Internationale samenwerking is cruciaal om een vuist te maken tegen cybercriminaliteit. Daarom deelt KPN Security realtime data over ransomware-besmettingen met buitenlandse opsporingsdiensten zoals de FBI. “Samen hebben we al meerdere grote aanvallen in de kiem gesmoord”, zegt Jordi Scharloo, securityonderzoeker bij KPN Security.
KPN Security doet voortdurend onderzoek naar geavanceerde malware. “Om onze klanten zo goed mogelijk te beschermen, moeten we precies weten wat er op hen afkomt”, licht Scharloo toe. Maar dat is zeker niet de enige drijfveer. “We zien het ook als onze maatschappelijke verantwoordelijkheid om een bijdrage te leveren aan de bestrijding van cybercriminaliteit. KPN Security heeft alleen geen opsporingsbevoegdheid. Wel kunnen we opsporingsdiensten ondersteunen met onze expertise en technologie.”
De samenwerking met de FBI is daar een mooi voorbeeld van. Het fundament hiervoor werd al in 2019 gelegd. KPN Security bestudeerde toen de gevaarlijke ransomware REvil. REvil is een voorbeeld van Ransomware-as-a-Service (RaaS), waarbij de gijzelsoftware als dienst wordt aangeboden. De ontwikkelaar laat de aanvallen dus uitvoeren door tussenpartijen (‘affiliates’). Zij mogen de ransomware gebruiken in ruil voor een deel van de opbrengst. Het RaaS-model is voor beide partijen zeer lucratief.
Tracking REvil
De REvil-bende was de afgelopen jaren verantwoordelijk voor talloze cyberincidenten, waaronder de grote aanval op het Amerikaanse softwarebedrijf Kaseya in juli 2021. Via Kaseya wisten de cybercriminelen binnen te komen bij honderden organisaties. Onder meer de Zweedse supermarktketen Coop werd hierbij zwaar getroffen. REvil zit ook achter de ransomware-aanvallen op de Braziliaanse vleesverwerker JBS en het Amerikaanse oliepijpleidingsbedrijf Colonial Pipeline.
KPN Security wilde meer inzicht krijgen in de werking van REvil. Daartoe analyseerde het onderzoeksteam 150 samples van de ransomware, afkomstig uit betaalde en openbare bronnen. “We kwamen erachter dat REvil bij een bepaalde configuratie statistieken verzendt naar een lange lijst met domeinnamen”, vertelt Scharloo. “Waarschijnlijk gebruikt de REvil-bende deze functie om het overzicht te behouden en voor de afdracht van commissies. In de lijst stonden allerlei websites, waarvan een deel niet eens geregistreerd was. Zo proberen ze hun eigen domein te verhullen.”
Besmettingen snel signaleren
De niet-geregistreerde domeinen brachten KPN Security op een idee. “We besloten er een aantal zelf te registreren. Mondjesmaat kwam daar inderdaad informatie binnendruppelen. Deze informatie was versleuteld, dus we konden er niet bijster veel mee. Maar het feit dat vanaf een IP-adres informatie wordt verzonden, betekent dat er waarschijnlijk een infectie op dat systeem heeft plaatsgevonden. Zo kunnen we besmettingen met REvil vroegtijdig signaleren. Een getroffen bedrijf kan dan ingrijpen voordat de ransomware geactiveerd wordt.”
Een IP-adres alleen is meestal niet voldoende om een organisatie te identificeren. Scharloo: “Daarom proberen we aan elk IP-adres zoveel mogelijk informatie toe te voegen. Denk hierbij aan het land en de regio, de internetprovider, het systeemnummer of de naam van de computer. Soms is het IP-adres gekoppeld aan een DNS-record, dan kunnen we vaak de domeinnaam achterhalen en daarmee weten we ook om welk bedrijf het gaat. Dit verrijkingsproces is nu volledig geautomatiseerd.”
Samenwerken met opsporingsdiensten
In eerste instantie stelde KPN Security zelf een aantal Nederlandse bedrijven op de hoogte van een besmetting. “Maar dat was tijdrovend en voelde een beetje als dweilen met de kraan open. Bovendien ontvingen we ook veel informatie over buitenlandse organisaties die KPN Security niet kennen. Daarom besloten we de samenwerking te zoeken met het Team High Tech Crime van de Nederlandse politie. Via hen kwamen we in contact met Europol en buitenlandse opsporingsdiensten zoals de FBI.”
Dit leidde tot een structurele samenwerking. “Wij delen realtime data over REvil-besmettingen met het Team High Tech Crime en met buitenlandse opsporingsdiensten. Op deze manier krijgen de diensten een beeld van de omvang van het probleem. Daarnaast kunnen ze bedrijven in een vroegtijdig stadium waarschuwen en zo de impact van een aanval beperken. En als ze er toch te laat bij zijn, kunnen ze de organisatie helpen en aansporen om aangifte te doen. Dat laatste is belangrijk om meer capaciteit vrij te maken voor de bestrijding van ransomware.”
De samenwerking maakt de wereld ‘een stukje cyberveiliger’, zegt Scharloo. “We horen regelmatig dat een buitenlandse opsporingsdienst met behulp van onze data een grootschalige besmetting heeft weten te voorkomen.” Volgens de securityonderzoeker zijn dergelijke publiek-private en internationale samenwerkingsverbanden cruciaal om ransomware aan te pakken. “Dit is een grensoverschrijdend probleem. Securitybedrijven en opsporingsdiensten hebben elkaar keihard nodig.”
Internationale aanpak werpt vruchten af
Scharloo kijkt met optimisme naar de toekomst. “Opsporingsdiensten werken internationaal steeds beter samen. Dat resulteert in veel meer arrestaties dan voorheen. Zo werden onlangs zeven verdachten opgepakt die samen verantwoordelijk zijn voor 7000 ransomware-infecties. Vijf van hen worden gelinkt aan REvil. Ook lukt het opsporingsdiensten steeds vaker om deze groepen offline te halen. Daarmee geeft de internationale gemeenschap een duidelijk signaal af: jullie komen hier niet ongestraft mee weg.”
De securityonderzoeker hoopt uiteraard dat deze trend doorzet. Hij sluit af met een oproep aan alle criminaliteitsbestrijders en securityexperts. “Durf nationaal en internationaal samen te werken. Deze cybercriminelen zijn er zo goed in om hun identiteit te verhullen op internet, en ze gebruiken de landsgrenzen tegen ons. Maar wanneer we elkaar vertrouwen en als één team opereren, kunnen we wel degelijk terugslaan.”