image

Juridische vraag: kan bedrijf aangifte van ransomware doen?

woensdag 5 februari 2014, 10:26 door Arnoud Engelfriet, 17 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Recent is ons bedrijf getroffen door de Cryptolocker-worm. Al onze bestanden zijn nu onbruikbaar geworden, inclusief de back-up op het netwerk. Kunnen wij nu bij de politie aangifte doen? Dit is toch strafbaar als afpersing of zo?

Antwoord: Software zoals Cryptolocker wordt wel ransomware ("gijzelsoftware"). Dergelijke software wist geen gegevens maar versleutelt ze, zodat ze onbruikbaar zijn totdat de juiste sleutel wordt ingevoerd. De verspreider van deze software geeft de sleutel pas af nadat de eigenaar van de gegevens heeft betaald. De gegevens worden dus als het ware in gijzeling genomen tot het losgeld is betaald. Dit is apart strafbaar gesteld (art. 350a lid 1 Strafrecht), met maximaal 2 jaar cel.

Meestal zal gijzelsoftware worden verspreid via een virus of worm. Dan is deze vorm van malware strafbaar onder art. 350a lid 3, verspreiding van virussen. Dit kan maximaal vier jaar cel opleveren, en bovendien kan de verdachte dan in voorlopige hechtenis worden genomen en mogen dan zwaardere opsporingsmiddelen ingezet worden.

Afpersing is het heel formeel niet, omdat art. 317 Strafrecht eist dat er sprake is van "geweld of bedreiging met geweld" en je kunt veel zeggen van Cryptolocker maar fysiek gewelddadig is het niet.

Juridisch allemaal prima geregeld dus, maar wat heb je hieraan in de praktijk? De criminelen zitten achter Tor en accepteren alleen betaling in anonieme valuta. Hoe spoor je ze op? Hoe ga je ze vervolgen? Ik vrees dat je hier weinig hebt aan de wet.

Hebben jullie tips hoe Cryptolocker-infecties te voorkomen?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
05-02-2014, 10:54 door [Account Verwijderd]
[Verwijderd]
05-02-2014, 11:07 door Anoniem
Of het nu zin heeft i.v.m. een eventuele vervolging van een dader of niet; altijd aangifte doen!

Niet alleen is het belangrijk omdat justitie op die wijze duidelijker in kaart kan brengen van welke omvang een bepaald misdrijf is, maar ook met betrekking tot je verzekering(en). Dit soort ellende leidt altijd tot bedrijfsschade welke wellicht (deels) verhaald kan worden. De aangifte kan ook van belang zijn voor de belastingdienst daar geleden schade op die manier wettelijk is vastgelegd. Dat maakt weer uit onder aan de streep, eind van het fiscaal jaar/kwartaal.
05-02-2014, 11:24 door Erik van DearBytes - Bijgewerkt: 05-02-2014, 11:26
[Verwijderd door moderator]
05-02-2014, 12:11 door Anoniem
@ EvdWal: de software is redelijk simpel. Als ik me niet vergis is Cryptolocker in C++ geschreven, er is/was een clone in C# en voorlopers (GPCode) waren in Delphi. Intern gaat het waarschijnlijk als volgt:

- dropper zet Cryptolocker op het systeem
- zorg dat we automatisch opstarten (Registry key aanmaken)
- kijk welke drives/partities er op het systeem aanwezig zijn en het type (GetDriveType etc API's)
- matcht het type drive? zoek dan naar bestanden met de volgende extensies (hardcoded array met extensies)
- haal een Public Key op van de server (er is dus netwerkverkeer wat door een IDS op te merken is)
- de Private Key welke nodig is om de data te decrypten blijft dus voor de criminelen beschikbaar (of voor opsporingsdiensten indien ze op de server weten in te breken)
- maak een random Session Key aan (Microsoft's eigen Crypto API)
- versleutel het bestand met de Session Key
- versleutel de Session Key met de Public Key en voeg toe aan het versleutelde bestand
- overschrijf het originele bestand of do "in-place" encryptie (weet niet uit mijn hoofd wat Cryptolocker doet)
- herhaal voor alle gevonden bestanden
- als laatste stap: toon gebruiker een bericht voor losgeld + timer
- verwijder alle keys uit het geheugen (als men slim programmeert ...)

Een netwerkbackup is in dit geval dus niet veilig indien de geinfecteerde gebruiker daar schrijftoegang heeft. Een offline backup is veilig zolang de data welke geschreven wordt niet door Cryptolocker is overschreven. Let dus goed op ...

Hoe recent is infectie? Ik dacht dat de campagne afgelopen was. Wellicht is het aan iemand anders verkocht.
05-02-2014, 12:27 door xclude - Bijgewerkt: 05-02-2014, 12:32
Cryptoguard in HitmanPro.Alert (beta) werkt bij sommige AV software zoals BitDefender niet juist. Een misschien wel beter en minder bekend gratis alternatief is CryptoPrevent van Foolish.it http://www.foolishit.com/vb6-projects/cryptoprevent/. Dit helpt je niet om de verloren bestanden terug te krijgen maar voorkomt wel alle soorten Crypto malware. Vaak lijkt betalen een optie maar meestal ben je dan ook je geld kwijt, niet doen dus.
05-02-2014, 12:58 door N4ppy
Er staan al een aantal maatregelen hierboven maar wat ook kan helpen is het beperken van schade.
Zorg ervoor dat mensen niet overal bij kunnen.

