5min Security

Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?

Insight: Security

Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?

De cybercrime-wereld moet sinds 4 april zien te overleven zonder Genesis Market. Criminelen verhandelden er talloze digitale gegevens van nietsvermoedende slachtoffers. Wat maakt de val van Genesis Market een grote vondst in een wereld vol cybercrime?

Om eerst te kunnen begrijpen waarom de ondergang van deze website van belang is, bekijken we wat Genesis Market precies inhield. Sinds 2018 bood het zogeheten bots aan. Een bot is in deze context een verzamelnaam voor de cookie-gegevens en de digitale vingerafdruk van één slachtoffer. Online diensten gebruiken deze data om te verifiëren dat een gebruiker te vertrouwen is. De malware waar de Genesis-dienst van afhankelijk was, stond een crimineel dus toe om met de gegevens van een slachtoffer diensten binnen te dringen, bankrekeningen leeg te roven en andere malafide daden te verrichten. Door de grote hoeveelheid data was het mogelijk om MFA (multi-factor authentication) te omzeilen.

Impersonation-as-a-service

Genesis Market was ’s werelds grootste IAB, ofwel initial access broker. In tegenstelling tot vele andere initiatieven van cybercriminelen was het businessmodel niet om mensen direct op te lichten, maar om anderen daartoe in staat te stellen door het verhandelen van gegevens. Het ging op deze markt met name om de kwaliteit en niet de kwantiteit van de bemachtigde gebruikersdata. Wie geïnteresseerd was in een bot met een hele portfolio aan inloggegevens, moest veelal honderden euro’s (in bitcoin) neertellen. In ruil daarvoor werden de cookie-gegevens van een slachtoffer continu geüpdatet dankzij de malware die nog altijd op de desbetreffende pc draaide.

Het streven naar kwaliteit ging ver bij Genesis, blijkt uit het onderzoekswerk van cybersecuritybedrijf Sophos. Het kende een gebruiksvriendelijke user interface, een klantenservice, uitgebreide zoekfuncties en tools om de doelwitten gericht uit te kiezen. Een grote stap voorwaarts ten opzichte van de vrij willekeurige datadumps die op eerdere ondergrondse fora gedeeld werden. Net als dat grote techbedrijven een SaaS (Software-as-a-Service) aanbieden, kon een consument van Genesis rekenen op een goed onderhouden IMPaaS (Impersonation-as-a-Service). Dit is overigens niet de eerste keer dat een dergelijke businessterm de oversteek naar de digitale onderwereld maakt, zoals we begin dit jaar berichtten.

Tip: Waarom cybercriminelen massaal forums en het dark web gebruiken

Invite-only

Het businessmodel van Genesis Market leek erg succesvol te zijn, ook al was de dienst alleen beschikbaar op uitnodiging (invite-only). Er was daarom een erg actieve secundaire markt voor het verschaffen van toegang tot de website, niet geheel onvergelijkbaar met de doorverkoop van tickets voor een populair festival.

Ransomware-groeperingen waren het meest geïnteresseerd in de diensten van Genesis. Door de grote mate van gebruiksvriendelijkheid en het formaat van de beschikbare gegevens kon men specifieke bedrijven aanvallen door ze te bestoken via meerdere geïnfecteerde gebruikers. Ook individuele slachtoffers bleven niet buiten schot, met soms grote financiële verliezen tot gevolg.

Met Genesis Market ging het dus over twee groepen criminelen: Genesis Market zelf, dat de bots verkocht, en de klanten die op hun beurt aan de slag gingen met de gestolen gegevens. Een uitgekiend en inmiddels al jaren operationeel misdaadnetwerk dus. Hoe hebben de FBI en de politie deze praktijken gestopt?

Operatie Cookie Monster

In 2019 raakte Europol betrokken bij het onderzoek naar Genesis Market. Vanuit het Europol-hoofdkantoor in Den Haag organiseerde een internationaal team een wereldwijd onderzoek naar de handelingen van deze cybercriminelen. In samenwerking met cybersecurity-experts van het Amerikaanse Trellix en het Nederlandse Computest spoorde het team de malware achter Genesis’ dataverzamelingen op. Ook de browser die klanten van Genesis ontvingen, werd uitvoerig geanalyseerd om de daders te traceren. Het doel was om te ontrafelen op welke manier slachtoffers aangevallen werden en waar de data terechtkwam. Uit de data bleek dat er minstens 1,5 miljoen bots aangeboden werden.

Toen de malware eenmaal detecteerbaar was, bleken de bots zich met name in Noord- en Zuid-Amerika, Europa en Zuidoost-Azië te bevinden. Computest omschrijft een voorbeeld van een aanval die ironisch genoeg ontstond omdat het slachtoffer in kwestie een illegale activatie van een antivirus-dienst dacht te hebben gevonden. De setup.exe deïnstalleerde echter de desbetreffende antivirus en installeerde de malware. Vervolgens deed de malware zich voor als een Google Drive-plugin in de browser. Op die manier konden klanten van Genesis toegang krijgen tot de gegevens van een slachtoffer.

Het doorgronden van de data die Genesis via de malware verspreidde en verschafte aan andere cybercriminelen, leidde tot het vinden van de verdachten die op 4 april in 13 verschillende landen opgepakt werden. Dit gebeurde tegelijkertijd met het neerhalen van de Genesis-website zelf, waarop nu een melding van de FBI te lezen is. Wat verandert er met deze vangst?

Grote vis

Alles wijst erop dat Genesis Market een belangrijke vangst is in de strijd tegen cybercrime. Met name de grote mate van gebruiksvriendelijkheid stond kwaadwillende leken toe om misdaden te plegen. Degenen die afhankelijk waren van Genesis’ functionaliteit, zullen het nu dus moeten doen zonder alle foefjes en ease-of-use features van Genesis. De professionalisering van cybercrime wordt versterkt door deze vorm van specialisatie: Genesis verzamelt de gegevens, als klant kun je vervolgens met die gegevens aan de slag met uitbuiting, het plunderen van bankrekeningen of andere illegale activiteiten.

Volgens cyber-expert Roman Faithfull moeten we echter niet onderschatten hoeveel kapers er op de kust zijn. Genesis was de grootste website van zijn soort, maar kampte de afgelopen maanden met technische problemen. Hierdoor zijn sommige klanten overgestapt op alternatieven, die nog altijd actief zijn.

Kortom, cybercriminelen zullen altijd op zoek gaan naar een nieuwe medeplichtige. Toch zal het voor velen van hen aardig wat tijd en moeite kosten om hun werk ongedetecteerd te vervolgen. Wie de plek van Genesis Market ook inneemt, zal gauw in het vizier verschijnen van de politie en cybersecurity-experts.

Lees ook: Deze nieuwe ransomware-strategie duikt steeds vaker op: gedeeltelijke gegevensversleuteling