Politie arresteert man die bedrijven met ddos-aanvallen zou hebben afgeperst

De politie heeft een man van 24 uit Veenendaal aangehouden die verdacht wordt van het afpersen van bedrijven met ddos-aanvallen. De man zou bij zeker negen kleine bedrijven hebben gedreigd een denial-of-service in te zetten, tenzij ze hem zouden betalen.

De man stuurde berichten naar willekeurige bedrijven. Hij benaderde die met een bericht waarin hij hen afperste. De verdachte verlangde een onbekend bedrag aan bitcoins, anders zou hij een ddos-aanval inzetten tegen de websites van de bedrijven. In een paar gevallen voerde hij daadwerkelijk een korte aanval uit 'om zijn bericht kracht bij te zetten', schrijft de politie. In een aantal gevallen zijn de websites van de bedrijven uren offline geweest. De man benaderde kleine en middelgrote bedrijven, 'zoals webshops en groothandels'.

Het is niet duidelijk hoe de politie de verdachte precies wist op te sporen. Na een aangifte werd een onderzoek gestart. De politie zegt steeds vaker ddos-aanvallers te kunnen opsporen door samenwerkingen met datacenters en hostingproviders. De man werd aangehouden in zijn woning in Veenendaal. Daar werd ook een vuurwapen aangetroffen. De politie heeft ook de auto van de man in beslag genomen.

De politie en beveiligingsexperts waarschuwen al jaren voor het gemak waarmee ddos-aanvallen kunnen worden uitgevoerd. Dat is steeds simpeler door bijvoorbeeld het kopen van webstressers, die zogenaamd bedoeld zijn om de capaciteit van netwerken te bekijken. In 2018 haalde de politie een van de grootste webstresserdiensten offline.

Door Tijs Hofmans

Nieuwscoördinator

04-06-2020 • 14:44

49

Reacties (49)

Sorteer op:

Weergave:

Ik zit niet in de websites he maar als dit een kwetsbaarheid is, waarom is er dan nog geen oplossing voor of is dat nog duurder dan je laten afpersen?
Het is gewoon het doelbewust overbelasten van je website. Ik zou hetzelfde kunnen doen met je mobiel. Gewoon 1000-en mensen vragen om je continu te bellen. Dan ben je niet meer bereikbaar. Dan kun je 10 mobieltjes nemen, maar dan neem ik 10000 mensen om jou te bellen. Het verschil met DDoS is dat ik niemand hoef te vragen, maar gewoon 1000 computers vraag om je website te bezoeken. Die 100 computers kan ik gewoon inhuren om dat te doen. Veelal gaat dat om geïnfecteerde PC's van mensen die het zelf niet eens weten en die in een zogenaamd botnet zitten.
Er zijn op zich "oplossingen" zoals de Ddos wassstraat (https://www.nbip.nl/nawas/) en Cloudflare, maar uiteindelijk is een te grote hoeveelheid verkeer gewoon dat, meer verkeer dan er door de infra past.
Elk beetje beveiliging kost natuurlijk ook weer geld, of flexibiliteit, en kan ook weer false positives opleveren waarbij juist wel gewenst verkeer geblokkeerd raakt.
En ook de ddos wasstraat en cloudlfare hebben een beperkte capaciteit die in principe overschreden kan raken. https://blog.cloudflare.c...lmost-broke-the-internet/
er zijn oplossingen voor zoals CloudFlare :)

maar die kosten geld.. :)
Een andere oplossing is zo'n webstresser aansprakelijk stellen. Niemand gelooft dat Het.Draakje legaal een site als ABN-Amro mag gaan stressen. Het minimale wat je van zo'n stress-site zou mogen verwachten is dat ze de credentials van de aanvrager checken bij het bedrijf in kwestie. En een juist adres van de aanvrager hebben. Dus niet alleen een email-adres o.i.d.

Als ik het wel mag doen (ABN Amro stressen), dan zal ABN Amro dat wel kunnen bevestigen. Geen bevestiging of geen juist adres => wettelijke boete. Plus eventuele schade (inclusief imago-schade) vergoeden. Dan blijft alleen bot-nets over en dat is toch een slag lastiger om te organiseren.
Dat is ook weer lastig te controleren want hoe weet de stress site dat jij het juiste adres opgeeft en niet van 1 of andere persoon waar je toch al een hekel aan hebt?
Hele simpele oplossing, de webstresser kan de klant vragen een bepaalt bestand op een vaste URL van de site te zetten. Kan het bestand gevonden worden is de aanvrager dus de eigenaar/beheerder.
Of heeft de website al gekraakt middels een foutieve plugin of door een upload script te misbruiken om een file erop te krijgen.

