In mei 2023 werd het stadsbestuur van Dallas enorm ontwricht door een ransomware-aanval. Ransomware-aanvallen worden zo genoemd omdat de hackers erachter vitale gegevens versleutelen en losgeld eisen om de informatie te ontsleutelen.
De aanval in Dallas maakte een einde aan de hoorzittingen, processen en juryplichten, en de uiteindelijke sluiting van het gemeentelijk gerechtsgebouw van Dallas. Het had ook een indirect effect op bredere politieactiviteiten, waarbij de beperkte middelen het vermogen aantasten om bijvoorbeeld zomerjeugdprogramma's uit te voeren. De criminelen dreigden gevoelige gegevens te publiceren, waaronder persoonlijke informatie, rechtszaken, de identiteit van gevangenen en overheidsdocumenten.
Je zou je kunnen voorstellen dat een aanval op een stadsbestuur en een politiemacht die wijdverspreide en langdurige ontwrichting veroorzaakt, voorpaginanieuws zou zijn. Maar ransomware-aanvallen zijn nu zo gewoon en routinematig dat de meeste zonder enige aandacht voorbijgaan. Een opmerkelijke uitzondering deed zich voor in mei en juni 2023 toen hackers een kwetsbaarheid in de Moveit-app voor bestandsoverdracht misbruikten, wat leidde tot gegevensdiefstal bij honderden organisaties over de hele wereld. Die aanval haalde de krantenkoppen, misschien vanwege de spraakmakende slachtoffers, waaronder naar verluidt British Airways, de BBC en de drogisterijketen Boots.
Volgens een recent onderzoek zijn de betalingen voor ransomware het afgelopen jaar bijna verdubbeld tot 1,5 miljoen dollar, waarbij de best verdienende organisaties de aanvallers het meest waarschijnlijk zullen betalen. Sophos, een Brits cyberbeveiligingsbedrijf, ontdekte dat de gemiddelde betaling voor ransomware steeg van 812.000 dollar vorig jaar. De gemiddelde betaling door Britse organisaties in 2023 was zelfs hoger dan het mondiale gemiddelde, namelijk 2,1 miljoen dollar.
Ondertussen heeft het National Cyber Security Center (NCSC) in 2022 nieuwe richtlijnen uitgegeven waarin organisaties worden opgeroepen hun verdediging te versterken, te midden van de angst voor meer door de staat gesponsorde cyberaanvallen die verband houden met het conflict in Oekraïne. Het volgt op een reeks cyberaanvallen in Oekraïne waarbij vermoedelijk Rusland betrokken was, wat Moskou ontkent.
Dit artikel maakt deel uit van Conversation Insights
Het Insights-team genereert lange journalistiek die voortkomt uit interdisciplinair onderzoek. Het team werkt samen met academici met verschillende achtergronden die betrokken zijn bij projecten die gericht zijn op het aanpakken van maatschappelijke en wetenschappelijke uitdagingen.
In werkelijkheid gaat er geen week voorbij zonder aanvallen op overheden, scholen, ziekenhuizen, bedrijven en liefdadigheidsinstellingen over de hele wereld. Deze aanvallen brengen aanzienlijke financiële en maatschappelijke kosten met zich mee. Ze kunnen zowel kleine als grote bedrijven treffen, en kunnen bijzonder verwoestend zijn voor de betrokkenen.
Ransomware wordt nu algemeen erkend als een grote bedreiging en uitdaging voor de moderne samenleving.
Je kunt hier luisteren naar meer artikelen uit The Conversation, verteld door Noa.
Toch was het tien jaar geleden niets meer dan een theoretische mogelijkheid en een nichedreiging. De manier waarop het zich snel heeft ontwikkeld, waardoor de criminaliteit is aangewakkerd en onnoemelijke schade is aangericht, zou een grote zorg moeten zijn. Het ‘bedrijfsmodel’ van ransomware is steeds geavanceerder geworden, met bijvoorbeeld vooruitgang op het gebied van malware-aanvalsvectoren, onderhandelingsstrategieën en de structuur van criminele ondernemingen zelf.
Er wordt verwacht dat criminelen hun strategieën zullen blijven aanpassen en nog vele jaren wijdverbreide schade zullen aanrichten. Daarom is het essentieel dat we de ransomware-dreiging bestuderen en deze tactieken voorkomen om de dreiging op de lange termijn te beperken – en dat is precies wat ons onderzoeksteam doet.
