Tag NCSC

Cyber Security Beeld Nederland 2021

jjoerlemans

Deze blogpost is een samenvatting van het Cyber Security Beeld Nederland (CSBN) 2021. Het betreft de dingen die ik opvallend vond en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Aan het einde plaats ik wat observaties bij het rapport.

Cybercrime

“Cybercrime heeft een industriële omvang aangenomen. Zo domineerde de groep achter het Emotet-botnet meerdere jaren de markt van het verkrijgen en daarna doorverkopen van toegang tot slachtoffernetwerken aan onder meer ransomware-groepen. Tijdens een internationale opsporingsoperatie in 2021 om dit botnet uit de lucht te halen, onderkende de politie wereldwijd 1,75 miljoen geïnfecteerde IP-adressen, 36 miljoen gestolen inloggegevens en ruim 4 miljoen gecompromitteerde (bedrijfs)mailaccounts. Dergelijke slachtofferaantallen zijn geen uitzondering meer. Ransomware is daarbij uitgegroeid tot een cybercriminele goudmijn.

Met recht is ransomware dan ook een gamechanger te noemen voor het cybercriminele ecosysteem. Het heeft geleid tot cybercriminele groeperingen die enorm vermogend zijn geworden. Nadat het TrickBot-botnet eind 2020 goeddeels was neergehaald, zou de groep volgens gelekte interne communicatie in het jaar daarop 20 miljoen Amerikaanse dollar hebben geïnvesteerd in het herstellen en verbeteren van de aanvalsinfrastructuur en de bedrijfsvoering.

Vrijwel elke stap voor zowel het plegen als het beschermen van cybercriminaliteit wordt als dienst aangeboden. Het cybercriminele ecosysteem laat zich dan ook steeds meer kenschetsen als een volwassen, wereldwijde economische sector waar vraag en aanbod samenkomen op onder meer cybercriminele fora en waar rationele economische afwegingen worden gemaakt tussen investering, risico en rendement. Door deze dienstverlening is cybercriminaliteit toegankelijk voor een grote diversiteit aan daders

Vooral op ondergrondse, online platformen zoals gesloten cybercriminele fora, maar ook op zogeheten booter- en stressersites of Telegram-kanalen bieden zij hun producten en diensten aan.

Het merendeel van de ransomware-aanvallen kenmerkt zich als ‘Ransomware-as-a-Service’ (RaaS). Ransomware-ontwikkelaars vonden hierin een middel om hun malware op grote schaal te verspreiden, zonder zelf direct risico te lopen. RaaS biedt de afnemers van dit product de kans om ook zonder noemenswaardige programmeervaardigheden ransomware toe te passen op netwerken of systemen. Deze afnemers, ook wel affiliates genoemd, vallen onder de categorie van afhankelijke plegers. Voor elke geslaagde ransomware-aanval betalen zij de ransomware-ontwikkelaar een vast overeengekomen percentage van het betaalde losgeld.”

JJO: over ‘Operation Ladybird’ (persbericht NL Politie en van Europol) richting het Emotet botnet wordt nog het volgende interessante opgemerkt:

“Het in 2021 door de politie en het OM offline gehaalde Emotet-botnet bijvoorbeeld, besmette wereldwijd meer dan een miljoen systemen met aanvalsmethoden die niet heel geavanceerd waren. Veelal werden computers ongericht met spam besmet De volgende stappen in het aanvalsproces waren vaak wél gericht en geavanceerd.

De groep achter Emotet manifesteerde zich als dienstverlener door de toegang tot netwerken door te verkopen binnen een selecte klantenkring. Ergens in dit proces vond ook een vorm van triage plaats, waarbij de meest kapitaalkrachtige netwerken hoger werden ingeschaald.

De afnemers, in de zin van andere autonome groepen, konden vervolgens hun additionele malware (laten) plaatsen. Bijvoorbeeld TrickBot, die werd ingezet om de positie te consolideren en informatie te stelen. Uiteindelijk waren actoren met behulp van Ryuk-ransomware in staat om op deze netwerken gericht ransomware in te zetten op strategische plekken, waarbij men in staat was om op reële wijze in te schatten wat de maximale losgeldeis kon zijn. Het (dreigen met) het publiceren van de eerder gestolen data kon hierbij fungeren als extra drukmiddel.”