Daarom is Google Search Console daar vanaf gestapt, en overgegaan op een DNS record. Als iemand toegang heeft tot je DNS server, dan heb je al een veel groter probleem.
Of heeft de website al gekraakt middels een foutieve plugin of door een upload script te misbruiken om een file erop te krijgen.
Als je dan de DDoS doet als hacker ben je natuurlijk niet slim bezig... een dergelijk lek kun je veel lucratiever uitbuiten. Dus vooral door laten gaan die webstresstest... dan heeft de site-eigenaar in ieder geval door dat z'n site lek is.
Ik kan je vertellen dat ze daar nog niet geheel vanaf gestapt zijn.

Het is gewoon nog beschikbaar als verificatie middel.
Uittreksel van gemeente register. Of (zakelijk) KvK inschrijving. Kopie ID bewijs. En als je al meerdere keren met hetzelfde stress-bedrijf zaken hebt gedaan, zullen ze je daar ook wel kennen.

Zo moeilijk is dat niet.

Hoe vaak denk je dat een bedrijf als ABN Amro een stress-test wil laten uitvoeren op 'dit moment' en dat niet twee / drie weken (of zelfs maanden) van te voren zou weten. Administratieve rompslomp even regelen en dan kan je daarna gewoon die test uitvoeren. Dat je dat laatste desnoods met een druk op de knop laat uitvoeren, (omdat de planning uitliep) dat kan. Maar dan weet je wel dat je legaal bezig bent en niet Spongebob (of Al Capone) aan het helpen bent.
Een bepaalde waarde in het DNS record zetten word weleens voor verificatie gebruikt.
Dat is toch heel makkelijk te automatiseren, laat een account aanmaken genereer een code welke de klant in een txt record op het domein moet plaatsen. Check geplaatste code.
Wou al zeggen dat zie je toch bij meer diensten ? Zou voor zo'n webstresser niet zo moeilijk moeten zijn om te implementeren ?
Deze manier van verificatie heeft geen nut als iemand al een weg heeft gevonden om een file te uploaden op je server.

DNS records verificatie is in dit geval veel veiliger
Volgens mij bedoelen we hetzelfde... Ik doel op de methode die MS gebruikt om te checken of een domein wel van jou is door een txt record te laten plaatsen/checken.
Ah sorry, inderdaad ja. Ik las te snel, ik dacht een txt-file op een domein-url plaatsen.

Excuus
Cloudflare beschermd ook bij de gratis variant:
https://www.cloudflare.com/plans/
Verwijderd @Rnej4 juni 2020 20:26
Cloudflare heeft toch ook een gratis dienst? D
ja, DDoS protection kopen is geen goedkoop ding, zeker als je onprem host. Immers houdt dit in dat je netwerk niet meer rechtstreeks bereikbaar is, maar eerst omgeleid wordt langs een bedrijf zoals Akamai die bakken bandbreedte heeft om DDoS attacks te absorberen en weg te filteren, om daaruit dan de "goeie" traffiek door te routeren naar jouw netwerk.
Aan de ene kant worden er kwetsbaarheden misbruikt in bepaalde protocollen die simpelweg bestaan omdat deze protocollen al decennia meegaan, van in een tijd dat beveiliging alles behalve een noodzaak was. Maar net omdat ze zo oud zijn, zijn ze ook niet eenvoudig te vervangen. Aan de andere kant heb je met de opkomst van cloud computing systemen zoals Azure en AWS vaaak heel goedkoop de beschikking over enorm veel verbindingen en bandbreedte wat het weer eenvoudiger maakt om zulke aanvallen uit te voeren.
Ik zit niet in de websites he maar als dit een kwetsbaarheid is, waarom is er dan nog geen oplossing voor of is dat nog duurder dan je laten afpersen?
Niet ieder probleem is op te lossen, en hoewel er oplossingen zijn: die zijn inderdaad duur. Kleine hosters kunnen dat niet ophoesten, altijd, en klanten willen er niet altijd voor betalen. (Tot ze een keer zwaar te grazen zijn genomen). Wij hadden we bij een vorige werkgever goede voorzieningen voor. Maar zelfs dan was het soms wat benauwd.
Het is niet echt een kwetsbaarheid als in malware of zo als dat is wat je bedoeld. Het probleem met een DDoS is, is dat jou webserver bijvoorbeeld 5000 bezoekers aan kan. Als met de DDoS aanvallen dan ineens 50000 "mensen" je website willen bezoeken, dan gaat de server uit de lucht want die kan het niet aan.

Het kan zijn dat er inderdaad 50000 bots gebruikt worden om de aanval uit te voeren. Deze computers zijn dan bijvoorbeeld gehackt en onderdeel geworden van een botnet. De persoon die dit botnet beheerd gaat gewoon met 50000 computers op hetzelfde moment naar de website.

