Ze lijken al jarenlang onaantastbaar: criminele hackers die met gijzelfsoftware organisaties afpersen. Opsporingsdiensten ogen machteloos. Maar de laatste weken is de ene na de andere criminele hacker gearresteerd. Waarom lukt het nu opeens wel?

Toen criminele hackers in mei het computersysteem van vleesverwerkingsfabriek JBS gijzelden, kwam in tal van Amerikaanse slacht- en verpakkingshuizen de productie tot stilstand. De criminelen van REvil waren het bedrijf succesvol binnengekomen, hadden de systemen versleuteld en legden zo een vijfde van de totale vleesproductie in de Verenigde Staten plat. JSB zag zich genoodzaakt de hackers 11 miljoen dollar te betalen om weer toegang te krijgen tot de eigen systemen en data en de productie te kunnen hervatten.

De aanval met ransomware, oftewel gijzelingsoftware, was natuurlijk lang niet de eerste, maar wel een van de grootste sinds de criminele industrie van computergijzeling in het afgelopen decennium is opgekomen en bedrijven, overheidsdiensten, universiteiten en havens bedreigt. Het afpersen van JBS, een Braziliaanse multinational die de grootste vleesproducent van de wereld is, versterkte de indruk dat politie en justitie machteloos staan tegenover de moderne vorm van piraterij. Het Witte Huis kon niet anders doen dan afschuw uitspreken en dreigen met maatregelen tegen Rusland, dat de criminele hackers zou beschermen.

Gaat de politie na een ouderwetse overval aan de slag met vingerafdrukken, signalementen, nummers van gestolen bankbiljetten en beschrijvingen van vluchtauto’s, hoe moet dat in de virtuele wereld van onduidelijke nicknames, versleutelde IP-adressen en anonieme bitcoinaccounts?

Het is ‘vreselijk tijdrovend’, vertelt John Fokker, hoofd digitale onderzoeken bij antiviruspartij McAfee. Zijn team speelde een rol in het internationale onderzoek naar REvil. Met een trits aan nationale en internationale organisaties – van commerciële partijen als telecombedrijf KPN en onlinebeveiligingsbedrijf Bitdefender, tot de politie en de Amerikaanse FBI – puzzelden ze net zo lang met digitale sporen totdat de criminelen in beeld kwamen. Over dat werk is nog maar weinig publiekelijk bekend.

Arrestaties

De taskforce was jaren bezig en kwam soms eens per twee weken, soms eens per maand samen. Vijf leden van REvil zijn inmiddels opgepakt, onder meer in Roemenië. Eind oktober zijn in een ander onderzoek twaalf personen aangehouden die bij een andere ransomware-bende hoorden. Fokker: ‘Het onderzoek kost jaren en is een samenloop van omstandigheden en soms een gelukje.’

Zo’n gelukje is donaldtrump1. Mede vanwege zijn nickname trekt hij de aandacht op het online forum Exploit, waar criminele hackers ervaringen uitwisselen of ransomware kopen waarmee ze aanvallen op bedrijven uitvoeren. Gebruikers moeten 100 euro betalen om toegang tot het forum te krijgen.

Op 26 juli 2018 meldt donaldtrump1 zich met een klacht op het forum. Hij heeft een betalingsprobleem. Hij is een vaak terugkerende gebruiker, blijkt uit zijn statistieken op de site. Donaldtrump1 heeft grote interesse in ransomware, waaronder die van GandCrab en REvil. Hij postte in ruim een jaar 140 berichten en staat goed aangeschreven. Er is alleen wat gedoe met een betaling: hij heeft een nieuw account aangemaakt voor 0,0049 bitcoin (destijds 100 euro, nu rond de 280 euro), maar de betaling verloopt niet goed.

Dure fout

Help alsjeblieft, schrijft donaldtrump1. Kan iemand een privébericht sturen of een e-mail? Zijn gmail-adres voegt hij voor de zekerheid toe. Dat blijkt een dure fout. Gebruiker donaldtrump1 is voor het laatst in de ochtend van 4 november 2021 op het forum gezien. Diezelfde middag arresteren gewapende politie-eenheden twee personen in Roemenië die verantwoordelijk worden gehouden voor vijfduizend infecties met gijzelsoftware. Onder hen is waarschijnlijk de persoon die schuilging achter de naam van de vorige Amerikaanse president. Ze zouden meer dan een half miljoen euro aan losgeld hebben ontvangen.

