Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Advertorial

Door Tweakers Partners

Ontrafel de ransomware-keten met Team High Tech Crime van de politie

23-03-2021 • 07:55

9 Linkedin

Registreer je gratis voor Operatie Volt

Klik hier om een ticket te bemachtigen.

In Operatie Rubella kreeg het Team High Tech Crime (THTC) van de Politie informatie waaruit bleek dat een Nederlander het brein zou zijn achter de Rubella-malware. Tijdens het online event Operatie Volt (27 maart) hoor je hoe de verdachte letterlijk uit de collegebanken werd geplukt door het THTC, en alles wat eraan vooraf ging.

Cybercrime is een internationale service-economie geworden, met tal van halffabricaten en dienstverleners die elkaar opzoeken op ondergrondse fora. Marijn Schuurbiers, teamleider van het THTC, zag cybercrime de afgelopen jaren steeds geraffineerder worden. “Een paar jaar geleden was ransomware bijvoorbeeld veel vaker gericht op consumenten in plaats van bedrijven. Zo hielden we destijds in Amersfoort twee broers aan in een ransomware-onderzoek, die zowel de ontwikkeling en verspreiding als de financiële afhandeling ervan deden. Maar dit was eigenlijk ‘back in the days’. Bij een hedendaagse ransomware-aanval zijn vaak wel vijf of zes groepen betrokken.”

De anatomie van een ransomware-aanval

Marijn schetst de context waarin zo’n misdrijf plaatsvindt. “Strikt gesproken heb je het niet eens meer over ‘een ransomware-aanval’. We onderscheiden vijf fasen. De eerste is initial acces. Als je dit zou vergelijken met een woninginbraak heb je het over iemand die zich specialiseert in het namaken van voordeursleutels. Deze verkoopt hij massaal aan een tweede groep. Die groep, in fase twee, bestendigt de toegang, door de achterdeur en het zolderraam open te zetten en misschien te stelen wat toevallig op de keukentafel ligt. Daar laten ze het bij. In de derde fase gaat wederom een andere groep aan de slag, die gespecialiseerd is in het zoeken en stelen van gevoelige bedrijfsdata, waarmee slachtoffers ook nog kunnen worden afgeperst. Het versleutelen met ransomware - of beter gezegd cryptoware - gebeurt eigenlijk pas in fase vier, opnieuw door een andere ‘dienstverlener’. Tot slot is er dan nog de afhandeling van de betaling, vaak in Bitcoin. Dat is wéér een andere groep. Zo ziet het landschap er nu uit. In elk van deze fases kun je kiezen uit verschillende aanbieders. De ene keer is dat in fase één crimineel A en in fase twee crimineel B, maar de volgende keer kan dit helemaal anders zijn.”

De Rubella-malware waar onderzoek van THTC zich op heeft gericht, was zo’n schakeltje in het criminele landschap. “Het was malware die vooral in fase één en twee kon worden gebruikt. Rubella maakt gebruik van de macrofunctie in Word-bestanden die gemakkelijker door de voordeur binnen worden gelaten. Daar kan malware aan worden toegevoegd die een achterdeur openzet voor derden, bijvoorbeeld om ook ransomware te plaatsen. Bij de ransomware-aanval die afgelopen jaar plaatsvond op de Universiteit van Maastricht werd gebruikgemaakt van soortgelijke macro-exploits. De maker van Rubella gebruikte zijn malware waarschijnlijk ook zelf, getuige de grote hoeveelheden inloggegevens die bij hem werden aangetroffen. Hij richtte zich daarbij vooral op het optimaliseren van het product voor de verkoop.” Het onderzoek van THTC richtte zich op het ontrafelen van het proces en de keten waarin het gebeurt. "Wij proberen grip te krijgen op het landschap. Dat is anders dan de standaardaanpak die we bij de politie gewend zijn, namelijk het registreren van een incident om van daaruit verder te rechercheren. Dan loop je soms letterlijk achter de feiten aan. Eén incident is vaak maar een druppel op de gloeiende plaat. Het is het gevolg van een ketenwerking, waarbij iemand slachtoffer is geworden van een uitgebreide combinatie van tools, diensten en criminele netwerken.’’

volt-element

Aanhouding in de collegezaal

In het onderzoek naar Rubella ontving de politie informatie dat het brein achter de malware een Nederlander zou zijn. “Dat maakt dit onderzoek wel bijzonder. In veel gevallen ben je toch bezig met het achterhalen van criminelen die zich in het buitenland bevinden. Het was ook een onderzoek dat vrij snel ging, want soms duren onderzoeken bij THTC wel twee jaar. Omdat we in dit geval al snel een indicatie hadden van wie erachter zou kunnen zitten, was het vooral een kwestie van het bewijs rond zien te maken en de verdachte op te pakken met een open laptop. Dat laatste was vooral belangrijk gezien het risico op encryptie van aanvullend bewijsmateriaal.”

