Job Hunting op het Darkweb

Gepubliceerd op 30 juli 2022 om 07:00

Ook op het darkweb is de vraag naar security-experts groot. De jacht op nieuwe medewerkers verloopt bijna hetzelfde als bij legale IT-bedrijven. Het aantal ‘job boards’ neemt er fors toe. En ook de creativiteit om medewerkers voor zich te winnen.

Job Boards

De job boards zijn voornamelijk Engelstalig en Russisch. Ze hebben – net als reguliere job boards – aparte secties voor de soorten functies en kennis en ervaring die worden gezocht. En ze werken verder ook vrijwel hetzelfde. De werkzoekende en de criminele ‘werkgever’ komen via posts met elkaar in contact. Hackers die werk zoeken, starten ook ‘threads’ in specifieke delen van een forum waarin ze hun kennis en ervaring bekend maken. De criminele werkgever laat op het job board weten welke vacatures er zijn.

Ook zijn de criminele werkgevers actief op zoek naar nieuwe medewerkers met duidelijk omschreven functies. Maar ze doen meer om nieuwe medewerkers aan te trekken. Zo organiseerde de Russische ransomwarebende Sodinokibi/REvil in 2019 een wedstrijd voor criminele werkzoekenden. Wie de beste technische paper schreef, kreeg een baan bij de bende.

Probiv

Je kunt er ook vinden welke kennis en ervaring erg gewild is op het darkweb. Dat verschilt ook nog eens per functie en per criminele bedrijfstak. Veel gevraagd bij criminele statelijke actoren is de eigenschap om iets goed te kunnen uitzoeken, ‘probiv’ in Russische straattaal genoemd. Wie dat kan en in een bedrijf of bedrijfstak werkt, waar een specifieke bende zich op richt, wordt ingezet om posities met veel privileges te misbruiken en interne informatie door te geven. Daarbij gaat het bij voorkeur om medewerkers met toegang tot veel databases bij banken en instanties die paspoorten uitgeven.

Uiteenlopende vaardigheden

Bendes die zich richten op ransomware zoeken weer mensen met zeer uiteenlopende vaardigheden. Hier wordt vaak in teams gewerkt en de leden daarvan moeten elkaars vaardigheden goed kunnen aanvullen. Zo moet het ene lid goed zijn in het toegang krijgen tot beveiligde systemen en de ander weer gespecialiseerd zijn in het programmeren van malware. Duidelijk is wel dat de functies per persoon zeer specifiek zijn: een programmeur wordt niet op de helpdesk gezet.

De Cyber Kill Chain

Door je te verplaatsen in de werkwijzen van cybercriminelen kun je voorzorgsmaatregelen treffen. Lockheed Martin is een grote Amerikaanse aanbieder van militaire technologie. Het bedrijf heeft een veelgebruikt hulpmiddel ontwikkeld waarin de stappen van cybercrime worden beschreven: De cyber kill chain. Dit model beschrijft 7 stappen en, zoals bij alle modellen, wijken individuele gevallen vaak af, maar geeft het wel een heel goed beeld van de algemene modus operandi.

  • Fase 1: Verkenning (‘Reconnaissance')

De eerste fase is de verkenningsfase. Hier identificeert de cybercrimineel geschikte doelwitten. Hoe deze worden bepaald? Dat kan op verschillende manieren. Zo kunnen hackers opdracht krijgen of uit eigen beweging specifieke personen of organisaties aanvallen. Vaak wordt er echter gekozen voor laaghangend fruit: elk systeem met minimale beveiliging en maximale kwetsbaarheden vormt een makkelijk doelwit.

  • Fase 2: Bewapening (‘Weaponization’)

In de tweede fase bepaalt de cybercrimineel wat hij precies nodig heeft om binnen te komen. In veruit de meeste gevallen wordt er gebruik gemaakt van bekende kwetsbaarheden. Zo kan de cybercrimineel op het ‘dark web’ kant-en-klare malware (kwaadaardige software) kopen die zich specifiek richt op de kwetsbaarheden in de systemen die hij is tegengekomen bij zijn doelwit. Anderzijds kan de cybercrimineel beginnen bij deze fase, en makkelijk verkrijgbare malware gebruiken om zoveel mogelijk systemen met een bekende kwetsbaarheid te infecteren.

  • Fase 3: Aflevering (‘Delivery’)

In de derde fase wordt het “wapen” afgeleverd bij het doelwit van de cybercrimineel. Bijvoorbeeld door de malware te verstoppen in een email-bijlage, weblink of USB-stick. Via deze aflever-methoden heeft menselijk handelen van het slachtoffer een grote invloed op het effect van de aanval. Via sommige kwetsbaarheden kunnen cybercriminelen ook toegang krijgen zonder dat personen hiervoor een kwaadaardig bestand te hoeven openen.

  • Fase 4: Uitbuiting (‘Exploitation’)

Zodra de malware is afgeleverd, maakt deze misbruik van een kwetsbaarheid in het systeem. Patches (updates) repareren foutjes in systemen die deze kwetsbaar maken. Door er dus voor te zorgen dat je systemen up-to-date zijn, ben je veel beter beschermd tegen bekende kwetsbaarheden.

  • Fase 5: Installatie (‘Installation’)

De cybercrimineel heeft in deze fase (een combinatie van) malware geïnstalleerd op het systeem. Niet voor alle aanvallen is het nodig om malware te installeren. Denk bijvoorbeeld aan phishing. Hierbij wordt vaak via een email gevraagd om via een link in te loggen bij een bank of werkgever. Wanneer mensen dit doen loggen zij echter in op een valse website, en geven zij op die manier hun inloggegevens aan kwaadwillenden.

  • Fase 6: Beheer en Controle (‘Command and Control’)

In deze fase maakt de cybercrimineel een connectie vanaf de nieuw geïnfecteerde systemen naar een beheer en controle systeem. Op dit systeem kunnen duizenden geïnfecteerde systemen worden aangesloten en het stelt de crimineel in staat om slachtoffers op afstand te manipuleren.

  • Fase 7: Uitvoeren van het doel (‘Actions on Targets’)

Wanneer de cybercrimineel de connectie tot stand heeft gebracht kan deze overgaan tot het behalen van het uiteindelijke doel. Dit doel kan van alles zijn; gegevens versleutelen en hier losgeld voor te vragen, zoveel mogelijk schade aanrichten door data te manipuleren, of juist zo stilletjes mogelijk informatie verzamelen en doorsluizen.

Opleiding tot cybercrimineel

De criminelen op het darkweb bieden nog geen formele opleidingen voor jonge hackers die bij hen willen komen werken. Wel delen vooral jonge leden van het darkweb op forums kennis en ervaring. Daarbij gaat het om zelfgemaakte handleidingen en tutorials. En op het platform XSS troffen we ook diverse e-learningmodules aan. Ook vonden we op het forum XBB een speciale sectie voor beginnende hackers, waar zij met vragen terecht kunnen bij ervaren criminele hackers.

Bron: anoniem

Meer info over darkweb 

Meer darkweb nieuws