Onderzoekers van Trend Micro daalden af tot de diepste krochten van de Russische cyberonderwereld. Daar botsten ze op een sterk georganiseerd collectief gebouwd op status, vertrouwen en technische expertise, dat door de Oekraïne-oorlog op barsten staat.
Russische cybercriminelen vormen een reële dreiging voor iedere Westerse organisatie. Het bewijs hoeven we niet ver te zoeken: twee weken geleden kreeg de Belgische overheid te maken met een golf van Russische cyberaanvallen te maken. Dat cyberaanvallen op Westerse organisaties zo vaak gelinkt worden aan actoren uit Rusland is geen toeval: Oxford University plaatst het land op nummer één in zijn globale Cybercrime Index.
Onder het principe ‘Ken je vijand’, publiceert Trend Micro vandaag een paper waarin het een unieke inkijk in de Russische cyberonderwereld geeft. Volgens Trend Micro is cybercriminaliteit nergens ter wereld beter georganiseerd dan in Rusland en omstreken. Onderzoekers Vladimir Kropotov en Fyodor Yarochkin lichten hun onderzoek toe aan de pers. “De Russische cyberonderwereld is meer dan een marktplaats: het is een gestructureerde samenleving gebaseerd op regels, reputatie en vertrouwen”, licht Kropotov het tipje van de sluier.
Wij tegen zij
Kropotov en Yarochkin probeerden in de hoofden van Russische cybercriminelen te kruipen. Die komen overigens niet exclusief uit Rusland, maar ook uit buurlanden waar het Russisch nog een dominante taal is, zegt Kropotov. “Er is veel onderlinge export van talent tussen Russischsprekende landen. Men werkt zoals in een professionele context met vacatures en opleidingen”.
Volgens Yarochkin drijft ideologische nostalgie de Russische cyberonderwereld aan. De geest van de inmiddels meer dan dertig jaar geleden ter ziele gegane Sovjetunie leeft in de hoofden van de hackers nog steeds verder. “Er heerst een ‘wij-tegen-zij’ gevoel. Hackers uit Russische landen maken afspraken om elkaar niet aan te vallen en enkel geld te stelen van het ‘rijke’ Westen. Dat maakt het risico op arrestaties ook veel kleiner”.
Dat betekent niet dat ze per se uit politieke motieven handelen. “Actoren zijn technisch hoogopgeleid, maar hebben weinig opportuniteiten op de arbeidsmarkt. Velen zoeken daardoor de grens van ‘aanvaardbare activiteiten’ op om hun vaardigheden te ontwikkelen”, zegt Yarochkin. “De inflatie zet mensen in deze landen onder financiële druk. Cybercriminaliteit is dan een strategie om te overleven”, voegt Kropotov toe.
Er heerst een wij-tegen-zij gevoel onder Russische hackers: er zijn afspraken om enkel geld te stelen van het ‘rijke’ Westen.
Fyodor Yarochkin, Senior Threat Solution Architect Trend Micro
Bitcoin sloopt de muur
De globalisering van de wereld die indruist tegen hun overtuiging heeft Russische hackers wel geholpen om hun aanvalsgebied uit te breiden. Yarochkin: “Betaalsystemen waren lang een obstakel, maar de introductie van bitcoin heeft de grenzen weggenomen. Bitcoin is de basis van het cybercrime-as-a-service-ecosysteem. Ransomware bepaalt in grote mate de globale bitcoinflow. Veel bedrijven kopen bitcoins aan om criminelen te kunnen betalen na een aanval”.
Naast economische barrières zijn met hulp van technologie ook taalkundige barrières weggewerkt, merkt Kropotov op. “Als je de taal van het slachtoffer niet spreekt, kan je geen geloofwaardige phishingmails opstellen. Met AI kan dit nu heel eenvoudig, waardoor hackers regio’s kunnen bereiken die voorheen onbereikbaar waren”.
lees ook
‘De tijd van zielige phishingaanvallen is voorbij’
Broos vertrouwen
De paper beschrijft uitvoerig hoe de cybercriminelen met elkaar omgaan. Op de hackersfora gelden strike gedragsregels en codes en wie wil binnen geraken in de groep, dient deze te kennen en te respecteren. “De fora zijn in principe openbaar, maar als buitenstaander is het een uitdaging om de cultuur en de interacties te begrijpen”, zegt Yarochkin.
