Home Security Cybercrime is ook georganiseerde misdaad

Cybercrime is ook georganiseerde misdaad

42

Georganiseerde misdaad, die kennen we. Neem de voorbeelden uit Italië. Die zijn niet alleen een inspiratie voor beroemde Hollywood-klassiekers en tv-series, maar ook een plaag voor het land van herkomst en ver daarbuiten. Het georganiseerde karakter blijkt wel uit de hiërarchie: er is een ‘don’, er zijn capo’s, enforcers, buitenlandse ‘vestigingen’, enzovoorts. Deze georganiseerde misdaad is met de tijd meegegaan en houdt zich ook bezig met cybercriminaliteit. Maar er is een nog verontrustender ontwikkeling gaande, die het georganiseerde karakter van cybercrime op een veel hoger niveau brengt: de industriële misdaad. Zeker op vlak van ransomware zien we in België dat dit steeds meer gebeurt.

In de begindagen was cybercrime alleen iets voor IT-specialisten die dankzij hun kennis en vindingrijkheid computersystemen wisten binnen te dringen. Het doelwit hierbij was waardevolle data. Die moesten vervolgens nog te gelde worden gemaakt. Niet echt een manier om makkelijk geld te verkrijgen, maar cybercriminelen weten ook wat innoveren is. Digitale inbraakgereedschappen zijn gebruiksvriendelijker geworden en de crimineel hoeft geen IT-expert meer te zijn. Tegelijk is er sprake van een professionaliseringsslag.

Afpersing
Een huidige vorm van cybercriminaliteit die erg populair is geworden, kennen we ook in de traditionele wereld van de georganiseerde misdaad: afpersing. Je gijzelt de data door ze te versleutelen met ‘ransomware’ en eist losgeld, direct in bitcoins te voldoen. Dat is makkelijk verdienen, temeer omdat deze vorm van cybercriminaliteit zowel op technisch als op organisatorisch vlak enorme ontwikkelingen heeft doorgemaakt.

Er is ransomware verschenen die, eenmaal binnengedrongen, geen internetverbinding meer nodig heeft. Afsluiten van internet om te voorkomen dat ransomware zijn werk doet heeft dus geen zin meer. Er zijn kant-en-klare ransomware-platforms beschikbaar, waarmee in principe iedere crimineel direct mee aan de slag kan. IT-kennis is niet nodig en de buit is meteen binnen.

Complete industrie
We zien dat de professionalisering op organisatorisch vlak sterke vooruitgang geboekt heeft. Het zijn complete, hiërarchische organisaties, met een management, uitvoerenden (van software-ontwikkelaars tot beheerders) en supportmedewerkers. Er is rond ransomware een volwaardige industrie ontstaan die uit verschillende lagen bestaat:

  • Een laag die zich bezighoudt van het ontwikkelen en onderhouden van de ransomware en deze te ‘huur’ aanbiedt. Deze laag is weer onder te verdelen in:
    • Een laag die de malware ontwikkelt en onderhoudt.
    • Een laag voor de ‘service’, op deze laag worden de sleutels voor de gegijzelde bestanden opgeslagen en onderhouden en ook betalingspagina’s worden door deze laag verzorgd.
    • Een laag die zich bezighoudt met de ‘affiliates’ , dus met de mensen die ransomware willen huren in ruil voor een deel van de opbrengst. Deze laag zal zich ook bezighouden met het aldus verdiende geld.
  • Een laag die de huur op zich neemt en gaat zoeken naar verspreidingsmethoden om ‘marktaandeel’ te winnen.
  • Een laag die uiteindelijk ingehuurd wordt door de voorgaande laag om de ransomware daadwerkelijk te verspreiden (soms is dit een persoon die op de voorgaande laag meedeelt in de verdiensten).

In deze industrie zijn vele kleine organisaties actief, vaak op basis van royalty-betalingen aan een toplaag, en soms zelfs met exclusiviteitsbeding. We zien ook steeds meer aanvallen die gericht zijn op specifieke bedrijven, met als doel in één keer zeer veel geld binnen te halen.

Veelkoppig monster
Ransomware is door deze gelaagdheid een veelkoppig monster geworden. Als er een laag wegvalt, wordt die meteen weer opgevuld. Dat maakt het buitengewoon lastig om ransomware-organisaties, laat staan de hele ransomware-industrie op te rollen. Het is al een enorme opgave om bij een toplaag van zo’n organisatie te komen.

We hebben de ervaring dat het soms wel lukt, maar dat het jaren kan duren. In de praktijk wordt daarom de ‘makkelijkste’ laag aangepakt, de laag die de daadwerkelijke afpersing pleegt. Wat het extra lastig maakt – tegelijk ook een van de redenen waarom deze vorm van afpersing zo populair is geworden – is dat door het gebruik van bitcoins de betalingen niet of nauwelijks te traceren zijn.

Niet weerloos!
Toch staan we niet weerloos tegen het veelkoppige monster. De meeste bedrijven kunnen nog wel wat doen om de kans op een geslaagde ransomware-aanval te minimaliseren. Ook op grotere schaal zijn er mogelijkheden om die kans te verkleinen. Zo werken wij vaak samen met politie om ransomware-criminelen voor langere tijd structureel te dwarsbomen, waardoor Nederland door veel van deze criminelen voor enige tijd werd overgeslagen.

Laat ons ook duidelijk wezen: betalen helpt niet! Vaak denkt men dat het allemaal veel gemakkelijker is om gewoon te betalen. Het losgeld staat immers niet altijd in verhouding tot de kosten om de data op een andere manier weer toegankelijk te maken. Maar ik wil benadrukken om als het even kan niet te betalen. Wie betaalt, steunt in feite de georganiseerde misdaad. Daarnaast verhindert betaling niet dat de criminelen gewoon terugkomen!

Yonathan Klijnsma, Senior Threat Intelligence Analyst bij Fox-IT

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in