JJO: Ook de volgende bevinding vond ik opvallend:

“Ransomware-aanvallen hebben in zowel de Verenigde Staten als in de Europese Unie tijdens de coronapandemie ziekenhuizen, COVID-19-onderzoeksinstellingen en een distributiecentrum voor vaccins ernstig gehinderd”

Offensieve cyberoperaties van staten

JJO: Het CSBN 2021 windt er geen doekjes om:

“Cyberaanvallen door statelijke actoren zijn niet meer zeldzaam te noemen: ze zijn eerder het nieuwe normaal. Het gebruik van de digitale ruimte door statelijke actoren lijkt eerder toe dan af te nemen. Een voor de hand liggende verklaring daarvoor is dat de digitale ruimte nog steeds aan omvang en betekenis toeneemt en daarmee ook de mogelijkheden voor misbruik.

De digitale ruimte wordt door staten gebruikt om geopolitiek voordeel te behalen. Dit kan financieel-economisch voordeel zijn, het behartigen van binnenlandse politieke en veiligheidsbelangen, of het beïnvloeden van buitenlandse verhoudingen. Statelijke actoren kunnen hiervoor onder meer de volgende digitale middelen inzetten:

1. Beïnvloeding en inmenging (inclusief het verspreiden van desinformatie);

2. Spionage, waaronder economische of politieke spionage;

3. Voorbereidingshandelingen voor en daadwerkelijke verstoring en sabotage.

Nederland is doelwit van een offensief cyberprogramma van landen als Rusland en China. Zij kunnen de genoemde digitale middelen inzetten tegen een breed scala aan mogelijke doelwitten, van lokale verenigingen tot internationale veiligheidsorganisaties en van één individu tot diasporagemeenschappen. Volgens de AIVD blijft de dreiging van offensieve cyberprogramma’s tegen Nederland en de Nederlandse belangen onverminderd hoog en zal deze in de toekomst alleen maar toenemen.

Russische statelijke actoren hebben meermaals (succesvolle) digitale aanvallen uitgevoerd op een EU-lidstaat. Dit valt binnen het normbeeld van Russische statelijke actoren en de aanhoudende digitale (spionage)dreiging die daarvan uitgaat. Deze actoren voeren veelvuldig digitale aanvallen uit op onder andere EU- en NAVO-lidstaten

De Chinese digitale spionage actor APT31 heeft op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor. De interesse vanuit statelijke actoren voor dergelijke doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectie mogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek mogelijk te maken.”

JJO: en elders staat nog over China:

“China is ongeëvenaard in de schaal waarop en de breedte waarin inlichtingen worden ingewonnen.”

“Groot is ook het aandeel van economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. Exemplarisch hiervoor is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen.

Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland.176 Daaruit spreekt zowel de capaciteit als de intentie om in Nederlandse organisaties binnen te dringen. De cybercapaciteiten, kennis en expertise van China en Rusland zijn zelfs zo omvangrijk, dat de kans groot is dat zij slagen wanneer ze ergens digitaal binnen willen dringen.

Volgens gelekte documenten deed een Iraanse cyberorganisatie in 2020 onderzoek naar het hacken van industriële controlesystemen. De Iraanse onderzoekers schrijven dat ze nog niet genoeg inzicht hebben in de systemen om fysieke sabotage mogelijk te maken. Uit de documenten blijkt dat de cyberactoren specifiek zochten naar gebouwbeheersystemen, onder andere in Nederland. Dit zou passen binnen het beeld van de toenemende aandacht voor cybersabotage binnen Iran.”

Cybercrime & nationale veiligheid

JJO: Vorig jaar was één van de in het oog springende uitspraken van het CSBN dat ransomware de nationale veiligheid van Nederland bedreigde. Dit jaar zeggen ze hierover:

“Organisaties die digitaal worden aangevallen zijn veelvuldig het slachtoffer van ransomware. De inzet hiervan vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. Vitale processen kunnen niet alleen zelf getroffen worden door ransomware, met alle gevolgen van dien, maar ook via leveranciersketens.

