Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Death by ransomware

On 10 September 2020, ransomware infected 30 servers at University Hospital Düsseldorf, crashing systems and forcing the hospital to turn away emergency patients. As a result, German authorities stated that a woman in a life-threatening condition was sent to a hospital 20 miles away in Wuppertal and died from treatment delays. On 28 September, another alarming news article stated that ‘a major hospital chain’ was targeted with ransomware in ‘more than 400 locations’ (!) across the USA. Ransomware is malicious software (malware) that blocks access to someone’s computer system or files on the system and subsequently demands a ransom to be paid for unlocking the computer or files. For years, ransomware is the no. 1 popular malware among cybercriminals (see Europol).

In this blog post, I examine these incidents and reflect upon them from a Dutch legal perspective, because ransomware incidents in hospitals also take place in the Netherlands. I also consider whether IT systems in healthcare are a ‘vital infrastructure’, which may receive special protection from the Dutch National Cyber Security Centre.

Murder by ransomware?

Ransomware targeting hospitals is unfortunately not new. In 2016, news reports mentioned ransomware targeting a hospital in Los Angeles (USA). The Dutch government stated that between 2014 and 2017, four incidents occurred with ransomware in Dutch hospitals. The EU cyber security agency ENISA warned in 2018 that ransomware increasingly targeted medical devices and hospitals in order to demand a higher amount in ransom, as opposed to infecting computers of individuals. Individuals will only pay for decrypting one PC for example, whereas business and hospitals may pay hundreds of thousands of euros to decrypt many computers (such as servers storing valuable information).

Earlier this year (2020), a ransomware attack occurred at a hospital in Leeuwarden, the Netherlands. These attacks may seek to infect computers with ransomware to earn money, but may also lead to different types of extortion when perpetrators demand payment under threat of releasing medical records.

In Germany, the ransomware infections have led to an unfortunate chain of events, in which the unavailability of computers made it impossible to take care of certain patients in their hospital. News articles mention how authorities contacted the cybercriminals to shut down their ransomware, because they infected computers at a hospital and threatened the lives of patients. The cybercriminals, supposedly unaware their malware infected computers in a hospital complied, but it was unfortunately too late for one patient.

As such, the German public prosecution service is investigating whether the perpetrators can be charged with murder. The high sentence for this most serious crime makes it an attractive option for prosecution authorities, reflecting the seriousness of the consequences of this particular attack. In the Netherlands, many articles in our Penal Code can also be considered in a situation like this, such as article 161sexies(3), which states that infecting a computer with malware that endangers the life of person and results in their death can lead to imprisonment for a maximum of 15 years.

Difficulties in prosecuting for ransomware

Gathering the necessary evidence to prosecute the suspect can be extremely difficult, especially when the suspect resides outside the investigating State’s territory (in my PhD thesis ‘Investigating Cybercrime’ I researched these problems extensively). Usually, ransomware is deployed to earn money in cryptocurrency (such as Bitcoin). In our open access article ‘Laundering the profits of Ransomware’ published last summer, we (Custers, Oerlemans & Pool) examined the relationship between money laundering and ransomware. Possibly, this research may provide insights for law enforcement authorities to collect evidence based on the money trail in ransomware incidents. But maybe it works more like the cyber security guru ‘The Grugq’ said on Twitter:

Prediction: The ransomware kid — who’s hacking lead to a woman’s death in Germany — has done more for advancing cyber norms than any paper, book, article, talk, conference, round table, etc etc. have ever managed to accomplish.”

Cyber security and hospitals in the Netherlands

The incident in Germany made me wonder what the state of security is at hospitals in the Netherlands. It seems to me that when computer systems are adequately secured, network traffic is monitored and the IT infrastructure is separated, catastrophic security incidents like the above can be avoided in some cases, or the seriousness of the consequences can be reduced.

A quick look into parliamentary history reveals quite some attention for cyber security in hospitals, usually after an incident occurred. Over the years, parliamentary members questioned the minister of Justice and Security several times about the state of cyber security of hospitals (see, these answers to parliamentary questions in 2016, 2017, 2018, and recently these answers in 2020 regarding a cyber security incident at hospitals in Leeuwarden). The Dutch government emphasized repeatedly in their response that IT security at hospitals is their own responsibility and not a ‘vital process’ relating to national security that requires extra (national) protection.

In August 2020, this position changed somewhat with new legislation that grants the National Cyber Security Centre the task to aid in security incidents for organisations in the healthcare sector. Over the years, the National Cyber Security Centre set up an ‘Information Sharing and Analysis Centre’ (ISAC) for the healthcare sector to facilitate information sharing regarding threats. Also, a ‘Computer Emergency Response Team’ (CERT) was set up for the healthcare sector (“Z-CERT”).

