In de jaren 80 en 90 klonk ‘een virus op je computer’ al iets heel engs dat mede door film en tv niet bepaald waarheidsgetrouw en vaak komisch in beeld gebracht werd. We duiken in de geschiedenis van computervirussen en hoe die evolueerden tot de malware van vandaag.
De meesten van ons kwamen voor het eerst in ‘aanraking’ met een computervirus via scènes uit films en series. Vaak ging dat gepaard met een dramatische animatie op het beeldscherm waarbij een Pac-Man-achtig figuurtje gegevens opvrat of visueel in elkaar deed zakken. Ook het doodshoofd dat onheilspellend ging klappertanden behoort tot de clichébeelden. Het was eigen aan de tijdsgeest. Computers stonden toen nog vooral in kantoren, maakten ronkende geluiden en het internet zoals we dat nu kennen bestond nog niet. Het computervirus was (net als het internet) in de jaren 80 nog niet binnengedrongen bij de meeste huishoudens. Vandaag is malware zo alomtegenwoordig dat het vreemd zou zijn als je nog nooit malware bent tegengekomen op je computer of mobiel apparaat. Die evolutie maakt het hele verhaal ook wel boeiend: hoe zijn we van die schijnbaar onschuldige beginjaren geëvolueerd naar een wereld waarin ransomwaregroepen bedrijven miljoenen euro’s afhandig maken en cyberaanvallen geopolitieke gevolgen hebben?
Wie terugkijkt naar de begintijd van virussen, komt al snel uit bij namen die vandaag bijna nostalgisch klinken. Denk aan Michelangelo, het beruchte virus uit de vroege jaren 90 dat elk jaar op 6 maart zijn digitale ‘doomsday’ moest ontketenen door harde schijven te overschrijven. De media sloegen massaal alarm, bedrijven haalden hun computers van het netwerk en IT-afdelingen leefden wekenlang in spanning. om uiteindelijk vast te stellen dat de schade vaak beperkt bleef. Ironisch genoeg was de paniek soms effectiever dan het virus zelf. Nog bekender is wellicht het ‘ILOVEYOU’-virus uit het jaar 2000. Hoewel het in de media een virus genoemd werd, was het eigenlijk een worm die zich verspreidde via e-mail met een onderwerp dat eerder deed denken aan een liefdesverklaring dan aan een cyberaanval. Eén klik op de bijlage en je stuurde onbewust hetzelfde bestand door naar je hele adresboek. Miljoenen computers gingen wereldwijd de mist in, omdat ze simpelweg nieuwsgierig waren en nog niet de reflex hebben om verdachte bijlagen te negeren.
En dat is eigenlijk de rode draad door de hele geschiedenis van malware: niet alleen de technologie zelf evolueert, maar vooral de manier waarop ze inspeelt op menselijk gedrag. Daarom is het interessant om even terug te gaan in de tijd, toen virussen vooral experimentjes waren van ondeugende techneuten. Vandaag spreken we over een hele malware-industrie waar miljoenen euro’s mee gemoeid gaan.
Lang voor ‘de doorsnee computerliefhebber’ ooit van malware had gehoord, speelden wetenschappers al met het idee van zelfreplicerende programma’s: applicaties die zichzelf konden kopiëren of zelfs vermenigvuldigen. In de jaren 60 en 70 werd in academische kringen geëxperimenteerd met code die zichzelf kon kopiëren binnen mainframe-omgevingen. Het waren geen kwaadaardige tools: het ging gewoonweg om experimenten, vaak bedoeld om systemen te testen of om theoretische vragen rond (toen nog erg theoretische) artificiële intelligentie te onderzoeken. Maar de basis was gelegd: software kon zich na verloop van tijd gaan gedragen als een biologisch virus. Die vergelijking met biologie zou tot op de dag van vandaag blijven hangen. Niet toevallig: een virus dat zich verspreidt zonder expliciete toestemming van de gebruiker, bleek een perfecte metafoor.
De eerste echte virussen zoals we ze vandaag kennen, verschenen in de jaren 80. Persoonlijke computers werden toegankelijker, vooral dankzij systemen zoals de IBM PC en later de opkomst van Microsoft met MS-DOS. Een van de eerste bekende virussen was Elk Cloner (1982), geschreven voor de Apple II. Het virus verspreidde zich via diskettes en toonde een kort gedicht op het scherm na een bepaald aantal opstarts. Onschuldig? Dat nog wel. Niet veel later kwam er meer academische aandacht voor het fenomeen. In 1986 werd het Brain-virus ontdekt, vaak beschouwd als het eerste pc-virus dat zich in een ongecontroleerde omgeving kon verspreiden. Het kwam uit Pakistan en besmette floppy disks zonder dat gebruikers het wisten.
