Cybercrime
De toekomstige quantumcomputers zullen in staat zijn om elke willekeurige computer te kunnen kraken en veelgebruikte computerbeveiliging voor een groot deel onschadelijk kunnen maken. Ook de AIVD maakt zich hierover zorgen. De Eerste Kamer heeft 12 maart 2024 ingestemd met de Tijdelijke wet cyberoperaties. Na inwerkingtreding van deze wet kunnen de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hun bestaande bevoegdheden sneller en effectiever inzetten tegen dreigingen van landen die cyberaanvallen plegen tegen Nederland.
In Nederland zijn in 2023 zeker 147 ransomware-incidenten geweest. Deze gevallen vormen vermoedelijk slechts een klein deel van het totaal. Veel bedrijven doen geen aangifte uit angst voor reputatieschade. In Duitsland is het verplicht om een ransomwareaanval te melden. Daar eindigde de teller vorig jaar op vierduizend incidenten. Deskundigen zien het aantal cyberaanvallen nog niet teruglopen. “Ransomware blijft enorm populair onder criminelen, met name Ransomware as a Service (RaaS).” Bij dit RaaS-model biedt een bende de ransomware als dienst aan. Andere partijen kunnen die dienst afnemen en gebruiken om zelf aanvallen uit te voeren. Achter de aanbieders zit vaak een groot bedrijf, mét een klantenservice die de afnemer helpt bij problemen. Als de servers van een aanbieder zoals Lockbit door autoriteiten worden neergehaald, betekent dat niet dat hun geleverde software niet meer werkt. “De afnemers maken daarmee nog steeds slachtoffers”. Ondanks dat is het goed dat de criminele groepen aangepakt blijven worden en dat autoriteiten hun successen openbaar maken, zeggen de experts. De successen moeten criminelen demotiveren om door te gaan. Acties van de politie laten zien dat criminelen niet zo anoniem zijn als ze zelf denken en dat ze hen op de hielen blijven zitten.
Aanhoudende statelijke cyberspionagecampagne via kwetsbare edge devices
Eerder dit jaar heeft het NCSC samen met de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) een rapport gepubliceerd over de geavanceerde COATHANGER-malware gericht op FortiGate-systemen. Sindsdien heeft de MIVD nader onderzoek gedaan en is gebleken dat de Chinese cyberspionagecampagne veel omvangrijker blijkt te zijn dan eerder bekend. Het NCSC vraagt daarom extra aandacht voor deze campagne en het misbruik van kwetsbaarheden in edge devices. Hiervoor heeft het NCSC een kennisproduct opgesteld met aanvullende informatie over edge devices, bijbehorende uitdagingen en te nemen maatregelen.
Sinds de publicatie in februari heeft de MIVD verder onderzoek gedaan naar de bredere Chinese cyberspionagecampagne. Hieruit is naar voren gekomen dat de statelijke actor zowel in 2022 als in 2023 binnen enkele maanden toegang heeft verkregen tot ten minste 20.000 FortiGate-systemen wereldwijd middels de kwetsbaarheid met het kenmerk CVE-2022-42475. Verder toont onderzoek aan dat de statelijke actor achter deze campagne minimaal twee maanden voordat Fortinet de kwetsbaarheid bekend maakte, al op de hoogte was van deze kwetsbaarheid in FortiGate-systemen. Tijdens deze zogeheten ‘zero-day’ periode, infecteerde de actor alleen al 14.000 apparaten. Onder doelwitten zijn onder meer tientallen (westerse) overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie. De statelijke actor installeerde bij relevante doelwitten op een later moment malware. Zo kreeg de statelijke actor permanente toegang tot de systemen. Ook als een slachtoffer beveilingsupdates van FortiGate installeert, blijft de statelijke actor deze toegang houden. Het is niet bekend bij hoeveel slachtoffers daadwerkelijk malware is geïnstalleerd. De Nederlandse inlichtingendiensten en het NCSC achten het waarschijnlijk dat de statelijke actor in potentie bij honderden slachtoffers wereldwijd zijn toegang uit kon breiden en aanvullende acties uit heeft kunnen voeren zoals het stelen van gegevens. Zelfs met het technische rapport over de COATHANGER-malware zijn infecties van de actor lastig te identificeren en te verwijderen. Het NCSC en de Nederlandse inlichtingendiensten stellen daarom dat het waarschijnlijk is dat de statelijke actor op dit moment nog steeds toegang heeft tot systemen van een significant aantal slachtoffers.
Twee Russische mannen van 21 en 34 jaar hebben bij een rechtbank in VS bekend dat ze samen met de ransomwaregroep LockBit aanvallen hebben uitgevoerd. De mannen waren als ‘partners’ betrokken bij de Lockbit groep en kunnen 25 tot 45 jaar celstraf krijgen. Eerder dit jaar werd de website van LockBit offline gehaald tijdens een grote internationale politieactie. Ook werden er tientallen LockBit-servers offline gehaald en werden enkele verdachten gearresteerd. Een aantal dagen later had de groep een nieuwe website in de lucht en dreigde het vaker overheden aan te vallen. Een Noord-Koreaanse hackersgroep heeft een poging gedaan nucleaire en militaire informatie te stelen van de Verenigde Staten. Hierbij zouden onder andere luchtmachtbases en defensiebedrijven zijn aangevallen. De VS, Groot-Brittannië en Zuid-Korea waarschuwen hiervoor. Ook voor Nederland kan de hackersgroep een risico vormen
Approval fishing
Bij approval phishing worden slachtoffers misleid, zodat ze een soort toestemmingstransactie ondertekenen. Daarmee kan de oplichter bij het geld uit hun cryptoportemonnee.Bij een internationale operatie zijn de afgelopen maanden ook 186 Nederlandse slachtoffers van ‘approval phishing’ geïdentificeerd. Bij deze vorm van cryptofraude geven slachtoffers, zonder dat ze het door hebben, toestemming aan een oplichter om hun cryptorekening te beheren. Twee Nederlandse slachtoffers waren nog niet bestolen en hun geld kon op tijd worden veiliggesteld. Bij een van hen werd voorkomen dat 65.000 euro werd gestolen. De operatie, onder de naam Spincaster, vond naast Nederland ook plaats in de VS, Verenigd Koninkrijk, Canada, Spanje en Australië. In totaal werd ruim 162 miljoen dollar gestolen geld geïdentificeerd. Deze vorm van oplichting komt volgens de politie steeds vaker voor bij datingfraude en investeringsfraude. Zo worden jongeren bijvoorbeeld via sociale media verleid om via crypto snel rijk te worden of slachtoffers worden via een online(liefdes)relatie overtuigd om een investering te doen. “Het is een soort balletje-balletje. Criminelen laten je geld verdienen, geven je het gevoel dat het een veilige investering is, om vervolgens bij het grote geld je pas te bedriegen. Slachtoffers raken gemiddeld duizenden euro’s kwijt”, aldus Ruben van Well van het Cybercrimeteam Rotterdam. Bij de operatie om approval phishing op te sporen en te voorkomen, werkte de politie samen met blockchain-dataplatform Chainalysis en handelsplatformen. Operatie Spincaster is “een succesvolle start in het laten zien hoe goed deze vorm van oplichting op te sporen en te voorkomen is”, aldus Van Well. Nu is het volgens hem zaak om “in gezamenlijkheid te kijken hoe we deze vorm van fraude, ook buiten zo’n sprint om, realtime kunnen herkennen en kunnen inspringen om te voorkomen dat er meer mensen slachtoffer worden.”