De hoeveelheid cybercriminele activiteiten is de afgelopen jaren toegenomen, ondanks pogingen van allerlei instanties om de aantallen te reduceren. Een populaire bron om cybercriminaliteit te verspreiden is de onderwereld van het internet, via forums en het dark web. Onlangs kwam security-bedrijf Trend Micro met een rapport over de ontwikkelingen in deze onderwereld. We spraken erover met Technical Director Rense Buijen.
De activiteiten van criminelen op de forums en het dark web kregen een aantal jaar geleden behoorlijk wat aandacht. Dit had te maken met de populariteit van Silk Road, een marktplaats waarop criminelen hun illegale waar (zoals drugs en wapens) verhandelden. De Amerikaanse FBI en Europol werkten hard aan het oprollen van de marktplaats, uiteindelijk met succes. Verschillende sleutelfiguren werden opgepakt en veroordeeld.
Met het oprollen van Silk Road zijn de activiteiten niet plots de wereld uit. Nog altijd blijkt het verhandelen van allerlei soorten producten en diensten zeer populair. Denk hierbij naast drugs en verboden wapens bijvoorbeeld ook aan ransomware en botnets. Het verhandelen van zulke cyberaanvallen maken de ondergrondse forums en het dark web ook gevaarlijke bronnen voor bedrijven.
Makkelijk, anoniem en lucratief
De populariteit van de forums komt vanwege meerdere factoren. Zo is het relatief makkelijk om toegang te krijgen tot een forum, legt de Technical Director van Trend Micro ons uit. Er zijn bijvoorbeeld ondergrondse forums die je vanuit je reguliere internetbrowser kan bezoeken, zonder daarvoor een VPN of andere extra veiligheidsstappen te nemen. Een gebruiker hoeft dus alleen het adres van zo’n forum te weten en eventueel een vertaalmachine te gebruiken, want niet altijd zal zo’n website in het Nederlands of het Engels zijn. Daarnaast zijn er ook marktplaatsen waar gebruikers alleen toegang tot krijgen met extra veiligheidsmaatregelen. Hiervoor wordt vaak het Tor-netwerk gebruikt, waarmee de gebruiker anoniem blijft aangezien ieder internetverzoek via andere servers verloopt. Ook bij het kopen van een product of dienst blijft de gebruiker vrij anoniem, vanwege de afhandeling van de betaling met cryptovaluta. De gebruiker bevindt zich in dit geval op het zogeheten dark web, het deel van het internet waar reguliere internetgebruikers geen toegang tot hebben. Buijen maakt ons duidelijk dat gebruikers met een beetje IT-kennis door wat onderzoek te doen doorgaans wel in staat zijn om op een ondergronds forum te komen.
Ondanks de voor criminelen aantrekkelijke ontwikkelingen lijken inspanningen van politie en justitie impact te hebben op de onderwereld
Naast het feit dat de toegang vaak makkelijk te verkrijgen is en gebruikers op deze manier bijna niet te traceren zijn voor de autoriteiten, draagt het lucratieve karakter ook bij aan de populariteit. Wanneer we naar de cijfers uit het Trend Micro-rapport kijken, dan zien we bijvoorbeeld dat gestolen accounts met afstand het populairst zijn onder de bezoekers. De bezoeker koopt hiermee voor ongeveer 1 euro een account voor een streamingdienst. Zo’n account heeft een hacker bijvoorbeeld bemachtigd door een succesvolle aanval op een database met honderdduizenden accounts. Op een forum kunnen de accounts in bulk, vaak geautomatiseerd, verkocht worden. De hacker verdient op deze manier bakken met geld.
Ondanks deze voor criminelen aantrekkelijke ontwikkelingen stelt het rapport wel dat inspanningen door politie en justitie een impact lijken te hebben op deze onderwereld. Verschillende forums zijn verwijderd door internationale politieoperaties. Bovendien zouden bestaande forums aanhoudend DDoS-aanvallen en login-problemen ervaren, wat de effectiviteit aantast.
Ransomware als zorgelijk punt
Uiteindelijk vinden er tal van illegale transacties plaats op dit gedeelte van het internet en worden er zeer uiteenlopende producten en diensten verhandeld. Voor bedrijven zijn er dan ook zorgelijke ontwikkelingen die het dark web met zich meebrengt. Buijen maakt zich het meest zorgen over de invloed van het dark web op de ontwikkeling van malware, en dan met name ransomware.
De aantallen uit het Trend Micro-rapport geven aan dat het transactievolume van ransomware niet het grootst is op de forums. Dit heeft onder meer te maken met de prijs van een de ransomware en het gegeven dat niet iedereen zomaar met deze diensten om kan gaan. Ransomware blijft echter wel een grote inkomensbron voor cybercriminelen. In 2016 zou er wereldwijd maar liefst 1 miljard dollar (885 miljoen euro) verdiend zijn met ransomware, een bedrag dat in de tussentijd naar verwachting alleen maar verder gegroeid is.
