebruik van JavaScript-bestanden die in zip-archieven waren gecomprimeerd, waardoor ze onopgemerkt bleven door e-mailservices. Deze aanvallen resulteerden in aanzienlijke financiële verliezen voor degenen die het losgeld betaalden, zonder de garantie dat hun bestanden zouden worden ontsleuteld.
JavaScript-ransomware leidde tot de introductie van sandboxingtechnieken, waarmee verdachte scripts veilig konden worden geanalyseerd voordat ze toegang tot het systeem kregen.
2018 – Begin van de Big Game Hunting (BGH)
In 2018 verlegden hackers en ransomware-operators hun focus van individuen naar grotere bedrijven en organisaties, een strategie die bekend staat als Big Game Hunting (BGH). Door zich te richten op grotere doelen konden zij hun inspanningen maximaliseren en grotere financiële winsten behalen.
Deze verschuiving was zo ingrijpend dat Big Game Hunting wordt beschouwd als één van de meest significante ontwikkelingen binnen het E-crime-ecosysteem, aldus het Global Threat Report van 2020.
Ransomware vandaag: belangrijke trends en innovaties
Ransomware blijft zich ontwikkelen. Enkele van de meest voorkomende trends op en rijtje:
- Dubbele/drievoudige afpersing – Cybercriminelen versleutelen niet alleen gegevens, maar stelen ook informatie en dreigen deze openbaar te maken als er geen losgeld wordt betaald.
- Ransomware-as-a-Service (RaaS) – Ransomware-ontwikkelaars bieden hun malware via een abonnementsmodel aan andere cybercriminelen aan. Deze aanpak verlaagt de drempel voor deelname aan cybercriminaliteit en heeft geleid tot een breed scala aan aanvalstechnieken.
- Doelgerichte aanvallen – Hackers richten zich steeds vaker op grote bedrijven en organisaties, waarbij ze mikken op aanzienlijke bedragen aan losgeld.
- Aanvallen op kritieke infrastructuur – Recent namen we een stijging waar in het aantal ransomware-aanvallen op essentiële diensten zoals ziekenhuizen en transportbedrijven, wat leidt tot aanzienlijke storingen.
Sla de handen in elkaar met Blaud, bescherm je organisatie tegen ransomware
Blaud is een vooraanstaande Europese expert in cyberbeveiliging, met meer dan tien jaar ervaring in het ondersteunen van Europa’s meest beveiligingsbewuste organisaties. Of je nu behoefte hebt aan professional of managed services, wij hebben oplossingen op maat voor elke organisatie.
Ontdek onze cloud– en productiviteitsdiensten, vraag een cybersecurity-assessment aan, of neem vandaag nog contact op met onze beveiligingsexperts voor vrijblijvend advies over het versterken van jouw beveiligingsstrategie.
Veelgestelde vragen over ransomware
Wie heeft ransomware uitgevonden?
Joseph Popp wordt beschouwd als de uitvinder van ransomware. Hij gebruikte een floppydisk en informatieblad om losgeld te eisen van de deelnemers aan een conferentie van de Wereldgezondheidsorganisatie. Deze vroege vorm van ransomware vormde de basis voor latere aanvallstechnieken.
Wat is de grootste malware-aanval in de geschiedenis?
De WannaCry-ransomware-aanval wordt beschouwd als de grootse malware-aanval in de geschiedenis. In mei 2017 werden meer dan 300.000 computers in meer dan 150 landen getroffen. De aanval richtte zich op versleutelde bestanden op verouderde versies van Microsoft Windows. De aanvallers eisten losgeld in Bitcoin. De geschatte financiële schade door deze aanval loopt op tot maximaal 4 miljard dollar.
Hoe zag de ransomware-aanval van 1989 eruit?
De ransomware-aanval uit 1989, bekend als ‘AIDS Trojan’, werd uitgevoerd door Joseph Popp. Deze bioloog maakte gebruik van een floppydisk en een informatieblad vermomd als een educatieve video over AIDS. Via deze disk installeerde hij verborgen malware op de computers van de gebruikers, waarna hun bestanden werden versleuteld en losgeld werd geëist.