Big data en cybercrime zijn in de mode. Niet alleen voor security management. Ook cybercriminelen verzamelen enorme hoeveelheden bedrijfsgegevens en persoonsgegevens om er hun voordeel mee te doen. Eward Driehuis van Fox-IT vertelt over de actuele trends in internetcriminaliteit.
Leestijd: 2,5 minuten
Russische criminelen met schuilnamen zoals Slavik en Gribodemon, die miljoenen euro’s verdienen met de ontwikkeling en exploitatie van malwaresystemen. De verhalen over de ontwikkelingen in cybercriminaliteit van de afgelopen tien jaar lezen misschien als een spannend jongensboek. Maar deze vorm van business driven e-crime brengt reële veiligheidsrisico’s mee, waarschuwt Eward Driehuis, directeur product management en marketing bij Fox-IT.
>> Lees ook Cybersecurity: 4 eye-openers
>> Lees ook Blog: Innovatieve security oplossingen
Big data en cybercrime

Edward Driehuis
Recent sprak Driehuis, die gespecialiseerd is in de online risico’s voor financiële instellingen en de retailsector, op de Fraud Summit Toronto over de opmars van dataminingpraktijken onder cybercriminelen. Relatief eenvoudig verkrijgbare Trojaanse paarden zoals Dyre en Dridex worden gebruikt om gegevens te verzamelen die vervolgens de gedragspatronen van bedrijven en hun medewerkers in kaart kunnen brengen. Onderzoekers en opsporingsinstanties tasten nog in het duister voor welk doel de data precies worden verzameld en opgeslagen. Het is bijvoorbeeld mogelijk dat de data later zullen worden gebruikt om cybercriminelen te helpen om onopgemerkt toegang te krijgen tot netwerken en om traditionele malwaredetectie te ontlopen. Driehuis: “Om eerlijk te zijn: we weten op dit moment niet hoe cybercriminelen gebruik gaan maken van big data. We zien dat ze vele terabytes aan data van geïnfecteerde computers kopiëren en bewaren, maar ik kan wel twintig verschillende scenario’s bedenken voor wat ze ermee gaan doen.”
Voorzichtig
Fox-IT, dat al ruim tien jaar ontwikkelingen in internetcriminaliteit monitort, is voorzichtig met voorspellingen. Toen mobiel bankieren steeds populairder werd, waarschuwde het Delftse bedrijf voor hackers. “Maar de manier waarop die te werk gingen, was heel anders dan we hadden verwacht. Hackers gingen geen netwerken aanvallen, zoals wij vreesden, maar apps verspreiden waarmee sms’jes kunnen worden onderschept. Kwaadaardige sms-berichten ondertekenden vervolgens transacties, zodat geld werd weggesluisd naar de bankrekeningen van criminelen.”
Het huidige criminele ecosysteem richt zich primair op retailers, banken en creditcardmaatschappijen. “Iedereen die een pinautomaat in gebruik heeft, is een potentieel doelwit van e-crime. Maar ook voor de rest van de wereld is kennis van wat er gebeurt in de wereld van e-crime belangrijk”, benadrukt Driehuis. “We zien bijvoorbeeld al een dreiging binnen de gezondheidszorg die lijkt op wat er bij banken is gebeurd: het grootschalig stelen van vertrouwelijke data met behulp van de technieken voor identiteitsdiefstal. Dus wat nu misschien ver weg lijkt, kan binnenkort zo maar binnen jouw sector de kop opsteken.”
