DeCrisismanager interviewt Pim Takkenberg deel 2
“Cybercriminelen doen er alles aan om directieleden persoonlijk te raken", zegt Pim Takkenberg, oud-rechercheur en general manager bij Northwave. In een gesprek legt hij uit hoe cybercriminelen hun werkwijze veranderen.
Dat cybercriminelen in staat zijn om een hele organisatie stil te leggen, is alom bekend. Een sprekend voorbeeld is de aanval op het transportbedrijf Bakker Logistiek, waardoor het bedrijf 1,5 week vrijwel geen kaas meer kon leveren aan Albert Heijn.
Pim Takkenberg ziet bovendien dat cybercriminelen steeds harder en persoonlijker worden. “Bij een cyberaanval gaan ze bijvoorbeeld gericht op zoek naar de accounts van de directie. Directieleden beschikken niet alleen over de meest gevoelige informatie. Zij hebben ook zelf een persoonlijk belang dat bijvoorbeeld hun mailverkeer niet openbaar wordt én zij zijn degene die besluiten of er betaald gaat worden.”
Merk je ook dat zij tijdens het afpersen persoonlijker worden?
“Jazeker. Het komt bijvoorbeeld steeds vaker voor dat ze de gehackte organisatie bellen, om daarmee de druk extra op te voeren. Daardoor komt het extra dichtbij. In die gesprekken dreigen ze bijvoorbeeld om naar de pers te gaan, als er niet betaald wordt. Ook merk ik dat ze de directieleden steeds beter kennen. Ze weten hen bij naam te noemen en benaderen hen persoonlijk via de mail of telefonisch.”
Zie je ook andere trends, bijvoorbeeld in de manier waarop ze georganiseerd zijn?
“Ja. Criminelen werken steeds beter samen. De criminelen die de onderhandelingen doen, zijn vaak 24/7 bereikbaar en lossen elkaar in ploegendiensten af. Ik heb bijvoorbeeld wel eens een voorstel gedaan om 80 bitcoins te betalen. Vervolgens kreeg ik als antwoord dat 100 echt het minimum was. Dat was vreemd, want hun eerdere voorstel was 90 bitcoins. Toen ik hem daarover aansprak zei hij: ‘Oh, dan heeft mijn voorganger u al een beter bod gedaan'. Blijkbaar was er een wisseling van de wacht geweest.
'Criminelen werken steeds beter samen'
En ze weten steeds beter wat hun klanten willen. Ik krijg bijvoorbeeld wel eens video’s toegestuurd waarin te zien is hoe ze gestolen data wissen. Daarmee bewijzen ze dat zij achter de aanval zitten en dat echt alles gewist is.
Ook heb ik na een betaling wel eens een rapport van 100 pagina’s toegestuurd gekregen waarin ze stap voor stap omschreven hadden hoe ze binnen waren gekomen. Dat vond ik natuurlijk wel interessant om te lezen. Het gaf goed weer hoe professioneel ze te werk gaan.”
Dit is het tweede artikel van een drieluik. Lees ook deel 1 waarin Pim Takkenberg vertelt hoe hij onderhandelt met criminelen. In deel 3 legt hij uit hoe criminelen in netwerken met elkaar samenwerken. Dat artikel verschijnt over twee weken.
Bron: decrisismanager.nl | Maaike Tindemans
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
"Onverantwoorde en destabiliserende gedrag in cyberspace"
De Europese Unie en de Verenigde Staten zeggen dat Chinese staatshackers cyberaanvallen hebben uitgevoerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange Server. Daarmee hebben ze de economie, democratie en samenleving ernstige schade toegebracht. Ze zeggen er alles aan te doen om samen met internationale partners ‘kwaadaardig gedrag in cyberspace’ te bestrijden.
Cyberweerbaarheid verhogen op 'automatiserings- en control systemen' met de 'Security Checker'
Een publiek-privaat samenwerkingsverband introduceerde afgelopen maandag de 'Security Check Procesautomatisering'. Dit is een interactieve zelfscan die is ontwikkeld om Nederlandse organisaties met ICS-SCADA systemen handvatten te bieden in het weerbaarder maken van deze systemen. Het samenwerkingscollectief presenteert de tool aan Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en aan Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat.
Onderhandeling tussen slachtoffer en cybercriminelen van REvil
Terwijl computeranalisten van over de hele wereld hun vaardigheden ter beschikking stellen voor de gemeenschap, heeft REvil de afgelopen dagen geprobeerd rechtstreeks zaken te doen met enkele van hun slachtoffers.
Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen
Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft 'Security' een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.
Kwetsbaarheden bij ziekenhuizen en GGD
Twee weken geleden hadden we het over de kwetsbaarheden bij overheidswebsites, maar hoe zit het eigenlijk bij ziekenhuizen?
"De Nederlandse politie heeft voortdurend een belangrijke rol in dit soort internationale onderzoeken"
Door een grootschalige en internationaal gecoördineerde actie zijn politie-eenheden uit diverse landen erin geslaagd om de VPN-provider DoubleVPN offline te halen. Politiediensten uit onder meer Duitsland, het Verenigd Koninkrijk, Canada en de Verenigde Staten zeggen dat hackers en cybercriminelen de VPN-service gebruikten om ransomware-aanvallen en andere digitale misdrijven uit te voeren. Nu de gehele infrastructuur van DoubleVPN platligt, is het criminele circuit een gevoelige klap toegebracht.