Tip van de week: De val van Rubella - Een blik op cybercriminaliteit en opsporing

EN: Click here and choose your language using Google's translation bar at the top of this page ↑

In de wereld van cyberveiligheid is de strijd tegen cybercriminaliteit een voortdurende uitdaging. Deze strijd wordt kracht bijgezet door de inspanningen van teams zoals het Team High Tech Crime (THTC) van de Nederlandse politie, wiens missie het is om Nederland veiliger te maken door het bestrijden van cybercriminaliteit. Hun werk komt uitgebreid aan bod in de podcastserie 'Takedown', waarin leden van het THTC samen met journalist Vivianne Bendermacher diep ingaan op hun specialistische werk. Deze serie belicht verschillende complexe cybercrimezaken, waaronder de opmerkelijke zaak van de Rubella-malware.

De ontmaskering van een cybercrimineel

Deze zaak begon toen het THTC diverse rapporten ontving van cyberveiligheidsbedrijven over een nieuwe, dreigende malwarevariant die op het darkweb was opgedoken. De malware, ontwikkeld door een persoon bekend onder de alias Rubella, trok bijzondere aandacht van John Fokker, hoofd Cyberonderzoek bij Trellix (voorheen McAfee). Rubella had een macrobuilder ontwikkeld en verkocht die verborgen code kon toevoegen aan gangbare Office-documenten zoals Excel- en Word-bestanden. De gevaarlijkheid van deze tool lag in het feit dat bij het openen van een geïnfecteerd document, kwaadaardige code kon worden uitgevoerd, wat leidde tot het heimelijk downloaden van malware of het starten van lokale programma's.

Rubella, een informatica-student uit Utrecht, werd uiteindelijk geïdentificeerd na een uitgebreid onderzoek dat zich uitstrekte over open bronnen en sociale media. Het THTC, onder leiding van Arnoud, gebruikte opensource tools om sociale media en diverse communicatieplatformen te doorzoeken, op zoek naar aanwijzingen die konden leiden naar een bestaand persoon. Dit alles gebeurde binnen de grenzen van wettelijke beperkingen; zonder formele toestemming van een Officier van Justitie waren de mogelijkheden voor onderzoek beperkt tot incidentele controles.

De zaak kreeg een doorslaggevende wending toen het team in staat was online aliassen aan een natuurlijk persoon te koppelen. Dit was mogelijk door diepgaand onderzoek in interactieve forums en socialemedia-berichten. Het was cruciaal voor het THTC om strafbare feiten te kunnen bewijzen, en de focus lag daarom op de ontwikkelaar van de macrobuilder, een tool die een eerste stap in ransomware-aanvallen vormt en waarvan het uiteindelijke doel was om er veel geld mee te verdienen.

De werking en risico's van macrobuilders in cybercriminaliteit

Een macrobuilder is een stuk software dat wordt gebruikt om automatiseringsscripts, of macro's, te creëren en te embedden in documenten, vooral in Microsoft Office-documenten zoals Word- en Excel-bestanden. Deze macro's, vaak geschreven in een programmeertaal zoals Visual Basic for Applications (VBA), kunnen geautomatiseerd taken uitvoeren zodra het document wordt geopend. In de context van cyberveiligheid is een macrobuilder echter vaak een hulpmiddel voor cybercriminelen om malware te verspreiden.

Het proces werkt als volgt: De macrobuilder genereert VBA-code die dient als ‘payload’, de gegevens die als onderdeel van de macrocode naar het doelsysteem worden gestuurd. Wanneer een gebruiker een geïnfecteerd document opent en macro’s uitvoert, wordt de kwaadaardige code uitgevoerd. Phishing is een gebruikelijke aanvalsvector voor deze kwaadaardige macro's, waarbij een aanvaller een schijnbaar legitiem document via e-mail naar een doelwit stuurt. Als het doelwit het document opent en de macro's inschakelt, begint de malware zijn destructieve werk.

De configuratie van een macrobuilder kan verschillende stappen omvatten, zoals het specificeren van het type malware, het targeten van bepaalde systemen of applicaties, het instellen van communicatie met command-and-control-servers en het aanpassen van de dropper, het bestand of script dat verantwoordelijk is voor het installeren van de payload. Deze geavanceerde functionaliteiten maken een macrobuilder een krachtig en gevaarlijk hulpmiddel in handen van cybercriminelen.

Om detectie door antivirussoftware en andere beveiligingsmechanismen te vermijden, gebruiken macrobuilders vaak obfuscation-technieken. Dit kan zijn het toevoegen van junkcode, het gebruiken van complexe lussen, het toepassen van XOR Encryption, en het creëren van polymorfe code die zichzelf wijzigt bij elke uitvoering. Deze technieken bemoeilijken de detectie van de malware, waardoor deze effectiever en gevaarlijker wordt. De Rubella-malware maakte ook gebruik van deze obfuscation-technieken.