Voorspelling van de wereldwijde schadekosten door ransomware - bron:Cyber Security Ventures
Ons onderzoek heeft er jarenlang naar gestreefd deze evoluerende dreiging te voorkomen door nieuwe strategieën te onderzoeken die ransomware-criminelen kunnen gebruiken om slachtoffers af te persen. Het doel is om vooraf te waarschuwen en voorop te lopen, zonder details te identificeren die door criminelen kunnen worden gebruikt. In ons laatste onderzoek, dat door vakgenoten is beoordeeld en zal worden gepubliceerd als onderdeel van de Internationale Conferentie over Beschikbaarheid, Betrouwbaarheid en Beveiliging (ARES), hebben we een nieuwe dreiging geïdentificeerd die misbruik maakt van kwetsbaarheden in cryptocurrencies.
Ransomware kan in verschillende contexten subtiel verschillende dingen betekenen. In 1996 beschreven Adam Young en Mordechai “Moti” Yung van Columbia University de basisvorm van een ransomware-aanval als volgt:
Criminelen schenden de cyberbeveiligingsmechanismen van het slachtoffer (door middel van tactieken zoals phishing-e-mails of door gebruik te maken van een insider/malafide medewerker). Zodra de criminelen de verdediging van het slachtoffer hebben doorbroken, zetten ze de ransomware in. De belangrijkste functie hiervan is het versleutelen van de bestanden van het slachtoffer met een privésleutel (die kan worden gezien als een lange reeks tekens) om het slachtoffer uit zijn bestanden te sluiten. De derde fase van een aanval begint nu wanneer de crimineel losgeld eist voor de privésleutel.
De simpele realiteit is dat veel slachtoffers het losgeld betalen, waarbij het losgeld mogelijk in de miljoenen dollars kan lopen.
Met behulp van deze basiskarakterisering van ransomware is het mogelijk om verschillende soorten aanvallen te onderscheiden. Aan het ene uiterste zijn er de ‘low level’-aanvallen waarbij bestanden niet worden gecodeerd of criminelen niet proberen losgeld te verkrijgen. Maar aan het andere uiterste doen aanvallers aanzienlijke inspanningen om de verstoring te maximaliseren en losgeld te eisen.
De WannaCry ransomware-aanval in mei 2017 is zo’n voorbeeld. Bij de aanval, die verband hield met de Noord-Koreaanse regering, werd niet echt geprobeerd losgeld van de slachtoffers te verkrijgen. Niettemin leidde het tot wijdverbreide ontwrichting over de hele wereld, ook voor de Britse NHS, waarbij sommige organisaties die cyberveiligheidsrisico's modelleren zelfs beweren dat de mondiale economische verliezen in de miljarden lopen.
In dit geval is het moeilijk om het motief te onderscheiden, maar over het algemeen kunnen politieke bedoelingen of een eenvoudige fout van de kant van de aanvallers bijdragen aan het gebrek aan coherente waarde-extractie door middel van afpersing.
Ons onderzoek richt zich op het tweede uiterste van ransomware-aanvallen, waarbij criminelen geld van hun slachtoffers proberen af te dwingen. Dit sluit een politiek motief niet uit. Er zijn inderdaad aanwijzingen voor banden tussen grote ransomwaregroepen en de Russische staat. We kunnen de mate waarin ransomware-aanvallen worden gemotiveerd door financieel gewin onderscheiden door de inspanningen te observeren die zijn geïnvesteerd in onderhandelingen, de bereidheid om de betaling van het losgeld te ondersteunen of te vergemakkelijken, en de aanwezigheid van witwasdiensten. Door te investeren in tools en diensten die de betaling van het losgeld en de omzetting ervan in fiatgeld vergemakkelijken, geven de aanvallers blijk van hun financiële motieven.
Zoals de aanval op de regering van Dallas City laat zien, kunnen de financiële en sociale gevolgen van ransomware-aanvallen divers en ernstig zijn.
Ransomware-aanvallen met een grote impact, zoals de aanval die zich in mei 2021 op Colonial Oil richtte en een grote Amerikaanse brandstofpijplijn offline haalde, zijn uiteraard gevaarlijk voor de continuïteit van vitale diensten.
