Het verplaatsen van servers van Rusland naar Nederland is de cybercriminelen achter het ransomeware-netwerk Emotet funest geworden. De politie had Emotet al langer op de korrel. Nadat de criminelen twee van hun drie command-and-control-servers in Nederland stalden, kon de politie de servers binnendringen, overnemen en ontmantelen.
Dat vertellen Marijn Schuurbiers, leider van het Team High Tech Crime (THTC) van de politie, en Peter (*) aan Computable. Schuurbiers vertelt dat de criminelen achter Emotet eind september 2020 twee van de drie command-and-control-servers virtueel van Rusland naar Nederland verhuisden. ‘Die systemen genereerden zo veel verkeer dat ze op hun oude plek waarschijnlijk niet optimaal functioneerden.’ De criminelen hoopten met een grote servercapaciteit en zware specificaties per machine beter hun slag te kunnen slaan vanuit Nederland, dat een belangrijk internetknooppunt vormt.
Peter vertelt dat het THTC in oktober 2020 het serververkeer van Emotet is gaan tappen. In december zijn de servers, na toestemming van het Openbaar Ministerie, door de politie gehackt. Of zoals in juridische opsporingstermen: ‘heimelijk binnendringen’. Peter: ‘De criminelen bleken ‘s nachts minder actief en dat was voor ons het moment om ongezien via remote acces binnen te dringen.’
Emotet-fabriek
Door die toegang kreeg de politie ‘een kijkje in de keuken’. Het onderzoeksteam ziet wat actoren doen, wie de onderdelen aanstuurt en hoe de criminelen te werk gaan. Schuurbiers: ‘Eenmaal binnen kregen we zicht op hoe het botnet beheerd en bestuurd werd. We zagen hoe nieuwe infectiecampagnes werden gestart, hoe van bestaande infecties uiteenlopende inlogcodes werden gestolen en welke servers betrokken waren om de Emotet-fabriek draaiende te houden.’
Die inlogcombinaties weten de criminelen vaak gemakkelijk uit Google Chrome te halen en die worden vervolgens apart verder verhandeld. In andere onderzoeken valt het de politie op dat de criminelen een sterke voorkeur hebben voor toegang bij partijen die geen gebruik maken van tweefactor-authenticatie. Schuurbiers: ‘Bij bedrijven en organisaties die deze authenticatie wel inzetten, wordt een vervolgaanval veelal gestaakt.’ De politie benadrukt dat diefstal van gegevens veelal is te voorkomen door naast gebruikersnaam en wachtwoord een aanvullend authenticatiemiddel in te zetten, zoals een token.
Hackwet
Om de servers van Emotet binnen te dringen, is gebruik gemaakt van de Wet Computercriminaliteit III, ook wel de hackwet genoemd. Die niet onomstreden wet is in 2019 van kracht gegaan en moet de pakkans van cybercriminelen vergroten. De politie kan deze bevoegdheden alleen toepassen op haar eigen grondgebied. Inmiddels hebben steeds meer andere landen vergelijkbare wetgeving. Door internationale samenwerking is het mogelijk cybercriminelen aan te pakken, ongeacht waar zij hun misdrijven plegen. Een hindernis is wel dat internationale rechtshulpverzoeken aan landen als Rusland op niets uitlopen.
‘Joint Targeting’
De Nederlandse politie kon de Emotet-server pas binnendringen toen deze naar Nederland werden verhuisd. Dat was nadat de criminelen achter Emotet de data virtueel vanuit Rusland overzetten op servers die bij een hoster op Nederlands grondgebied staan.
De verhuizing naar Nederland speelde uiteraard mee, maar de internationale samenwerking is het succes achter de aanpak van Emotet, vindt Schuurbiers. ‘Door met een aantal landen en samen met private partijen op te trekken, konden we elkaars kennis en bevoegdheden gebruiken. Binnen de Dienst Landelijke Recherche wordt dit ook wel ‘Joint Targeting’ genoemd.’
Hij vervolgt: ‘Criminelen kunnen zich door internationaal te bewegen veilig wanen, maar wanneer landen goed samenwerken is niemand onaantastbaar. Dat geldt zowel voor Ridouan T. (van moord en drugshandel verdachte topcrimineel die in Dubai werd gearresteerd red.) en de criminele organisatie achter Emotet.’
‘Verplaatsing betekent vermindering’
Op 26 januari 2021 maakte de politie bekend dat het samen met internationale partners het Emotet-botnet heeft ontmanteld. De actie had de codenaam Ladybird.
Gezien het internationale karakter van cybercrime, waarbij criminelen zich weinig van landsgrenzen aantrekken, bestaat de kans dat Nederland minder aantrekkelijk wordt en de criminelen hun servers elders zullen stallen. Daarmee is het gevaar niet geweken. ‘Maar wel verminderd’, aldus Schuurbiers.
‘Uit wetenschappelijk onderzoek blijkt dat een verplaatsingseffect vaak ook een verminderingseffect met zich meebrengt. Daarbij bestaat de kans dat criminelen Nederland niet alleen minder geliefd zal worden als toevluchtsoord voor criminele infrastructuren, maar ook als doelwit.’
* Op verzoek van de geïnterviewde is de naam Peter gefingeerd.
BInnenkort verschijnt op Computable een reconstructie waarin in detail wordt ingegaan op de manier waarop de politie de servers van Emotet omsingelde, overnam en het Emotet-netwerk onklaar maakte.
Als de criminelen hun servers zelf verplaatst hebben vanwege een betere performance, dan zal het inderdaad om criminelen gaan die los van de RF werken en te groot werden om zich nog zelfstandig te verschuilen.
Ben erg benieuwd naar de reconstructie van operatie Ladybird.