Cybercrime

De toekomstige quantumcomputers zullen in staat zijn om elke willekeurige computer te kunnen kraken en veelgebruikte computerbeveiliging voor een groot deel onschadelijk kunnen maken. Ook de AIVD maakt zich hierover zorgen. De Eerste Kamer heeft 12 maart 2024 ingestemd met de Tijdelijke wet cyberoperaties. Na inwerkingtreding van deze wet kunnen de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) hun bestaande bevoegdheden sneller en effectiever inzetten tegen dreigingen van landen die cyberaanvallen plegen tegen Nederland.

In Nederland zijn in 2023 zeker 147 ransomware-incidenten geweest. Deze gevallen vormen vermoedelijk slechts een klein deel van het totaal. Veel bedrijven doen geen aangifte uit angst voor reputatieschade. In Duitsland is het verplicht om een ransomwareaanval te melden. Daar eindigde de teller vorig jaar op vierduizend incidenten. Deskundigen zien het aantal cyberaanvallen nog niet teruglopen.  “Ransomware blijft enorm populair onder criminelen, met name Ransomware as a Service (RaaS).” Bij dit RaaS-model biedt een bende de ransomware als dienst aan. Andere partijen kunnen die dienst afnemen en gebruiken om zelf aanvallen uit te voeren. Achter de aanbieders zit vaak een groot bedrijf, mét een klantenservice die de afnemer helpt bij problemen. Als de servers van een aanbieder zoals Lockbit door autoriteiten worden neergehaald, betekent dat niet dat hun geleverde software niet meer werkt. “De afnemers maken daarmee nog steeds slachtoffers”. Ondanks dat is het goed dat de criminele groepen aangepakt blijven worden en dat autoriteiten hun successen openbaar maken, zeggen de experts. De successen moeten criminelen demotiveren om door te gaan. Acties van de politie laten zien dat criminelen niet zo anoniem zijn als ze zelf denken en dat ze hen op de hielen blijven zitten.

Aanhoudende statelijke cyberspionagecampagne via kwetsbare edge devices

Eerder dit jaar heeft het NCSC samen met de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) een rapport gepubliceerd over de geavanceerde COATHANGER-malware gericht op FortiGate-systemen. Sindsdien heeft de MIVD nader onderzoek gedaan en is gebleken dat de Chinese cyberspionagecampagne veel omvangrijker blijkt te zijn dan eerder bekend. Het NCSC vraagt daarom extra aandacht voor deze campagne en het misbruik van kwetsbaarheden in edge devices. Hiervoor heeft het NCSC een kennisproduct opgesteld met aanvullende informatie over edge devices, bijbehorende uitdagingen en te nemen maatregelen.

Sinds de publicatie in februari heeft de MIVD verder onderzoek gedaan naar de bredere Chinese cyberspionagecampagne. Hieruit is naar voren gekomen dat de statelijke actor zowel in 2022 als in 2023 binnen enkele maanden toegang heeft verkregen tot ten minste 20.000 FortiGate-systemen wereldwijd middels de kwetsbaarheid met het kenmerk CVE-2022-42475. Verder toont onderzoek aan dat de statelijke actor achter deze campagne minimaal twee maanden voordat Fortinet de kwetsbaarheid bekend maakte, al op de hoogte was van deze kwetsbaarheid in FortiGate-systemen. Tijdens deze zogeheten ‘zero-day’ periode, infecteerde de actor alleen al 14.000 apparaten. Onder doelwitten zijn onder meer tientallen (westerse) overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie. De statelijke actor installeerde bij relevante doelwitten op een later moment malware. Zo kreeg de statelijke actor permanente toegang tot de systemen. Ook als een slachtoffer beveilingsupdates van FortiGate installeert, blijft de statelijke actor deze toegang houden. Het is niet bekend bij hoeveel slachtoffers daadwerkelijk malware is geïnstalleerd. De Nederlandse inlichtingendiensten en het NCSC achten het waarschijnlijk dat de statelijke actor in potentie bij honderden slachtoffers wereldwijd zijn toegang uit kon breiden en aanvullende acties uit heeft kunnen voeren zoals het stelen van gegevens. Zelfs met het technische rapport over de COATHANGER-malware zijn infecties van de actor lastig te identificeren en te verwijderen. Het NCSC en de Nederlandse inlichtingendiensten stellen daarom dat het waarschijnlijk is dat de statelijke actor op dit moment nog steeds toegang heeft tot systemen van een significant aantal slachtoffers.

Twee Russische mannen van 21 en 34 jaar hebben bij een rechtbank in VS bekend dat ze samen met de ransomwaregroep LockBit aanvallen hebben uitgevoerd. De mannen waren als ‘partners’ betrokken bij de Lockbit groep en kunnen 25 tot 45 jaar celstraf krijgen. Eerder dit jaar werd de website van LockBit offline gehaald tijdens een grote internationale politieactie. Ook werden er tientallen LockBit-servers offline gehaald en werden enkele verdachten gearresteerd. Een aantal dagen later had de groep een nieuwe website in de lucht en dreigde het vaker overheden aan te vallen.