Unieke actie: politie bevrijdt gegijzelde computers dankzij truc met bitcoin
Zo'n 20 Nederlandse slachtoffers die niet meer bij de bestanden op hun opslagschijf konden, zijn geholpen door een actie van de politie. De politie kreeg door een truc meer dan 150 digitale sleutels in handen. Daarmee kunnen de slachtoffers hun apparaat ontgrendelen.
Met een slimme truc wist de politie - zonder te betalen - de codes te bemachtigen waarmee slachtoffers de digitale gijzeling kunnen opheffen. Volgens de politie had de cybercrimineel gisteren door dat er iets aan de hand was. "Alle stekkers werden er aan die kant uitgetrokken. Belangrijk effect is dat we nu hun verdienmodel hebben ondermijnd, hun criminele proces."
Op dit moment zijn volgens de politie zo'n 15.000 mensen en bedrijven slachtoffer van deze vorm van gijzelsoftware, waaronder 1100 in Nederland. Het gaat om een variant die DeadBolt heet. Deze ransomware versleutelt opslagservers van het merk QNAP.
0,05 bitcoin
Slachtoffers kunnen daardoor niet meer bij hun opgeslagen foto's, back-ups en andere bestanden, tenzij zij losgeld betalen. Door in bitcoin ongeveer duizend euro over te maken, ontvangen zij een code om de digitale gijzeling ongedaan te maken.
Een van de slachtoffers is Idwer Wiersma uit het Overijsselse Bergentheim. Hij kwam in juli terug van vakantie en zag dat zijn opslagserver was vergrendeld, zegt hij tegen RTL Nieuws. "Met de boodschap dat het niet persoonlijk was. En de vraag om 0,05 bitcoin te betalen, toen ongeveer 1100 euro."
"Eerst dacht ik: het zijn maar bestanden", zegt Wiersma "Maar er zitten toch foto's van mijn overleden schoonouders bij, en van de kinderen. Dan worden het toch emotionele bestanden. Ik heb zeker op het punt gestaan om te betalen."
Slimme truc
Met een slimme truc probeerde de politie slachtoffers te helpen zonder dat zij duizend euro in bitcoins moeten betalen. De politie kwam in actie op een druk moment op het bitcoinnetwerk. Dan duurt het langer voordat de betaling helemaal verwerkt is.
En daar zit de ruimte. Zodra de transactie start, wordt de code om het digitale slot te ontgrendelen al verstuurd. Omdat het even duurt voor de betaling compleet is, heeft de politie kort de tijd om de betaling in te trekken. Het resultaat, als alles goed gaat: de politie heeft de sleutel ontvangen én het geld terug.
De politie adviseert slachtoffers om de gegijzelde slachtoffers om hun opslagservers eerst zo snel mogelijk offline te halen. Anders kan de crimineel de versleuteling vernieuwen, waardoor de bemachtigde sleutel niet meer werkt.
Politie: 'Doe aangifte'
Terwijl politiespecialisten op het bureau in Den Bosch probeerden zoveel mogelijk sleutels te bemachtigen, bellen andere agenten in een ruimte verderop de eerste slachtoffers. De Nederlanders die aangifte hebben gedaan, zijn als eerste aan de beurt.
De politie wil met de actie laten zien dat het wel degelijk nut heeft om aangifte te doen. Dat gebeurt weinig. Slechts veertien slachtoffers van de DeadBolt-ransomware deden aangifte bij de politie. Omdat de politie hen kende, konden zij donderdagavond direct gebeld worden.
'We hebben onze bestanden terug!'
Wiersma is een van hen. Hij kreeg om 21.00 uur een telefoontje van de politie. "Super. We hebben onze eerste bestanden terug!", is zijn eerste reactie als RTL Nieuws hem belt.
Hij vertelt hoe het ging: "Ik kreeg een instructie van de politie en moest stappen volgen. Uiteindelijk kwam ik bij de key uit. Die heb ik gekopieerd en toen kwamen de bestanden een voor een te voorschijn."
Wiersma is enorm opgelucht. "We hebben als eerst de foto's van onze huwelijksreis bekeken. Ik ben echt hartstikke blij."
Wie zit(ten) achter DeadBolt?
DeadBolt is een relatief onbekende vorm van gijzelsoftware, ook wel ransomware genoemd. De crimineel of criminelen maken misbruik van een kwetsbaarheid in opslagservers van het merk QNAP. Vermoedelijk zijn tienduizenden mensen wereldwijd slachtoffer (geweest) van deze vorm van digitale gijzeling.
De politie weet niet wie er achter DeadBolt zit(ten). "Het opsporen van deze crimineel of criminelen doen we wel, maar is bij cybercrime lastig", zegt Matthijs Jaspers, specialist ransomware bij de politie Oost-Brabant.
"In dit geval kunnen we de crimineel veel beter dwarszitten en de slachtoffers helpen. We kijken niet alleen naar het vangen van die crimineel. In dit geval gaan we echt voor die verstoring."
Internationale slachtoffers van de DeadBolt-gijzelsoftware kunnen op deadbolt.responders.nu terecht om te controleren of de politie hun code heeft, en hem op te halen. De politie adviseert om de gegijzelde slachtoffers om hun opslagservers eerst zo snel mogelijk offline te halen. Anders kan de crimineel de versleuteling vernieuwen, waardoor de bemachtigde sleutel niet meer werkt.
Rickey Gevers is specialist op het gebied van cybersecurity. Hij tipte de politie over deze truc en vermoedt dat er maar één persoon achter DeadBolt schuilgaat. "Normaal gesproken zien we dat de buit verdeeld wordt onder de criminelen van een groep. Maar bij DeadBolt blijven de ontvangen bitcoins in de digitale portemonnees zitten. Als je met anderen samenwerkt, moet je die mensen uitbetalen. Dat gebeurt hier niet."