Zorgelijk aan de ransomwarekant is de innovatie. Dat betekent het ‘as a Service’ aanbieden van aanvallen en het ontwikkelen van hybride varianten.
Zorgelijk aan de ransomwarekant is dat er veel innovatie plaatsvindt. Dat betekent het ‘as a Service’ aanbieden van aanvallen en het ontwikkelen van hybride varianten. Ransomware as a Service (RaaS) wordt vaak ontwikkeld door geavanceerde cybercriminelen die veel ervaringen hebben met het maken van malware en het aanbieden van criminele diensten. De RaaS-operators ontwikkelen dus de ransomware, de support en de payments sites, terwijl degene die het RaaS-product afneemt de aanval uitvoert. De makers van Raas verdienen aan de aanvallen door een percentage van het betaalde ransomwarebedrag te vragen of een licentiebedrag in rekening te brengen. Ook andere soorten malware worden via een as a Service-model aangeboden. Deze malwaresoorten blijken zeer lucratief vanwege het verdienmodel, maar bijvoorbeeld ook omdat hackers die RaaS afnemen aangespoord worden om de RaaS-dienst bij andere hackers onder de aandacht te brengen om zo nog wat meer te verdienen.
Daarnaast ontstaan er ook hybride varianten malware, welke een gevaar vormen voor bedrijven. Buijen haalt hierover een rapport van Intel 471 aan, waarin gesproken wordt over aanvallen die Emotet, Ryuk en TrickBot combineren. Dit noemt men een ‘loader-ransoware-banker trifecta’, verwijzend naar de ingebouwde veelzijdigheid. Emotet, Ryuk en Trickbot zijn van zichzelf al bijzonder effectief, maar door ransomware- en Trojan-elementen te combineren wordt er in potentie nog meer schade aangericht. Je krijgt dus een soort van ‘beste van alle aanvallen’. Emotet en Trickbot zijn Trojans met downloader-componenten, waardoor ze nieuwe malafide onderdelen kunnen downloaden. Een hybride aanval kan op die manier Ryuk-ransomware op het endpoint installeren.
Vertrouwensverlies
Cybercriminelen lijken elkaar dus meer te vinden, waardoor de effectiviteit wel eens toe kan nemen. Tegelijkertijd tonen de data van Trend Micro aan dat het vertrouwen binnen criminele interacties is aangetast. Hierdoor zoeken verkopers naar nieuwe manieren om te communiceren. Waar eerder Telegram een populair communicatiekanaal was, is in 2019 Discord uitgegroeid tot een populaire tool. Ook ondergrondse forums maken inmiddels gebruik van privé Discord-kanalen om transacties af te werken.
De strijd tussen politie en justitie en cybercriminelen, die voor de autoriteiten dus positief uitpakt, lijkt wat meer voorzichtigheid te veroorzaken.
De strijd tussen politie en justitie en cybercriminelen, die voor de autoriteiten dus positief uitpakt, lijkt wat meer voorzichtigheid te veroorzaken. Zo leidde het verlies van vertrouwen verder tot DarkNet Trust, een site om verkopers te valideren en anonimiteit te vergroten. Andere ondergrondse markten hebben nieuwe security-maatregelen getroffen, waaronder encrypted messaging en multi-signatures voor cryptovalutatransacties.
Goedkoper en/of blijvende vraag
Trend Micro baseert zijn onderzoek op recente cijfers, al worden de veranderende trends ook waargenomen op basis van vergelijkbare onderzoeken in voorgaande jaren. Op basis daarvan ziet het bedrijf ook prijzen van veel cybercriminele producten en diensten naar beneden gaan. Goede voorbeelden hiervan zijn crypting services en generieke bots, die eerder respectievelijk 1.000 dollar per maand en 200 dollar per dag kosten. Inmiddels liggen de prijzen hiervan op 20 dollar per maand en 5 dollar per dag. Prijzen van andere cybercriminele producten, zoals ransomware en Remote Access Trojans, bleven wel stabiel vanwege een blijvende vraag.
Daarnaast valt op dat Access as a Service als markt in opkomst is op de forums en het darkweb, wat voor bedrijven zorgelijk is. Bij Access as a Service wordt toegang tot gehackte devices en bedrijfsnetwerken verkocht, vaak om kwade activiteiten tot grote bedrijven op te starten. Toegang tot de bedrijfsinformatie kost vaak meer dan 1.000 euro, en binnen de onderwereld wordt zelfs gehandeld in toegang tot de grootste bedrijven ter wereld.
Al met al toont het Trend Micro-rapport aan dat er positieve en negatieve trends gaande zijn op de forums en het darkweb. De inspanningen van justitie en politie lijken effect te hebben. Tegelijkertijd zijn er zorgelijke ontwikkelingen gaande, die de populariteit van cybercriminele producten kunnen bevorderen. Het zal de komende periode wat dat betreft een strijd tussen beide kampen blijven.
16 uur geleden
