cybercriminelen
© iStock

Simen Van der Perre, strategic advisor bij Orange Cyberdefense, heeft samen met zijn team een dashboard ontwikkeld om ransomwaredreigingen te monitoren. Hij adviseert klanten in de beveiliging van hun IT-infrastructuur en daarvoor kijkt hij naar het landschap van cyberbedreigingen. Wij hadden een gesprek met de securityspecialist over de most wanted cybercriminelen.

“Ons security research center heeft een gigantisch dashboard gemaakt waarin we sinds 2020 het crimineel milieu aan het opvolgen zijn”, steekt Van der Perre van wal. “Daarbij ligt de focus op de dreiging van ransomware. Omdat zulke aanvallen meestal in verschillende stadia gebeuren, gaan er vaak heel wat weken over voordat een bedrijf ontdekt dat hackers in hun systemen zijn binnengedrongen. In veel gevallen stelen ze ook data, waarvan ze een kopie maken voor zichzelf. Die gegevens worden dan mee in de schaal geworpen voor het onderhandelen van losgeld. Dat wordt altijd betaald in cryptovaluta, zodat de criminelen het geld volledig anoniem kunnen ontvangen”, weet de strategic advisor. Om de druk tijdens het onderhandelen op te voeren, laten de criminelen ook (deels) weten wie hun slachtoffers zijn. “LockBit, de ransomware die de voorbije twee jaar het vaakst voorkomt, zal een preview geven van de gestolen data via snippets. Daarna begint er een teller te lopen, met een deadline om te betalen. Doen slachtoffers dat niet, dan dreigen ze ermee de prijs te verhogen of de gegevens online te grabbel te gooien.”

most wanted
Simen Van der Perre, strategic advisor bij Orange Cyberdefense. © Orange Cyberdefense

Dark web monitoren

Criminele organisaties als die achter LockBit zijn online aanwezig op het dark web. Van der Perre en zijn team monitoren hun activiteiten aan de duistere kant van het internet. Orange Cyberdefense legt in de eerste plaats een databank aan van de slachtoffers van criminele instanties. “Als er op het dark web eentje voorbijkomt, dan nemen we daar een snapshot van”, gaat de strategic advisor verder. “Die screenshot steken we dan in een databank die we blijven verrijken. In welk land maakten de hackers hun slachtoffer en wat voor bedrijfsactiviteiten voeren de slachtoffers uit? Van zodra een van die websites weer verdwijnt, na een uur of enkele dagen, dan hebben we dat ook gecapteerd. Soms verdwijnt de oplijsting van een slachtoffer weer van het dark web omdat slachtoffers betaald hebben, of omdat de data uiteindelijk toch niet zo interessant bleek. Een van onze collega’s gaat maandelijks in al die data manueel op zoek naar structuren en trends. Hoe groot is de organisatie en is het mogelijk om er een stukje financiële informatie aan te koppelen? Zo wordt die databank telkens verrijkt. Op basis van die gegevens wordt het dashboard gebouwd, zodat we een goed overzicht krijgen”, klinkt het. Vandaag is LockBit 3.0 de grootste criminele organisatie die wereldwijd bedrijven afperst. Andere bekende ‘datagijzelaars’ zijn ViceSociety, Play, Black Basta, BlackCat/ALPHV en Royal. “De eerste helft van dit jaar hebben we al een kleine 1.800 slachtoffers geregistreerd”, gaat Van der Perre verder. “Zo drong Vice Society binnen in het Scheppersinstituut, een school in Wetteren, en werd de stad-Antwerpen het slachtoffer van Play. Ook de stad-Geraardsbergen kreeg vorig jaar cybercriminelen van LockBit over de vloer. Dat zijn zowat de grootste en most wanted cybercriminelen die slachtoffers gemaakt hebben in België.”

Most Wanted cybercriminelen in België

Lockbit 3.046%
Play                                   13%
BlackCat/ALPHV  13%
ViceSociety                        7%
Black Basta  3%
Royal    3%
Deze hackerscollectieven sloegen het vaakst toe in België, als het gaat over ransomware (bron: Orange Cyberdefense).

