DeCrisismanager interviewt Pim Takkenberg deel 3
Dacht je dat je gegarandeerd veilig werkt met een VPN- of Citrix-verbinding? Op het dark web wordt de toegang tot dit soort verbindingen op grote schaal verkocht. Hoe gaan criminelen te werk? We krijgen een inkijkje in deze wereld.
Cyberexpert Pim Takkenberg laat een sheet zien met de bedragen die criminelen betalen voor een beveiligde verbinding. De toegang tot een web-shell-verbinding kost gemiddeld 2400 euro. De toegang tot een VPN-verbinding is zo'n 2.800 euro waard. Voor Citrix-verbindingen betalen ze zo'n 3.200 euro, voor een domain administrator account circa 6.800 euro en een RDP-verbinding is zo'n 8.100 euro waard.
Pim Takkenberg is general manager bij het cybersecuritybedrijf Northwave. In zijn dagelijks werk heeft hij regelmatig contact met criminelen die organisaties gehackt hebben. Zo weet hij wat er in die wereld omgaat.
Hoe kan het dat er op grote schaal gehandeld wordt in de toegang tot dit soort beveiligde verbindingen?
“Omdat het een kat-en-muis-spel is. Criminelen zijn constant op zoek naar kwetsbaarheden. Organisaties en ontwikkelaars nemen maatregelen om die gaten te dichten. Vervolgens vinden criminelen weer nieuwe manieren om binnen te komen.”
Hoe doen ze dat?
“Er zijn grofweg drie manieren om binnen te komen. De eerste manier is om op zoek te gaan naar kwetsbaarheden in de systemen. Als ontwikkelaars dit soort beveiligingslekken ontdekken, worden ze zeer snel gedicht. Gebruikers worden vervolgens opgeroepen om hun software te updaten. Niet iedereen doet dat meteen, waardoor criminelen nog altijd toegang hebben tot de computers die niet geüpdatet zijn. Beveiligingslekken halen regelmatig het nieuws. Zo is er de afgelopen maanden veel aandacht geweest voor beveiligingslekken in Microsoft Exchange. En begin vorig jaar ontstonden er files omdat er een beveiligingslek gevonden was in Citrix. Daardoor konden veel mensen niet meer veilig vanuit huis werken en moesten zij massaal naar kantoor komen, wat voor lange files zorgde.”
Welke andere manieren zijn er om binnen te komen?
“De tweede manier is via phishing. Werknemers openen bijvoorbeeld een e-mail met kwaadaardige bijlages. Vervolgens worden zij verleid om acties uit te voeren die legitiem lijken, zoals iets aanklikken in Excel. Hiermee geven ze criminelen toegang tot het systeem.
De derde manier is via het wachtwoord. Criminelen kunnen 10.000 pogingen per seconde doen om een wachtwoord te raden. Een voorspelbare combinatie zoals de gebruikersnaam ‘admin’ en het wachtwoord ‘welkom2020’ is op die manier gemakkelijk te achterhalen.
Ook kunnen criminelen het wachtwoord weten omdat het ooit gelekt is, bijvoorbeeld bij de dataleks van LinkedIn of Dropbox. Of mensen hebben hun wachtwoord zelf gegeven via phishing mail. Veel mensen gebruiken op verschillende plekken hetzelfde wachtwoord. Zo halen criminelen wachtwoorden binnen waarmee ze ook toegang hebben tot de organisaties waar mensen werken.”
Hoe gaan criminelen vervolgens te werk?
“Zij verkopen de toegang aan anderen. Criminelen werken namelijk in netwerken met elkaar samen. Iedereen heeft zijn eigen specialisme. De criminelen die voor de toegang zorgen, worden ook wel initial access brokers genoemd.
De criminelen die de toegang kopen, heten ransomware affiliates. Zij gaan op zoek naar de kroonjuwelen van de organisatie.
Een bedrijfsnetwerk is opgedeeld in verschillende zones. In de eerste zone is nog niet zoveel te halen. De meest gevoelige informatie van een organisatie is vaak het beste beschermd. De ransomware affiliates gaan bijvoorbeeld op zoek naar directory's waar alle wachtwoorden en inlognamen verzameld zijn en plekken waar gevoelige documenten gedeeld, opgeslagen of bewaard worden.
Vervolgens slaan ze toe. Dit doen ze meestal door grote hoeveelheden gevoelige data te stelen, back-ups te versleutelen of te vernielen en systemen te versleutelen.
Ze werken hierin samen met ransomware developers. Zij leveren de versleutingssoftware en voeren de onderhandelingen. Deze laatste twee groepen verdienen het meeste aan de aanval. Een aanval levert zo'n 10 duizend tot 20 miljoen euro per keer op. De ransomware developers en affiliates krijgen 70 tot 80% van de buit die ze onderling verdelen.”
Hebben we daarmee de hele keten in beeld?
“Nee, er is nog één specialisme dat we niet genoemd hebben. Dat zijn de datamanagers. Zij hebben vaak een set van 8 tot 10 documenten in handen met zeer gevoelige informatie. Hiermee kunnen ze aan organisaties bewijzen dat ze de informatie in handen hebben en de druk opvoeren. Ook kunnen zij de data publiceren als er niet betaald wordt. Zij zijn de laatste schakel en daarmee is de keten compleet.”
Dit artikel is een onderdeel van een serie. Lees ook deel 1 waarin Pim Takkenberg uitlegt hoe hij onderhandelt met criminelen en deel 2 waarin hij vertelt hoe criminelen steeds persoonlijker worden.
Bron: decrisismanager.nl | Maaike Tindemans
Politie: "Op grote schaal Instagram accounts overgenomen"
De cybercrime-eenheid van de politie waarschuwt iedereen die op Instagram actief is voor oplichtingspraktijken. Instagramaccounts worden momenteel op grote schaal overgenomen door hackers en andere cybercriminelen. Zij doen zich voor als een vriend of kennis en vragen je via een direct message om je telefoonnummer.
Nederlandse websites gehackt: Te koop Corona medicijnen
Cybercriminelen gebruiken verouderde Nederlandse websites om illegaal medicijnen aan te bieden tegen het coronavirus. Het cyberteam van de FIOD dat naar financiële fraude speurt, is inmiddels op ruim 70 domeinnamen gestuit.
Infotainmentsysteem Volkswagen Polo te hacken
Het infotainmentsysteem van de Volkswagen Polo is te hacken. Dat ontdekte de Consumentenbond. Hierdoor kunnen kwaadwillenden malware installeren en kunnen ze bij gegevens van autobezitters. Ook zouden ze mogelijk het tractiecontrolesysteem kunnen beïnvloeden.
Meer hacks gericht op industrie, Siemens gewild doelwit
Cybersecuritybedrijf FireEye waarschuwt voor de toename van hackingtools die gericht zijn op Industrial Control Systems (ICS). Uit onderzoek van FireEye blijkt dat er steeds meer van dit soort tools verspreid worden, waardoor het veel makkelijker wordt om bedrijfssystemen binnen te dringen en te manipuleren.
Cybercriminelen hacken bedrijf dat vaccins tegen corona gaat testen
Cybercriminelen hebben Hammersmith Medicines Research gehackt en de gestolen data online geplaatst. Het Britse medisch bedrijf kan op elk moment vaccins tegen corona gaan testen.
Maak van je cloudomgeving geen dominospel voor hackers
"Veiligheid en gebruiksgemak door gebruik van een centraal knooppunt met een betrouwbare, snelle verbinding"