Hopefully, these serious cyber security incidents inside and outside the Netherlands lead to some real changes in order to properly secure vital IT infrastructures, such as the infrastructure of hospitals. There appears to be a tension in finding the correct balance in relying upon the private protection of IT-systems and providing enough security with aid of the National Cyber Security Centre. It is interesting to see how this may change in the near-future.

This is cross post from Montaigne Blog.

— UPDATE —-

It turns out the German patient would have died due to her medical conditions, regardless of the ransomware attack. In this interesting in-depth Wired article, the doctor states it will be only a matter of time before a patient does die because of a ransomware attack at a hospital.

Internet Organised Threat Assessment report 2019

Het Europol Cybercrime Center in Den Haag biedt elk jaar een mooi overzicht van actuele ontwikkelingen en bedreigingen op het gebied van cybercrime. Het ‘IOCTA rapport’ (.pdf) komt tot stand via enquêtes aan alle EU opsporingsautoriteiten en door input uit de private sector en wetenschap. Hier volgt een samenvatting van de zaken die mij het meest opvielen.

Ransomware grootste bedreiging op het gebied van cybercrime

Ransomware blijft de grootste bedreiging volgens het IOCTA 2019 rapport. De totale hoeveelheid aanvallen met ransomware is gedaald. Echter, de aanvallen zijn gerichter, winstgevender en schadelijker. Als voorbeeld wordt bijvoorbeeld een bedrijf genoemd waarbij het gijzelbedrag uit één miljoen euro bestond. Versies van de ransomwarefamilie ‘Dharma/CrySiS’, ‘ACCDFISA, ‘GlobeImposter’ en ‘Rapid’ kwamen veel in de rapportages van politiediensten voor. De private sector vreest dat naast normale ransomware ook de meer destructieve gijzelsoftware die ook ‘wiper-elementen’ bevatten; daarmee worden bestanden echt gewist of onherstelbaar beschadigd.

Zorgelijk zijn ook de ransomware-aanvallen op lokale overheden, die zich voornamelijk in de Verenigde Staten hebben voorgedaan. Zo lag de stad Atlanta in 2018 enige weken plat. In 2019 ging het al zo’n vijf steden in de VS, waaronder Baltimore en Florida. Dit vormt mogelijk een prelude voor steden Europa.

Handel in gestolen data

De handel in gestolen data betreft de twee-na-grootste dreiging volgens het Europol rapport. De data wordt het vaakst buitgemaakt door de aankoop van financiële gegevens, zoals creditcardgegevens, online bankiergegevens en gegegevens uit cryptocurrency portemonnees. De gegevens worden buitgemaakt via phishing, door lekken bij bedrijven, na grote hacks en door kwaadaardige software waarmee gegevens heimelijk worden verzameld. Deze gegevens worden verkocht op o.a. het dark web of gebruikt om fraude mee te plegen; bijvoorbeeld door er goederen mee te bestellen. Als voorbeeld worden in het rapport ook de veelvoorkomende aanvallen op uitwisselingskantoren voor cryptogeld (‘cryptocurrency exchanges’) genoemd. In 2018 is naar schatting 1 miljard in dollar wereldwijd aan cryptogeld gestolen, ook door statelijke actoren.

Logingegevens zijn minder makkelijk te besteden (‘monetisable’), maar mogelijk meer waard voor georganiseerde cybercrimegroepen. Interessant is het voorbeeld hoe zes verdachten in Engeland en Nederland zijn opgepakt voor ‘typosquatting’. Daarbij zetten criminelen nepwebsites waar mensen per ongeluk op kunnen bij het intypen van een URL. In dit geval leidde de website tot een nep bitcoinportemonnee. Door het overnemen van inloggevens kon de bitoinportemonnee geleegd worden en het virtuele geld worden overgemaakt naar de verdachten. Daarmee zou volgens Europol door de groep 24 miljoen euro zijn buitgemaakt.

Ddos-aanvallen

Ddos-aanvallen blijven een prominente dreiging als we het hebben over de ‘target cybercrime’ (criminaliteit waarbij computers en netwerk het doelwit zijn van de gedraging, wordt ook wel ‘cybercrime in enge zin’ genoemd). Ddos-aanvallen worden het meest gebruikt voor afpersing, maar ook aanvallen voor ideologische of politieke redenen kwamen veel voor. Financiële instellingen en overheden, zoals de politie, werden het vaakst onder vuur genomen. In het bijzonder voor banken vormen ddos-aanvallen een groot probleem, omdat het kan leiden tot het verstoren van de online bankierdiensten. De aanvallen zijn volgens Europol het vaak afkomstig van ‘low-capability actors’, die bijvoorbeeld gebruik maken van ‘exploit booters of stressers’.

Operation Power Off

In april 2018 hebben Nederlandse en Engelse opsporingsautoriteiten de illegale dienst ‘Webstresser.org’ offline gehaald. Webstresser was volgens Europol destijds een van de grootste marktplaatsen voor het huren van ddos-diensten met meer dan 150.000 klanten en de bron van meer dan 4 miljoen ddos-aanvallen.

