‘Cybercriminelen verhandelen de toegang tot organisaties’
Dacht je dat je gegarandeerd veilig werkt met een VPN- of Citrix-verbinding? Op het dark web wordt de toegang tot dit soort verbindingen op grote schaal verkocht. Hoe gaan criminelen te werk? We krijgen een inkijkje in deze wereld.
Cyberexpert Pim Takkenberg laat een sheet zien met de bedragen die criminelen betalen voor een beveiligde verbinding. De toegang tot een web-shell-verbinding kost gemiddeld 2400 euro. De toegang tot een VPN-verbinding is zo'n 2.800 euro waard. Voor Citrix-verbindingen betalen ze zo'n 3.200 euro, voor een domain administrator account circa 6.800 euro en een RDP-verbinding is zo'n 8.100 euro waard.
Pim Takkenberg is general manager bij het cybersecuritybedrijf Northwave. In zijn dagelijks werk heeft hij regelmatig contact met criminelen die organisaties gehackt hebben. Zo weet hij wat er in die wereld omgaat.
Hoe kan het dat er op grote schaal gehandeld wordt in de toegang tot dit soort beveiligde verbindingen?
“Omdat het een kat-en-muis-spel is. Criminelen zijn constant op zoek naar kwetsbaarheden. Organisaties en ontwikkelaars nemen maatregelen om die gaten te dichten. Vervolgens vinden criminelen weer nieuwe manieren om binnen te komen.”
Hoe doen ze dat?
“Er zijn grofweg drie manieren om binnen te komen. De eerste manier is om op zoek te gaan naar kwetsbaarheden in de systemen. Als ontwikkelaars dit soort beveiligingslekken ontdekken, worden ze zeer snel gedicht. Gebruikers worden vervolgens opgeroepen om hun software te updaten. Niet iedereen doet dat meteen, waardoor criminelen nog altijd toegang hebben tot de computers die niet geüpdatet zijn.
Beveiligingslekken halen regelmatig het nieuws. Zo is er de afgelopen maanden veel aandacht geweest voor beveiligingslekken in Microsoft Exchange. En begin vorig jaar ontstonden er files omdat er een beveiligingslek gevonden was in Citrix. Daardoor konden veel mensen niet meer veilig vanuit huis werken en moesten zij massaal naar kantoor komen, wat voor lange files zorgde.”
Welke andere manieren zijn er om binnen te komen?
“De tweede manier is via phishing. Werknemers openen bijvoorbeeld een e-mail met kwaadaardige bijlages. Vervolgens worden zij verleid om acties uit te voeren die legitiem lijken, zoals iets aanklikken in Excel. Hiermee geven ze criminelen toegang tot het systeem.
De derde manier is via het wachtwoord. Criminelen kunnen 10.000 pogingen per seconde doen om een wachtwoord te raden. Een voorspelbare combinatie zoals de gebruikersnaam ‘admin’ en het wachtwoord ‘welkom2020’ is op die manier gemakkelijk te achterhalen.
Ook kunnen criminelen het wachtwoord weten omdat het ooit gelekt is, bijvoorbeeld bij de dataleks van LinkedIn of Dropbox. Of mensen hebben hun wachtwoord zelf gegeven via phishing mail. Veel mensen gebruiken op verschillende plekken hetzelfde wachtwoord. Zo halen criminelen wachtwoorden binnen waarmee ze ook toegang hebben tot de organisaties waar mensen werken.”
Hoe gaan criminelen vervolgens te werk?
“Zij verkopen de toegang aan anderen. Criminelen werken namelijk in netwerken met elkaar samen. Iedereen heeft zijn eigen specialisme. De criminelen die voor de toegang zorgen, worden ook wel initial access brokers genoemd.
De criminelen die de toegang kopen, heten ransomware affiliates. Zij gaan op zoek naar de kroonjuwelen van de organisatie.
Een bedrijfsnetwerk is opgedeeld in verschillende zones. In de eerste zone is nog niet zoveel te halen. De meest gevoelige informatie van een organisatie is vaak het beste beschermd. De ransomware affiliates gaan bijvoorbeeld op zoek naar directory's waar alle wachtwoorden en inlognamen verzameld zijn en plekken waar gevoelige documenten gedeeld, opgeslagen of bewaard worden.
Vervolgens slaan ze toe. Dit doen ze meestal door grote hoeveelheden gevoelige data te stelen, back-ups te versleutelen of te vernielen en systemen te versleutelen.
Ze werken hierin samen met ransomware developers. Zij leveren de versleutingssoftware en voeren de onderhandelingen. Deze laatste twee groepen verdienen het meeste aan de aanval. Een aanval levert zo'n 10 duizend tot 20 miljoen euro per keer op. De ransomware developers en affiliates krijgen 70 tot 80% van de buit die ze onderling verdelen.”
Hebben we daarmee de hele keten in beeld?
“Nee, er is nog één specialisme dat we niet genoemd hebben. Dat zijn de datamanagers. Zij hebben vaak een set van 8 tot 10 documenten in handen met zeer gevoelige informatie. Hiermee kunnen ze aan organisaties bewijzen dat ze de informatie in handen hebben en de druk opvoeren. Ook kunnen zij de data publiceren als er niet betaald wordt. Zij zijn de laatste schakel en daarmee is de keten compleet.”
Dit artikel is een onderdeel van een serie. Lees ook deel 1 waarin Pim Takkenberg uitlegt hoe hij onderhandelt met criminelen en deel 2 waarin hij vertelt hoe criminelen steeds persoonlijker worden.