Iedereen die een pinautomaat gebruikt, is een potentieel doelwit
E-crime
Een ontwikkeling die Driehuis nauwlettend in het oog houdt, betreft de dynamiek binnen het ecosysteem van e-crime. “Vroeger stond de techniek voorop, en maakten nerds de dienst uit. Maar in de afgelopen tien jaar zijn er criminele businessmodellen ontstaan, die draaien om zakendoen met een hoge ROI. Die verandering brengt nieuwe risico’s mee. De focus van internetcriminaliteit is verschoven van bijvoorbeeld het verspreiden van malware naar het aanvallen van banken. En de zakelijk ingestelde cybercriminelen zijn zich voortdurend aan het voorbereiden op nieuwe manieren om geld te verdienen. Een aantal jaren geleden ging het bijvoorbeeld om creditcarddiefstal via pinterminals – en later om ransomware. En nu gaan de koplopers in cybercrime – net als het bedrijfsleven – aan de slag met big data.”
De topcriminelen van vroeger zijn inmiddels in de boeien geslagen. Gribodemon, de schuilnaam van de Rus Aleksandr Andreevich Panin, werd in juli 2013 gearresteerd. Hij was een van de ontwikkelaars van SpyEye, een kwaadaardig Trojaans paard dat ontworpen was voor de automatische diefstal van vertrouwelijke en financiële informatie, waaronder creditcardgegevens en wachtwoorden voor onlinebankieren. Tussen 2009 en 2011 werd de malware op grote schaal verspreid – met als resultaat dat wereldwijd zo’n 1,4 miljoen computers werden geïnfecteerd.
Het veld ruimen
Ook de Rus Evgeniy Bogachev, beter bekend als Slavik, heeft het veld moeten ruimen. Het brein achter malware met de naam ZeuS richtte zich aanvankelijk op software om internetbrowsers te manipuleren. “Want banken en internetverkeer waren goed beveiligd, maar de pc van internetbankierende consumenten niet”, vertelt Driehuis. “Zo werden zonder dat je het doorhad tijdens een overboeking bankrekeningnummers veranderd, zodat criminelen het geld in handen kregen.” In de periode 2009 tot 2014 wist Slavik bovendien samen met een bende van meer dan vijftig gelijkgestemden (die zich GameOver ZeuS of de Businessclub noemt) wereldwijd tussen de twintig en dertig terabyte aan data te verzamelen via botnets. De gestolen gegevens werden onder andere gebruikt voor financiële fraude: er werd geld weggesluisd naar bankrekeningen in landen zoals China, Hong Kong, Cyprus en Letland.
Een van de inkomstenbronnen van de Businessclub, waarover Fox-IT en de FBI in augustus een onderzoeksrapport publiceerden, was de CryptoLocker-ransomware. Hierbij wordt een computer vergrendeld en kan het slachtoffer na betaling van ‘losgeld’ het systeem laten ontgrendelen. “Deze aanpak is illustratief voor de wereldwijde opkomst van Crimeware-as-a-Service. Dan wordt bijvoorbeeld een botnet verhuurd aan dertig of veertig verschillende criminele groepen, die zelf ook aanvallen uitvoeren met de malware.”
Security managers doen er goed aan om de cybercrime-ontwikkelingen te volgen
Geavanceerde firewalls
Lopen wij in Nederland nog het risico om slachtoffer te worden van dergelijke malwarepraktijken? Absoluut, schreef Driehuis’ collega Ronald Prins recent in een artikel in Computable. Al in 2013 waarschuwde hoogleraar Michel van Eeten van de TU Delft dat vijf procent van alle systemen in Nederland is besmet met botnets. Dit percentage zal de afgelopen jaren zeker verder zijn gegroeid, aldus Fox-IT. En zelfs geavanceerde firewalls en virusscanners bieden onvoldoende bescherming in de strijd tegen internetcriminaliteit. “Security managers doen er goed aan om de ontwikkelingen in cybercriminaliteit in de gaten te houden, zodat ze zijn voorbereid als zich nieuwe bedreigingen voordoen,” zegt Driehuis. “Want uiteindelijk is het niet de techniek die een organisatie veilig maakt, maar de interne kennis om alert te blijven op nieuwe risico’s.”
Dit artikel verscheen in Security Management 01/02 2016
> Bekijk ook de pagina over cybersecurity