Tag Iocta

iOCTA-rapport 2021

jjoerlemans 1 reactie

Op 11 november 2021 verscheen het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) (.pdf) rapport van Europol. In dit blogbericht geef ik een overzicht van de – naar mijn mening- meest opvallende bevindingen uit het rapport.

‘Grey infrastructure’

Het Europol rapport besteed vrij veel aan het fenomeen van ‘grey infrastructure’. Zij beschrijven dit als diensten die zich vaak bevinden in landen met sterke ‘privacywetten’ of met ‘een geschiedenis van niet-werken met internationale opsporingsautoriteiten’. Zij worden gebruikt door criminelen en er wordt mee geadverteerd op criminele forums.

Europol wijst erop dat ook legitieme diensten veelvuldig door cybercriminelen worden gebruikt voor hun eigen doelen van: veilig communiceren, anonimiteit en witwassen. Zij wijzen op apps met sterke end-to-end versleuteling. De hoeveelheid gebruikersgegevens en verkeersgegeven die daarbij over gebruikers wordt door de diensten wordt opgeslagen is gering, waardoor ook een geringe hoeveelheid gegevens kan worden gevorderd.

Europese opsporingsdiensten richten zich volgens het rapport steeds meer op diensten die cybercriminelen zoveel mogelijk beschermen van opsporingsdiensten. Recente voorbeelden zijn de ‘takedowns’ van ANON, Sky ECC, EncroChat, VPN-diensten en cryptocurrency mixers. Het zijn volgens Europol voorbeelden van ‘grijze infrastructuur’ waar cybercriminelen gebruik van maken. Interessant is ook de zin:

“Hoewel niet alle gebruikers van deze diensten per definitie criminelen zijn, is een dermate grote hoeveelheid van de activiteiten van de diensten crimineel, dat – nadat voldoende bewijs wordt gevonden van ‘crimineel misbruik’ – deze diensten als criminele organisaties te bestempelen zijn”.

Europol noemt de take down van ‘Double VPN’ en ‘Safe-Inet’ als voorbeelden hiervan, net als de ‘cryptophone-operaties’.  

Malware

Uit het rapport blijkt dat ransomware nog steeds het grootste probleem is op het gebied van cybercrime in enge zin. Net als vorig jaar zet de trend zich voort dat ransomware zich niet ongericht, massaal verspreid, maar wordt ingezet voor meer gerichte aanvallen op grote organisaties. Ook gebruiken cybercriminelen ander pressiemiddelen naast de versleuteling van gegevens, zoals het bellen van journalisten, klanten of zakelijke klanten van het slachtoffer over de aanval via VoIP-lijnen. Sommige ransomware-groepen publiceren gegevens van werknemers van de slachtoffers.

‘Conti’, ‘Maze’, en ‘Babuk’ zijn voorbeelden van ransomware die zich richten op grote organisaties. ‘Ryuk’ is berucht omdat het zich specifiek richt op organisaties binnen de gezondheidszorg. De cybercriminele organisaties achter ransomware lijken zich ervan bewust zich meer in de kijkers te hebben gespeeld van opsporingsorganisaties. Sommige organisaties beperken daarom hun ‘partners-in-crime’ in de aan te vallen doelen. ‘DarkSide’ heeft bijvoorbeeld aangekondigd geen vitale infrastructuur meer aan te vallen na de ‘Colonial Pipelines’-aanval en Sodinobiki (ook bekend als ‘REvil’) verbiedt aanvallen op sociale- en overheidsinstellingen.

Het cybercrime-centrum van Europol legt haarfijn uit dat geen individuele hackers achter ransomware zitten, maar hele organisaties. Doorgaans bieden de makers van de ransomware de software aan ‘klanten’ (Ransomware-as-a-service), waarbij de winst wordt verdeeld. Ook worden gecompromitteerde systemen verkocht aan anderen die de systemen vervolgens infecteren met de (ransom)malware naar keuze. Europol benadrukt dat opsporingsinstanties niet alleen achter de ‘eindgebruikers’ van de ransomware aan moeten gaan, maar zich moeten richten op de sleutelfiguren die malware via platformen verkopen, in internationaal gecoördineerde acties met andere opsporingsinstanties.

