Column - Cybercriminelen hebben ook vakantie

Door Martijn Hoogesteger 13 okt 2022

De cybersecuritywereld draait meer en meer om externe aanvallers. Vroeger ging cybercriminaliteit vooral alleen om het geld, maar de belangen worden steeds complexer. Waardevolle data stelen, zelfs in opdracht van een overheid, of bepaalde landen of organisaties als doelwit uitkiezen vanuit ideologisch standpunt, alles zit erbij. Bij fysieke beveiliging kan je je nog voorstellen wie je tegenstander kan zijn, online blijft het een schim van een IP-adres en een vermoeden van het land waar criminelen zich verschuilen. Maar, we komen steeds meer te weten.

Lang geleden deed ik onderzoek naar een gehackt e-mailaccount waarbij geld was gestolen. Bij het analyseren van de acties van de criminelen werden er twee dingen duidelijk. Eén: ze waren verschrikkelijk goed in het nabootsen van echte e-mails. Ze deden uitvoerig onderzoek naar gesprekshistorie en zorgden dat er op eenzelfde manier werd gecommuniceerd. Twee: ze lieten soms per ongeluk sporen achter die wezen naar waar ze vandaan kwamen! In dit geval voegde het mailprogramma van de crimineel netjes een regel toe aan de e-mail: ‘Piet schreef op 30 Februari 2028 om 15:40…’. Maar Piet had de mail om 10:10 (UTC) gestuurd. Ik zal toegeven, even dacht ik dat de tijd op de mailserver niet correct was. Aannames! Het mailprogramma van de crimineel staat natuurlijk netjes ingesteld op zijn tijdzone, wat in dit geval +5:30 is. Een hele kleine tijdzone voor alleen India en Sri Lanka.

Dit is maar een van vele voorbeelden van hoe we steeds beter beeld krijgen van criminele groeperingen (en niet alleen die met ransomware bezig zijn), hoe ze opereren, en waar ze zitten. Het geeft ons handvatten om belangrijke vragen te beantwoorden zoals: welke sancties zijn van toepassing op deze groep? Welke instanties kunnen helpen om ze op te sporen? Welke technieken gebruiken ze en hoe kunnen we ons daar het beste tegen verdedigen?

Maar ook mijn allerbelangrijkste vraag: hebben deze gasten nooit vakantie ofzo?! Ik krijg bijvoorbeeld notificaties bij elke nieuwe ‘leak’ van een ransomwaregroep. Dat zijn er veel, veel te veel. Als je in cybersecurity werkt lijkt het nieuws over ransomware-aanvallen nooit op te houden. Als het niet in Nederland is, dan wel in de EU, of een groot bedrijf in Amerika waar we over horen. Een recent rapport van ENISA over ransomware geeft waardevolle inzichten hierover. Op basis van meer dan 600 verschillende ransomware-incidenten in het afgelopen jaar geven ze antwoord op vragen over ransomware.

Zijn er sectoren die vaker als doelwit worden gekozen? Het lijkt er niet op. Aanvallen zijn ongericht, of je klein of groot bent, of je een transportbedrijf of professional services bent, het maakt niet uit. In hoeveel cases wordt er losgeld betaald? Dat wil nog steeds niemand zeggen, daar moeten we naar gissen. Meerdere onderzoeken, waaronder deze, geven een percentage van rond de 60% aan. Gaan ransomwarecriminelen met vakantie? Ja!

Oké, dat is mijn interpretatie van de data die bewijst dat er in de zomer beduidend minder gerapporteerde incidenten zijn. Ransomwarecriminelen hebben ook kinderen met zomervakantie, en nu de coronarestricties voorbij zijn, gaan ze er lekker op uit. Het is wellicht ook waarom we altijd in januari wat minder incidenten zien; daarin valt immers orthodoxe kerstmis, dat in Rusland wordt gevierd. (In het algemeen wordt Rusland het meest geassocieerd met ransomwaregroeperingen). Nu weet je voor de toekomst wanneer je je vakantie kan plannen: simpelweg even de schoolvakanties erbij pakken van het land waar de relevante boefjes zitten.

Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en bereikbaar via m.hoogesteger@s-rminform.com.

Deze column verscheen in iB5-2022.