De grootschalige cyberaanval van dit weekend heeft de onbekende aanvaller(s) die erachter zit(ten) tot maandagavond $59.760 opgeleverd – maar het wordt heel moeilijk dat bedrag ook daadwerkelijk te innen.
Op vrijdag werden computers over de hele wereld getroffen door verwoestende ransomware – kwaadaardige software die de data van het slachtoffer versleutelt en dan een bedrag (300 dollar in dit geval) eist om het weer beschikbaar te maken.
Met de hulp van een softwarelek waar de Amerikaanse National Security Agency (NSA) gebruik van maakte werd de ransomware naar minstens 150 landen verspreid. Het bracht schade toe aan de Britse National Health Service – waar ziekenhuizen plat gingen en operaties werden geannuleerd – en de Spaanse telecomreus Telefónica.
Ransomware-losgeld wordt over het algemeen betaald in bitcoin, de virtuele munt die gebruikers anoniem laat. Maar bitcoinbetalingen zijn wel te volgen – iedere transactie wordt genoteerd in een openbaar ‘grootboek’ die blokchain wordt genoemd. Volgens analyses van experts moet het losgeld van WannaCry aan drie verschillende “portemonnees” worden betaald.
Door deze portemonnees te onderzoeken kan je precies zien hoeveel er tot nu toe is betaald. Dinsdagochtend vroeg was er $59.760 aan bitcoin betaald. Er blijven mondjesmaat nieuwe betalingen binnenkomen en er worden geen pogingen ondernomen het geld te innen.
https://twitter.com/ransomtracker/status/864319881059106816
Dus heeft de onbekende aanvaller nu al makkelijk ruim een halve ton te pakken? Niet per se. Digitale veiligheidsexperts van over de hele wereld houden de drie protemonnees nauwlettend in de gaten en rechercheurs zijn tot op het bot gemotiveerd om de aanvaller te achterhalen vanwege de enorme schaal. "Er is duidelijk een omslagpunt voor online-crminilaiteit. De aanval moet groot genoeg zijn om geld op te leveren, maar ook weer niet groot genoeg om het hele justitie-apparaat wakker te maken."
De veiligheidsbaas van Facebook, Alex Stamos, tweette daar zaterdag al over: "'Ziekenhuizen die niet kunnen opereren' veranderen de hele berekening van aannames als 'ik word toch nooit uitgeleverd.'"
Hij ging daarna verder met tweeten:
"Je ziet dit vaak als de veiligheid van kinderen op het spel staat dat in eerste instantie terughoudende landen ineens hun recherche-kwaliteiten herontdekken. Ik zal geen namen noemen maar er is een drie-letterige veiligheidsdienst die nooit hackers in eigen land kan vinden, maar bij kidnapping ineens angstaanjagend goed blijkt te zijn.
"Uiteindelijk zijn veel politieagenten ook ouders, maakt niet uit wat hun politieke opvattingen zijn. Het is interessant om te zien of deze situatie ook zo'n zelfde soort vuur weet aan te wakkeren."
Stamos voegde daaraan toe dat deze aanval "de potentie heeft" om stille samenwerking tussen de inlichtingendiensten en justitie op gang te brengen en dat het veel makkelijker is "transacties met virtuele munten geheim te houden" voor de Londense politie dan voor de Britse inlichtingendiensten.
Medewerker Patrick Gray van ABC Radio National tweette: "Wie dit heeft gedaan is zojuist een wereldwijde prioriteit geworden van justitie. Ze kunnen maar beter gewoon de ontgrendelingscodes publiceren en wegwezen. Echt waar.
"Deze aanvallers realiseren zich misschien niet dat telefoonverkeer en ziekenhuizen cruciale infrastructuur zijn. Dat maakt het een officiele zaak voor SIGNIT-diensten", zei hij doelend op diensten die elektronische signalen kunnen onderscheppen.
Gray zegt dat niet alleen de FBI achter de aanvaller(s) aangaat, maar ook de NSA, GCHQ, New Zealand's Government Communications Security Bureau, de Australian Signals Directorate en Canada's Communications Security Establishment.
"Dat is niet echt een recept voor een rustig leven", zegt hij.
Met andere woorden: de aanval van WannaCry is op een rare manier te succesvol geweest.
Was het gewoon zomaar een gemiddelde effectieve ransomware-actie geweest dan was het misschien onder de radar gebleven. En het was zeker geen wereldnieuws geworden zoals afgelopen weekend wel het geval was. Maar het veranderde allemaal toen kinderambulances noodgedwongen weggestuurd moesten worden.