Ddos-attacks

‘DDoS-for-ransom’ lijkt terug van weggeweest. Cybercriminelen maken daarbij ook misbruik van de reputatie van bekende ‘Advanced Persistent Threats’ (APT’s), zoals ‘Fancy Bear’ en ‘Lazarus’, om de slachtoffers er sneller toe te bewegen het afpersgeld te betalen. De cybercriminelen richten zich op internet service providers (ISP’s), financiële instellengen (banken) en midden-en-klein bedrijven (de MKB-sector). Als het niet wordt betaald, leidt dat niet altijd tot de daadwerkelijke uitvoering van de ddos-aanval, hoewel in sommige gevallen het tot serieuze consequenties heeft geleid, zoals de aanval op de effectenbeurs van Nieuw-Zeeland.

Online kindermisbruik  

Over online seksueel misbruik viel het mij op dat grooming toeneemt op online gaming platformen (en uiteraard op sociale mediadiensten, maar dat is niet nieuw). Ook is de verspreiding van kinderpornografie via peer-to-peer platformen is volgens Europol significant toegenomen, terwijl het voor de normale internetgebruiker niet zo vaak meer lijkt te worden gebruikt. Darkweb websites zijn nog steeds een belangrijk platform voor verspreiding van afbeeldingen van online seksueel geweld. Als voorbeeld wordt het platform ‘Boystown’ genoemd, die offline is gehaald onder leiding van het Bundeskriminalamt (BKA) en opsporingsdiensten uit Australie, Canada, Zweden, de Verenigde Staten én Nederland. De website met kindermisbruik had meer dan 400.000 geregistreerde gebruikers.

Dark web-gebruikers maken daarnaast steeds vaker gebruik van ‘Wickr’ en Telegram als communicatiekanalen voor ‘Child Sexual Abuse Material’ (CSAM).

Helaas is de omzet van commerciële websites gericht op seksueel geweld tegen kinderen volgens Europol verdriedubbeld tussen 2017-2020. Voor betaling worden vaak cryptocurrencies gebruikt. Het komt voor dat daders direct minderjarigen betalen voor zelfgemaakt materiaal.

Europol probeert in de rapporten zoals elk jaar ook voorzichtig beleidsadvies mee te geven. Het meest opvallend vond ik dit jaar de boodschap dat ‘online undercover operaties steeds belangrijker worden in opsporingsonderzoeken naar cybercrime’. De reden is dat cybercriminelen steeds betere ‘operational security’ (OPSEC) aanhouden. Europol observeert dat het lastig infiltreren is op – met name – websites met materiaal van seksueel geweld, vanwege strikte toegangsregels en nationale regels van landen die beperkingen opleggen om op die websites te infiltreren. “The importance of undercover activities needs to be recognized”, aldus Europol. Daarbij wijs ik natuurlijk graag op mijn eerdere publicaties hierover (zie bijvoorbeeld het artikel ‘Facebookvrienden worden met de verdachte’). 

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

jjoerlemans

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Internet Organised Threat Assessment report 2019

jjoerlemans Een reactie plaatsen

Het Europol Cybercrime Center in Den Haag biedt elk jaar een mooi overzicht van actuele ontwikkelingen en bedreigingen op het gebied van cybercrime. Het ‘IOCTA rapport’ (.pdf) komt tot stand via enquêtes aan alle EU opsporingsautoriteiten en door input uit de private sector en wetenschap. Hier volgt een samenvatting van de zaken die mij het meest opvielen.

Ransomware grootste bedreiging op het gebied van cybercrime

Ransomware blijft de grootste bedreiging volgens het IOCTA 2019 rapport. De totale hoeveelheid aanvallen met ransomware is gedaald. Echter, de aanvallen zijn gerichter, winstgevender en schadelijker. Als voorbeeld wordt bijvoorbeeld een bedrijf genoemd waarbij het gijzelbedrag uit één miljoen euro bestond. Versies van de ransomwarefamilie ‘Dharma/CrySiS’, ‘ACCDFISA, ‘GlobeImposter’ en ‘Rapid’ kwamen veel in de rapportages van politiediensten voor. De private sector vreest dat naast normale ransomware ook de meer destructieve gijzelsoftware die ook ‘wiper-elementen’ bevatten; daarmee worden bestanden echt gewist of onherstelbaar beschadigd.

Zorgelijk zijn ook de ransomware-aanvallen op lokale overheden, die zich voornamelijk in de Verenigde Staten hebben voorgedaan. Zo lag de stad Atlanta in 2018 enige weken plat. In 2019 ging het al zo’n vijf steden in de VS, waaronder Baltimore en Florida. Dit vormt mogelijk een prelude voor steden Europa.

