‘Cybercriminelen organiseren zich steeds meer met een CEO en klantendienst’

hacker security groep

Dagelijks komt er wel een cyberaanval in het nieuws. Maar wie zit er achter al die aanvallen? In ieder geval niet de whizzkid die op zijn kamer wat code en scripts schrijft. Dat is een geromantiseerd beeld.

Cybercriminelen zijn zeer goed gestructureerde organisaties met een CEO, CTO, CFO. Ze bieden zelfs een kwaliteitsgarantie op hun malware of hebben een klantendienst als je problemen hebt bij het betalen van ransomware.

Hun drijfveer is duidelijk: net als andere bedrijven willen ze winst maken. En ze maken daarbij handig gebruik van cryptocurrencies zoals Bitcoin om zo weinig mogelijk getraceerd te kunnen worden. Toch is dat wat ik doe met mijn team: We hack the hacker. That’s my game. Door in hun netwerk te infiltreren hebben we een duidelijk zicht op hun werkwijze en welke rollen er allemaal zijn in deze illegale underground scene.

Duidelijk businessplan

Om hun doelstelling te bereiken hebben ze een duidelijk werkwijze. Het plan telt acht stappen. Eerst bepalen ze wie ze gaan aanvallen (1). Meestal gaat het over bedrijven en organisaties. Tweede stap is om zoveel mogelijk informatie over het slachtoffer te verzamelen (2): Welke infrastructuur heeft het bedrijf? Welke apps gebruiken de medewerkers? En welke access-points gebruiken ze? Hoe meer info, hoe gemakkelijker – en minder duur – de aanval kan uitgevoerd worden.

 

“Om hun doelstelling te bereiken hebben ze een duidelijk werkwijze. Het plan telt acht stappen.”

 

Eenmaal dit geweten, kiezen ze het juiste ‘aanvalswapen’ (3). Welke methode heeft de meeste kans op slagen. In de volgende fases gaan de hackers de aanval uitrollen (4) en de aanval inzetten (5). Zodoende kan het vooropgestelde slachtoffer zo dicht mogelijk benaderd worden via verschillende aanvallen (6). Eens binnen is het plan om de data te stelen of ontoegankelijk te maken voor het bedrijf (7). Die data is geld waard. Hiervoor kan losgeld gevraagd worden om de data weer vrij te geven. De laatste fase is een evaluatie (8) van de aanval met een debriefing naar de bendeleider.

De Pablo Escobar van de cybercrime

Dit takkenpakket kan uiteraard niet door één man uitgevoerd worden. Het is een groot netwerk, een beetje de Linkedin van de onderwereld. Met één verschil: de meeste componenten uit dat netwerk kennen elkaar niet echt. Enkel hun nickname. En ze communiceren via tools zoals Telegram, Jabber of Skype.

Maar net zoals in de bedrijfswereld heeft zo’n hackerscollectief een hiërarchie. Bovenaan staat CEO. Hij bepaalt wie er wordt aangevallen. Als gangsterbaas is hij machtig en met hem kom je beter overeen. Zie het als de Pablo Escobar van de cybercrime.

Vervolgens heb je de Technical Manager. Hij is verantwoordelijk voor R&D. Zijn afdeling maakt de wapens en verfijnt ze in functie van de noden voor de aanval. Ze maken het ook gebruiksvriendelijk zodat iedereen dit gemakkelijk kan implementeren. Uiteraard zorgen ze ervoor dat de tool onder de radar kan blijven. Daarvoor testen ze hun malware met alle bestaande security-oplossingen in een gesloten sandbox-omgeving. In de echte wereld kunnen ze dit uiteraard niet testen, want dan is hun ‘code’ publiek. Ze verkopen hun ‘werk’ ook als aparte exploit op de markt.

 

“Net zoals in de bedrijfswereld heeft zo’n hackerscollectief een hiërarchie met een CEO bovenaan.”

 

Als de malware is ontwikkeld, treedt de Operation Manager is actie. Zijn belangrijkste taak is de verspreiding van de malware via geïnfecteerde websites. Hij zoekt de beste hackers in de business, voorziet de infrastructuur, zorgt voor de hosting (elke 2 uur veranderen van domein) en optimaliseert ook de mail service. Straf, want we zijn straks anno 2020 en nog steeds blijkt mail goed voor meer dan 70% van de aanvallen. Hij heeft ook een specifieke taak: zorgen dat er voldoende leads naar de geïnfecteerde sites komen. Er bestaan zelfs tools waar je via een dropdownmenu kan kiezen hoeveel (mail)adressen je per dag wil. U wenst 2.500 contacten? Dat is dan 30 USD. Spotgoedkoop dus.

Tot slot is er de CFO, de financieel directeur. Zijn team data-analisten bepaalt – als iemand gehackt is – wat de waarde is van zijn data en diverse accounts. Hij zorgt ook voor een groep ‘koeriers’ die het geld ontvangen en doorsluizen. En zijn dienst exchanges/bitmix verhandelen de Bitcoins razendsnel naar verschillende partijen, zodat het onmogelijk is om de geldstroom van de organisatie te ontrafelen.

In de praktijk

Dagelijks voeren we strijd met dergelijke professionele organisaties. En hoe meer hackers, hoe meer aanvallen. Een voorbeeld is de Nuclear Exploit Kit. Dit was een van de grootste exploits met opbrengsten tot 100.000 USD per maand. Die infecteerde trafiek met malware door een script te installeren op een gecomprimeerde website. Onwetende bezoekers van die site werden doorgestuurd naar de exploit.

Het researchteam van Check Point heeft zichzelf toegang gekocht tot de exploit. Het team kon onverdacht de volledige infrastructuur van de exploit binnendringen. We hebben die ook in kaart gebracht en alles openbaar gemaakt in een tweeledig rapport. De auteur van de exploit heeft toen, eenmaal hij op de hoogte was van het rapport, zijn business snel opgedoekt. Enkele weken later werd hij trouwens opgepakt.

 

“Dagelijks voeren we strijd met dergelijke professionele organisaties. En hoe meer hackers, hoe meer aanvallen.”

 

Bij een andere malware Cerber hanteerde het researchteam dezelfde methode. De researcher vonden een bug in het systeem, zodat ze sleutel van de encryptie konden omzeilen. Check Point heeft toen online een decryptor vrijgegeven waardoor slachtoffers hun gegijzelde bestanden konden unlocken zonder ransomware te betalen. Het duurde 48 uur vooraleer de auteur van Cerber ontdekte dat er een bug was in zijn systeem.

 

Dit is een ingezonden bijdrage van Oded Vanunu, hoofd van het Product Vulnerability Research team bij Check Point Software Technologies. Via deze link vind je meer informatie over de oplossingen van het bedrijf.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.