In het geval van Rubella kwam er geen arrestatieteam abseilend door het raam het huis van de verdachte binnen, maar verliep de aanhouding een stuk rustiger. Sterker nog: de verdachte werd opgepakt in de collegebanken van de Universiteit Utrecht. “De meeste studenten hebben er waarschijnlijk niet eens iets van gemerkt.” Bijzonder aan de aanhouding was dat hij door digitaal rechercheurs werd uitgevoerd. Het team van Marijn bestaat namelijk voor de helft uit mensen met een politieachtergrond en voor de helft uit collega’s met een IT-achtergrond (die overigens wel een verkorte politieopleiding krijgen). “De eerste categorie is over het algemeen wat ouder en zou daardoor te veel opvallen in een collegezaal. We wilden het juist onopvallend doen, en bovendien was er weinig risico op geweld.”

Kracht in diversiteit

Team High Tech Crime, dat opereert vanuit Driebergen, telt 160 fte's. Er wordt nauw samengewerkt met de regionale cybercrimeteams van de politie. “We overleggen veel, pakken samen onderzoeken op en stellen gezamenlijk prioriteiten. Een mooi voorbeeld is de Ransomware Taskforce, een initiatief dat recent is opgericht door het THTC en het cybercrimeteam van de eenheid Oost-Brabant.”

Bij THTC werken collega’s met de meest uiteenlopende profielen. “We hebben hier mensen die gepromoveerd zijn aan een universiteit, maar ook mensen die letterlijk geen rijbewijs hebben. Onze diversiteit is onze kracht. We hebben politiemensen, zij-instromers en ook mensen die bijvoorbeeld gedetacheerd zijn via ITvitae. Dat is een constructie voor ict-specialisten met een vorm van autisme, die eerst tijdelijk bij ons komen werken via een detachering om elkaar te leren kennen. Vaak blijken zij over vaardigheden te beschikken die voor ons bijzonder nuttig zijn. Sterker nog, ze blijken feitelijk niet eens zo gek veel af te wijken van andere collega’s bij THTC. Inmiddels zijn twee van deze gedetacheerden in vaste dienst gekomen bij THTC.”

Autonomie en intellectuele uitdagingen

Een constructie als hierboven is noodzakelijk om de juiste mensen te vinden. “Dat lukt ons momenteel redelijk, we zitten op ongeveer 80 procent van onze gewenste capaciteit. We merken wel dat als we de mensen eenmaal binnen hebben, ze verliefd worden op de politie. Je krijgt hier vrijheid en intellectuele uitdagingen. We geloven echt in de autonomie van mensen. Je krijgt van ons geen werkopdrachten, maar problemen om op te lossen. Dat biedt voor iedereen die hier werkt genoeg motivatie.”

“Technisch is cybercrime bijzonder gecompliceerd, maar we kunnen veel”, vervolgt Marijn. “Al helemaal in samenwerking met de aanpalende diensten. Neem bijvoorbeeld het samenwerken met het hacking-team van de Landelijke Eenheid bij onze actie op Hansa Market, een drugshandelsplaats op het darkweb (TOR). Die marktplaats hebben we in 2017 overgenomen en zelfs een periode gerund als onderdeel van ons onderzoek.” Lastiger is het om de internationale samenwerking goed op te tuigen om cybercriminelen op te pakken. “Een beetje cybercrimineel woont in land A, maakt slachtoffers in land B en gebruikt daarvoor infrastructuur in land C. Je bent afhankelijk van internationale coördinatie om zulke netwerken te ontmantelen. Maar ook dit lukt, zeker binnen Europa, steeds beter.”

Meld je aan!

Meer weten over het Team High Tech Crime, de ontknoping van Operatie Rubella en hoe het is om te werken als cybercrimebestrijder bij de politie? Schrijf je dan nu in voor het online event Operatie Volt op 27 maart. Meer informatie vind je door op onderstaande button te drukken.

Operatie Volt Meer info

Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie, Defensie en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Reacties (9)

Wijzig sortering
Ik snap dat voor veel mensen een evenement op zaterdag handig is, maar ik ben in het weekend toch liever buiten met de kinderen dan weer een dag achter een scherm te zitten. Is het mogelijk om de presentaties van dit evenement later terug te kijken? Moet ik me daarvoor dan aanmelden?
Hoi! Helaas worden de talks achteraf niet gedeeld.
Volgens @Trendingtrees niet, maar je kan je natuurlijk aanmelden en zaterdag om 13:00 met OBS of Windowsknop + G de boel opnemen lijkt mij. Denk er hierbij wel aan dat je je opname niet zomaar mag verspreiden.
Dit werkt alleen als je ook nog een botje hebt die je langs alle zalen brengt :+
We maken namelijk gebruik van een platform en niet een enkele livestream.
Toen ik de titel las, hoopte ik op een puzzel :(
But once you see whats hidden in the text... :Y)
I see what you did there... :P
Mooi artikel. Zeker voor een advertentie.
Helaas past die pet mij niet en ook die hiërarchie niet.
Maar succes met de zoektocht.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True