Handel in gestolen data

De handel in gestolen data betreft de twee-na-grootste dreiging volgens het Europol rapport. De data wordt het vaakst buitgemaakt door de aankoop van financiële gegevens, zoals creditcardgegevens, online bankiergegevens en gegegevens uit cryptocurrency portemonnees. De gegevens worden buitgemaakt via phishing, door lekken bij bedrijven, na grote hacks en door kwaadaardige software waarmee gegevens heimelijk worden verzameld. Deze gegevens worden verkocht op o.a. het dark web of gebruikt om fraude mee te plegen; bijvoorbeeld door er goederen mee te bestellen. Als voorbeeld worden in het rapport ook de veelvoorkomende aanvallen op uitwisselingskantoren voor cryptogeld (‘cryptocurrency exchanges’) genoemd. In 2018 is naar schatting 1 miljard in dollar wereldwijd aan cryptogeld gestolen, ook door statelijke actoren.

Logingegevens zijn minder makkelijk te besteden (‘monetisable’), maar mogelijk meer waard voor georganiseerde cybercrimegroepen. Interessant is het voorbeeld hoe zes verdachten in Engeland en Nederland zijn opgepakt voor ‘typosquatting’. Daarbij zetten criminelen nepwebsites waar mensen per ongeluk op kunnen bij het intypen van een URL. In dit geval leidde de website tot een nep bitcoinportemonnee. Door het overnemen van inloggevens kon de bitoinportemonnee geleegd worden en het virtuele geld worden overgemaakt naar de verdachten. Daarmee zou volgens Europol door de groep 24 miljoen euro zijn buitgemaakt.

Ddos-aanvallen

Ddos-aanvallen blijven een prominente dreiging als we het hebben over de ‘target cybercrime’ (criminaliteit waarbij computers en netwerk het doelwit zijn van de gedraging, wordt ook wel ‘cybercrime in enge zin’ genoemd). Ddos-aanvallen worden het meest gebruikt voor afpersing, maar ook aanvallen voor ideologische of politieke redenen kwamen veel voor. Financiële instellingen en overheden, zoals de politie, werden het vaakst onder vuur genomen. In het bijzonder voor banken vormen ddos-aanvallen een groot probleem, omdat het kan leiden tot het verstoren van de online bankierdiensten. De aanvallen zijn volgens Europol het vaak afkomstig van ‘low-capability actors’, die bijvoorbeeld gebruik maken van ‘exploit booters of stressers’.

Operation Power Off

In april 2018 hebben Nederlandse en Engelse opsporingsautoriteiten de illegale dienst ‘Webstresser.org’ offline gehaald. Webstresser was volgens Europol destijds een van de grootste marktplaatsen voor het huren van ddos-diensten met meer dan 150.000 klanten en de bron van meer dan 4 miljoen ddos-aanvallen.

Kinderporno

De hoeveelheid kinderpornografisch materiaal (ook wel genoemd: materiaal van kindermisbruik) op internet blijft volgens Europol stijgen. Kindermisbruikers werken vaak volgens dezelfde modus operandi: zij zoeken potentiele slachtoffers via sociale media, creëren een aantal nepprofielen waarbij zij zich als een leeftijdsgenoot voordoen en leggen contact. Nadat er een niveau van vertrouwen is gaan naar Whatsapp of apps als Viber om de gesprekken voor te zetten. Als – eerst op vrijwillige basis – seksueel materiaal is uitgewisseld zetten de kindermisbruikers de slachtoffers onder druk om meer materiaal te maken, bijvoorbeeld onder de dreiging het materiaal te openbaren.

Gecoördineerde actie tegen kindermisbruik, in samenspraak met de private sector en het gebruik van technologie zoals kunstmatige intelligentie, kan helpen tegen de bestrijding van materiaal van kindermisbruik en ook helpen in het verwerken van enorme hoeveelheden materiaal. Ter illustratie: in 2017 ontving Europol 44.000 verwijzingen met mogelijk kinderpornografisch materiaal van Amerikaanse internetdienstverleners (zoals Google en Microsoft). In 2018 waren dat er 190.000. Europol heft zelf een database met 46 miljoen afbeeldingen of video’s met geïdentificeerd kinderpornografisch materiaal. Nederland wordt expliciet in het rapport genoemd als de grootste hoster van kinderporno.