Beperk access to het noodzakelijke en waar mogelijk read only.

Maar als de systeembeheerder gecryptolockerd wordt dan ben je ook weer de sjaak
05-02-2014, 13:00 door Anoniem
Door EvdWal:Gevaarlijk maar toch deels wel eigen schuld mocht er ransomeware op een systeem / server aanwezig zijn. Vaak door onhandigheden (klikken op een verkeerde link) (e-mail openen) (bijlages).

Is het eigen schuld of onhandigheid? Als iemand onhandig is, is hij niet schuldig.

Peter
05-02-2014, 13:29 door Rstandard
Als zelfs je backup is aangeraakt door Cryptlocker dan heb je toch wel een behoorlijk probleem.
De betaling die gedaan moet worden kost waarchijnlijk minder dan de schade die je bedrijf per dag oploopt omdat men bij geen enkele belangrijke bestand kan.

Maar dan nog is er de kans dat je niet de sleutel krijgt om alle bestanden in originele staat terug te krijgen.
05-02-2014, 14:30 door Wim ten Brink
Aangifte doen kan altijd, alleen zal het enorm lastig zijn om de daders op te sporen. Je aangifte verdwijnt dan in de archieven en de statistieken.
-
En qua beveiliging? Eerst en vooral zorgen dat je personeel veilig bezig is en niet zomaar alles wat ze in de mailbox ontvangen ook openen.
Neem een virusscanner die ook het HTTP(S) verkeer controleert en bij voorkeur integreert in je browser. Hierdoor zijn ook zaken zoals webmail enigszins beschermd.
Gebruik bij voorkeur FireFox of Google Chrome zonder (al te veel) plug-ins. Vermijd Internet Explorer simpelweg omdat IE een te populair doelwit is voor aanvallen van hackers.
Installeer naast de virusscanner een extra bescherm-tool. MalwareBytes is wel aardig en werkt vrij goed in het opsporen van extra dreigingen. Bij het opschonen van een PC met up-to-date virusscanner heb ik MalwareBytes geinstalleerd en deze vond nog drie extra zaken die mijn PC kwetsbaar maakten maar die de virusscanner had genegeerd omdat de gebruiker kennelijk had geaccepteerd dat deze -ondanks de waarschuwing- werd geinstalleerd.
En verder: verdeel en heers. Je ziet soms dat bedrijven zelf zoveel mogelijk onder controle willen houden en te weinig onderbrengen in beschermde omgevingen van andere bedrijven. Ik ben een enorme liefhebber van Google Apps omdat ik daar een mooie opslagruimte heb voor documenten, presentaties en andere zaken. Ook GitHub en de TFS online versie van Microsoft is handig om broncode veilig te stellen. Dropbox is nog een goede oplossing voor de belangrijke gegevens.
-
Maar de allerbelangrijkste tip: kijk in hoeverre je personeel wel een PC nodig heeft. Soms kunnen ze best hun werk doen op een iPad, een Android laptop of zelfs een Chrome OS laptop. Kies voor de minimale aanpak, waarbij iedereen alleen beschikbaar heeft wat ze voor hun werk nodig hebben. Een secretaresse die alleen maar brieven typt en de telefoon beantwoordt kan prima werken met Open Office, een webbrowser met webmail en dit alles op een Linux systeem. Dat systeem is dan meteen veel minder kwetsbaar. (Want Windows is het meest favoriete doelwit...)
05-02-2014, 17:35 door Anoniem
De nationale politie zegt zelf internationaal onderzoek te doen naar de criminelen die hier achter zitten. Het is dus geen statistiekenwerk. Ik kan me voorstellen dat het Hightech Crime team een aangifte (en bijbehorende details) goed kan gebruiken.
- Johan
06-02-2014, 06:13 door Anoniem
Door xclude: Cryptoguard in HitmanPro.Alert (beta) werkt bij sommige AV software zoals BitDefender niet juist.
Dit is inmiddels opgelost in versie 2.6.1.
06-02-2014, 07:10 door SPlid
Beste Arnoud, je merkt op :
Afpersing is het heel formeel niet, omdat art. 317 Strafrecht eist dat er sprake is van "geweld of bedreiging met geweld" en je kunt veel zeggen van Cryptolocker maar fysiek gewelddadig is het niet.

Als er in een ziekenhuis database belangrijke informatie staat over bijvoorbeeld medicijnen die aan een patient moeten worden verstrekt, wordt het dan niet gewelddadig (dood door schuld, dood door grove nalatigheid, of doodslag. Misschien zelfs omdat het opzet is met voorbedachte rade moord ? ) .