Om te begrijpen hoe de onderzoekers bij donaldtrump1 uitkwamen, is het van belang de hiërarchie in de ransomware-criminaliteit te kennen. Simpel gesteld zit het als volgt: er zijn ontwikkelaars van gijzelfsoftware (de grote jongens) en er zijn uitvoerders als donaldtrump1 (affiliates, of ‘leden’) die deze gijzelfsoftware als een service kopen. Zij betalen tussen de 20 en 30 procent commissie aan de ontwikkelaars als ze iemand succesvol hebben afgeperst. REvil, met meer dan een miljoen infecties wereldwijd een van de grootste groepen, heeft zo’n veertig leden die de ransomware gebruiken. Niet elke crimineel is daarvoor geschikt; je moet een bewezen staat van dienst hebben. De voorloper van REvil, GandCrab, had op een gegeven moment zoveel leden, ongeveer 150, dat de groep zichzelf ophief, doorging onder de naam REvil en terugging naar veertig. Fokker: ‘De daadwerkelijke afpersing vindt plaats door de affiliate.’

Opsporingsdiensten proberen de makers te pakken. Sinds REvil een aantal grote bedrijven hackte, waaronder vleesverwerker JBS, ziet de Amerikaanse overheid ransomware als een nationale prioriteit. Het betekent dat er aandacht en geld is: Washington heeft 10 miljoen dollar uitgeloofd – net zoveel als voor belangrijke terroristische leiders – voor de tip die leidt tot de aanhouding van de grote bazen. De kop van de slang, in de terminologie van de opsporingsdiensten. Een moeilijke missie want de meeste makers houden zich op in landen als Rusland en China, en die landen leveren sowieso niemand uit aan westerse landen.

Speurwerk

Ook het onderzoek naar de affiliates is complex, maar met veel speuren is er weleens wat mogelijk. McAfee beveiligt overheden en bedrijven en onderzoekers van het bedrijf inspecteren daarom allerlei soorten kwaadaardige software (malware), die bijvoorbeeld wordt verspreid via officieel ogende e-mails met links waar een ontvanger nietsvermoedend op klikt waarna criminelen toegang krijgen. Hoe meer McAfee weet, des te beter kan het klanten beveiligen. Het team bestudeert tevens verschillende typen gijzelsoftware en krijgt samples opgestuurd van bekende groepen als REvil. McAfee vond daarin een waardevol puzzelstukje.

‘Bij het bestuderen van de computercode van de malware kwamen we erachter dat in de code een uniek nummer voor elke affiliate stond’, zegt Fokker. Als een hackersgroep binnen is bij een slachtoffer, halen de criminelen de ransomware op in een paneel, een online omgeving. Dat paneel draait op een server ergens in de wereld. Daarop logt de groep in, vinkt wat parameters aan – hoe de malware moet werken– en versleutelt de systemen van het slachtoffer met die software. Het is ook de plek waar het slachtoffer chat met de hackers over losgeld.

Om de afdracht van de commissie te doen, moet REvil weten welke groep de aanval heeft uitgevoerd. Vandaar een unieke code voor elk lid. Fokker: ‘En die vonden we na bestudering van talloze samples.’ Alleen: zo’n uniek nummer zegt nog niet zoveel. Het is alleen een nummer. Fokker: ‘Sommige affiliates komen vaker voor en zijn dus actiever dan anderen. Het geeft een bepaalde rangorde aan. En dat is nuttige informatie voor opsporingsdiensten: je wilt de belangrijkste pakken.’

McAfee maakte een programma waardoor de unieke nummers sneller uit de malware kwamen. Deze software deelde het bedrijf met verschillende opsporingsdiensten. Fokker: ‘We hebben duizenden samples door onze systemen gehaald. Daardoor zagen we het natuurlijke verloop van sommige affiliates.’ Soms kwamen er nieuwe leden op die snel succesvol werden. Sommigen bleken een specifieke werkwijze te hebben. Binnenkomen bij een bedrijf middels een phisingmail bijvoorbeeld, of door te zoeken naar kwetsbaarheden in software. Maar om dichterbij de werkelijke identiteit van de leden te komen, moesten de onderzoekers een stap verder zetten.

Verwarring zaaien

Ook onderzoekers van KPN vonden iets nuttigs. Jordi Scharloo van KPN Security pluisde met collega’s 150 exemplaren van de REvil-software uit. Ze ontvingen versleutelde informatie en keken naar de zogeheten metadata: wat doet de software? Scharloo: ‘Het viel ons op dat de software statistieken over internet stuurde naar een lange lijst websites.’ Veel van die domeinnamen bleken gehackt of niet te bestaan. Als een manier om verwarring te zaaien. Maar er waren er een paar die wel werkten en waar de hackers informatie ophaalden. Scharloo: ‘Dit was een optie in REvil-software: je kon ervoor kiezen om de statistieken over een geïnfecteerd bedrijf te verzenden of niet. Eigenlijk vrij ijdel: het leek erop dat de aanvallers graag bij hielden wie ze allemaal hadden gehackt.’