Wat deze vroege virussen gemeen hadden, is dat ze nog relatief eenvoudig waren. Ze wilden zich verspreiden, soms met een boodschap, soms gewoon om te testen hoe ver ze konden geraken. Schade (als die er al was) bleef eerder een bijproduct dan een doel. De techneuten die de virussen schreven deden dat voor de fun, om een punt te maken of om hun vaardigheid te tonen aan de wereld. Tegen het einde van het decennium werd ook de eerste echte ‘internetworm’ wereldnieuws: de Morris Worm (1988). Deze worm, gemaakt door Robert Tappan Morris, legde een aanzienlijk deel van het vroege internet lam. Het was een wake-upcall: zelfs het prille internet was kwetsbaar. De worm n verspreidde zich via kwetsbaarheden in Unix-systemen. Door een programmeerfout kopieerde de worm zichzelf veel agressiever dan bedoeld, waardoor duizenden systemen vertraagden of volledig crashten. Het incident leidde uiteindelijk ook tot de oprichting van het eerste Computer Emergency Response Team (CERT).
De toon voor de jaren 90 was gezet. Personal computers werden mainstream, en met de opkomst van het internet veranderde alles. Plots waren computers geen geïsoleerde machines meer in bedrijfskantoren, maar verbonden ze miljoenen huishoudens met elkaar. En uiteraard stegen daarmee ook de verspreidingsmogelijkheden exponentieel. Virussen zoals Michelangelo (1992), dat op 6 maart harde schijven bij mensen thuis zou gaan overschrijven, komen uit die periode. De media sloegen in paniek, wat ironisch genoeg vaak meer schade veroorzaakte. Journalisten met weinig kennis van zaken gingen erover berichten, met chaos en desinformatie tot gevolg. Die verkeerde inzichten gingen helaas nog een tijd mee bij de bevolking en werden pas later door specialisten de wereld uit geholpen. Nog ‘spannender’ werd het met macrovirussen, die zich verspreidden via documenten in Microsoft Word en Excel. Gebruikers hoefden geen programma’s meer te installeren; een simpel document openen was genoeg. Ook vandaag zien we zulke malware nog opduiken in de vorm van e-mailbijlagen.
De een zijn dood, is de ander zijn brood. Logischerwijze duurde het niet lang voordat de eerste bedrijven opgericht werden die werk wilde maken van de strijd tegen virussen en malware. Heel wat antivirusbedrijven zagen dan ook het levenslicht in de jaren 90. Bedrijven zoals Norton (Symantec), McAfee en anderen begonnen signatures te ontwikkelen: herkenningspatronen van bekende virussen. Het was een relatief eenvoudige aanpak: als je weet hoe een virus eruitziet, kan je het blokkeren. Dat leidden dan weer tot een kat-en-muisspel met virusschrijvers. Zij pasten hun code voortdurend aan, waardoor varianten ontstonden die net dat tikje anders genoeg waren om detectie te ontwijken. De digitale wereld werd plots een slagveld tussen aanvallers en verdedigers.
Met de millenniumwissel kwam ook een nieuwe generatie malware. Het internet was intussen niet meer weg te denken uit het dagelijks leven, en dat maakte het nog meer een aanlokkelijk doelwit. Het jaar 200 zag zoals we eerder vertelden de komst van de ILOVEYOUworm. De schade liep op tot in de miljarden dollars. Ook de Mydoom-worm (2004) en Sasser (2004) toonden hoe snel systemen konden worden overgenomen zonder dat gebruikers iets hoefden te doen. In dezelfde periode ontstonden botnets: netwerken van geïnfecteerde computers die op afstand bestuurd werden. Computers werden niet alleen binnengedrongen, maar ook nog eens ingezet voor nieuwe aanvallen. Dit was een belangrijke evolutie. Het zorgde ervoor dat malware niet louter destructief was, maar ook economisch interessant werd voor cybercriminelen. Vanaf de jaren 2000 kwam malware uit de hobbykamer en gingen de experimenten over naar een georganiseerde industrie. Cybercriminaliteit werd winstgevend. Trojaanse paarden (nog zo’n fenomeen uit die periode), werden gebruikt om bankgegevens te stelen. Keyloggers registreerden elke toetsaanslag en spyware volgde het gedrag van gebruikers.