Kinderporno

De hoeveelheid kinderpornografisch materiaal (ook wel genoemd: materiaal van kindermisbruik) op internet blijft volgens Europol stijgen. Kindermisbruikers werken vaak volgens dezelfde modus operandi: zij zoeken potentiele slachtoffers via sociale media, creëren een aantal nepprofielen waarbij zij zich als een leeftijdsgenoot voordoen en leggen contact. Nadat er een niveau van vertrouwen is gaan naar Whatsapp of apps als Viber om de gesprekken voor te zetten. Als – eerst op vrijwillige basis – seksueel materiaal is uitgewisseld zetten de kindermisbruikers de slachtoffers onder druk om meer materiaal te maken, bijvoorbeeld onder de dreiging het materiaal te openbaren.

Gecoördineerde actie tegen kindermisbruik, in samenspraak met de private sector en het gebruik van technologie zoals kunstmatige intelligentie, kan helpen tegen de bestrijding van materiaal van kindermisbruik en ook helpen in het verwerken van enorme hoeveelheden materiaal. Ter illustratie: in 2017 ontving Europol 44.000 verwijzingen met mogelijk kinderpornografisch materiaal van Amerikaanse internetdienstverleners (zoals Google en Microsoft). In 2018 waren dat er 190.000. Europol heft zelf een database met 46 miljoen afbeeldingen of video’s met geïdentificeerd kinderpornografisch materiaal. Nederland wordt expliciet in het rapport genoemd als de grootste hoster van kinderporno.

Het rapport signaleert verder dat (soms extreme) kinderpornografie wordt verspreid via exclusieve online forums. Het Europol rapport noemt bijvoorbeeld het forum ‘Elysium’, dat alleen bereikbaar was via Tor (op het darknet dus). Vier mannen runde het forum met meer dan 11.000 geregistreerde gebruikers over de hele wereld.

De auteurs waarschuwen dat het een ‘kwestie van tijd’ is tot ‘deepfakes’ met kinderporno voorkomen die worden gebruik voor het “personaliseren” van het materiaal. Dat kan problemen opleveren voor de vervolging en digitale bewijsproblemen.

Rol van het dark web en cybercrime

In het rapport is extra aandacht voor de rol van het ‘dark web’, als facilitator van online criminaliteit. Het rapport signaleert dat de markten veranderen in kleinere online drugsmarkt en ‘single-vendor’ shops, soms in een specifieke (d.w.z. niet-Engelse taal). De toegang tot online drugsmarkten via Tor blijft het meest populair, mogelijk vanwege de gebruikersvriendelijkheid.

xDedic marketplace

De xDedic markplaats wordt als voorbeeld genoemd in het rapport. In januari 2019 hebben Amerikaanse, Belgische en Oekraïense opsporingsautoriteiten de ‘xDecic’-marktplaats inbeslaggenomen. xDedic verkocht gehackte computers en gestolen persoonsgegevens. Het was actief op zowel het dark web als het clear web. De geïnfecteerde computers konen worden geselecteerd op criteria als prijs, geografische locatie en besturingssystemen. De marktplaats zou meer dan 60 miljoen euro in fraude hebben gefaciliteerd. (zie ook dit nieuwsbericht waarin wordt gesteld dat op de markplaats meer dan 70.000 servers in 170 landen werden aangeboden).

Daarnaast hebben opsporingsautoriteiten actie ondernomen tegen Wall Street Market, Valhalla en Bestmixer. Wall Street Market had toen volgens Europol 1.150.000 geregistreerde bezoekers en 5400 verkopers van drugs. Europol schat in dat in 2018 één miljard dollar aan virtueel geld op het dark web is besteed. Bitcoin blijft daarbij de meest populaire cryptocurrency.

Bitcoinmixer

In het rapport wordt ook aandacht besteed aan de spraakmakende FIOD-take down van ‘Bestmixer.io’ (zie ook het persbericht op de FIOD-website). In samenwerking met Europol en opsporingsautoriteiten in Luxemburg werd een operatie opgezet. Het was een van de drie grootste bitcoin mixingdiensten voor Bitcoin, Bitcoin Cash en Litecoin. De dienst startte in 2018 en had volgens Europol een omzet van ten minste 200 miljoen dollar (27.000 bitcoins) in één jaar (600.000 euro per jaar). Het is bovendien de eerste zaak waar – volgens een Kamerbrief van minister Grapperhaus van 12 juni 2019 – de hackbevoegdheid is ingezet!

