Er is sinds enige tijd een verontrustende nieuwe ontwikkeling gaande op het gebied van cybercriminaliteit. Criminele ‘dienstverleners’ bieden hun diensten online te koop of te huur aan. En net als bij andere ‘XaaS’ diensten, zijn deze diensten vaak relatief goedkoop, zijn ze anoniem te gebruiken en vooral: ze zijn vaak zonder technische kennis te gebruiken.
Door dit ‘dienstenaanbod’ wordt het wel heel gemakkelijk om een cyberaanval uit te voeren, of dit nu een aanval is met malware, een DDoS-aanval of een doelgerichte ‘spearphishing’-aanval om logingegevens te achterhalen. Cybercriminaliteit is op deze manier iets geworden waar in principe iedereen zich mee bezig kan houden. Om te voorkomen dat justitie voldoende bewijsmateriaal kan verzamelen om ze op te sporen en aan te pakken, nemen de aanbieders van deze diensten ook allerlei stappen om er zo zeker mogelijk van te zijn dat een potentiële klant ook inderdaad is wie hij beweert te zijn, en niet een of andere medewerker van een opsporingsdienst.
Er zijn vele activiteiten die online besteld kunnen worden, in diverse categorieën, waaronder Research-as-a-Service, Crimeware-as-a-Service, Cybercrime Infrastructure-as-a-Service en Hacking-as-a-Service. Van de meeste diensten is het wel duidelijk dat ze worden aangeboden door cybercriminelen, maar er is ook een grijs gebied. Research-as-a-Service hoeft bijvoorbeeld niet bij voorbaat illegaal te zijn. Er zijn legitieme bedrijven die software controleren op zero-day kwetsbaarheden en deze informatie verhandelen aan andere legitieme organisaties die aan strenge criteria voldoen. Het probleem is dat hier ook tussenpersonen actief kunnen zijn: de zogenaamde ‘exploit brokers’. Deze tussenpersonen bemiddelen in de verkoop van deze informatie aan partijen waarvan het onderzoeksbedrijf vervolgens niet meer kan controleren of ook deze aan de gestelde eisen voldoen.
Malware op bestelling
Minder twijfel over de legaliteit is er over diensten die worden aangeboden als Crimeware-as-a-Service. Hierbij gaat het om het ontwikkelen en verkopen van doelgerichte aanvallen, inclusief gerelateerde ‘goederen’, zoals keyloggers, downloaders, botnetwerken, et cetera. Er worden ook producten aangeboden waarmee ervoor kan worden gezorgd dat malware moeilijker te detecteren wordt voor beveiligingssoftware, evenals spamming- en robottools zoals Xrumer. Ook kunnen geïnteresseerde partijen hier terecht voor specifieke producten op het gebied van financiële fraude, zoals apparaten voor het skimmen van betaalpassen en creditcards
Bij de malware-diensten die via dit segment worden aangeboden, gaat het onder andere om rootkits, Trojaanse paarden en ‘ransomware’. Dit laatste is software die de computers van gebruikers blokkeert totdat zij een bepaalde actie hebben ondernomen, zoals het verstrekken van creditcardgegevens, of het betalen van een bepaald bedrag aan de afperser.
Een botnet? Mag het ietsje meer zijn?
Behalve het ontwikkelen van de malwaretools zelf, is er ook een mechanisme nodig om ervoor te zorgen dat deze bij de doelwitten terechtkomen. Dat is het werkgebied van de aanbieders van ‘Cybercrime Infrastructure-as-a-service’. We hebben het dan bijvoorbeeld over botnets: vaak omvangrijke netwerken van besmette pc’s die op afstand bediend kunnen worden, bijvoorbeeld om malware te distribueren. Maar ze worden ook ingezet voor grootschalige DDoS-aanvallen en voor het verzenden van spam. De prijzen voor het huren van een dergelijk botnet zijn verrassend laag. Zo biedt een aanbieder al een ‘basispakket’ aan voor 450 dollar, of een uitgebreider (lees: grootschaliger) pakket voor 999 dollar.
En net zoals in legitieme XaaS-sectoren zijn er ook partijen die alles-in-één pakketten aanbieden, zodat geïnteresseerde klanten complete aanvallen kunnen bestellen in plaats van losse onderdelen. Deze ‘Hacking-as-a-Service’ diensten hebben als grote voordeel dat ze heel gemakkelijk, zonder enige technische kennis, kunnen worden ingezet. Wie bijvoorbeeld een e-mailwachtwoord wil laten kraken hoeft alleen maar te betalen en het e-mailadres en de naam van het beoogde slachtoffer door te geven. Het hele proces wordt vervolgens zonder verdere tussenkomst van de opdrachtgever uitgevoerd. Ook DDoS-aanvallen kunnen op deze wijze worden besteld: maak een bedrag over en geef de naam van de website door die moet worden aangevallen, dat is alles.
