Makers ransomware Avaddon stoppen plots en geven sleutels vrij

Avaddon is sinds juni vorig jaar erg actief. Zo werd de Aziatische tak van verzekeraar AXA getroffen, net als een financiële dienstverlener in de Verenigde Staten, een politieke partij in Australië en een consultant in België. Ook in Duitsland en Frankrijk zijn aanvallen uitgevoerd.

De makers van Avaddon verkochten hun buit op het dark web. Maar hun sites daar zijn sinds afgelopen weekend ineens niet meer te bereiken. Bovendien kregen beveiligingsonderzoekers vanuit het niets de duizenden sleutels om computersystemen te ontgrendelen. KPN Security spreekt van een "rare twist, als je ziet hoe succesvol ze tot nu toe zijn". De criminelen zelf hebben hun besluit niet toegelicht. Scharloo: "Soms zeggen groepen dat ze stoppen vanuit morele overwegingen, hoeveel waarde je daar dan ook aan moet hechten. Soms is er onenigheid en valt een groep uit elkaar. Soms zijn de zakken gevuld en zijn ze klaar. Het kan ook zijn dat de grond ze te heet onder de voeten werd."

Maar een andere mogelijkheid is dat het een schijnbeweging is. De makers hebben weliswaar 2.934 gijzelingen gestopt door de sleutels vrij te geven, maar dat wil niet per se zeggen dat ze nu met lege handen staan. "Misschien is het maar een tiende van wat ze hebben, dat weten we niet. Misschien gaan ze met dezelfde technologie onder een nieuwe naam verder, of verkopen ze het door. En het is ook mogelijk dat ze helemaal niet op zoek waren naar losgeld, maar naar informatie."

Aanvalsstrategie geraffineerd

De criminelen gaan bij hun aanvallen heel geraffineerd te werk. Als ze eenmaal ergens binnen zijn, blijven ze lang stil, om niet ontdekt te worden. Ze brengen geduldig het hele systeem van het slachtoffer in kaart. Zo kijken ze waar de reservekopieën zijn. Als het lukt om die te versleutelen, staat een bedrijf met lege handen en wordt de druk om te betalen groter. Ook stelen ze interne bestanden, die op ondergrondse marktplaatsen worden verkocht. Dat voert de druk nog verder op. Gedupeerden moeten 40.000 tot 600.000 dollar aan losgeld betalen in bitcoins.

In Nederland zijn nog geen aanvallen bekend, maar het is "niet ondenkbaar" dat de cybercriminelen ook hier bedrijven en organisaties hebben getroffen, zegt cyberspecialist Jordi Scharloo van KPN Security. "Het is niet zo dat ze wel België en Duitsland doen, maar dan denken: we laten Nederland links liggen. Ze weten dat hier ook wat te halen valt, dat er bedrijven zijn met diepe zakken, en dat er bedrijven zijn die al eerder losgeld betaald hebben."

Mogelijk staatshackers

Het is niet bekend wie achter de ransomware zitten. Er zijn wel wat aanwijzingen. De ransomware is komen bovendrijven op Russische forums en de schadelijke software is zo gemaakt dat organisaties in Rusland en andere voormalige Sovjet-landen niet kunnen worden getroffen. Dat kan volgens Scharloo betekenen "dat de criminelen een speciale band met de regio hebben", maar dat wil niet zeggen dat ze bijvoorbeeld in Rusland zitten. In de afgelopen jaren zijn grote Russische cybercriminelen gearresteerd in onder meer de Malediven, Griekenland, Bulgarije, Spanje, Thailand en Israël.

De makers van Avaddon krijgen mogelijk steun van een regeringsdienst. Het motief is niet duidelijk. "Misschien willen landen informatie halen. Maar het kan ook zijn dat ze schade willen berokkenen bij een rivaal. Het kan zo simpel zijn als: leef je uit bij een land dat wij niet mogen."