Ook kan het zijn dat er een DNS amplification attack wordt uitgevoerd. Dit is een manier, waarbij de aanvaller een klein verzoekje naar een vatbare DNS server stuurt met het gespoofde IP adres van de website die down moet, de DNS server stuurt dan een veel groter bericht terug. Als je dit heel vaak doet, dan kan de server het ook niet meer aan. Daar is zelf helaas weinig aan te doen.

Wat je wel kunt doen is je website "achter" bijvoorbeeld Cloudflare zetten. Deze krijgen dan al het verkeer te verwerken en zij gaan dan proberen de echte bezoekers van de bots te scheiden. En die kunnen ook het goede van het slechte DNS verkeer scheiden, waardoor de website in de lucht blijft.

De dader uit dit bericht ging daarom voor kleine en middelgrote bedrijven. Die hebben dit vaak niet en daarom lukt de aanval daar ook.

Hoop dat dit het een beetje uitlegt. :)

edit: Ik moet de volgende keer sneller typen, nou zijn meerdere mij al voor. :P

[Reactie gewijzigd door dehardstyler op 29 juli 2024 01:05]

Een DDOS-aanval is in feite niets meer dan met heel veel computers tegelijkertijd een website bezoeken zodat de server overbelast raakt. Het is heel moeilijk om daar iets tegen te doen, want hoe zie je of iemand een legitieme bezoeker is of een aanvaller? De enige andere optie is je servercapaciteit vergroten zodat je meer verkeer tegelijkertijd aankan maar dat is duur.
Dat is allang niet de enige oplossing.
Akamai biedt bijvoorbeeld wereldwijde spreiding van endpoints tot je hostname aan. Dus al die bots gaan via talloze endpoints die elk hun eigen bandbreedte hebben. En voordat het bij je chokepoint aankomt is er al genoeg analyse gedaan om het verkeer te filteren. Mooie oplossing.
Ik bedoelde met "servercapaciteit vergroten" óók op services als CloudFlare of Akamai. Dat zijn dan wel niet servers die je fysiek zelf in je bezit hebt, maar in dat geval huur je gewoon een plekje op hun netwerk. Gelet op de vraagstelling wilde ik niet op dat soort details ingaan.
Mijn punt is dat je niet je workloads bij hen host, alleen maak je gebruik van hun netwerk
Servercapaciteit verhogen is eigenlijk alleen een optie als je niet wilt dat je verkeer via een dienst als CloudFare loopt. Voor banken, overheid, ... is dat soms wettelijk niet toegestaan en dan is zelf opschalen de enige optie, maar ook daar zit een maximum aan. Veelal hosten deze partijen met eigen hardware en die schaal je niet zomaar even op. Dan moet je een bak servers naar binnen kruien...
Beetje offtopic maar zijn er ook legale webstressers? Dat lijkt me toch gewoon toegestaan?
Ja die zijn er. Maar die zullen gewoon om je gegevens vragen, zodat ze weten dat je bent wie je zegt dat je bent. En dus zullen een vorm van authenticatie willen dat jij die website beheert. (Bijvoorbeeld een TXT DNS record met een bepaalde hash erin, die bij die toko aan jouw gekoppeld is. Als die DNS record verschijnt, ben je dan geverifieerd als eigenaar van die server, anders had jij geen toegang gehad tot de DNS server.)
Het is erg leuk als een eind-klant daar toestemming voor geeft. Maar er zit nog een keten van partijen ervoor. En die zijn niet blij als jij 50 gbps op je website af laat vuren (met of zonder bescherming ala NaWas).

Dus ik vind het zo'n service nog steeds dubieus.
Precies dit.

Stel je huurt je webhosting bij bedrijf A, die plaatsen je op een server die ze bij datacenter B hebben staan.

Jou server krijgt een bandbreedte van 100mb/s toegewezen en het datacentrum heeft een 5GB/s verbinding met een exchange.

Nou schiet iemand 100GB/s naar jou IP adres wat erin resulteerd dat niet alleen jou server overbelast wordt maar gelijk het hele datacentrum.
goed nieuws dit, weet alleen niet wat voor straf hier opstaat...hopelijk een bepaald geld bedrag in bitcoins
Daarvoor hebben ze de plukze regeling. Daarmee kunnen ze wat crimineel verdiend is vorderen/afpakken.