Ransomware bij ons

Hoe slagen de criminelen er dan precies in om zich toegang te verschaffen tot de servers van bedrijven? “Vaak zien we hetzelfde patroon, van initieel toegang verwerven tot het stelen van de data”, vertelt Van der Perre. “LockBit maakt bijvoorbeeld regelmatig gebruik van kwetsbaarheden in het Remote Desktop Protocol (RDP). Wanneer je als organisatie werknemers van thuis uit laat werken, zijn zij een doelwit. Logins worden ook verkregen via phishing, maar cybercriminelen kunnen evengoed gestolen gebruikersnamen met wachtwoorden gebruiken die ergens online verschenen. In elk geval blijft het een grote uitdaging om dergelijke cybercriminaliteit in kaart te brengen. “Zo zit de persoon achter LockBit in een land waar hij niet uitgeleverd kan worden. Bovendien looft hij beloningen uit aan wie hem kan ontmaskeren. Zo leert hij de zwakke plekken van zijn organisatie kennen, waardoor het weer moeilijker wordt om hem te vatten”, weet de strategic advisor. Toch slagen de politiediensten, mede dankzij Europese samenwerking, er regelmatig in om arrestaties te verrichten. Zo werden in februari van dit jaar in Duitsland en Oekraïne twee mensen achter de ransomware-organisatie DoppelPaymer opgepakt. Op dat moment waren er in Duitsland al 37 gekende slachtoffers, vertelt Van der Perre. “Onder hen was een universitair ziekenhuis in Düsseldorf. De hackers dachten echter dat ze hadden ingebroken bij een universiteit. Omdat de IT-infrastructuur plat lag, is het ziekenhuispersoneel zelfs even volledig op papier moeten gaan werken en de spoeddienst moest een tijdje dicht. Er is dan iemand overleden omdat die naar een verder gelegen ziekenhuis gebracht moest worden. Omdat zij daardoor een uur met vertraging behandeld kon worden, is die patiënt overleden. Je kan je voorstellen dat er een hevige discussie woedde: was dat de schuld van de cyberaanvallers? De politie heeft hen uiteindelijk ook kunnen arresteren. Europol zet tegenwoordig hoog in op cybercriminaliteit. Je merkt dat er ook lokaal meer aandacht voor is bij de politie en er actiever gezocht wordt naar onlinecriminelen.”

Cyber’s Most Wanted (FBI)

De absolute voortrekker van de jacht op cybercriminelen is nog steeds de Amerikaanse inlichtingendienst FBI. Op fbi.gov/wanted/cyber hebben zij de Cyber’s Most Wanted opgelijst. Dat zijn niet alleen hackers die bedrijven zijn binnengedrongen, maar vooral internationale criminelen die de VS aanvielen of bespioneerden. Onder hen zitten ook verdachten van Russische beïnvloeding van de Amerikaanse presidentsverkiezingen. De FBI is ook op zoek naar de verantwoordelijken achter een aanval op een elektriciteitscentrale in Oekraïne, waarbij 200.000 gezinnen zonder stroom kwamen te zitten. De Cyber’s Most Wanted letten maar beter op waar ze gaan of staan, want er zijn internationale aanhoudingsbevelen tegen hen uitgevaardigd.

5 basisregels om je data te beveiligen

Ook als particulier kan je het slachtoffer worden van ransomware of andere vormen van gegevensdiefstal of hacking. Daarom kan je deze principes uit de bedrijfswereld even makkelijk toepassen op je persoonlijke data.

1.           Back-up

Maak op regelmatige tijdstippen een back-up van je belangrijke bestanden en doe dat het liefst van al nog offline, op een usb-stick of externe schijf. Zo vermijd je gegevensverlies wanneer je data gestolen wordt en je systeem versleuteld is.

2.           Tweestapsverificatie

Stel Two-Factor Authentication (2FA) of tweestapsverificatie in voor je accounts, zoals die bij Google, LinkedIn en platformen van Meta. Wie je login en wachtwoord kon bemachtigen, zal niet per se in je account kunnen of bepaalde kritieke handelingen kunnen uitvoeren. 2FA via een ander toestel of een code via sms of e-mail geldt dan als een extra, noodzakelijke stap en vergroot je beveiliging aanzienlijk.

3.           Software-updates

Niemand staat te springen om aan het begin van de werkdag zijn pc of smartphone updates te laten installeren. Toch maak je er door de dag best tijd voor. Hackers maken maar wat graag gebruik van het Remote Desktop Protocol of andere internet-geconnecteerde applicaties. Veiligheidsupdates zijn er voor een reden. Door ze zo snel mogelijk uit te voeren, speel je het safe. Gemiddeld wordt een ontdekte kwetsbaarheid binnen de 30 dagen misbruikt door cybercriminelen.

4.           Bewustzijn

In alle drukte is dat niet altijd eenvoudig, maar probeer altijd alert te blijven. Als je via e-mail of sms gevraagd wordt om meteen actie te ondernemen, controleer dan de afzender en klik niet zomaar op vreemde links. Phishing gebeurt tegenwoordig ook steeds vaker via chatapplicaties of platformen voor de verkoop van tweedehandsspullen.

5.           Firewall en antivirus

Dit sluit aan bij punt 3: zorg er steeds voor dat je antivirussoftware up-to-date is. In Windows gebeurt dat automatisch bij het controleren op updates. Extra software installeren is niet altijd nodig, want de firewall en virusbescherming van de ingebouwde Windows Defender doen het al jaren prima voor privégebruik.