Job Hunting op het Darkweb

Gepubliceerd op 30 juli 2022 om 07:00

English | Français | Deutsche | Español | Meer talen

Ook op het darkweb is de vraag naar security-experts groot. De jacht op nieuwe medewerkers verloopt bijna hetzelfde als bij legale IT-bedrijven. Het aantal ‘job boards’ neemt er fors toe. En ook de creativiteit om medewerkers voor zich te winnen.

Job Boards

De job boards zijn voornamelijk Engelstalig en Russisch. Ze hebben – net als reguliere job boards – aparte secties voor de soorten functies en kennis en ervaring die worden gezocht. En ze werken verder ook vrijwel hetzelfde. De werkzoekende en de criminele ‘werkgever’ komen via posts met elkaar in contact. Hackers die werk zoeken, starten ook ‘threads’ in specifieke delen van een forum waarin ze hun kennis en ervaring bekend maken. De criminele werkgever laat op het job board weten welke vacatures er zijn.

Ook zijn de criminele werkgevers actief op zoek naar nieuwe medewerkers met duidelijk omschreven functies. Maar ze doen meer om nieuwe medewerkers aan te trekken. Zo organiseerde de Russische ransomwarebende Sodinokibi/REvil in 2019 een wedstrijd voor criminele werkzoekenden. Wie de beste technische paper schreef, kreeg een baan bij de bende.

Probiv

Je kunt er ook vinden welke kennis en ervaring erg gewild is op het darkweb. Dat verschilt ook nog eens per functie en per criminele bedrijfstak. Veel gevraagd bij criminele statelijke actoren is de eigenschap om iets goed te kunnen uitzoeken, ‘probiv’ in Russische straattaal genoemd. Wie dat kan en in een bedrijf of bedrijfstak werkt, waar een specifieke bende zich op richt, wordt ingezet om posities met veel privileges te misbruiken en interne informatie door te geven. Daarbij gaat het bij voorkeur om medewerkers met toegang tot veel databases bij banken en instanties die paspoorten uitgeven.

Uiteenlopende vaardigheden

Bendes die zich richten op ransomware zoeken weer mensen met zeer uiteenlopende vaardigheden. Hier wordt vaak in teams gewerkt en de leden daarvan moeten elkaars vaardigheden goed kunnen aanvullen. Zo moet het ene lid goed zijn in het toegang krijgen tot beveiligde systemen en de ander weer gespecialiseerd zijn in het programmeren van malware. Duidelijk is wel dat de functies per persoon zeer specifiek zijn: een programmeur wordt niet op de helpdesk gezet.

De Cyber Kill Chain

Door je te verplaatsen in de werkwijzen van cybercriminelen kun je voorzorgsmaatregelen treffen. Lockheed Martin is een grote Amerikaanse aanbieder van militaire technologie. Het bedrijf heeft een veelgebruikt hulpmiddel ontwikkeld waarin de stappen van cybercrime worden beschreven: De cyber kill chain. Dit model beschrijft 7 stappen en, zoals bij alle modellen, wijken individuele gevallen vaak af, maar geeft het wel een heel goed beeld van de algemene modus operandi.

  • Fase 1: Verkenning (‘Reconnaissance')

De eerste fase is de verkenningsfase. Hier identificeert de cybercrimineel geschikte doelwitten. Hoe deze worden bepaald? Dat kan op verschillende manieren. Zo kunnen hackers opdracht krijgen of uit eigen beweging specifieke personen of organisaties aanvallen. Vaak wordt er echter gekozen voor laaghangend fruit: elk systeem met minimale beveiliging en maximale kwetsbaarheden vormt een makkelijk doelwit.

  • Fase 2: Bewapening (‘Weaponization’)

In de tweede fase bepaalt de cybercrimineel wat hij precies nodig heeft om binnen te komen. In veruit de meeste gevallen wordt er gebruik gemaakt van bekende kwetsbaarheden. Zo kan de cybercrimineel op het ‘dark web’ kant-en-klare malware (kwaadaardige software) kopen die zich specifiek richt op de kwetsbaarheden in de systemen die hij is tegengekomen bij zijn doelwit. Anderzijds kan de cybercrimineel beginnen bij deze fase, en makkelijk verkrijgbare malware gebruiken om zoveel mogelijk systemen met een bekende kwetsbaarheid te infecteren.