In januari 2023 was er een ransomware-aanval op Royal Mail in Groot-Brittannië die leidde tot de opschorting van internationale leveringen. Het duurde meer dan een maand voordat het serviceniveau weer normaal was. Deze aanval zou een aanzienlijke directe impact hebben gehad op de inkomsten en reputatie van Royal Mail. Maar misschien nog wel belangrijker:het heeft gevolgen gehad voor alle kleine bedrijven en mensen die ervan afhankelijk zijn.
In mei 2021 werd de Ierse NHS getroffen door een ransomware-aanval. Dit had gevolgen voor elk aspect van de patiëntenzorg, waarbij afspraken op grote schaal werden geannuleerd. De Taoiseach Micheál Martin zei:“Het is een schokkende aanval op een gezondheidszorgdienst, maar fundamenteel op de patiënten en het Ierse publiek.” Er zouden ook gevoelige gegevens zijn gelekt. De financiële gevolgen van de aanval kunnen oplopen tot 100 miljoen euro. Dit houdt echter geen rekening met de gezondheids- en psychologische impact op patiënten en artsen die door de verstoring worden getroffen.
Naast de gezondheidszorg is ook onderwijs een belangrijk doelwit geweest. In januari 2023 werd bijvoorbeeld een school in Guilford, Verenigd Koninkrijk, aangevallen, waarbij de criminelen dreigden gevoelige gegevens te publiceren, waaronder het veiligstellen van rapporten en informatie over kwetsbare kinderen.
Aanvallen worden ook getimed om de verstoring te maximaliseren. Door een aanval in juni 2023 op een school in Dorchester, VK, kon de school bijvoorbeeld geen e-mail gebruiken of toegang krijgen tot diensten tijdens de hoofdexamenperiode. Dit kan een diepgaande impact hebben op het welzijn en de onderwijsprestaties van kinderen.
Deze voorbeelden zijn geenszins uitputtend. Veel aanvallen zijn bijvoorbeeld rechtstreeks gericht op bedrijven en liefdadigheidsinstellingen die te klein zijn om de aandacht te trekken. De impact op een klein bedrijf, in termen van bedrijfsverstoring, verloren reputatie en de psychologische kosten van het onder ogen zien van de gevolgen van een aanval, kan verwoestend zijn. Uit een onderzoek uit 2021 bleek bijvoorbeeld dat 34% van de Britse bedrijven die te maken kregen met een ransomware-aanval vervolgens hun deuren sloot. En veel van de bedrijven die hun activiteiten voortzetten, moesten nog steeds personeel ontslaan.
De oorsprong van ransomware is meestal terug te voeren op het AIDS- of PC Cyborg Trojan-virus in de jaren tachtig. In dit geval zouden de slachtoffers die een diskette in hun computer stopten, hun bestanden vervolgens versleuteld aantreffen en om een betaling gevraagd worden. Er werden schijven uitgedeeld aan deelnemers en mensen die geïnteresseerd waren in specifieke conferenties, die vervolgens probeerden toegang te krijgen tot de schijf om een enquête in te vullen, maar in plaats daarvan besmet raakten met de trojan. Bestanden op getroffen computers werden gecodeerd met een sleutel die lokaal op elke doelcomputer was opgeslagen. Een slachtoffer had met deze sleutel in principe de toegang tot zijn bestanden kunnen herstellen. Het slachtoffer wist echter misschien niet dat ze dit konden doen, omdat technische kennis van cryptografie zelfs nu nog niet gebruikelijk is bij de meeste pc-gebruikers.
Uiteindelijk traceerde de politie de diskettes naar een aan Harvard onderwezen evolutiebioloog genaamd Joseph Popp, die destijds AIDS-onderzoek deed. Hij werd gearresteerd en beschuldigd van meerdere gevallen van chantage, en door sommigen wordt hij gezien als de uitvinder van ransomware. Niemand weet precies wat Popp ertoe bracht te doen wat hij deed.
Veel vroege versies van ransomware waren vrij eenvoudige cryptografische systemen die last hadden van verschillende problemen met betrekking tot hoe gemakkelijk het was om de belangrijkste informatie te vinden die de crimineel voor het slachtoffer probeerde te verbergen. Dit is een van de redenen waarom ransomware echt volwassen werd met de CryptoLocker-aanval in 2013 en 2014.
