Georganiseerde misdaad, die kennen we. Neem de voorbeelden uit Italië. Die zijn niet alleen een inspiratie voor beroemde Hollywood-klassiekers en tv-series, maar ook een plaag voor het land van herkomst en ver daarbuiten. Het georganiseerde karakter blijkt wel uit de hiërarchie: er is een ‘don’, er zijn capo’s, enforcers, buitenlandse ‘vestigingen’, enzovoorts. Deze georganiseerde misdaad is met de tijd meegegaan en houdt zich ook bezig met cybercriminaliteit. Maar er is een nog verontrustender ontwikkeling gaande, die het georganiseerde karakter van cybercrime op een veel hoger niveau brengt: de industriële misdaad.
In de begindagen was cybercrime alleen iets voor it-specialisten die dankzij hun kennis en vindingrijkheid computersystemen wisten binnen te dringen. Het doelwit: waardevolle data. Die moesten vervolgens nog te gelde worden gemaakt. Niet echt een manier om makkelijk geld te verkrijgen. Maar cybercriminelen weten ook wat innoveren is. Digitale inbraakgereedschappen zijn gebruiksvriendelijker geworden en de crimineel hoeft geen it-expert meer te zijn. Tegelijk is er sprake van een professionaliseringsslag.
Afpersing
En nu is er een vorm van cybercriminaliteit erg populair geworden die we ook goed kennen uit de traditionele wereld van de georganiseerde misdaad: afpersing. Je gijzelt de data door ze te versleutelen met ‘ransomware’ en eist losgeld, direct in bitcoins te voldoen. Dat is makkelijk verdienen, temeer omdat deze vorm van cybercriminaliteit zowel op technisch als op organisatorisch vlak enorme ontwikkelingen heeft doorgemaakt. Er is ransomware verschenen die, eenmaal binnengedrongen, geen internetverbinding meer nodig heeft. Afsluiten van internet om te voorkomen dat ransomware zijn werk doet heeft dus geen zin meer. Er zijn kant-en-klare ransomware-platforms beschikbaar, waarmee in principe iedere crimineel direct mee aan de slag kan. It-kennis is niet nodig en de buit is meteen binnen.
Complete industrie
De professionalisering op organisatorisch vlak is veel verder gegaan. Het zijn complete, hiërarchische organisaties, met een management, uitvoerenden (van software-ontwikkelaars tot beheerders) en supportmedewerkers. Er is rond ransomware een volwaardige industrie ontstaan die uit verschillende lagen bestaat:
- Een laag die zich bezighoudt van het ontwikkelen en onderhouden van de ransomware en deze te ‘huur’ aanbiedt. Deze laag is weer onder te verdelen in:
- Een laag die de malware ontwikkelt en onderhoudt.
- Een laag voor de ‘service’, op deze laag worden de sleutels voor de gegijzelde bestanden opgeslagen en onderhouden en ook betalingspagina’s worden door deze laag verzorgd.
- Een laag die zich bezighoudt met de ‘affiliates’ , dus met de mensen die ransomware willen huren in ruil voor een deel van de opbrengst. Deze laag zal zich ook bezighouden met het aldus verdiende geld.
- Een laag die de huur op zich neemt en gaat zoeken naar verspreidingsmethoden om ‘marktaandeel’ te winnen.
- Een laag die uiteindelijk ingehuurd wordt door de voorgaande laag om de ransomware daadwerkelijk te verspreiden (soms is dit een persoon die op de voorgaande laag meedeelt in de verdiensten).
In deze industrie zijn vele kleine organisaties actief, vaak op basis van royalty-betalingen aan een toplaag, en soms zelfs met exclusiviteitsbeding. We zien ook steeds meer aanvallen die gericht zijn op specifieke bedrijven, met als doel in één keer zeer veel geld binnen te halen.
Veelkoppig monster
Ransomware is door deze gelaagdheid een veelkoppig monster geworden. Als er een laag wegvalt, wordt die meteen weer opgevuld. Dat maakt het buitengewoon lastig om ransomware-organisaties, laat staan de hele ransomware-industrie op te rollen. Het is al een enorme opgave om bij een toplaag van zo’n organisatie te komen. We hebben de ervaring dat het soms wel lukt, maar dat het jaren kan duren. In de praktijk wordt daarom de ‘makkelijkste’ laag aangepakt, de laag die de daadwerkelijke afpersing pleegt. Wat het extra lastig maakt – tegelijk ook een van de redenen waarom deze vorm van afpersing zo populair is geworden – is dat door het gebruik van bitcoins de betalingen niet of nauwelijks door opsporingsinstanties te traceren zijn.
Niet weerloos!
Toch staan we niet weerloos tegen het veelkoppige monster. De meeste bedrijven kunnen nog wel het een en ander doen om de kans op een geslaagde ransomware-aanval te minimaliseren. Ook op grotere schaal zijn er mogelijkheden om die kans te verkleinen. Zo hebben we samen met de Nederlandse politie actie ondernomen om ransomware-criminelen die in Nederland actief waren voor langere tijd structureel te dwarsbomen. Met als resultaat dat Nederland door veel van deze criminelen voor enige tijd werd overgeslagen.
Misschien denk je nu dat het allemaal veel gemakkelijker is om gewoon te betalen. Het losgeld staat immers niet altijd in verhouding tot de kosten om de data op een andere manier weer toegankelijk te maken. Maar ik wil iedereen op het hart drukken om als het even kan niet te betalen. Want wie betaalt steunt de georganiseerde misdaad. Bovendien: betaling verhindert niet dat de criminelen gewoon terugkomen!
Yonathan Klijnsma, Senior Threat Intelligence Analyst bij Fox-IT
Ransomware is nog maar het begin vrees ik. De techniek is relatief complex en vereist communicatie hetgeen de pakkans weer vergroot. Zodra de crimineel de betalingsprocessen van een bedrijf (IDOC payment process) direct kunnen manipuleren, zijn er veel ergere zaken mogelijk.
Ransomware is nog maar het begin. Want ook hier is er sprake van innovatie en als er misbruik gemaakt kan worden van zwakke plekken om aan te verdienen dan zullen die middelen ook ingezet gaan worden. Het is dan zaak om op je hoede te zijn en zorgen dat je intern alles zoveel mogelijk op orde hebt inclusief de bewustwording van je personeel.