Dat is zeker het geval nu die aanvallen gepaard gaan met dubbele of zelfs drievoudige afpersing. Bij dubbele afpersing kunnen hackers na het versleutelen van bestanden dreigen met het publiceren van data als slachtoffers niet betalen. Bij drievoudige afpersing kunnen hackers via buitgemaakte gegevens ook klanten, partners en leveranciers van een getroffen organisatie een losgeldeis opleggen, in de hoop dat ook zij uit angst voor publicatie overgaan tot betaling.

Cybercriminelen zijn onverminderd in staat om omvangrijke schade toe te brengen aan digitale processen. Zij handelen vanuit financieel motief en hebben niet de intentie om de maatschappij te ontwrichten. Desondanks kunnen hun aanvallen zoveel impact veroorzaken dat ze nationale veiligheidsbelangen raken. De capaciteit van meerdere cybercriminele groepen is van gelijkwaardig hoog niveau als die van sommige statelijke actoren.

Statelijke actoren kunnen cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. De relaties tussen staten en cybercriminelen kunnen ertoe leiden dat cybercriminelen een kant kiezen in geopolitieke conflicten. Recent illustreerde de oorlog in Oekraïne dit, toen cybercriminele groepen gelieerd aan Rusland waarschuwden tegenstanders van Rusland in het conflict digitaal aan te zullen vallen.

Hackerscollectieven kunnen ook een rol spelen in hybride conflictvoering, zoals in de oorlog in Oekraïne in 2022 het geval is. Het gevaar is dat de activiteiten van hacktivisten verkeerd geïnterpreteerd worden door landen die het slachtoffer worden van hun aanvallen, wat tot tegenreacties kan leiden. Ook kunnen statelijke actoren onder de vlag van hacktivisten opereren. Door verhoogde activiteit van hackersgroepen is de kans aanwezig dat Nederland (neven)schade ondervindt van digitale aanvallen. Indien hackers cyberaanvallen vanuit of via Nederland uitvoeren op buitenlandse doelwitten, kan Nederland ook getroffen worden door een tegenreactie. Ook Nederlandse ingezetenen kunnen deelnemen aan acties van hacktivisten en zo betrokken raken bij conflicten. Betrokkenheid bij een conflict elders door het plegen van digitale aanvallen kan onvoorziene consequenties hebben en is bovendien strafbaar.”

Food for Thought    

Het CSBN zit bomvol waardevolle informatie. Een groot deel meen ik inmiddels ook wel te herkennen uit de praktijk, input van de politie en OM en ik zie informatie terug uit jaarverslagen en publieke rapporten van de AIVD en de MIVD.

De ‘beleidshoofdstukken’, de lay-out (ongeveer de helft van rapport bestaat uit lege pagina’s en plaatjes), vaagtaalgebruik (“De dreiging die van statelijke actoren uitgaat, is niet van vandaag of gisteren, maar ontwikkelt zich al langer. Soms wordt ze diffuser, soms juist meer manifest” (??!) en veel herhaling spreekt mij minder aan.

Maar wat mij echt stoort als is dat hier en daar een voorbeeld uit een internationale context erbij wordt gehaald voor het Cyber Security Beeld Nederland en met cijfers wordt gegooid waarvan ik de betrouwbaarheid betwijfel. Denk bijvoorbeeld aan de volgende tekst:

“In april 2020 schatte Help Net Security naar aanleiding van een enquête onder meer dan 500 leidinggevenden binnen het internationale MKB in dat 46 procent van het MKB ooit slachtoffer was geweest van ransomware.”

En over de omvang van de schade van ransomware voor Nederland kunnen blijkbaar geen zinnige dingen worden gezegd. Lees bijvoorbeeld:

“De Conti-ransomwaregroep zou zelfs recent de beschikking hebben gehad over 2 miljard dollar aan virtuele valuta”. Vorige week verscheen nog een artikel in het FD waarin gesproken werd over honderden miljoenen dollars. Wat is het nu?

Verder wordt over de omvang van schade door ransomware gezegd:

“De totale economische schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten van alle aanvallen bij elkaar opgeteld is moeilijk vast te stellen. (…) Het is niet bekend hoeveel de schade voor Nederland betreft. Deze blinde vlek heeft meerdere oorzaken.”

