We vergeten het bijna in al het mediageweld over cyberaanvallen, maar cybercriminelen liggen zelf ook continu onder vuur. Geheime diensten, securityfabrikanten, 'lone wolfs' en speciale politie-eenheden spelen met hen een hoogstaand kat-en-muisspel. Door de opkomst van de dark cloud wordt dit steeds lastiger. Wat betekent dit voor uw securitystrategie?
Een van de manieren om de criminelen te lijf te gaan, is het neerhalen van hun belangrijkste wapen: de netwerken van al dan niet gekaapte servers die zij gebruiken voor criminele operaties. Deze netwerken fungeren als omgeving voor het bewaren van gestolen gegevens. Of voor het uitvoeren van bijvoorbeeld DDoS- of ransomware-aanvallen.
Nieuwe thuisbasis voor criminelen
Cybercriminelen hebben echter een nieuwe thuisbasis ontwikkeld die dat neerhalen een stuk lastiger moet maken. Bij gebrek aan een officiële naam noemt onder meer (cybersecurity)journalist Brian Krebs dit de Dark Cloud. Dit is in de basis een zogenoemd botnet: een verzameling gekaapte systemen van vaak nietsvermoedende gebruikers waarover cybercriminelen op afstand controle kunnen uitoefenen.
De Dark Cloud bestaat uit zo'n tweeduizend gehackte systemen, verspreid over zo goed als alle tijdzones in de wereld. De meeste systemen zijn fysiek gesitueerd in Oost-Europa. Het netwerk is al minstens een jaar actief.
Ongrijpbaar crimineel platform
Ieder systeem in het netwerk heeft zijn eigen specifieke rol. Het ene systeem host een website, het andere wordt gebruikt als aanvalsplatform voor ransomware. En weer een ander verzendt malware en/of spam. Samen vormen deze systemen een soort cloud.
Momenteel bestaat een groot deel van de gehoste sites op de Dark Cloud uit zogeheten 'carding sites': websites waarop criminelen bank- en creditcardgegevens te koop aanbieden.
Het is niet duidelijk welke groepen of individuen er achter de knoppen zitten. De verschillende crimeware-campagnes die zijn gehost op het netwerk suggereren dat de cloud te huur is voor iedereen die maar genoeg bitcoins neerlegt. Dat maakt de Dark Cloud nog listiger: deze geeft iedereen met minder goede bedoelingen en voldoende bitcoins in de digitale portemonnee de beschikking over een geavanceerd crimineel platform.
Iedere drie minuten een nieuw adres
Cybercriminelen passen in de Dark Cloud een slimme truc toe die tot zover bekend uniek is voor dit botnet. De malafide websites gehost door dit botnet veranderen iedere drie minuten van adres. De namen die cybercriminelen aan de servers toekennen, bestaan uit twee willekeurige Engelse woorden die zijn gescheiden door een koppelteken.
De adressen worden na die drie minuten onderling opnieuw verwisseld. Dat maakt het opsporen en neerhalen van die sites een enorm lastige opgave. Het is als een soort verzameling vliegensvlugge kameleons die steeds van kleur veranderen.
Aanvallen
De steeds veranderende adressen geven de criminelen niet alleen een voorsprong ten opzichte van de cyberrecherche. Het maakt aanvallen voor u ook lastiger te stoppen. Relatief eenvoudige tegenmaatregelen als een zwarte lijst van malafide websites en IP-adressen werken immers niet wanneer de aanvallers steeds wisselen van digitale rugnummers. Wilt u aanvallen daadwerkelijk onderscheppen en spam en malware weren, dan moet u geavanceerdere technologieën inzetten.
Tegenmaatregelen
Met de Dark Cloud hebben cybercriminelen een gevaarlijk wapen in handen dat zich ook nog eens lastig laat opsporen. Dat maakt dat u over technieken en oplossingen moet beschikken die reageren op verdachte gedragingen.
De securitylat komt hoe dan ook steeds hoger te liggen. Deze 'rat race' is echter voor de meeste organisaties nauwelijks vol te houden. IT Security is immers doorgaans geen core business. Het uitbesteden aan gespecialiseerde partijen van deze 24/7-taak lijkt dan ook een logische zet. KPN Security Services kan het tempo wél bijbenen en zorgen voor de best mogelijke verdediging. Want de Dark Cloud is beslist niet het eindstation in de voortdurende wapenwedloop.
