Internet organised threat assessment report 2016

In oktober 2016 is het meeste recente rapport van het ‘Internet Organised Crime Threat Assessment’ (IOCTA) door Europol gepubliceerd. In het rapport wordt een overzicht van trends binnen cybercrime verschaft en wordt door Europol aangegeven welke maatregelen moeten worden genomen om cybercrime te bestrijden. Beide aspecten worden hieronder kort toegelicht.

Ransomware

De opkomst van ransomware is de belangrijkste trend. Deze vorm van cybercrime overschaduwt volgens het rapport andere vormen van cybercrime waar men in het verleden veel last van had, zoals banking malware. Met betrekking tot betalingen tussen criminelen wordt het in rapport opgemerkt dat bitcoin hoofdzakelijk als (virtueel) betaalmiddel wordt gebruikt. Het gebruik van het virtuele betalingsmiddel is ook de standaard geworden bij afpersingen, die plaatsvinden met behulp van ransomware- of denial-of-service-aanvallen. In dit kader is het ook van belang dat het WODC in december 2016 een rapport heeft gepubliceerd over ransomware, banking malware en het witwassen met digitale betalingsmiddelen. Het witwasproces dat plaatsvindt bij gebruikmaking van bitcoins en de betrokken actoren worden uitvoerig in het rapport besproken.

Daarnaast is ook zogenaamde ‘CEO fraude’ sterk in opkomst. Bij deze vorm van fraude zijn bedrijven het doelwit van een georganiseerde groep van oplichters. Nadat op afstand toegang is verschaft tot de systemen van een bedrijf wordt een e-mail in naam van de baas van een bedrijf verstuurd naar een werknemer van de afdeling van financiële administratie, waarbij deze werknemer ertoe wordt bewogen een groot bedrag over te maken naar een door de criminelen opgeven rekening.

Ten slotte waarschuwt Europol voor de steeds sterker worden ddos-aanvallen die worden uitgevoerd. De aanvallen fungeren soms als rookgordijn om gegevens uit gehackte systemen te exfiltreren. Steeds vaker worden daarbij ook medische gegevens en intellectuele eigendomsrechten van bedrijven en instellingen gestolen.

Witwassen

In het IOCTA-rapport wordt verder opgemerkt dat cybercriminelen van veel verschillende elektronische communicatiemiddelen gebruikmaken. Deze verschillen van eenvoudig te gebruiken e-mail tot versleutelde gesprekken via chatdiensten, zoals Jabber. Ook blijken forums op het darkweb een belangrijk communicatiemiddel voor criminelen.

Een groeiend aantal forums en peer-to-peernetwerken wordt ook gebruikt om materiaal met betrekking tot kindermisbruik uit te wisselen. Zelfvervaardigd materiaal en materiaal dat afkomstig is van live-webcamseks met minderjarigen, dragen sterk bij aan de beschikbare hoeveelheid materiaal op internet. Versleutelde online mediadiensten en het gebruik van nagenoeg anonieme betalingsnetwerken faciliteren volgens Europol de livestreaming van filmpjes van kindermisbruik. Net als vorig jaar wordt door Europol gesignaleerd dat het gebruik van versleuteling van communicatie (gegevens in transport) en het gebruik van versleuteling van gegevens op een computer (in opslag) een grote uitdaging voor opsporingsdiensten vormen. Het gebruik van standaard versleuteling op mobiele telefoons versterkt dit probleem, aldus Europol.

Maatregelen

In het IOCTA-rapport worden de volgende juridische maatregelen gesuggereerd. Europol raadt aan om undercoveroperaties binnen de EU te harmoniseren. Opsporingsinstanties blijken in de praktijk moeilijkheden te ondervinden in het legitiem inzetten van undercoverbevoegdheden op het darkweb. Ook wordt aangeraden het vastleggen van elektronisch bewijs binnen de EU te harmoniseren. Het gaat daarbij om het vergaren van bewijs van internetserviceproviders, het gladstrijken van procedures met betrekking tot rechtshulp en een mogelijk nieuwe kijk op ‘jurisdictie in cyberspace’.

Kabinetsreactie uitbraak Not-Petya

Op 20 september heeft de staatssecretaris van Veiligheid en Justitie een brief gestuurd naar de Tweede Kamer over de “cyberaanvallen” met de cryptoware ‘Not-Petya’ en ‘Wannacry’. In de brief wordt beschreven hoe op dinsdag 27 juni 2017 wereldwijd organisaties werden getroffen door cryptoware. De initiële besmetting lijkt plaats te hebben gevonden via een update van de boekhoudsoftware van een Oekraïens softwarebedrijf en verspreiding via een Oekraïense nieuwswebsite.

Geen maatschappelijke ontwrichting

Naar aanleiding van de aanval is de Nederlands APM Terminals op de Tweede Maasvlakte enkele dagen gesloten. Toch wordt in de brief opgemerkt dat ‘hoewel er in de media veel aandacht was voor de aanval, dit niet heeft geresulteerd in concrete maatschappelijke ontwrichting binnen Nederland’. Wel heeft het een ‘serieuze impact’ gehad en waren volgens het NCSC vier Nederlandse bedrijven besmet. Volgens de staatssecretaris heeft het NCSC adequaat gewaarschuwd en geadviseerd over te treffen maatregelen naar aanleiding van de malware.

In de nader gewijzigde motie van de leden Hijink (SP) en Tellegen (VVD) van 13 juni jl. (Kamerstukken II 2016/17, 26643, nr. 474) is de regering reeds verzocht om in overleg te treden met maatschappelijke organisaties over de oprichting en vormgeving van een ‘Digital Trust Centre’ teneinde bedrijven en maatschappelijke organisaties te informeren, adviseren en concrete hulp en ondersteuning te bieden voor het verbeteren van cybersecurity. Dit centrum wordt vormgegeven. Door het kabinet wordt voor 2018 een budget van 26 miljoen euro vrijgemaakt. Het geld wordt besteed aan de oprichting van het Digital Trust Centre en aan de ‘verdere verhoging van de digitale weerbaarheid’ in Nederland.

Ransomware en witwassen van losgeld in Bictoin

Een van de nieuwste ontwikkelingen op het terrein van cybercrime is ransomware. Dit is kwaadaardige software (malware) die toegang tot iemands computer en/of bestanden daarop blokkeert. Een specifieke vorm van ransomware is zogeheten cryptoware, die de bestanden versleutelt met behulp van cryptografie. Vervolgens eisen de cybercriminelen betaling van losgeld, vaak in de vorm van Bitcoins. Deze bijdrage gaat in op de vraag hoe cybercriminelen ransomware en cryptoware inzetten om geld te verdienen en hoe de verdiende Bitcoins vervolgens worden witgewassen.

Mijn artikel ‘Ransomware, cryptoware en het witwassen van losgeld in Bitcoins’ heb ik samen geschreven met Bart Custers en Ronald Pool.