  • Fase 3: Aflevering (‘Delivery’)

In de derde fase wordt het “wapen” afgeleverd bij het doelwit van de cybercrimineel. Bijvoorbeeld door de malware te verstoppen in een email-bijlage, weblink of USB-stick. Via deze aflever-methoden heeft menselijk handelen van het slachtoffer een grote invloed op het effect van de aanval. Via sommige kwetsbaarheden kunnen cybercriminelen ook toegang krijgen zonder dat personen hiervoor een kwaadaardig bestand te hoeven openen.

  • Fase 4: Uitbuiting (‘Exploitation’)

Zodra de malware is afgeleverd, maakt deze misbruik van een kwetsbaarheid in het systeem. Patches (updates) repareren foutjes in systemen die deze kwetsbaar maken. Door er dus voor te zorgen dat je systemen up-to-date zijn, ben je veel beter beschermd tegen bekende kwetsbaarheden.

  • Fase 5: Installatie (‘Installation’)

De cybercrimineel heeft in deze fase (een combinatie van) malware geïnstalleerd op het systeem. Niet voor alle aanvallen is het nodig om malware te installeren. Denk bijvoorbeeld aan phishing. Hierbij wordt vaak via een email gevraagd om via een link in te loggen bij een bank of werkgever. Wanneer mensen dit doen loggen zij echter in op een valse website, en geven zij op die manier hun inloggegevens aan kwaadwillenden.

  • Fase 6: Beheer en Controle (‘Command and Control’)

In deze fase maakt de cybercrimineel een connectie vanaf de nieuw geïnfecteerde systemen naar een beheer en controle systeem. Op dit systeem kunnen duizenden geïnfecteerde systemen worden aangesloten en het stelt de crimineel in staat om slachtoffers op afstand te manipuleren.

  • Fase 7: Uitvoeren van het doel (‘Actions on Targets’)

Wanneer de cybercrimineel de connectie tot stand heeft gebracht kan deze overgaan tot het behalen van het uiteindelijke doel. Dit doel kan van alles zijn; gegevens versleutelen en hier losgeld voor te vragen, zoveel mogelijk schade aanrichten door data te manipuleren, of juist zo stilletjes mogelijk informatie verzamelen en doorsluizen.

Opleiding tot cybercrimineel

De criminelen op het darkweb bieden nog geen formele opleidingen voor jonge hackers die bij hen willen komen werken. Wel delen vooral jonge leden van het darkweb op forums kennis en ervaring. Daarbij gaat het om zelfgemaakte handleidingen en tutorials. En op het platform XSS troffen we ook diverse e-learningmodules aan. Ook vonden we op het forum XBB een speciale sectie voor beginnende hackers, waar zij met vragen terecht kunnen bij ervaren criminele hackers.

Bron: anoniem

Meer info over darkweb 

Meer darkweb nieuws

KIK het alternatief voor het Tor netwerk?

Doordat het TOR netwerk al enkele jaren zwaar op de korrel worden genomen door de verschillende opsporingsdiensten zijn criminelen, in hun eeuwige spel met de handhavingsdiensten, gedwongen om alternatieven te zoeken om hun anonimiteit redelijkerwijs te waarborgen op het Internet. Concreet gezegd maken criminelen gebruik van een bedrijfscontinuïteit strategie op het Darkweb, dat vergelijkbaar is met de modulaire bedrijfskolom van een multinational. Dit is gesimplificeerd, want het organisatiemodel heet met een lastige term: decentralized autonomous organization (- lees: decentrale autonome organisatie )

Lees meer »

Darkweb Monitor als een service

De Nederlandse Organisatie voor Toegepast Wetenschappelijk Onderzoek (TNO) en het in Nederland en Singapore gevestigde bedrijf CyberDevOps (CDO) zijn overeengekomen om Dark Web Monitor als een service te licentiëren. TNO en CDO delen een ambitie om cyberspace en ons digitale leven veiliger en veiliger te maken. Volgens de voorwaarden van de licentieovereenkomst zal CDO de Dark Web Monitor-service leveren aan een exclusief aanbod van wetshandhavingsinstanties, beveiligingsorganisaties en bedrijven.

Lees meer »

Is dé absolute vorst van online criminaliteit van de troon gestoten?

Afgelopen 27 september heeft de Nederlandse politie in samenwerking met de Duitse politie een datacenter in een oude NAVO-bunker in het zuiden van Duitsland opgerold. Daarbij zijn 4 Nederlanders opgepakt. In deze datacenter werden meerdere illegale websites op het darkweb beheerst. Op deze websites werden illegale producten als drugs en wapens verkocht. 

Lees meer »

«   »