Maar het inschatten van de omvang lijkt mij juist wel een taak van een Nationaal Cyber Security Centrum. Of je laat daar als wiedeweerga onderzoek naar doen. Toch?

Ook vroeg ik mij af of hoe lang met het CSBN wordt doorgegaan. En hoe verhoudt het zich eigenlijk tot al die criminaliteitsmonitoren van het WODC en CBS? Zouden daar nog opties liggen of aanvullingen in liggen?

Of ben ik een te kritische lezer? Ach ja, wie weet zijn ze er volgend jaar wat voorzichtiger met welke (internationale cijfers) ze aanhalen.

Reactie internetconsultatie Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma

jjoerlemans Een reactie plaatsen

Tot 17 april 2022 kan je reageren op internetconsultatie.nl op het wetsvoorstel ‘Tijdelijke wet onderzoeken AIVD en MIVD naar landen met een offensief cyberprogramma’.

Het wetsvoorstel is belangrijk, omdat het nieuwe bepalingen bevat met betrekking tot de hackbevoegdheid en onderzoeksopdrachtgerichte interceptie (bulkinterceptie). Het idee is toezicht deels te verleggen van vooraf naar toezicht tijdens en achteraf. Op die manier wordt de diensten meer flexibiliteit en meer armslag gegeven. Ook wordt een beroepsprocedure geïntroduceerd bij de Afdeling bestuursrechtspraak van de Raad van State.

Het betreffen wijzigingen in een tijdelijke wet gedurende vier jaar, maar het zijn desalniettemin hele belangrijke wijzigingen. Dat maakt volgens ons een tussentijdse evaluatie noodzakelijk voor de aankomende grote wetswijziging van de Wet op de inlichtingen- en veiligheidsdiensten 2017. In onze reactie (.pdf) op internetconsultatie gaan we verder in op de reikwijdte van het wetsvoorstel, de inzet van de hackbevoegdheid in het kader van strategische operaties en het voorgestelde beroepsstelsel.

Kortgezegd vinden we dat de reikwijdte van het wetsvoorstel beter moet worden omgeschreven en de ministers ook zouden moeten reageren op wat de rol van de diensten is bij criminele groeperingen die de nationale veiligheid bedreigen, bijvoorbeeld door de inzet van ransomware. Ook vinden we dat de inzet van de hackbevoegdheid in de context van ‘strategische operaties’ beter moet worden uitgelegd. Willen de ministers misschien aansluiten bij het concept van ‘active cyber defense’? Dan kan dat ook beter worden omschreven.

Ten slotte vinden we dat de beroepsprocedure bij de Afdeling niet voldoende wordt uitgewerkt in het wetsvoorstel. De noodzaak van de beroepsprocedure en de verhouding met de Awb en de Procesregeling met de mogelijkheid van de inzet van deskundigen en amicus curiae, moet duidelijker. Ook bevelen we aan eens over de grens te kijken hoe bijvoorbeeld de ‘Foreign Intelligence Surveillance Court’ (FISC) te werk gaat.

Jan-Jaap Oerlemans & Sophie Harleman

Death by ransomware

jjoerlemans

On 10 September 2020, ransomware infected 30 servers at University Hospital Düsseldorf, crashing systems and forcing the hospital to turn away emergency patients. As a result, German authorities stated that a woman in a life-threatening condition was sent to a hospital 20 miles away in Wuppertal and died from treatment delays. On 28 September, another alarming news article stated that ‘a major hospital chain’ was targeted with ransomware in ‘more than 400 locations’ (!) across the USA. Ransomware is malicious software (malware) that blocks access to someone’s computer system or files on the system and subsequently demands a ransom to be paid for unlocking the computer or files. For years, ransomware is the no. 1 popular malware among cybercriminals (see Europol).

In this blog post, I examine these incidents and reflect upon them from a Dutch legal perspective, because ransomware incidents in hospitals also take place in the Netherlands. I also consider whether IT systems in healthcare are a ‘vital infrastructure’, which may receive special protection from the Dutch National Cyber Security Centre.

Murder by ransomware?