In het vorige decennium werd malware volwassen en gevaarlijker dan ooit. Cyberaanvallen werden niet meer alleen uitgevoerd door criminelen, maar ook door staten en politieke actoren. Het bekendste voorbeeld is misschien wel Stuxnet, dat in 2010 werd ontdekt. Deze malware was specifiek ontworpen om industriële installaties te saboteren, meer bepaald nucleaire infrastructuur in Iran. Het was een van de eerste keren dat cyberwapens een fysieke impact hadden. Het veranderde het geopolitieke spel volledig. Malware was niet langer alleen een financieel of technisch probleem, maar ook een wereldwijd machtsinstrument. Tegelijk bleef de ‘klassieke’ cybercriminaliteit evolueren. Ransomware zoals CryptoLocker (2013) maakte het concept mainstream: bestanden worden gegijzeld en pas vrijgegeven na betaling in bitcoin.
Een opvallende evolutie in de late jaren 2010 is het model van ‘Ransomware-as-a-Service’. Hierbij ontwikkelen cybercriminelen niet alleen malware, maar verhuren ze die ook aan anderen. Je hoeft dus geen programmeur meer te zijn om cyberaanvallen uit te voeren. Je koopt gewoon toegang tot een platform. Dat maakt het landschap nog complexer: een aanval kan uitgevoerd worden door een keten van actoren, verspreid over verschillende landen, met uiteenlopende motieven. Ransomware is vandaag een van de meest lucratieve vormen van cybercriminaliteit. In tegenstelling tot klassieke computervirussen, die vaak vooral chaos veroorzaakten of bestanden beschadigden, is ransomware een businessmodel. Het principe is eenvoudig, maar bijzonder doeltreffend: malware dringt een computer of netwerk binnen, versleutelt bestanden en eist vervolgens losgeld om opnieuw toegang te geven. Slachtoffers krijgen meestal een boodschap op hun scherm met de vraag om te betalen, vaak in cryptomunten zoals bitcoin, omdat die moeilijker te traceren zijn.
Vooral bedrijven, ziekenhuizen en overheidsdiensten zijn populaire doelwitten, omdat zij zich vaak geen lange downtime kunnen veroorloven. Bekende voorbeelden zijn WannaCry uit 2017, dat wereldwijd honderdduizenden systemen trof, en Ryuk, een ransomwarevariant die zich specifiek richtte op grote organisaties. Bij ‘Ransomware-as-a-Service’ hoeven de ‘klanten’ dus geen technische experts meer te zijn: zij krijgen kant-en-klare tools, handleidingen en soms zelfs klantenondersteuning aangeboden. In ruil krijgt de ontwikkelaar een percentage van het losgeld. Groepen zoals REvil en LockBit maakten dit model berucht. Cybercriminaliteit werkt daardoor steeds meer als een echte industrie, compleet met samenwerkingen, inkomstenmodellen en gespecialiseerde rollen. Het gevolg: ransomware-aanvallen worden niet alleen frequenter, maar ook veel geavanceerder en moeilijker te bestrijden.
In het huidige landschap is malware vaak onzichtbaar en sterk geautomatiseerd. Aanvallen worden via artificiële intelligentie aangepast aan het slachtoffer. Phishingmails staan niet meer vol taalfouten, maar zouden zo geschreven kunnen zijn door de bedrijven die ze imiteren. De brieven zijn vaak gepersonaliseerd dankzij gelekte data (adresgegevens, klantnummers, …) waardoor ze nog geloofwaardiger worden. Met artificiële intelligentie kan ook malware sneller aangepast worden en een aanval op grotere schaal (en bijzonder gericht) worden uitgevoerd. Klassieke antivirussoftware is noodgedwongen mee moeten evolueren naar ‘endpoint detection and response’-systemen die gedrag analyseren in plaats van malware te scannen en detecteren op structurele eigenschappen.
Nu we alles op een rijtje hebben gezet, zien we één constante: malware speelt in op menselijk gedrag. Nieuwsgierigheid, gemakzucht, angst of vals vertrouwen blijven de belangrijkste zwaktes van de mens die cybercriminelen maar al te graag uitbuiten. Wat jammer genoeg wel veranderd is, is de schaal waarop fraudeurs te werk gaan. Waar vroeger één geïnfecteerde diskette een lokaal probleem was, kan vandaag één klik een wereldwijd netwerk treffen. Cybersecurity is al die tijd een kat-en-muisspelletje gebleven. Elke nieuwe beveiligingslaag zorgt voor een nieuwe aanvalsmethode en vice versa. De grootste kwetsbaarheid waarop malware zal blijven inspelen is onze menselijkheid.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