CryptoLocker was het eerste technisch verantwoorde ransomware-aanvalsvirus dat massaal werd verspreid. Duizenden slachtoffers zagen hun bestanden versleuteld door ransomware die niet reverse-engineered kon worden. De privésleutels, die bij de versleuteling worden gebruikt, waren in handen van de aanvaller en zonder deze sleutels konden de slachtoffers de toegang tot hun bestanden niet herstellen. Er werd losgeld geëist van ongeveer 300 tot 600 dollar en naar schatting zijn de criminelen met ongeveer 3 miljoen dollar weggekomen. Cryptolocker werd uiteindelijk in 2014 gesloten na een operatie waarbij meerdere internationale wetshandhavingsinstanties betrokken waren.
CryptoLocker speelde een cruciale rol bij het aantonen van het concept dat criminelen grote hoeveelheden geld konden verdienen met ransomware. Vervolgens was er een explosie van nieuwe varianten en nieuwe typen. Er was ook een aanzienlijke evolutie in de strategieën die criminelen gebruikten.
Een belangrijke ontwikkeling was de opkomst van ransomware-as-a-service. Dit is een term voor markten op het dark web waar criminelen ‘kant-en-klare’ ransomware kunnen verkrijgen en gebruiken zonder dat daarvoor geavanceerde computervaardigheden nodig zijn, terwijl de ransomware-aanbieders een deel van de winst nemen.
Onderzoek heeft aangetoond dat het dark web het ‘ongereguleerde Wilde Westen van het internet’ is en een veilige haven voor criminelen om te communiceren en illegale goederen en diensten uit te wisselen. Het is gemakkelijk toegankelijk en met behulp van anonimiseringstechnologie en digitale valuta bloeit er een mondiale zwarte economie. Volgens het Agentschap van de Europese Unie voor rechtshandhaving werd daar alleen al in de eerste negen maanden van 2019 naar schatting 1 miljard dollar uitgegeven.
Met ransomware as a service (Raas) werd de toegangsdrempel voor aspirant-cybercriminelen, zowel qua kosten als qua vaardigheden, verlaagd.
Volgens het Raas-model wordt de expertise geleverd door leveranciers die de malware ontwikkelen, terwijl de aanvallers zelf relatief ongeschoold kunnen zijn. Dit heeft ook tot gevolg dat de risico's worden gecompartimenteerd:de arrestatie van cybercriminelen die ransomware gebruiken, vormt niet langer een bedreiging voor de hele toeleveringsketen, waardoor aanvallen van andere groepen kunnen worden voortgezet.
We hebben ook een beweging gezien van massale phishing-aanvallen, zoals CryptoLocker, die meer dan 250.000 systemen bereikten, naar meer gerichte aanvallen. Dat heeft geleid tot een toenemende focus op organisaties met de inkomsten om grote losgelden te betalen. Multinationale organisaties, advocatenkantoren, scholen, universiteiten, ziekenhuizen en gezondheidszorgaanbieders zijn allemaal belangrijke doelwitten geworden, evenals vele kleine en micro-ondernemingen en liefdadigheidsinstellingen.
Een recentere ontwikkeling op het gebied van ransomware, zoals Netwalker, REvil/Sodinokibi, is de dreiging van dubbele afpersing. Hier coderen de criminelen niet alleen bestanden, maar exfiltreren ze ook gegevens door de bestanden te kopiëren. Ze hebben dan het potentieel om potentieel gevoelige en belangrijke informatie te lekken of te plaatsen.
Een voorbeeld hiervan deed zich voor in 2020, toen een van de grootste softwarebedrijven, Software AG, werd getroffen door een dubbele afpersing-ransomware genaamd Clop. Er werd gemeld dat de aanvallers een uitzonderlijk hoog losgeld van 20 miljoen dollar (ongeveer £ 15,7 miljoen) hadden gevraagd, maar Software AG weigerde te betalen. Dit leidde ertoe dat aanvallers vertrouwelijke bedrijfsgegevens vrijgaven op het dark web. Dit biedt criminelen twee bronnen van macht:ze kunnen losgeld vragen voor de privésleutel om bestanden te decoderen en ze kunnen losgeld betalen om de publicatie van gevoelige gegevens te stoppen.
Dubbele afpersing verandert het bedrijfsmodel van ransomware op interessante manieren. Met name bij standaard ransomware is er een relatief eenvoudige prikkel voor een slachtoffer om losgeld te betalen voor toegang tot de privésleutel als dat decodering van de bestanden mogelijk maakt, en ze op geen enkele andere manier toegang kunnen krijgen tot de bestanden. Het slachtoffer hoeft er “slechts” op te vertrouwen dat de cybercrimineel hem de sleutel zal geven en dat de sleutel zal werken.