Advies voor wetgeving en beleid

De laatste jaren geeft Europol enkele voorzichtige adviezen af voor de Europese wetgever. Het meest interessant vond ik dat Europol in dit rapport expliciet stelt dat een EU-raamwerk is vereist voor onderzoeken op het dark web. De coördinatie en standaardisatie van undercover online onderzoeken zijn vereist om dark web-onderzoeken te ‘deconflicteren’. Opnieuw wordt gesteld dat het huidige juridische instrumentatrium van rechtshulp in de EU (‘Mutual Legal Assistance’) onvoldoende is voor digitale opsporingsonderzoeken.

Makers Coinvault veroordeeld – annotatie

Posted on 21/10/2018 op Oerlemansblog

De ‘Coinvault-zaak’ (Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153) verdient nadere aandacht. Het betreft namelijk de eerste veroordeling voor ransomware in Nederland. Dat is de hoogste tijd, omdat ransomware al jaren één van de meest prevalente vormen is van cybercrime in enge zin. In deze blog ga ik eerst kort in op de feiten van de zaak. Daarna bespreek ik uitgebreider de ten laste gelegde feiten en welke andere delicten van toepassing kunnen zijn. Tot slot werp ik een korte toekomstblik op ransomware.

Veroordeling

De Rechtbank Rotterdam heeft op 26 juli 2018 twee jongemannen veroordeeld tot 240 uur taakstraf en een voorwaardelijke gevangenisstraf van twee jaar voor het besmetten van een groot aantal computers met zelfgemaakte ransomware. Het is een relatief lage gevangenisstraf in verhouding tot de ernst van de delicten. De verdachten hebben van november 2014 tot en met september 2015 computers besmet met zelfgemaakte ransomware van de variant ‘Coinvault’ en ‘Bitcryptor’. Deze ransomware is meer specifiek te kwalificeren als ‘cryptoware’, waarbij gegevens worden versleuteld. Zonder betaling in virtueel geld (in dit geval Bitcoin) en de ontvangst van de sleutel om gegevens weer toegankelijk te maken, is het zonder back-up in de meeste gevallen onmogelijk de gegevens terug te krijgen.

De feiten

In de uitspraak van de Rechtbank Rotterdam staat weinig informatie over het opsporingsproces, maar uit de mediaberichten over de zaak blijkt dat de verdachten de malware als ‘trojan’ hebben verspreid (zie bijvoorbeeld dit bericht in de Volkskrant en deze blog van McAfee). In dit geval was de kwaadaardige software vermomd als commerciële software en ‘sleutel-generatoren’ die in nieuwsgroepen gratis konden worden download. Nadat duizenden computers waren besmet activeerden de verdachten de cryptoware en eisten ze 250 euro in Bitcoin van hun slachtoffers. De computers stonden als zombiecomputers onder controle van hun command-and-control server. Bij het verbinding maken met de server maakten de verdachten echter geen gebruik van anonimiseringstechnieken (zoals Tor), waardoor het IP-adres terugverwees naar het adres van de abonneehouder (het ouderlijk huis van de verdachten). Dat leidde tot de arrestatie van de verdachten in een klein dorp nabij Amersfoort.

De tenlastelegging

De officier van justitie heeft artikel 138ab Sr, 350a Sr en 317 Sr (afpersing) ten laste gelegd. Het ligt het meest voor de hand het delict gegevensaantasting (art. 350a Sr) ten laste te leggen. Het artikel is ervoor gegoten, omdat het (onder andere) strafbaar stelt ‘het opzettelijk en wederrechtelijk veranderen, onbruikbaar maken of ontoegankelijk maken van gegevens’ met een maximale gevangenisstraf van twee jaren of een geldboete van de vierde categorie. De verdachten hebben gebruik gemaakt van een botnet, waardoor ook sprake is van een gekwalificeerde vorm van computervredebreuk in artikel 138ab lid 3 Sr (zie ook het Toxbot-arrest (ECLI:NL:HR:2011:BN9287)). Sinds mei 2015 is overigens ook artikel 138b Sr gewijzigd, waardoor een strafverzwaring naar een maximale gevangenisstraf van vijf jaar of een geldboete van de vierde categorie van toepassing indien met het plegen van het feit als omschreven in art. 350a Sr ‘ernstige schade’ wordt veroorzaakt. De memorie van toelichting definieert niet helder wat ‘ernstige schade’ behelst, maar ik neem aan dat hier ook de besmetting van duizenden computers met ransomware onder valt, zoals in casu het geval was.

Bijzondere aandacht verdient ook de tenlastelegging van afpersing (art. 317 Sr) in deze zaak. Het gaat hier om de uitoefening van dwang, om zichzelf wederrechtelijk te bevoordelen met geweld of de bedreiging met geweld, door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’ (zoals staat omschreven in art. 317 lid 2 Sr). Daarvan is in deze zaak sprake, omdat de cryptoware de gegevens ontoegankelijk maakt, tenzij het losgeld wordt betaald in de vorm van Bitcoin (of het systeem op een andere manier met een sleutel kan worden ontsleuteld). De Rechtbank Rotterdam volstaat in haar (helaas zeer korte) bespreking van het artikel met: “de rechtbank is daarbij van oordeel dat het op deze wijze ontoegankelijk maken van bestanden gelijk is te stellen aan het begrip geweld als bedoeld in artikel 317 van het Wetboek van Strafrecht”.