Ransomware targeting hospitals is unfortunately not new. In 2016, news reports mentioned ransomware targeting a hospital in Los Angeles (USA). The Dutch government stated that between 2014 and 2017, four incidents occurred with ransomware in Dutch hospitals. The EU cyber security agency ENISA warned in 2018 that ransomware increasingly targeted medical devices and hospitals in order to demand a higher amount in ransom, as opposed to infecting computers of individuals. Individuals will only pay for decrypting one PC for example, whereas business and hospitals may pay hundreds of thousands of euros to decrypt many computers (such as servers storing valuable information).

Earlier this year (2020), a ransomware attack occurred at a hospital in Leeuwarden, the Netherlands. These attacks may seek to infect computers with ransomware to earn money, but may also lead to different types of extortion when perpetrators demand payment under threat of releasing medical records.

In Germany, the ransomware infections have led to an unfortunate chain of events, in which the unavailability of computers made it impossible to take care of certain patients in their hospital. News articles mention how authorities contacted the cybercriminals to shut down their ransomware, because they infected computers at a hospital and threatened the lives of patients. The cybercriminals, supposedly unaware their malware infected computers in a hospital complied, but it was unfortunately too late for one patient.

As such, the German public prosecution service is investigating whether the perpetrators can be charged with murder. The high sentence for this most serious crime makes it an attractive option for prosecution authorities, reflecting the seriousness of the consequences of this particular attack. In the Netherlands, many articles in our Penal Code can also be considered in a situation like this, such as article 161sexies(3), which states that infecting a computer with malware that endangers the life of person and results in their death can lead to imprisonment for a maximum of 15 years.

Difficulties in prosecuting for ransomware

Gathering the necessary evidence to prosecute the suspect can be extremely difficult, especially when the suspect resides outside the investigating State’s territory (in my PhD thesis ‘Investigating Cybercrime’ I researched these problems extensively). Usually, ransomware is deployed to earn money in cryptocurrency (such as Bitcoin). In our open access article ‘Laundering the profits of Ransomware’ published last summer, we (Custers, Oerlemans & Pool) examined the relationship between money laundering and ransomware. Possibly, this research may provide insights for law enforcement authorities to collect evidence based on the money trail in ransomware incidents. But maybe it works more like the cyber security guru ‘The Grugq’ said on Twitter:

Prediction: The ransomware kid — who’s hacking lead to a woman’s death in Germany — has done more for advancing cyber norms than any paper, book, article, talk, conference, round table, etc etc. have ever managed to accomplish.”

Cyber security and hospitals in the Netherlands

The incident in Germany made me wonder what the state of security is at hospitals in the Netherlands. It seems to me that when computer systems are adequately secured, network traffic is monitored and the IT infrastructure is separated, catastrophic security incidents like the above can be avoided in some cases, or the seriousness of the consequences can be reduced.

A quick look into parliamentary history reveals quite some attention for cyber security in hospitals, usually after an incident occurred. Over the years, parliamentary members questioned the minister of Justice and Security several times about the state of cyber security of hospitals (see, these answers to parliamentary questions in 2016, 2017, 2018, and recently these answers in 2020 regarding a cyber security incident at hospitals in Leeuwarden). The Dutch government emphasized repeatedly in their response that IT security at hospitals is their own responsibility and not a ‘vital process’ relating to national security that requires extra (national) protection.

In August 2020, this position changed somewhat with new legislation that grants the National Cyber Security Centre the task to aid in security incidents for organisations in the healthcare sector. Over the years, the National Cyber Security Centre set up an ‘Information Sharing and Analysis Centre’ (ISAC) for the healthcare sector to facilitate information sharing regarding threats. Also, a ‘Computer Emergency Response Team’ (CERT) was set up for the healthcare sector (“Z-CERT”).

Hopefully, these serious cyber security incidents inside and outside the Netherlands lead to some real changes in order to properly secure vital IT infrastructures, such as the infrastructure of hospitals. There appears to be a tension in finding the correct balance in relying upon the private protection of IT-systems and providing enough security with aid of the National Cyber Security Centre. It is interesting to see how this may change in the near-future.

This is cross post from Montaigne Blog.

— UPDATE —-

It turns out the German patient would have died due to her medical conditions, regardless of the ransomware attack. In this interesting in-depth Wired article, the doctor states it will be only a matter of time before a patient does die because of a ransomware attack at a hospital.