Maar bij data-exfiltratie is het daarentegen niet duidelijk wat het slachtoffer krijgt in ruil voor het betalen van het losgeld. De criminelen beschikken nog steeds over de gevoelige gegevens en kunnen deze op elk gewenst moment publiceren. Ze zouden inderdaad later losgeld kunnen vragen om de bestanden niet te publiceren.
Om data-exfiltratie een levensvatbare bedrijfsstrategie te laten zijn, moeten de criminelen daarom een geloofwaardige reputatie opbouwen in het “eerbiedigen” van losgeldbetalingen. Dit heeft aantoonbaar geleid tot een genormaliseerd ransomware-ecosysteem.
Onderhandelaars over losgeld zijn bijvoorbeeld particuliere contractanten en in sommige gevallen zijn ze in het kader van een cyberverzekeringsovereenkomst verplicht om expertise te leveren bij het beheersen van crisissituaties waarbij ransomware betrokken is. Indien geïnstrueerd, zullen zij onderhandelde losgeldbetalingen faciliteren. Binnen dit ecosysteem hebben sommige ransomware-criminele bendes de reputatie opgebouwd dat ze geen gegevens publiceren (of op zijn minst de publicatie uitstellen) als er losgeld wordt betaald.
Meer in het algemeen is het versleutelen, ontsleutelen of exfiltreren van bestanden doorgaans een moeilijke en kostbare taak voor criminelen. Het is veel eenvoudiger om de bestanden te verwijderen en vervolgens te beweren dat ze versleuteld of geëxfiltreerd zijn en losgeld te eisen. Als de slachtoffers echter vermoeden dat ze de decoderingssleutel of de gecodeerde gegevens niet terugkrijgen, betalen ze het losgeld niet. En degenen die wel losgeld betalen en er niets voor terugkrijgen, mogen dat feit bekendmaken. Dit heeft waarschijnlijk gevolgen voor de ‘reputatie’ van de aanvaller en de waarschijnlijkheid van toekomstige losgeldbetalingen. Simpel gezegd loont het om “eerlijk” te spelen in de wereld van afpersing en losgeldaanvallen.
Dus in minder dan tien jaar hebben we de ransomware-dreiging enorm zien evolueren van de relatief kleinschalige CryptoLocker naar een miljoenenbedrijf waarbij georganiseerde criminele bendes en geavanceerde strategieën betrokken zijn. Vanaf 2020 zijn de incidenten van ransomware, en de daaruit voortvloeiende verliezen, schijnbaar met een andere orde van grootte toegenomen. Ransomware is te groot geworden om te negeren en is nu een grote zorg voor overheden en rechtshandhavingsinstanties.
Hoe verwoestend ransomware ook is geworden, de dreiging zal zich onvermijdelijk verder ontwikkelen naarmate criminelen nieuwe technieken voor afpersing ontwikkelen. Zoals al vermeld is een belangrijk thema in ons collectieve onderzoek van de afgelopen tien jaar het proberen te voorkomen dat criminelen waarschijnlijk strategieën kunnen toepassen om voorop te lopen.
Ons onderzoek is nu gericht op de volgende generatie ransomware, waarvan we denken dat deze varianten zal omvatten die gericht zijn op cryptocurrency, en de ‘consensusmechanismen’ die daarin worden gebruikt.
Een consensusmechanisme is elke (meestal algoritmische) methode die wordt gebruikt om overeenstemming, vertrouwen en veiligheid te bereiken binnen een gedecentraliseerd computernetwerk.
Concreet maken cryptocurrencies steeds vaker gebruik van een zogenaamd ‘proof-of-stake’-consensusmechanisme, waarbij beleggers aanzienlijke sommen geld inzetten om cryptotransacties te valideren. Deze inzet is kwetsbaar voor afpersing door ransomwarecriminelen.
Cryptocurrencies zijn afhankelijk van een gedecentraliseerde blockchain die een transparant overzicht biedt van alle transacties die met die valuta hebben plaatsgevonden. De blockchain wordt onderhouden door een peer-to-peer-netwerk in plaats van door een centrale autoriteit (zoals bij conventionele valuta). In principe zijn de transactiegegevens in de blockchain onveranderlijk, verifieerbaar en veilig gedistribueerd over het netwerk, waardoor gebruikers volledig eigenaarschap en inzicht krijgen in de transactiegegevens. Deze eigenschappen van blockchain zijn afhankelijk van een veilig en niet-manipuleerbaar ‘consensusmechanisme’ waarin de onafhankelijke knooppunten in het netwerk ‘goedkeuren’ of ‘afspreken’ welke transacties ze aan de blockchain moeten toevoegen.