“Het zit echt in details. Ze hebben je meteen door als je berichten gewoon zou vertalen met Deepl of ChatGPT”, gaat hij verder. “Hackers zijn van nature uit wantrouwig naar de buitenwereld, maar tegelijkertijd staan ze open voor nieuwe ‘werkkrachten’. Door vertrouwen en reputatie op te bouwen, geraak je uiteindelijk bij de groepen binnen”.
“Reputatie is cruciaal om een ecosysteem te kunnen opbouwen in de digitale onderwereld”, pikt Kropotov in. Een reputatie opbouwen kan vele jaren duren, maar met één fout weer verloren gaan. “Daarom zijn politieacties wel degelijk effectief. Groeperingen die gepakt worden, worden uitgelachen. Hackers leren van elkaars fouten. Is je reputatie verwoest, dan is het afgelopen”.
Vorig jaar werd Lockbit opgerold, een groepering die aan de top van de Russische cyberonderwereld stond. Op zijn piek was het Lockbit-netwerk verantwoordelijk voor een derde van ransomware-aanvallen wereldwijd. Kropotov: “Kleine aanvallen blijven onopgemerkt, maar vanaf ransomware miljoenen tot miljarden euro’s kost en kritieke infrastructuur treft, trekt het de aandacht van autoriteiten. Dit zorgt voor spanning onder actoren: op sommige fora is ransomware zelfs een verboden gespreksonderwerp”.
Ideologische splijtzwam
Het collectieve gevoel dat de Russische cyberunderground sterk maakte, brokkelt de laatste jaren af, stelt Yarochkin vast. De Oekraïne-oorlog fungeert als een ideologische splijtzwam. “Er is een duidelijke afsplitsing te zien: groeperingen uiten zich als pro-Russisch of pro-Oekraïens. Het ‘andere’ land wordt plots een legitiem doelwit. Vroeger sprongen groeperingen de grens over, dat is nu ondenkbaar”.
“Partij kiezen in het conflict maakt actoren meer zichtbaar. Dat biedt kansen voor politiediensten om groeperingen te lokaliseren”, zegt Kropotov. “Toch hebben ze er nog steeds baat bij om zich te verstoppen. Oekraïne en Rusland beschouwen elkaar als terroristische staten. Bedrijven in Oekraïne mogen Russische hackers niet betalen. Dat wordt beschouwd als het sponsoren van terrorisme en bedrijven kunnen er wettelijk voor vervolgd worden”, springt Yarochkin bij.
De geopolitieke spanningen in de wereld doen grenzen tussen typen cyberaanvallen en wie er slachtoffer van kan worden, vervagen. Yarochkin: “Cybercriminelen zoeken doorgaans naar de zwakste schakel om aan te vallen, terwijl ‘hacktivisten’ hun slachtoffer bewuster uitkiezen om een boodschap te verzenden of informatie te bekomen waar niets aan te verdienen valt. Maar commerciële bedrijven kunnen door acties van overheden evengoed het doelwit van hacktivisme worden”.
“Voor het begin van de oorlog was hacktivisme over het algemeen veel amateuristischer dan cybercriminaliteit. Nu zien we meerdere niveaus ontstaan binnen hacktivisme en zijn groeperingen veel professioneler en complexer georganiseerd. Ransomware wordt onderdeel van de hybride oorlogsvoering”, zegt Kropotov.
Kat-en-muis
Yarochkin en Kropotov delen als besluit mee wat je als Westerse organisatie nu van hun onderzoek moet meenemen. “Europese organisaties moeten het risico erkennen en een technische voorsprong nemen om kritieke infrastructuur veilig te houden. We zullen cyberaanvallen misschien niet volledig kunnen stoppen, maar we kunnen het cybercriminelen wel zo moeilijk mogelijk maken. Het zal altijd een kat-en-muis-spel blijven”.
Op sommige hackersfora is ransomware een verboden gespreksonderwerp.
Vladimir Kropotov, Senior Researcher & Advisor Trend Micro