Richtlijn Cybercrime strafvordering kan beter

De richtlijn Cybercrime strafvordering noemt de toepasbaarheid van het delict afpersing merkwaardig genoeg in zijn geheel niet. In plaats daarvan worden de artikelen 139d Sr (de plaatsing van malware), art. 326 Sr (oplichting) en art. 284 Sr (dwang) genoemd. De officier van justitie had inderdaad art. 139d lid 2 sub a Sr met verwijzing naar art. 138ab lid 3 Sr ten laste kunnen leggen. Dat zou beter tot uitdrukking doen komen dat de verdachten ook de vervaardiging van de Coinvault-malware wordt verweten. Op het eerste gezicht lijkt bij ransomware de ten laste legging van het delict ‘oplichting’ (art. 326 Sr) minder voor de hand te liggen. Voor oplichting is immers (onder andere) vereist dat iemand bijvoorbeeld na een ‘listige kunstgreep’ geld overmaakt. Met andere woorden wordt de betrokkene ‘er in geluisd’. Bij ransomware wordt simpelweg de computer van het slachtoffer gegijzeld en losgeld door een anonieme dader wordt geëist; daarbij lijkt van een ‘listige kunstgreep’ geen sprake. Voor de besmetting van de computer wordt soms wel een ‘listige kunstgreep’ gebruikt. In deze zaak hebben de verdachten bijvoorbeeld de computers besmet via onschuldig lijkende programma’s die via internet ter beschikking zijn gesteld, waarna de slachtoffers na besmetting van cryptoware bewogen worden geld over te maken. Eerder is oplichting wel ten laste gelegd en bewezen verklaard in het geval van ‘banking malware’. Ten slotte kan in de context van ransomware ook nog sprake zijn van het delict dwang (art. 284 Sr), omdat een persoon ‘door enige feitelijkheid’ (het versleutelen van een computer) een ander wederrechtelijk dwingt iets te doen (losgeld betalen) of te dulden (het versleuteld laten van de computer). Het voordeel van de hoge maximale gevangenisstraf bij art. 317 Sr is dat slachtoffers spreekrecht hebben en ook zware bijzondere opsporingsbevoegdheden mogen worden toegepast, zoals direct afluisteren (art. 126l Sv) en alle vormen van de hackbevoegdheid (art. 126nba Sv).

‘Geweld’ bij ransomware?

Met de opkomst van het Internet of Things raken steeds meer apparaten die autonome beslissingen kunnen nemen met het internet verbonden. Dat brengt bijvoorbeeld met zich mee dat mensen opgesloten kunnen raken in hun hotelkamer, omdat de kamerdeur met het elektronische slot niet meer functioneert na een ransomwarebesmetting. Het ontoegankelijk maken van een slimme auto met ransomware tegen losgeld voor een flink bedrag lijkt mij ook goed denkbaar. In deze gevallen ziet het vereiste ‘geweld’ bij afpersing mogelijk meer op het goed zelf in plaats van de opgeslagen gegevens op de computer. Toch lijkt het dat het geweld of de bedreiging van geweld zich daarbij meer richt op het gebruik van het goed, dan op het goed zelf; het omhulsul van het goed blijft ten slotte intact. Het is overigens ook denkbaar dat met ransomware het geweld of de bedreiging van geweld zich richt tegen een persoon. Als medische apparaten aan het lichaam (zoals een insulinepomp) of in het lichaam (zoals een pacemaker) verbonden zijn met een netwerk en op afstand ontoegankelijk wordt gemaakt, kan namelijk sprake van (de dreiging van) geweld jegens een persoon bij het gebruik van ransomware.

Strafrechtpraktijk nog onvoldoende voorbereid op ransomware

Los van deze theoretische bespiegeling over de strafbaarstelling van ransomware is van belang te realiseren dat de besmetting van ransomware op IoT-apparaten geen science fiction is. Ransomware is een groeiend probleem. De WannyCry-aanval heeft in mei 2017 ziekenhuizen in het Verenigd Koninkrijk, het spoorwegsysteem tussen Duitsland en de Russische Federatie, telecommunicatiebedrijven in Spanje en Portugal en Petrochemische bedrijven in China en Brazilië en autofabrikanten in Japan platgelegd. De Nederlandse samenleving zal zich moeten voorbereiden op deze vormen van cybercrime en maatregelen moeten treffen (niet alleen op het gebied van strafrecht). Daarnaast is nu al een tendens zichtbaar dat cybercriminelen de aanvallen gerichter worden uitgevoerd, zoals het besmetten van medische apparaten in ziekenhuizen, waarbij een veel groter bedrag wordt geëist: in de tienduizenden euro’s in plaats van die doorgaans 500 euro voor besmette PC’s. De strafrechtpraktijk lijkt hier nog onvoldoende op voorbereid.

