De nieuwste variant van de CryptoWall-ransomware heeft de makers mogelijk 325 miljoen dollar opgeleverd, zo stellen Fortinet, Intel Security, Palo Alto Networks en Symantec (pdf). Concreet bewijs dat de criminelen dit bedrag ook daadwerkelijk met hun ransomware hebben verdiend ontbreekt echter.

CryptoWall is een vorm van ransomware die bijna anderhalf jaar geleden voor het eerst verscheen. Net als andere ransomware versleutelt het bestanden op de computer en moeten slachtoffers voor het ontsleutelen betalen. Voor hun onderzoek keken de beveiligingsbedrijven naar versie 3 van CryptoWall. Deze versie verspreidt zich vooral via e-mail, zo blijkt uit analyse van 70.000 exemplaren. 67% gebruikt e-mail als infectievector, terwijl 31% zich verspreidde via lekken in populaire software zoals Adobe Flash Player en Internet Explorer.

De infectievector van het resterende percentage wordt niet bekendgemaakt. In het geval van de e-mails worden vooral gezipte bijlagen met daarin scr-bestanden verstuurd. Scr is het bestand voor Windows-screensavers, maar fungeert hetzelfde als een normaal exe-bestand. Om slachtoffers niets te laten vermoeden werden bijvoorbeeld de icoontjes van de bestanden aangepast. Daarnaast wordt in Windows standaard de bestandsextensie niet getoond, waardoor gebruikers niet doorhadden dat het om een uitvoerbaar bestand ging.

Schade

Volgens de beveiligingsbedrijven zou CryptoWall versie 3 naar schatting voor 325 miljoen dollar schade hebben veroorzaakt, maar dit wordt niet duidelijk in het rapport onderbouwd. Er wordt bijvoorbeeld gewezen naar de bitcoin-wallets waar slachtoffers geld naar moesten overmaken, maar de opbouw van de 325 miljoen dollar wordt niet verklaard. De bende gebruikte volgens de beveiligingsbedrijven allerlei bitcoin-wallets om het geld door te sluizen en zo hun sporen te verbergen, iets wat het onderzoek bemoeilijkte.

Verder wordt erin het rapport naar een campagne gewezen die 15.000 slachtoffers maakte, maar het is onduidelijk of al deze slachtoffers ook hebben betaald, aangezien de onderzoekers de woorden "would account" en "associated" gebruiken. Security.NL heeft om een onderbouwde uitleg van het schadebedrag gevraagd, maar op het moment van schrijven nog geen reactie gehad.

Update

De beveiligingsbedrijven laten in een reactie aan Security.NL weten dat het schadebedrag is gebaseerd op een grote bitcoin-wallet waar naar verluidt alle betalingen van de slachtoffers uiteindelijk in terechtkwamen. Met een gemiddeld losgeld bedrag van 500 dollar zou dit inhouden dat zo'n 650.000 slachtoffers CryptoWall versie 3 het losgeld betaalden. Eerder onderzoek van Dell SecureWorks naar een andere variant van CryptoWall liet zien dat slechts 0,27% van de slachtoffers betaald. Als dit percentage voor versie 3 zou gelden zou het inhouden dat honderden miljoenen mensen wereldwijd geinfecteerd zijn geraakt, wat onwaarschijnlijk lijkt. We hebben de bedrijven dan ook om verdere uitleg gevraagd.