Rechtshandhavingsacties doen doorgaans weinig om cybercriminele activiteiten af te schrikken. Maar de arrestaties van vorige week in Rusland van verschillende leden van de beruchte REvil ransomware-groep, evenals de ontmanteling van de criminele infrastructuur, lijken eindelijk de aandacht te hebben getrokken van ten minste enkele bedreigingsactoren.
Onderzoekers van Trustwave, die deze week regelmatig chatter volgen op ondergrondse fora, zagen in de dagen na de REvil-arrestaties tekenen van grote angst en consternatie onder Oost-Europese cybercriminelen. Veel dreigingsactoren lijken er blijkbaar minder vertrouwen in te hebben dat Rusland een toevluchtsoord is voor hun operaties en vrezen dat de samenwerking tussen de Russische en Amerikaanse autoriteiten in de toekomst voor grote problemen kan zorgen.
"We hebben geconstateerd dat dreigingsactoren [zijn] uit elkaar geschud omdat ze zich voorheen onkwetsbaar voelden en nu enige instabiliteit, angst en paranoia voelen", zegt Karl Sigler, senior security research manager bij Trustwave SpiderLabs. Hoe lang dat sentiment zal zegevieren, hangt helemaal af van hoe bestraffend de vervolgacties zullen zijn tegen degenen die zijn gearresteerd, zegt hij.
Afgelopen vrijdag heeft de Russische Federale Veiligheidsdienst (FSB) aangekondigd dat het... arresteerde 14 leden van de REvil-bende en vielen 25 locaties binnen die verband houden met de individuen, in acties gericht op het verstoren van de wonderbaarlijke ransomware-operaties van REvil. De invallen resulteerden erin dat de FSB het equivalent van $ 6.8 miljoen in verschillende valuta's in beslag nam, evenals 20 luxe voertuigen, cryptocurrency-portefeuilles en computerapparatuur die bendeleden gebruikten als onderdeel van REvil-operaties.
Veel veiligheidsexperts bekeken de arrestaties met enige scepsis vanwege de timing precies in het midden van gespannen gesprekken tussen de VS en Rusland over een mogelijke invasie van Oekraïne door laatstgenoemde. De sceptici beschouwden de stap van de FSB als berekend om in de gunst te komen bij de VS, die hun diepe bezorgdheid hadden geuit over de dreiging van REvil na schadelijke ransomware-aanvallen op JBS-voedingsmiddelen en Kaseja afgelopen mei en juni door groepen die de malware gebruikten.
Ondanks de verdachte motieven was de actie van de FSB aanzienlijk en was het de eerste keer dat de Russische autoriteiten optraden tegen een grote cyberbedreigingsgroep die binnen haar grenzen opereerde - en ook in opdracht van de VS. In het verleden had Rusland geweigerd zelfs maar te erkennen dat dreigingsactoren vrijelijk in het land zouden kunnen opereren, omdat ze het als een veilige haven voor hen beschouwden.
Trustwave gevonden dat de verrassende arrestaties van de FSB vorige week dat gevoel van zelfgenoegzaamheid aanzienlijk hebben doen wankelen. De beveiligingsleverancier observeerde bedreigingsactoren op ondergrondse fora die hun bezorgdheid uitten over de arrestatie en het feit dat Rusland niet langer een veilige plek is voor hun operaties. Sommigen zijn zelfs begonnen met het bespreken van het potentieel van het verplaatsen van operaties naar India, het Midden-Oosten, China en zelfs Israël.
"Eén ding is in feite duidelijk: degenen die verwachten dat de staat hen zal beschermen, zullen zeer teleurgesteld zijn", citeerde Trustwave een forumlid.
Angst, onzekerheid en twijfel
Trustwave ontdekte dat de arrestaties ook enige paranoia hebben aangewakkerd binnen de Oost-Europese cybercriminaliteitsgemeenschap over een mogelijke mol binnen hun gelederen. Blijkbaar is er enige bezorgdheid over een forumbeheerder die in het geheim samenwerkt met wetshandhaving. Vermoedens over de dubbele rol van het individu brachten een forumlid ertoe om plannen aan te kondigen om een deel van zijn persoonlijke correspondentie met de beheerder te publiceren, vermoedelijk om het individu in verband te brengen met de illegale activiteiten van het forum.
Anderen zijn begonnen met het geven van advies over hoe de blootstelling aan wetshandhaving te verminderen door gebruik te maken van mechanismen zoals Tor, oude berichten te verwijderen, versleuteling te gebruiken en niet alle gestolen gegevens en andere artefacten op één computer te bewaren. Trustwave merkte op dat een forumlid zei: “Het is nu gevaarlijk om iets te schrijven, waar dan ook. Alle berichten moeten worden opgeschoond, degenen die te maken hebben met cybercriminaliteit.”
Een van de tips die cybercriminelen elkaar geven, is om te voorkomen dat ze de aandacht trekken zoals REvil deed met zijn aanvallen op grote, miljarden Amerikaanse organisaties en doelwitten in kritieke infrastructuursectoren, zoals JBS Foods. Trustwave observeerde verschillende forumleden die suggereerden dat de ondergang van REvil het gevolg was van de veel gepubliceerde opschepperij en het onmatig richten van organisaties in landen die de kracht hadden om de Russische regering onder druk te zetten om te handelen.
Sigler zegt dat het volume van het gebabbel op de ondergrondse fora hoger is dan het eerder heeft waargenomen.
"Het niveau van angst om gearresteerd te worden en de discussie over de mogelijkheid dat hun thuisland niet langer een veilige haven is, zijn uniek", zegt hij. "Er is ernstige bezorgdheid dat de samenwerking tussen de Verenigde Staten en Rusland een probleem zal vormen voor hun toekomstige operaties."