Mijn noot met bijna gelijke tekst is verschenen in: Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, p. 281-291, m.nt. J.J. Oerlemans.

Europol internet organised threat assessment 2018 (IOCTA)

Posted on op Oerlemansblog

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Richtlijn voor strafvordering cybercrime

Op 1 februari 2018 is de ‘Richtlijn voor strafvordering cybercrime’ gepubliceerd (Stcrt. 2018, 3271). Deze richtlijn cybercrime biedt handvaten voor de op zitting te eisen straffen.

De richtlijn ziet op de verschillende verschijningsvormen van cybercrime (o.a. computervredebreuk (artikel 138ab Sr), de DDoS aanval (artikel 138b Sr), ransomware (artikel 139d Sr), malware (artikel 350a Sr) en defacing (artikel 138ab Sr) en bevat criteria aan de hand waarvan in individuele zaken een strafeis geformuleerd kan worden.

De richtlijn onderscheidt daarnaast de volgende categorieën:

  • Cybercrime in de relatiesfeer (ex-partners, ex-werknemers, etc.)
  • Cybercrime met als oogmerk diefstal van vermogen (diefstal internetbankieren, art. 139d Sr, crypto/ransomware)
  • Cybercrime met als oogmerk het overnemen van gegevens ((bedrijfs)spionage, tentamenfraude, etc)
  • Cybercrime met een ideologisch (niet zijnde terroristisch) oogmerk (DDos, art. 350a Sr, defacing)

In de richtlijn worden hoofdzakelijk taakstraffen met een voorwaardelijke gevangenisstraf voorgeschreven. Er is een tabel voor cybercrime eenmaal gepleegd en een tabel voor meermalen gepleegd. Het is overigens opvallend dat geen richting wordt gegeven met betrekking tot de toepassing van bijzondere opsporingsbevoegdheid op internet, waar in de praktijk veel onduidelijkheid over staat.

De richtlijn lijkt hard nodig te zijn nu tijdens de behandeling van de begroting van het ministerie van Justitie en Veiligheid naar voren kwam dat het oplossingspercentage 6% en het ophelderingspercentage slechts 8% bedraagt (peilmaand oktober 2017. Het oplossingspercentage wil zeggen het aantal verdachten dat wordt doorgeleid naar het Openbaar Ministerie, afgezet tegen de geregistreerde criminaliteit. Het ophelderingspercentage wil zeggen het aantal misdrijven waarbij de politie een verdachte aan een zaak heeft gerelateerd, afgezet tegen het aantal geregistreerde misdrijven.

Publicatie ENISA rapport over cybercrime

Op 15 januari 2018 heeft het Europese cybersecurityagentschap ENISA een interessant rapport  gepubliceerd over cybersecuritydreigingen. In het rapport worden de bevindingen van een grote hoeveelheid andere rapporten van cybersecuritybedrijven geanalyseerd en de resultaten daarvan gepresenteerd. Het rapport biedt ook enige technische diepgang.

In het rapport wordt er op gewezen dat in 2017 cybercriminelen de grootste bedreiging op het gebied van cybersecurity vormen. Twee derde van de aanvallen zijn van deze actor afkomstig. Hierbij wordt opgemerkt dat in plaats dat zij zeer massale meer ongerichte malware-aanvallen uitvoeren, cybercriminelen nu vaker op zoek gaan naar (financieel) aantrekkelijke doelwitten en daar gerichte aanvallen op uitvoeren. Cybercriminelen verdienen daarnaast volgens ENISA veel geld met advertentiefraude (clicks genereren en daarmee geld verdienen) en het leveren van diensten voor andere cybercriminelen (cybercrime-as-a-service). Volgens ENISA is er een toenemende interactie tussen cybercriminelen en statelijke actoren bij het uitvoeren van aanvallen. De ‘insider-dreiging’ (medewerkers van bedrijven of instellingen) worden als tweede grootste bedreiging geïdentificeerd. ENISA zegt dat het motief bij deze interne actoren in de regel financieel van aard is.

Statelijke actoren worden als derde grootste bedreiging gesignaleerd. Staten maken van computers en internet gebruik voor bijvoorbeeld economische spionage en om aan (politieke) beïnvloeding te doen. ENISA wijst er op dat steeds meer staten investeren in de “cybercapaciteiten” van overheidsinstanties en dit leidt tot een grotere cybersecuritybedreiging leidt. Ook wordt ondersteuning gevonden voor de claim dat deze statelijke actoren vaker dan andere actoren gebruik maken van zero day-kwetsbaarheden bij hun aanvallen. Het lekken van deze zero days kan op zijn beurt grote gevolgen hebben, zoals de WannaCry-aanval laat zien.