Tot nu toe vertrouwden cryptocurrencies zoals Bitcoin op een zogenaamd ‘proof-of-work’-consensusmechanisme waarbij de autorisatie van transacties het oplossen van complexe wiskundige problemen (het werk) met zich meebrengt. Op de lange termijn is deze aanpak onhoudbaar omdat het resulteert in dubbel werk en vermijdbaar grootschalig energieverbruik.
Het alternatief, dat nu werkelijkheid wordt, is een ‘proof-of-stake’-consensusmechanisme. Hier worden transacties goedgekeurd door validators die geld hebben ingezet en financieel worden beloond voor het valideren van transacties. De rol van inefficiënt werken wordt vervangen door een financiële inzet. Hoewel dit het energieprobleem aanpakt, betekent het dat grote hoeveelheden geld betrokken raken bij het valideren van cryptotransacties.
Het bestaan van dit ingezette geld vormt een nieuwe bedreiging voor sommige proof-of-stake cryptocurrencies. We hebben onze aandacht gericht op Ethereum, een gedecentraliseerde cryptocurrency die een peer-to-peer-netwerk opzet om applicatiecode veilig uit te voeren en te verifiëren, ook wel een slim contract genoemd.
Ethereum wordt mogelijk gemaakt door het Ether (ETH)-token waarmee gebruikers met elkaar transacties kunnen uitvoeren via het gebruik van deze slimme contracten. Het Ethereum-project werd in 2013 mede opgericht door Vitalik Buterin om de tekortkomingen van Bitcoin te overwinnen. Op 15 september 2022 verplaatste The Merge het Ethereum-netwerk van proof-of-work naar proof-of-stake, waardoor het een van de eerste prominente proof-of-stake-cryptocurrencies werd.
Het proof-of-stake consensusmechanisme in Ethereum is afhankelijk van ‘validators’ om transacties goed te keuren. Om een validator op te zetten, moet er een minimale inzet van 32ETH zijn, wat momenteel ongeveer US$60.000 (ongeveer £43.000) bedraagt. Validators kunnen vervolgens een financieel rendement op hun inzet verdienen door een validator te exploiteren in overeenstemming met de Ethereum-regels. Op het moment van schrijven zijn er ongeveer 850.000 validators.
Er wordt veel hoop gevestigd op de 'stake'-oplossing van validatie, maar hackers zullen zeker onderzoeken hoe ze het systeem kunnen infiltreren.
In ons project, dat werd gefinancierd door de Ethereum Foundation, hebben we manieren geïdentificeerd waarop ransomwaregroepen het nieuwe proof-of-stake-mechanisme voor afpersing kunnen misbruiken.
We ontdekten dat aanvallers validators konden misbruiken via een proces dat ‘slashing’ wordt genoemd. Hoewel validators beloningen ontvangen voor het naleven van de regels, zijn er financiële sancties voor validators die kwaadwillig handelen. Het basisdoel van sancties is het voorkomen van exploitatie van de gedecentraliseerde blockchain.
Er zijn twee vormen van straffen, waarvan de zwaarste de verlaging is. Slashing vindt plaats bij acties die niet per ongeluk mogen gebeuren en die de blockchain in gevaar kunnen brengen, zoals het voorstellen van conflicterende blokken aan de blockchain, of het proberen de geschiedenis te veranderen.
De straffen zijn relatief zwaar, waarbij de validator een aanzienlijk deel van zijn inzet verliest, minstens 1ETH. In het meest extreme geval zou de validator zelfs zijn hele inzet (32ETH) kunnen verliezen. De validator wordt ook gedwongen af te sluiten en fungeert niet langer als validator. Kortom, als een validator wordt bezuinigd, zijn er grote financiële gevolgen.
Om acties uit te voeren, krijgen validators unieke ondertekeningssleutels toegewezen, die in essentie bewijzen wie ze zijn voor het netwerk. Stel dat een crimineel de signeersleutel in handen heeft gekregen? Vervolgens kunnen ze het slachtoffer chanteren om losgeld te betalen.