De auto zal je waarschijnlijk op korte termijn op de kroondomein veilingen zien.
Lijkt me gewoon te vallen onder afpersing.
Daar zijn wetten voor. (Holleeder 9 jaar)
Al verwacht ik hier een wat mildere straf.
Misschien een domme vraag maar zou het bannen van ip adressen ook niet kunnen helpen? Dingen zoals van bekende stessservers daar de ip adres al van te voren blokeren. Of wanneer 1 ip adres boven de ingestelde limiet komt (bijvoorbeeld 10% van de maximale internet capaciteit of maximaal aantal connecties te gelijk vanaf 1 ip adres) dat die dan automatisch geblokkeerd wordt? En voor bekende partijen die veel gebruiken in de toegestaande lijst zetten.
Een IP adres bannen is als een afzender van de post bannen: je moet eerst uitzoeken waar de post vandaan kwam, en dan nog steeds kan de afzender liegen en een ander adres opschrijven.

Doe dat met 10.000 brieven per dag en wellicht dat je je echte post misloopt of per ongeluk weggooit.

Nog leuker is 10.000 brieven naar allerlei adressen sturen met als “afzender” je doel adres. Die adressen sturen dan een reactie, allemaal naar dat doel adres, die vervolgens 10.000 brieven krijgt van 10.000 afzenders. Lastig om dan je legitieme post eruit te filteren of de afzender te blokkeren. Je kan natuurlijk alle post uit flevoland meteen weggooien, maar dan nog komt de spam via noord holland binnen en loop je legitieme post uit flevoland alsnog mis.

[Reactie gewijzigd door Gamebuster op 29 juli 2024 01:05]

Als er gebruik gemaakt wordt van een botnet is het inderdaad lastig. Maar als er gebruik gemaakt wordt van een stresstest server dan lijkt mij het niet zo moeilijk. Die zal niet gebruik maken van 10000 verschillende ip adressen. En elke connectie heeft de ip adres erbij staan. Dan lijkt mij een kwestie van even bij houden van hoe vaak maakt elke ip adres verbind met ons (of hoe vaak wij reactie terug sturen naar een bepaalde ip adres) en is dit meer dat 100 keer per seconden dan stoppen. En er kan een lijst gemaakt worden van de legale stresstest servers ip adressen die van te voren geblokkeerd worden. Wil je een keer de stresstest doen dan haal je die ip adres even weg weg ui blokkeer lijst.
ik denk zomaar dat meneer de afperser niet een simpele stresstest gebruikte.
Vaak is het ook nog UDP verkeer wat vrij simpel te spoofen (lees: source adres faken)is dus blokkeren heeft geen zin.

De website van stressers en booters staan vaak in landen die niet echt willen samenwerken. Dus blijft lastig allemaal!
De man werd aangehouden in zijn woning in Veenendaal. Daar werd ook een vuurwapen aangetroffen. De politie heeft ook de auto van de man in beslag genomen.
Waarom wordt er een auto in beslag genomen als die niet gebruikt werd om de misdaad te plegen?
Wellicht een te dure auto voor zijn inkomen? Plukse!
Precies. Als aannemelijk is dat iets gekocht is met crimineel verworven geld kan het worden afgepakt.

Hele goeie regeling.
De man werd aangehouden in zijn woning in Veenendaal. Daar werd ook een vuurwapen aangetroffen. De politie heeft ook de auto van de man in beslag genomen.
Zou het niet logischer geweest zijn om beslag te leggen op zijn vuurwapen i.p.v. op zijn auto? :?

Waarom zou de politie iemands auto in beslag nemen, als het zijn computervaardigheden zijn waar hij misbruik van maakt?

Dat is net zoiets als iemand zijn rijbevoegdheid ontzeggen voor het slaan van zijn buurman, of beslag leggen op de computer van iemand die voor de zevende keer met zijn de auto de straat op rijdt zonder dat hij een rijbewijs heeft. Ik zie het logische verband niet. :/
Ik denk dat die inbeslagname in het kader van de Plukze wetgeving, om te voorkomen dat misdaad loont.
Daarnaast: vaak vergoed de overheid in eerste instantie de schade voor het slachtoffer en wordt dit daarna indien mogelijk verhaald op de dader. Zo'n auto is dan alvast een begin.
Daar zit wat in, maar als het slachtoffer 1200 euro nodig heeft voor een nieuwe computer met dezelfde systeemspecificaties als zijn vorige omdat jij met een virus zijn moederbord onbruikbaar hebt gemaakt, is het slachtoffer dan niet meer gebaat bij 1200 euro dan bij een tweedehands autootje ter waarde van ongeveer 1200 euro?

Ik bedoel, zo een auto is natuurlijk fijn, maar het slachtoffer wil gewoon zijn computer terug.
Zo'n auto wordt natuurlijk geveild, de overheid kan met de opbrengst daarvan tenminste en deel van het bedrag dat zij aan het slachtoffer hebben uitgekeerd terug krijgen.
Op die manier. Dan zie ik de logica er wel van in. :)

Op dit item kan niet meer gereageerd worden.