Maatregelen
Wat kunnen organisaties nu doen om zich te beschermen tegen dit soort activiteiten? Zorg ten eerste voor een goede netwerkbeveiligingsoplossing, zoals een Siem (Security information and event management)-oplossing. Een effectieve Siem-oplossing is in staat om in real-time het netwerkverkeer te monitoren en bij verdachte activiteit verkeer direct de beheerder te waarschuwen. Nog beter is een volledig geïntegreerde beveiligingsoplossing, waarmee ervoor kan worden gezorgd dat toekomstige aanvallen van hetzelfde type automatisch worden geblokkeerd. Een tweede belangrijke maatregel is het gebruik van applicatiecontrole. Deze software voorkomt dat aanvallen kunnen worden uitgevoerd, omdat alleen gecontroleerde en goedgekeurde applicaties gedraaid kunnen worden. En tot slot zijn er oplossingen die de configuratie van het netwerk en van de aangesloten systemen voortdurend monitoren en voorkomen dat er wijzigingen in die configuraties kunnen worden doorgevoerd, zelfs door een gebruiker met administrator-rechten.
Wanneer deze oplossingen worden gecombineerd met goede endpoint-beveiliging en een solide firewall, hebben organisaties een effectieve diepteverdediging waarmee ook dit soort geavanceerde ingehuurde cyberaanvallen met succes kunnen worden afgeslagen.
Het blijft een ‘wapen’-wedloop voor de security-vendors en criminelen , maar het begint bij de gebruiker. Zie ook:
http://pandodaily.com/2013/10/26/i-challenged-hackers-to-investigate-me-and-what-they-found-out-is-chilling/#!
Je blijft kwetsbaar als internetgebruiker.
Ik denk eerder dat internetgebruikers meer bewust moeten worden van hun acties op internet en zo mogelijke hacks te voorkomen. Je kunt nog zo mooie tools hebben om hacks tegen te gaan, a fool with a tool is still a fool!
Mooi hé, die cloud?
Ik moet een beetje grinniken. Het is een heel(verkoop) verhaal om over het voetlicht te brengen dat;
a: Het niet altijd handig is een cybercrimineel te benaderen om penetratietesten te doen op netwerken of software
Daar heb je namelijk wereldwijd cyberservers voor staan waar je kunt testen of je software of stukje techniek wel bestand is tegen ….
b: Hoe ingewikkelder hoe beter?
Natuurlijk, Angst Verkoopt. Maar dat is niet de reden dat ik een beetje moet gniffelen. Men bedenkt zoveel nieuwe dingen dat de oude dingen overboord worden gegooit als achterhaald of overbodig.
Pssttt…..
Ik heb hier een hele leuke voor u mijn beste professional. Ik ken een paar oud collegea die namelijk vrijwel nooit last hebben van al dit soort problemen.
Waarom niet? Zij gebruiken nog steeds het ‘zeer ouwerwetse’ call back systeem en principe waar verder niemand aan kan komen. Natuurlijk, tegen ee Ddos attack is maar weinig bestand maar de problemen waar iedereen nu mee schijnt te worstelen? Daar hebben zij nooit last van.
Toch wel grappig…..
@ Ewoud…. Exactly my words….
Je hebt telkens een nieuwe wetenschap nodig om de problemen van een eerdere wetenschap op te moeten kunnen lossen. Zo houden ze elkaar bezig moet je maar denken.
@Numoquest,
sommigen zijn er expert in om met de oplossingen van vandaag de brandjes van morgen te creëren.
Dat lijkt me wat beter passen bij je laatste @…
@Maarten
A fool with a tool….
https://www.computable.nl/artikel/opinie/infrastructuur/4323495/2379248/a-fool-with-a-tool-schaken-in-de-cloud.html
@NumoQuest
Heb ik erom gevraagd dat de stekker uit girotel ging?
P.S.
Google is onze vriend, je verbaast je er over wat deze ‘crawler’ allemaal verzameld;-)
René Pieëte, goed van u dat dit punt weer eens onder de aandacht brengt. Vooral bij kleinere bedrijven denkt het management nog te vaak dat je hoogstens met hackende eenlingen te maken hebt omdat het bedrijf niet interessant genoeg zou zijn. Er zijn zelf ICT’ers die er zo over denken. Maar een computeranalfabeet die alles van list en bedrog afweet kan met behulp van een paar foute ICT’ers miljoenen van bankrekeningen halen. En dan kom ik bij mijn punt. Je moet beginnen met de organisatie en niet met de aanschaf van techniek (en daarna het probleem te dumpen bij de ICT-afdeling). Social engineering is meestal één van de middelen of zelfs het middel van de criminelen. Dat gevaar tackle je niet met alleen techniek en het technisch beheer daarvan. Awareness en een goede organisatie moeten centraal staan. Dat zou je nog even aan je – overigens goede – artikel moeten toevoegen.