Moderne beveiligingsoplossingen stellen daar verschillende technieken tegenover, zoals heuristic analysis, sandboxing, en signature-based detection. Deze methoden zijn essentieel om dergelijke geavanceerde aanvallen te detecteren en te voorkomen.

Het speurwerk: Digitale detectives op het spoor van Rubella

Het speurwerk van het THTC-team, met name Arnoud, was essentieel in het ontmaskeren van Rubella. Hoewel een internettap beperkte informatie opleverde vanwege de versleuteling van het verkeer, gaven de verzamelde metadata en protocolinformatie toch inzicht in de activiteiten van de verdachte. Deze gegevens leidden uiteindelijk tot zijn aanhouding, waarbij de politie cruciale digitale data veiligstelde en de identiteit van de verdachte bevestigde.

Het hoogtepunt van het onderzoek vond plaats in maart 2019, ongeveer een half jaar nadat Rubella voor het eerst was opgemerkt. In een zorgvuldig geplande operatie, waarbij jongere collega's zich voordeden als studenten, werd de verdachte in een collegezaal gearresteerd zonder dat hij de kans kreeg om zijn apparaten te vergrendelen of te ontsnappen. Deze verrassingsaanval liet de verdachte weinig ruimte voor een reactie.

Na de aanhouding volgde een huiszoeking, uitgevoerd door het THTC samen met de rechter-commissaris. Tijdens deze doorzoeking vonden ze een schat aan bewijs, waaronder usb-sticks, een extra computer, en andere bezittingen die verband hielden met de strafbare feiten. De digitale rechercheurs stelden de laptop van de verdachte veilig en extraheerden relevante data. Deze data omvatte communicatie over de handel in malware en zelfs de broncode van de ontwikkelde software. Het onderzoek in een gecontroleerde omgeving van een virtual machine hielp hen om te begrijpen hoe de malware precies werkte. Ze konden de code zelf uitvoeren, documenteren en de precieze functies ervan vaststellen. Dit was het onweerlegbare bewijs van de betrokkenheid van de verdachte bij het strafbare feit.

De eindgebruikers van de malware hadden een uiteenlopende achtergrond. Sommigen betaalden grote sommen geld - tot 3000 euro per maand - voor exclusieve varianten van de code, maar de basisvariant was veel goedkoper. Rubella's toolkit was niet alleen financieel toegankelijk, maar ook technisch gemakkelijk te gebruiken, zelfs zonder veel voorkennis. Dit maakte de toolkit des te gevaarlijker, omdat het een laagdrempelige toegang bood tot geavanceerde cybercriminaliteit.

Eind goed, al goed? Tot op zekere hoogte wel: de verdachte werd aangehouden en veroordeeld. Bovendien werd ruim 20.000 euro aan cryptovaluta, verdiend met de handel in malware, in beslag genomen. Hoewel dit waarschijnlijk slechts een fractie was van wat in totaal met de handel was verdiend, was het een aanzienlijke overwinning in de strijd tegen cybercriminaliteit.

Lessen uit de strijd tegen geavanceerde cybercriminaliteit

De zaak van Rubella belicht de complexe en voortdurend evoluerende aard van cybercriminaliteit. Het toont aan hoe individuen met geavanceerde technische kennis en de juiste middelen aanzienlijke dreigingen kunnen vormen voor de cyberveiligheid. De Rubella-malware en de bijbehorende macrobuilder waren niet alleen technisch geavanceerd, maar ook toegankelijk voor een breed publiek, wat de verspreiding en impact ervan vergrootte. Deze zaak onderstreept ook het belang van samenwerking tussen verschillende instanties, zoals het THTC en cyberveiligheidsbedrijven, in het identificeren en aanpakken van cyberdreigingen.

Het succes van het onderzoek en de daaropvolgende arrestatie van de verdachte toont de doeltreffendheid aan van gedegen speurwerk, het gebruik van moderne technologieën en de juridische kaders die onderzoekers en wetshandhavers in staat stellen om actie te ondernemen tegen cybercriminelen. De inzet van technieken als metadata-analyse, digitale forensiek, en het doorzoeken van open bronnen en sociale media speelden een cruciale rol in het ontrafelen van deze zaak.

Deze zaak dient als een herinnering aan de noodzaak voor voortdurende waakzaamheid en voorlichting over cyberveiligheid. Het is belangrijk dat zowel individuen als organisaties zich bewust zijn van de risico's van cybercriminaliteit en de stappen die ze kunnen nemen om zichzelf te beschermen, zoals het vermijden van het openen van onbekende e-mailbijlagen en het gebruik van up-to-date antivirussoftware.

Tot slot toont het verhaal van Rubella de toewijding en expertise van de Nederlandse politie en haar partners in de strijd tegen cybercriminaliteit. Door samen te werken en voortdurend te innoveren, streven zij ernaar Nederland minder aantrekkelijk te maken voor cybercriminelen en een veiligere digitale omgeving voor iedereen te creëren.

Heeft u nog vragen? Stel deze dan gerust aan onze chatbot, te vinden rechtsonder op de pagina.

Meer 'tip van de week' artikelen