Versplintering en oplichting in de georganiseerde cybercrime

Stel je komt in de situatie dat je met cybercriminelen gaat onderhandelen, bijvoorbeeld omdat je bent getroffen door een ransomware-aanval. Vroeger, zes of zeven jaar geleden, hadden criminelen een vaste (kleine) prijs per machine die je wilde ontsleutelen en dat was dat. Tegenwoordig verzinnen ze meer middelen om organisaties onder druk te zetten. Je data wordt gepubliceerd, ze bellen je medewerkers, ze bellen je klanten, voeren DDOS-aanvallen uit, allemaal om je naar de tafel te krijgen om te onderhandelen. Het afgelopen jaar hebben we daarnaast nog wat creatieve uitspattingen gezien. Een bedrijf is bij de Amerikaanse autoriteiten SEC gemeld voor fraude. In een ander geval is het arrestatieteam SWAT ingezet om iemand te intimideren. Het zijn gelukkig zeldzame gevallen, maar we zien dat er creatieve geesten bezig zijn.

Het zijn de grote, georganiseerde groeperingen die deze drukmiddelen verder ontwikkelen. Ze hebben over de afgelopen jaren honderden miljoenen verdiend en zetten dit geld in om nieuwe technieken te ontwikkelen. Maar, hoe groter ze worden, hoe moeilijker het is om de hele groep in het gareel te houden. De afgelopen twee jaar zien we dat steeds meer informatie wordt gelekt uit deze groeperingen. De methodologie als handboek, de code waarmee ze hun ransomware bouwen en zelfs interne communicatie. Het stelt ons in staat om goed te begrijpen hoe deze groepen opereren, maar, er is ook een keerzijde.

Terugkijkend op 2023 hebben we significant meer ‘splintergroepen’ gezien. Dit zijn vaak kleine groepen criminelen, of soms zijn ze zelfs alleen, die deze tools en technieken hebben gedownload of gestolen en zich voordoen als een geavanceerde groep. Ik heb wel even moeten lachen toen een dergelijke groep zich voordeed als een professionele nieuwe groep, de ‘Diamond Ransomware Groep’, maar uit de printer bij het slachtoffer nog steeds een losgeldbrief van ‘Lockbit’ kwam rollen. Dat waren ze even vergeten aan te passen in de code van Lockbit, die je op Github gewoon kunt downloaden. Deze groepen zijn veel minder betrouwbaar en maken soms gekke sprongen. Een interessant weetje: voor veel van deze groepen hebben we gezien dat als je ze helemaal geen aandacht geeft, er een aanzienlijke kans is (47%) dat ze ook niets van je data publiceren.

Recentelijk zagen we nog een variant ontstaan, de ‘Scammer in the middle’ noem ik hem maar. Ze zien dat een bedrijf gehackt is, bijvoorbeeld op de ‘leaksite’ (een website waar ransomwarecriminelen hun slachtoffers bij naam noemen). Ze e-mailen vervolgens het bedrijf alsof ze de ransomwaregroep zijn en gaan onderhandelen. Omdat zij alle communicatie onder controle hebben, ook richting de echte ransomwaregroep, kunnen ze zich voordoen als de echte crimineel en proberen zo het geld naar zichzelf toe te sluizen.

Er gaat veel geld om in de criminele cyberwereld en we zien daardoor deze versplintering en opportunisten die wat kruimels proberen op te halen. Het positieve? De gemiddelde kwaliteit van deze aanvallen is zeer laag, dus als je je al goed beschermende, wend je deze kruimeldieven ook af!

Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en is bereikbaar via m.hoogesteger@s-rminform.com.

Deze column verscheen in IB1-2024.