De meest in het oog springende resultaten met betrekking tot cybercrime zou ik als volgt samenvatten:

  1. Toename in ernst en complexiteit van aanvallen

In het algemeen wordt er op gewezen dat cybercrime in enge zin – kort gezegd (1) computervredebreuk (hacken), (2) de verspreiding van malware en (3) ddos-aanvallen – in ernst en complexiteit stijgt. Interessant is bijvoorbeeld de stijging in ‘clickless’ malware, waarbij geen interactie (zoals een klik op een knop of bestand) is vereist ten behoeve van de installatie van malware en de verdere verspreiding ervan. In het rapport wordt ook gewezen op het gebruik van kwetsbaarheden in webbrowsers (incl. plugins) en kwaadaardige linkjes via phishingmails als populaire infectiemethode.

In het rapport uiteraard ook gewezen op de stevige stijging van malware-incidenten en zeer zware ddos-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet (dat misbruik maakt van kwetsbare IoT-apparaten). De dos-aanval op DNS-provider Dyn leidde tot grote en merkbare schade door het tijdelijk uitvallen van populaire diensten zoals Netflix.

ENISA komt tot de zorglijke conclusie het opsporen van de daders achter aanvallen (zoals criminelen en statelijke actoren) “welhaast onmogelijk” is en de acties en motieven van de aanvallen achteraf vaak onduidelijk blijven. Dat maakt het op zijn beurt volgens het agentschap bijzonder moeilijk de actoren achter cyberaanvallen en werkwijze te profileren.

De Nederlandse politie krijgt nog een “eervolle vermelding”  (afhankelijk hoe je het bekijkt) van een ‘sophisticated, yet risky way to prosecute cyber-criminal offences’ in het kader van het overnemen van de Hansa-marktplaats op het darkweb.

  1. Ransomware

Ransomware wordt een ‘prominent threat’ genoemd. In het rapport wordt mooi weergegeven wat de tijdlijn is geweest met betrekking tot de WannaCry-aanval die in Nederland tot uitval van (onder andere) de Tweede Maasvlakte heeft geleid.

Ten slotte werd een interessant nieuwe trend genoemd waarbij gespecialiseerde ransomware zich richt op medische apparaten. Als deze onbruikbaar worden kan dit natuurlijk ook (meestal indirect) de gezondheid van mensen in gevaar brengen. Dit past in de genoemde trend in het rapport waarbij meer gerichte ransomware aanvallen plaatsvinden om geld af te persen van bedrijven of overheidsinstellingen.

Internet organised threat assessment 2017

Op 28 september 2017 heeft Europol zijn ‘Internet Organised Crime Threat Assessment 2017’ rapport uitgebracht. Het rapport geeft ieder jaar een bijzondere inkijk in de laatste ontwikkelingen op het gebied van ‘internet organised crime’. De belangrijkste conclusies uit het rapport worden hieronder kort besproken.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een ‘explosie’ van ransomware dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie (zoals financiële gegevens) te stelen en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Internet of things

Europol signaleert ook de dat zwakke beveiliging van ‘Internet of Things’-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denial-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderporno

Kinderporno op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt voor de distributie van kinderporno. Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding van kinderpornografie. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografisch materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Cobalt

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van de standaard gebruik maken, worden op grote schaal misbruikt om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzonder gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden.

Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews. 

Maatregelen

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is het helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar in veel andere EU lidstaten niet meer. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.

Internet organised threat assessment report 2016

In oktober 2016 is het meeste recente rapport van het ‘Internet Organised Crime Threat Assessment’ (IOCTA) door Europol gepubliceerd. In het rapport wordt een overzicht van trends binnen cybercrime verschaft en wordt door Europol aangegeven welke maatregelen moeten worden genomen om cybercrime te bestrijden. Beide aspecten worden hieronder kort toegelicht.

Ransomware

De opkomst van ransomware is de belangrijkste trend. Deze vorm van cybercrime overschaduwt volgens het rapport andere vormen van cybercrime waar men in het verleden veel last van had, zoals banking malware. Met betrekking tot betalingen tussen criminelen wordt het in rapport opgemerkt dat bitcoin hoofdzakelijk als (virtueel) betaalmiddel wordt gebruikt. Het gebruik van het virtuele betalingsmiddel is ook de standaard geworden bij afpersingen, die plaatsvinden met behulp van ransomware- of denial-of-service-aanvallen. In dit kader is het ook van belang dat het WODC in december 2016 een rapport heeft gepubliceerd over ransomware, banking malware en het witwassen met digitale betalingsmiddelen. Het witwasproces dat plaatsvindt bij gebruikmaking van bitcoins en de betrokken actoren worden uitvoerig in het rapport besproken.