De statistieken zeggen iets over het aantal campagnes dat een bepaald lid doet. En waar de infecties zijn. Scharloo: ‘We volgden verschillende domeinnamen en kregen in de eerste vijf maanden alleen al 150.000 meldingen van infecties.’ Scharloo zag zo’n twee- tot vierhonderd campagnes per maand voorbijkomen. Alleen van REvil. ‘En dat was het topje van de ijsberg.’ De meldingen bleken heel waardevol: bedrijven konden soms net op tijd worden gewaarschuwd en voorkwamen zo dat na een infectie de ransomware werd uitgerold. ‘We hebben echt grote hacks voorkomen.’ De data deelde KPN Security direct via een dataverbinding met Europol, FBI en Nederlandse politie. ‘Hoe meer kleine stukjes zij hebben, hoe beter het totale plaatje.’

Het Nederlandse Team High Tech Crime – dat geen vragen voor dit verhaal wilde beantwoorden – is volgens bronnen steeds actiever in het opsporen van ransomwaregroepen. De politie gebruikt daarvoor een nieuwe analysemethode door in bergen oude data uit criminele onderzoeken opnieuw te zoeken naar kruisverbanden. Middels machine learning, een zelflerend algoritme, kan de politie jaren terug om te kijken of een verdachte bijnaam niet ooit een keer een identificeerbaar online kenmerk achterliet. Eén keer niet verbinden met een VPN-service of het anonieme Tor-netwerk kan jaren later fataal zijn.

Supermarktketen gehackt

Toen REvil in juli een Amerikaans softwarebedrijf hackte en via dat bedrijf allerlei andere organisaties, ontstond wereldwijd paniek. Een Zweedse supermarktketen moest zijn achthonderd winkels een paar dagen sluiten. REvil vroeg 70 miljoen dollar losgeld, maar leek zijn hand ook te hebben overspeeld. De Amerikaanse president Joe Biden drong telefonisch bij de Russische president Vladimir Poetin aan op maatregelen tegen de leiders van de groep. Een paar dagen later verdween REvil plotseling.

Experts denken dat de Russische criminelen angstig werden en uit voorzorg offline gingen. Feit is dat zeker één van de servers van REvil door een buitenlandse opsporingsdienst werd gehackt, waarna de sleutel voor het ontsleutelen van systemen vrijkwam.

Om de unieke nummers van de leden van REvil te koppelen aan echte hackers, deed McAfee onderzoek op Russische fora. Fokker: ‘Daar hebben we lange tijd undercover gezeten.’ Specialisten volgden daar het gedrag van de gebruikers. Wat zijn hun interesses? Wat doen ze nog meer online? Hebben ze andere accounts? Tijdrovend en ingewikkeld werk. Ga maar na: een gebruiker zegt op het forum dat hij sinds een week REvil gebruikt en daarmee een flink bedrag heeft verdiend. De onderzoekers proberen dan in de berg unieke nummers bij McAfee te zoeken naar een nummer dat sinds die datum actief en succesvol is.

Soms lukt het om zo een kruisverband te maken. Met nummer 22 gebeurde dat. De FBI kwam erachter dat nummer 22 zich Rabotnik noemde op online fora. Hij had onder meer twaalf bedrijven in de Verenigde Staten, waaronder een verkoper van Apple-producten, voor miljoenen dollars afgeperst. Toen ze een link naar zijn YouTube-account vonden, viel de man door de mand. Opsporingsdiensten kunnen bij Google alle accountinformatie opvragen. Hij bleek een Oekraïense hacker die zich schuilhield in Polen.

Escortforum

De vermoedelijke Roemeen donaldtrump1 viel op een andere manier door de mand. Het e-mailadres dat hij gebruikte op het forum Exploit, was via Google ook zichtbaar op een Roemeens escortforum. Daar vroeg de man of een escort hem op dat mailadres wilde contacteren. Voor het chatten via een anoniem programma gebruikte hij een Roemeens scheldwoord als bijnaam. Twee aanwijzingen dat hij in Roemenië kon zitten. Fokker: ‘En door op die bijnaam te zoeken, kwamen we op een YouTube-account.’ Bingo.

Op YouTube-filmpjes legde de man uit hoe je kunt hacken. In een van de comments van de filmpjes staat hetzelfde Gmail-adres dat donaldtrump1 noemde op het criminele Russische forum Exploit. Zo kon de link worden gemaakt. Donaldtrump1 is na 4 november niet meer op het forum gezien. Zijn YouTube-account is opgeschoond.