Valt het dan niet onder fysiek geweld ? Tenslotte als ik computer gebruik om de doodstraf uit te voeren, kom dit volgens mij redelijk overeen. (of hacken morphine- of insulinepomp)
06-02-2014, 10:08 door Anoniem
Door Anoniem:
Door EvdWal:Gevaarlijk maar toch deels wel eigen schuld mocht er ransomeware op een systeem / server aanwezig zijn. Vaak door onhandigheden (klikken op een verkeerde link) (e-mail openen) (bijlages).

Is het eigen schuld of onhandigheid? Als iemand onhandig is, is hij niet schuldig.

Peter

Mee eens. Een typfout is zo gemaakt met een URL. Hoeveel zeroday leaks zijn er ? Je kunt er niet altijd wat aan doen. Ik had pas ook een typfout gemaakt met google.nl en had ook even het politie virus in de browser. Helaas had ik een linux systeem en met het sluiten van de browser en wissen van de cache was alles weg.
06-02-2014, 10:35 door xclude
Door Anoniem:
Door xclude: Cryptoguard in HitmanPro.Alert (beta) werkt bij sommige AV software zoals BitDefender niet juist.
Dit is inmiddels opgelost in versie 2.6.1.
Ja leuk, maar deze is (nog) niet te downloaden via de website, en slechts weinigen maken gebruik van het beta programma van Surfright.
06-02-2014, 12:30 door Arnoud Engelfriet
Door SPlid: Als er in een ziekenhuis database belangrijke informatie staat over bijvoorbeeld medicijnen die aan een patient moeten worden verstrekt, wordt het dan niet gewelddadig (dood door schuld, dood door grove nalatigheid, of doodslag. Misschien zelfs omdat het opzet is met voorbedachte rade moord ? ) .

Dat voldoet nog steeds niet aan de eis "bedreiging met geweld", cryptolocker zégt immers niet "ik ga de patiënt vermoorden als u niet betaalt".

Deze situatie kun je wél zien als verstoren in infrastructuur van algemeen nut, art. 161sexies Strafrecht.
http://wetten.overheid.nl/BWBR0001854/TweedeBoek/TitelVII/Artikel161sexies/geldigheidsdatum_11-11-2013
Opzettelijk zo'n stoornis veroozaken die de dood tot gevolg heeft, leidt tot maximumstraf van 15 jaar. En 9 jaar als er wel doodsgevaar was maar niet daadwerkelijk een overlijden.
06-02-2014, 22:18 door Spiff has left the building - Bijgewerkt: 06-02-2014, 22:19
Door xclude, wo.5-2, 12:27 uur:
Cryptoguard in HitmanPro.Alert (beta) werkt bij sommige AV software zoals BitDefender niet juist.
Door Anoniem, do.6-2, 06:13 uur:
Dit is inmiddels opgelost in versie 2.6.1
Door xclude, 10:35 uur:
Ja leuk, maar deze is (nog) niet te downloaden via de website, en slechts weinigen maken gebruik van het beta programma van Surfright.
En tevens lijken HitmanPro.Alert 2.6.1 en vervolgens 2.6.2 jammer genoeg nog zwaarder bèta dan SurfRight gezien de recente uitspraak "We are closing in on a final non-beta release" bij 2.6.2 nog zo optimistisch hoopte.
Zie de probleembeschrijvingen op laatste pagina's van de HitmanPro.Alert Support and Discussion Thread op Wilders Security Forums: http://www.wilderssecurity.com/showthread.php?t=324841
Er moeten nog een aantal problemen opgelost worden. Maar wie weet gaat dat vlot.
07-02-2014, 10:25 door Anoniem
Ik herhaal het nog maar weer eens: je kunt in Windows een Software Restriction Policy (in latere versies AppLocker policy genoemd) aanmaken.
Deze bepaalt welke locaties executable software mogen bevatten.
Dit gaat met allow en deny regels die je zo kunt opzetten dat de normale locaties zoals %windir% en %ProgramFiles% wel toegelaten zijn maar plekken als %USERPROFILE% niet. En %TEMP% (die is meestal een subdir van %USERPROFILE%)

Dit richt je zo in dat er geen software kan worden uitgevoerd vanaf een locatie waar de gebruiker mag schrijven.
(dus %USERPROFILE% en zeker %TEMP% maar ook netwerkschijven e.d.)

Als je software wilt installeren log je in als een administrator en plaats je de software op de goede plek.
Als je het systeem gewoon gebruikt log je in als een gebruiker die geen administrator is, en als er dan een of andere vulnerability is waardoor iets als cryptolocker actief wordt dan lukt het niet om die software te runnen.
(999 van de 1000 exploits beginnen zowizo met een .exe te downloaden naar %TEMP% of %APPDATA% en die dan te starten. dat lukt dan dus niet meer. zelfs "java" exploits doen zelf meestal niks anders dan zo'n .exe downloaden voor het eigenlijke werk)

Deze oplossing werkt 10 keer beter dan allerlei op patronen gebaseerde scanners die altijd pas iets detecteren als het al slachtoffers gemaakt heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.