Het rapport signaleert verder dat (soms extreme) kinderpornografie wordt verspreid via exclusieve online forums. Het Europol rapport noemt bijvoorbeeld het forum ‘Elysium’, dat alleen bereikbaar was via Tor (op het darknet dus). Vier mannen runde het forum met meer dan 11.000 geregistreerde gebruikers over de hele wereld.

De auteurs waarschuwen dat het een ‘kwestie van tijd’ is tot ‘deepfakes’ met kinderporno voorkomen die worden gebruik voor het “personaliseren” van het materiaal. Dat kan problemen opleveren voor de vervolging en digitale bewijsproblemen.

Rol van het dark web en cybercrime

In het rapport is extra aandacht voor de rol van het ‘dark web’, als facilitator van online criminaliteit. Het rapport signaleert dat de markten veranderen in kleinere online drugsmarkt en ‘single-vendor’ shops, soms in een specifieke (d.w.z. niet-Engelse taal). De toegang tot online drugsmarkten via Tor blijft het meest populair, mogelijk vanwege de gebruikersvriendelijkheid.

xDedic marketplace

De xDedic markplaats wordt als voorbeeld genoemd in het rapport. In januari 2019 hebben Amerikaanse, Belgische en Oekraïense opsporingsautoriteiten de ‘xDecic’-marktplaats inbeslaggenomen. xDedic verkocht gehackte computers en gestolen persoonsgegevens. Het was actief op zowel het dark web als het clear web. De geïnfecteerde computers konen worden geselecteerd op criteria als prijs, geografische locatie en besturingssystemen. De marktplaats zou meer dan 60 miljoen euro in fraude hebben gefaciliteerd. (zie ook dit nieuwsbericht waarin wordt gesteld dat op de markplaats meer dan 70.000 servers in 170 landen werden aangeboden).

Daarnaast hebben opsporingsautoriteiten actie ondernomen tegen Wall Street Market, Valhalla en Bestmixer. Wall Street Market had toen volgens Europol 1.150.000 geregistreerde bezoekers en 5400 verkopers van drugs. Europol schat in dat in 2018 één miljard dollar aan virtueel geld op het dark web is besteed. Bitcoin blijft daarbij de meest populaire cryptocurrency.

Bitcoinmixer

In het rapport wordt ook aandacht besteed aan de spraakmakende FIOD-take down van ‘Bestmixer.io’ (zie ook het persbericht op de FIOD-website). In samenwerking met Europol en opsporingsautoriteiten in Luxemburg werd een operatie opgezet. Het was een van de drie grootste bitcoin mixingdiensten voor Bitcoin, Bitcoin Cash en Litecoin. De dienst startte in 2018 en had volgens Europol een omzet van ten minste 200 miljoen dollar (27.000 bitcoins) in één jaar (600.000 euro per jaar). Het is bovendien de eerste zaak waar – volgens een Kamerbrief van minister Grapperhaus van 12 juni 2019 – de hackbevoegdheid is ingezet!

Advies voor wetgeving en beleid

De laatste jaren geeft Europol enkele voorzichtige adviezen af voor de Europese wetgever. Het meest interessant vond ik dat Europol in dit rapport expliciet stelt dat een EU-raamwerk is vereist voor onderzoeken op het dark web. De coördinatie en standaardisatie van undercover online onderzoeken zijn vereist om dark web-onderzoeken te ‘deconflicteren’. Opnieuw wordt gesteld dat het huidige juridische instrumentatrium van rechtshulp in de EU (‘Mutual Legal Assistance’) onvoldoende is voor digitale opsporingsonderzoeken.

Europol internet organised threat assessment 2018 (IOCTA)

jjoerlemans Een reactie plaatsen

Posted on op Oerlemansblog

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Internet organised threat assessment 2017

jjoerlemans Een reactie plaatsen

Op 28 september 2017 heeft Europol zijn ‘Internet Organised Crime Threat Assessment 2017’ rapport uitgebracht. Het rapport geeft ieder jaar een bijzondere inkijk in de laatste ontwikkelingen op het gebied van ‘internet organised crime’. De belangrijkste conclusies uit het rapport worden hieronder kort besproken.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een ‘explosie’ van ransomware dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie (zoals financiële gegevens) te stelen en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Internet of things

Europol signaleert ook de dat zwakke beveiliging van ‘Internet of Things’-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denial-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderporno

Kinderporno op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt voor de distributie van kinderporno. Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding van kinderpornografie. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografisch materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Cobalt

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van de standaard gebruik maken, worden op grote schaal misbruikt om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzonder gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden.

Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews. 

Maatregelen

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is het helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar in veel andere EU lidstaten niet meer. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.

Internet organised threat assessment report 2016

jjoerlemans Een reactie plaatsen

In oktober 2016 is het meeste recente rapport van het ‘Internet Organised Crime Threat Assessment’ (IOCTA) door Europol gepubliceerd. In het rapport wordt een overzicht van trends binnen cybercrime verschaft en wordt door Europol aangegeven welke maatregelen moeten worden genomen om cybercrime te bestrijden. Beide aspecten worden hieronder kort toegelicht.

Ransomware

De opkomst van ransomware is de belangrijkste trend. Deze vorm van cybercrime overschaduwt volgens het rapport andere vormen van cybercrime waar men in het verleden veel last van had, zoals banking malware. Met betrekking tot betalingen tussen criminelen wordt het in rapport opgemerkt dat bitcoin hoofdzakelijk als (virtueel) betaalmiddel wordt gebruikt. Het gebruik van het virtuele betalingsmiddel is ook de standaard geworden bij afpersingen, die plaatsvinden met behulp van ransomware- of denial-of-service-aanvallen. In dit kader is het ook van belang dat het WODC in december 2016 een rapport heeft gepubliceerd over ransomware, banking malware en het witwassen met digitale betalingsmiddelen. Het witwasproces dat plaatsvindt bij gebruikmaking van bitcoins en de betrokken actoren worden uitvoerig in het rapport besproken.

Daarnaast is ook zogenaamde ‘CEO fraude’ sterk in opkomst. Bij deze vorm van fraude zijn bedrijven het doelwit van een georganiseerde groep van oplichters. Nadat op afstand toegang is verschaft tot de systemen van een bedrijf wordt een e-mail in naam van de baas van een bedrijf verstuurd naar een werknemer van de afdeling van financiële administratie, waarbij deze werknemer ertoe wordt bewogen een groot bedrag over te maken naar een door de criminelen opgeven rekening.

Ten slotte waarschuwt Europol voor de steeds sterker worden ddos-aanvallen die worden uitgevoerd. De aanvallen fungeren soms als rookgordijn om gegevens uit gehackte systemen te exfiltreren. Steeds vaker worden daarbij ook medische gegevens en intellectuele eigendomsrechten van bedrijven en instellingen gestolen.

Witwassen

In het IOCTA-rapport wordt verder opgemerkt dat cybercriminelen van veel verschillende elektronische communicatiemiddelen gebruikmaken. Deze verschillen van eenvoudig te gebruiken e-mail tot versleutelde gesprekken via chatdiensten, zoals Jabber. Ook blijken forums op het darkweb een belangrijk communicatiemiddel voor criminelen.

Een groeiend aantal forums en peer-to-peernetwerken wordt ook gebruikt om materiaal met betrekking tot kindermisbruik uit te wisselen. Zelfvervaardigd materiaal en materiaal dat afkomstig is van live-webcamseks met minderjarigen, dragen sterk bij aan de beschikbare hoeveelheid materiaal op internet. Versleutelde online mediadiensten en het gebruik van nagenoeg anonieme betalingsnetwerken faciliteren volgens Europol de livestreaming van filmpjes van kindermisbruik. Net als vorig jaar wordt door Europol gesignaleerd dat het gebruik van versleuteling van communicatie (gegevens in transport) en het gebruik van versleuteling van gegevens op een computer (in opslag) een grote uitdaging voor opsporingsdiensten vormen. Het gebruik van standaard versleuteling op mobiele telefoons versterkt dit probleem, aldus Europol.

Maatregelen

In het IOCTA-rapport worden de volgende juridische maatregelen gesuggereerd. Europol raadt aan om undercoveroperaties binnen de EU te harmoniseren. Opsporingsinstanties blijken in de praktijk moeilijkheden te ondervinden in het legitiem inzetten van undercoverbevoegdheden op het darkweb. Ook wordt aangeraden het vastleggen van elektronisch bewijs binnen de EU te harmoniseren. Het gaat daarbij om het vergaren van bewijs van internetserviceproviders, het gladstrijken van procedures met betrekking tot rechtshulp en een mogelijk nieuwe kijk op ‘jurisdictie in cyberspace’.