Stroomdiagram dat laat zien hoe ingewikkeld het wordt als er een afpersingsaanval plaatsvindt tegen proof-of-stake-validators, zoals Ethereum
Het slachtoffer kan terughoudend zijn om het losgeld te betalen, tenzij er een garantie is dat de criminelen hun geld niet zullen afpakken en er niet in zullen slagen de sleutel terug te geven/vrij te geven. Wat weerhoudt de criminelen er tenslotte van om nog eens losgeld te vragen?
Eén oplossing die we hebben gevonden – die teruggrijpt op het feit dat ransomware in feite een soort bedrijf is geworden dat wordt beheerd door criminelen die willen bewijzen dat ze een “eerlijke” reputatie hebben – is een slim contract.
Dit geautomatiseerde contract kan zo worden geschreven dat het proces alleen werkt als beide partijen hun kant van de afspraak ‘eerkomen’. Het slachtoffer kan dus het losgeld betalen en erop vertrouwen dat dit de directe afpersingsdreiging zal oplossen. Dit is mogelijk via het Ethereum omdat alle vereiste stappen publiekelijk waarneembaar zijn op de blockchain:de storting, het teken om af te sluiten, de afwezigheid van slash en de terugkeer van de inzet.
Functioneel gezien zijn deze slimme contracten een escrow-systeem waarin geld kan worden vastgehouden totdat aan vooraf overeengekomen voorwaarden is voldaan. Als de criminelen bijvoorbeeld een slash forceren voordat de validator volledig is afgesloten, zorgt het contract ervoor dat het losgeldbedrag wordt teruggegeven aan het slachtoffer. Dergelijke contracten staan echter bloot aan misbruik en er is geen garantie dat een contract dat door de aanvaller is opgesteld, kan worden vertrouwd. Het is mogelijk dat het contract op een volledig vertrouwde manier wordt geautomatiseerd, maar dergelijk gedrag en systemen moeten we nog waarnemen.
Dit type ‘pay and exit’-strategie is een effectieve manier voor criminelen om slachtoffers af te persen als ze de handtekeningsleutels van de validator kunnen bemachtigen.
Hoeveel schade zou een ransomware-aanval als deze aanrichten aan Ethereum? Als een enkele validator wordt gecompromitteerd, zou de straf – en dus de maximale vraag naar losgeld – in de buurt van 1ETH liggen, wat neerkomt op ongeveer 1.800 dollar (ongeveer £ 1.400). Om grotere hoeveelheden geld binnen te halen, moeten de criminelen zich daarom richten op organisaties of stakingpools die verantwoordelijk zijn voor het beheer van grote aantallen validators.
Houd er rekening mee dat, gezien de hoge instapkosten voor individuele beleggers, het grootste deel van de validatie op Ethereum zal worden uitgevoerd onder ‘staking pools’ waarin meerdere beleggers gezamenlijk geld kunnen inzetten.
Om dit in perspectief te plaatsen:Lido is de grootste stakingpool in Ethereum met ongeveer 127.000 validators en 18% van de totale inzet; Coinbase is de op een na grootste met 40.000 validators en 6% van de totale inzet. In totaal zijn er 21 stakingpools die meer dan 1.000 validators exploiteren. Elk van deze stakingspools is verantwoordelijk voor een inzet van tientallen miljoenen dollars en dus kunnen haalbare losgeldeisen ook in de miljoenen dollars lopen.
Proof-of-stake-consensusmechanismen zijn te jong om te weten of afpersing van stakingspools een actieve realiteit zal worden. Maar de algemene les van de evolutie van ransomware is dat criminelen de neiging hebben om zich te richten op strategieën die betalingen stimuleren en hun illegale winsten vergroten.
De eenvoudigste manier waarop investeerders en exploitanten van stakingpools de door ons geïdentificeerde afpersingsdreiging kunnen beperken, is door hun ondertekeningssleutels te beschermen. Als de criminelen geen toegang hebben tot de ondertekeningssleutels, is er geen sprake van dreiging. Als de criminelen slechts toegang hebben tot enkele sleutels (voor operators met meerdere validators), is de dreiging mogelijk niet lucratief.
Daarom moeten stakingpools maatregelen nemen om ondertekeningssleutels te beveiligen. Dit zou een reeks acties met zich meebrengen, waaronder:het verdelen van validators zodat een inbreuk slechts een kleine subset treft; intensiveer de cyberbeveiliging om inbraak te voorkomen, en robuuste interne processen om de dreiging van binnenuit te beperken als een werknemer ondertekeningssleutels openbaar maakt.
