Google heeft op de Black Hat-conferentie in Las Vegas de resultaten van eigen onderzoek gepresenteerd. Daaruit blijkt dat ransomware sinds 2016 in totaal vaak meer dan een miljoen dollar per maand genereert. Het onderzoek richtte zich op het volgen van betalingen in bitcoins.

Uit de cijfers die Google bij monde van onderzoeker Elie Bursztein bekendmaakte, blijkt dat de inkomsten uit ransomware in 2016 een sterke groei tegenover de jaren daarvoor hebben doorgemaakt. Veruit de succesvolste ransomwarevarianten zijn Locky en Cerber, die allebei een groot aandeel hebben in de opbrengsten. Tot nu toe hebben de twee varianten allebei ongeveer zeven miljoen dollar opgebracht. In totaal heeft ransomware criminelen tot nu toe een bedrag van 25 miljoen dollar opgebracht.

Bursztein benadrukte tegenover Tweakers dat het daarbij om een conservatieve schatting gaat, omdat dit het bedrag is dat zijn team in het onderzoek kon volgen via bitcoinbetalingen. Om dat onderzoek uit te voeren, zette het team twee verschillende manieren in. Om bitcointransacties te volgen zochten de onderzoekers online naar meldingen door slachtoffers, die bijvoorbeeld beschreven naar welk adres zij bitcoins overgemaakt hadden. Daarnaast zetten zij 'synthetische slachtoffers' in, waarbij ze in eerste instantie een dataset van meer dan 150.000 ransomware-binaries aanlegden en analyseerden met machine learning. Vervolgens gebruikten zij beeldherkenning om de bijbehorende betaalsites te herkennen en automatisch de bijbehorende bitcoinwallets te detecteren.

Om het betalingsnetwerk in kaart te brengen, keken de onderzoekers naar zogenaamde 'accumulation wallets'. Dat zijn bitcoinwallets van criminelen waarin bitcoins terechtkomen nadat zij door een slachtoffer naar een bepaald adres zijn overgemaakt en daarna via verschillende transacties in deze 'verzamelwallet' terecht zijn gekomen. Waren er eenmaal genoeg betalingen naar een dergelijke wallet getraceerd, konden vanuit daar ook weer andere slachtoffers geïdentificeerd worden, door te kijken naar de herkomst van eerder ontvangen betalingen.

Uit het onderzoek zijn nog enkele andere bevindingen voortgekomen. Zo bleek dat de meeste slachtoffers bitcoins kopen via Localbitcoins of Bithumb. Ook wordt in 90 procent van de gevallen een betaling in één keer doorgevoerd. Gebeurde dit niet, dan had het slachtoffer vaak geen rekening gehouden met transactiekosten. Verder bleek dat criminelen in 95 procent van de gevallen bitcoins omwisselden voor traditionele valuta door gebruik te maken van de exchange BTC-e.

Locky was de eerste ransomwarevariant was die een miljoen dollar in een enkele maand opbracht. Dat gebeurde voor het eerst in het begin van 2016. De Cerber-ransomware is het meest consequent. Deze variant bracht een jaar lang steevast meer dan 200.000 dollar per maand op. De Google-onderzoekers schrijven dit toe aan het 'Ransomware as a Service'-model van de malware, waarbij 'klanten' Cerber kunnen afnemen en verspreiden, en zo een deel van de winst opstrijken.

Reacties mogelijk gemaakt door CComment