Daarnaast is ook zogenaamde ‘CEO fraude’ sterk in opkomst. Bij deze vorm van fraude zijn bedrijven het doelwit van een georganiseerde groep van oplichters. Nadat op afstand toegang is verschaft tot de systemen van een bedrijf wordt een e-mail in naam van de baas van een bedrijf verstuurd naar een werknemer van de afdeling van financiële administratie, waarbij deze werknemer ertoe wordt bewogen een groot bedrag over te maken naar een door de criminelen opgeven rekening.

Ten slotte waarschuwt Europol voor de steeds sterker worden ddos-aanvallen die worden uitgevoerd. De aanvallen fungeren soms als rookgordijn om gegevens uit gehackte systemen te exfiltreren. Steeds vaker worden daarbij ook medische gegevens en intellectuele eigendomsrechten van bedrijven en instellingen gestolen.

Witwassen

In het IOCTA-rapport wordt verder opgemerkt dat cybercriminelen van veel verschillende elektronische communicatiemiddelen gebruikmaken. Deze verschillen van eenvoudig te gebruiken e-mail tot versleutelde gesprekken via chatdiensten, zoals Jabber. Ook blijken forums op het darkweb een belangrijk communicatiemiddel voor criminelen.

Een groeiend aantal forums en peer-to-peernetwerken wordt ook gebruikt om materiaal met betrekking tot kindermisbruik uit te wisselen. Zelfvervaardigd materiaal en materiaal dat afkomstig is van live-webcamseks met minderjarigen, dragen sterk bij aan de beschikbare hoeveelheid materiaal op internet. Versleutelde online mediadiensten en het gebruik van nagenoeg anonieme betalingsnetwerken faciliteren volgens Europol de livestreaming van filmpjes van kindermisbruik. Net als vorig jaar wordt door Europol gesignaleerd dat het gebruik van versleuteling van communicatie (gegevens in transport) en het gebruik van versleuteling van gegevens op een computer (in opslag) een grote uitdaging voor opsporingsdiensten vormen. Het gebruik van standaard versleuteling op mobiele telefoons versterkt dit probleem, aldus Europol.

Maatregelen

In het IOCTA-rapport worden de volgende juridische maatregelen gesuggereerd. Europol raadt aan om undercoveroperaties binnen de EU te harmoniseren. Opsporingsinstanties blijken in de praktijk moeilijkheden te ondervinden in het legitiem inzetten van undercoverbevoegdheden op het darkweb. Ook wordt aangeraden het vastleggen van elektronisch bewijs binnen de EU te harmoniseren. Het gaat daarbij om het vergaren van bewijs van internetserviceproviders, het gladstrijken van procedures met betrekking tot rechtshulp en een mogelijk nieuwe kijk op ‘jurisdictie in cyberspace’.

Kabinetsreactie uitbraak Not-Petya

Op 20 september heeft de staatssecretaris van Veiligheid en Justitie een brief gestuurd naar de Tweede Kamer over de “cyberaanvallen” met de cryptoware ‘Not-Petya’ en ‘Wannacry’. In de brief wordt beschreven hoe op dinsdag 27 juni 2017 wereldwijd organisaties werden getroffen door cryptoware. De initiële besmetting lijkt plaats te hebben gevonden via een update van de boekhoudsoftware van een Oekraïens softwarebedrijf en verspreiding via een Oekraïense nieuwswebsite.

Geen maatschappelijke ontwrichting

Naar aanleiding van de aanval is de Nederlands APM Terminals op de Tweede Maasvlakte enkele dagen gesloten. Toch wordt in de brief opgemerkt dat ‘hoewel er in de media veel aandacht was voor de aanval, dit niet heeft geresulteerd in concrete maatschappelijke ontwrichting binnen Nederland’. Wel heeft het een ‘serieuze impact’ gehad en waren volgens het NCSC vier Nederlandse bedrijven besmet. Volgens de staatssecretaris heeft het NCSC adequaat gewaarschuwd en geadviseerd over te treffen maatregelen naar aanleiding van de malware.

In de nader gewijzigde motie van de leden Hijink (SP) en Tellegen (VVD) van 13 juni jl. (Kamerstukken II 2016/17, 26643, nr. 474) is de regering reeds verzocht om in overleg te treden met maatschappelijke organisaties over de oprichting en vormgeving van een ‘Digital Trust Centre’ teneinde bedrijven en maatschappelijke organisaties te informeren, adviseren en concrete hulp en ondersteuning te bieden voor het verbeteren van cybersecurity. Dit centrum wordt vormgegeven. Door het kabinet wordt voor 2018 een budget van 26 miljoen euro vrijgemaakt. Het geld wordt besteed aan de oprichting van het Digital Trust Centre en aan de ‘verdere verhoging van de digitale weerbaarheid’ in Nederland.