De markt voor stakingpools voor cryptocurrencies zoals Ethereum is competitief. Er zijn veel stakingpools, die allemaal relatief vergelijkbare diensten aanbieden en op prijs concurreren om investeerders aan te trekken. Deze concurrentiekrachten en de noodzaak om kosten te besparen kunnen leiden tot relatief lakse veiligheidsmaatregelen. Sommige stakingpools kunnen daarom een relatief gemakkelijk doelwit voor criminelen blijken te zijn.
Uiteindelijk kan dit alleen worden opgelost met regelgeving en een groter bewustzijn, en door beleggers in stakingpools een hoog veiligheidsniveau te laten eisen om hun inzet te beschermen.
Helaas suggereert de geschiedenis van ransomware dat er eerst spraakmakende aanvallen moeten worden uitgevoerd voordat de dreiging serieus genoeg wordt genomen. Het is interessant om na te denken over de gevolgen van een aanzienlijke schending van een stakingpool. De reputatie van de stakingpool zou vermoedelijk zwaar worden aangetast en daarom is de levensvatbaarheid van de stakingpool in een concurrerende markt twijfelachtig. Een aanval kan ook gevolgen hebben voor de reputatie van de munt.
In het ergste geval zou dit tot een ineenstorting van de munt kunnen leiden. Wanneer dat gebeurt, zoals bij FTX in 2022 na een nieuwe hackaanval, zijn er domino-effecten op de wereldeconomie.
Ransomware zal de komende jaren, zo niet tientallen jaren, een uitdaging vormen.
Een mogelijke toekomstvisie is dat ransomware gewoon onderdeel wordt van het normale economische leven, waarbij organisaties worden geconfronteerd met de constante dreiging van aanvallen, met weinig gevolgen voor de grotendeels anonieme bendes cybercriminelen achter de oplichting.
Om dergelijke negatieve gevolgen te voorkomen, hebben we een groter bewustzijn van de dreiging nodig. Dan kunnen beleggers beter geïnformeerde beslissingen nemen over in welke stakingpools en valuta's ze moeten investeren. Het is ook logisch om een markt te hebben met veel stakingpools, in plaats van een markt die wordt gedomineerd door slechts een paar grote, omdat dit de valuta zou kunnen beschermen tegen mogelijke aanvallen.
Naast crypto omvat preemption investeringen in cyberbeveiliging in allerlei vormen – van de opleiding van personeel tot een organisatiecultuur die het melden van incidenten ondersteunt. Het gaat ook om investeringen in herstelmogelijkheden, zoals goede back-ups, expertise in huis, verzekeringen en beproefde rampenplannen.
Helaas verbeteren de cyberveiligheidspraktijken in veel organisaties niet zoals je zou hopen, en dit laat de deur openstaan voor cybercriminelen. In wezen moet iedereen beter worden in het verbergen en beschermen van zijn digitale sleutels en gevoelige informatie als we een kans willen maken tegen de volgende generatie ransomware-aanvallers.
Voor jou:meer uit onze Insights-serie:
Het smeltende Noordpoolgebied is een plaats delict. De microben die ik bestudeer waarschuwen ons al lang voor deze catastrofe, maar zij zijn er ook de oorzaak van
De beroemde verhalen van Beatrix Potter zijn geworteld in verhalen verteld door tot slaaf gemaakte Afrikanen – maar ze was erg stil over hun oorsprong
Invisible Windrush:hoe de verhalen van Indiase contractarbeiders uit het Caribisch gebied werden vergeten
Als u meer wilt weten over nieuwe Insights-artikelen, sluit u zich aan bij de honderdduizenden mensen die het op bewijs gebaseerde nieuws van The Conversation waarderen. Abonneer u op onze nieuwsbrief .
Tijdlijn voor belastingteruggave:hoe lang u uw terugbetaling kunt verwachten | [Jaar]
Zal dit pensioenvoordeel mijn socialezekerheidsuitkering verpesten?
Voor welke services betaalt Medicaid?
Mijn factuuradres voor Visa wijzigen
Verdraag de pijn en investeer in eigen vermogen door middel van verlies, anders verandert u nooit uw levensstijl!
Aandelen zijn riskant, maar ze vermijden kan dat ook zijn
Maak deze 12 grote blunders op het gebied van financiële planning niet