Hoe de bestrijding van botnets faalt
Er zijn inmiddels verschillende voorbeelden waarbij door een goede internationale samenwerking de criminelen achter digitale misdrijven met een spectaculaire actie hun belangrijkste gereedschappen kunnen worden ontfutseld. Maar cybercriminelen herrijzen steeds als een fenix uit de as.
© Shutterstock
Shutterstock
Nog geen 10 maanden nadat begin 2021 de complete infrastructuur van de Emotet-groep onklaar werd gemaakt, dook het botnet weer op. Dit is de treurige constatering van Darkreading. In januari werden mede door de inzet van de Nederlandse politie de Emotet-servers uitgeschakeld en vier maanden later werd de botnetsoftware door de politie verwijderd van miljoenen pc's. Vlak voor de uitschakeling was Emotet verantwoordelijk voor zo'n 7% van alle aanvallen op bedrijven wereldwijd. Een heel grote vis gevangen dus, waar de Nederlandse politie internationaal veel lof voor kreeg.
In november kwamen echter de eerste signalen dat Emotet opnieuw actief is, en met een verbeterde versie. Er zijn nu twee botnets in gebruik en de versleuteling van de communicatie met de botnet-slaven is vernieuwd.
De opleving van Emotet staat niet op zichzelf. Darkreading heeft voorbeelden van tientallen botnets, waaronder Trickbot in 2020 die werden uitgeschakeld en weer opdoken na verloop van tijd.
De kop van de slang
Hoewel deze internationale inspanningen om de infrastructuur uit te schakelen daarmee wat zinloos lijken, zijn ze dat niet, zegt Michael DeBolt, chief intelligence officer bij Intels beveiligingseenheid 471. Hoewel de criminelen leren van acties, is wel duidelijk dat ook beveiligingsbedrijven en opsporingsdiensten steeds efficiënter worden in het neerhalen van infrastructuur die wordt ingezet voor criminele activiteiten. Het probleem is, zegt DeBolt, dat de acties er niet in slagen de kop van de slang helemaal af te hakken. Dan zie je dat ze een stap terug doen en zich hervormen. Deze groepen hebben veel veerkracht en heel veel geld. Ze verschuilen zich bovendien in landen met erg tolerante cybercrimewetten waar Westerse maatregelen hen niet kunnen raken.
In het hart raken
DeBolt vindt daarom dat meer nagedacht moet worden over acties die deze groepen intern raken. Hij haalt een onderzoek uit 2011 aan waaruit bleek dat 95% van de opbrengsten van spamgerelateerde producten werd afgehandeld door een tiental banken. Zo kon met een gerichte actie een groot aantal criminele organisaties de pas worden afgesneden. Het is belangrijk om op een vergelijkbare manier op zoek te gaan naar pijnpunten waarmee het voor criminelen veel meer tijd, geld en moeite kost om hun bedrijvigheid opnieuw op te bouwen.
DeBolt verwacht niet dat er een wondermiddel wordt gevonden, maar hij benadrukt dat meer moeite moet worden gedaan om de druk op dit soort organisaties te verhogen en cybercrime minder rendabel te maken. Dat moet een gezamenlijk initiatief zijn van overheden en bedrijfsleven.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee