De wetshandhavingsinstantie van de Europese Unie, Europol, werkte samen met onderzoekers in 10 landen, waaronder de Verenigde Staten en Canada, om een VPN-service (virtueel particulier netwerk) uit te schakelen die naar verluidt door cybercriminelen zou worden gebruikt om de oorsprong van hun inbraakpogingen te verbergen, de groep zei op 20 januari.
Wetshandhavingsinstanties uit een groep van 10 landen – Duitsland, Nederland, Canada, Tsjechië, Frankrijk, Hongarije, Letland, Oekraïne, de Verenigde Staten en het Verenigd Koninkrijk – werkten samen met Europol om 15 servers die het VPNLab hosten in beslag te nemen of te verstoren .net VPN-service. Vanaf 2008 bood de dienst versleutelde communicatie aan cybercriminelen aan voor slechts $ 60 per jaar, waardoor wetshandhavers de bron van aanvallen niet konden volgen, zeiden Europol-functionarissen in een verklaring. Door de servers te analyseren, ontdekten de autoriteiten dat er aanvallen gaande waren tegen meer dan 100 bedrijven.
De verwijdering is bedoeld om het aantal manieren te verminderen waarop cybercriminelen hun acties kunnen verbergen, zei Edvardas Šileris, het hoofd van Europol's European Cybercrime Centre, in de verklaring.
"De acties die in het kader van dit onderzoek zijn uitgevoerd, maken duidelijk dat criminelen bijna geen manieren meer hebben om hun sporen online te verbergen", zei hij. "Elk onderzoek dat we uitvoeren, informeert de volgende, en de informatie die we over potentiële slachtoffers hebben verzameld, betekent dat we mogelijk verschillende ernstige cyberaanvallen en datalekken hebben voorkomen."
De verwijdering is de nieuwste wetshandhavingsactie tegen cybercriminelen die over het algemeen de gevolgen voor hun acties hebben kunnen vermijden. Eerder deze week hebben de Nigeriaanse politie en Interpol bijna een dozijn mensen gearresteerd in verband met een zakelijke e-mailcompromis (BEC)-fraude die tienduizenden bedrijven over de hele wereld had geviseerd. En op 14 januari verklaarde de Russische Federale Veiligheidsdienst (FSB) dat het... arresteerde of arresteerde 14 leden van de REvil ransomware-groep en doorzocht meer dan twee dozijn locaties, waarbij $ 6.8 miljoen aan cryptocurrency en verschillende andere valuta's werd ingenomen, evenals een groot aantal premium voertuigen.
Rechtshandhaving richtte zich op VPNLab.net nadat cybercriminelen de service begonnen te gebruiken om malware te verspreiden, te communiceren tijdens ransomware-afpersingscampagnes en voor andere illegale activiteiten. Europol zei in zijn verklaring:. Europol hielp de wetshandhavingsinstanties van de verschillende landen samen te brengen in het kader van een analyseproject, genaamd "CYBORG", met 60 coördinatievergaderingen en drie persoonlijke workshops.
De diepgaande samenwerking is een positief teken, zei Neil Jones, een cybersecurity-evangelist voor content-beveiligingsbedrijf Egnyte, in een verklaring aan Dark Reading. “Het is een verademing om te zien dat internationale wetshandhavers hun inspanningen richten op technologieleveranciers die cyberaanvalvriendelijke omgevingen bieden en het voor ransomware-as-a-service (RaaS)-providers gemakkelijk maken om potentiële aanvallen uit te voeren, " hij zei. "In dit specifieke geval hebben tientallen bedrijven mogelijk cyberaanvallen gedwarsboomd."
Hoewel het verwijderen van de vermeende VPN-service voor cybercriminelen belangrijk is, kan de service eenvoudig worden vervangen zonder al te veel technische knowhow, zegt Karl Sigler, senior security research manager bij Trustwave SpiderLabs.
"Op open VPN gebaseerde services worden zeker gebruikt door cybercriminelen en zijn bijna dertien in een dozijn", zegt hij. "Het lijkt erop dat VPNLab zijn service specifiek adverteerde voor gebruik door cybercriminelen, vooral met functies als 'Double VPN'. Tor alleen is echter vaak genoeg voor criminelen en kan worden gelaagd met elke VPN-service om die 'dubbele bescherming' te verkrijgen.
Cybercriminelen gebruiken Tor vaak om hun verkeer te anonimiseren, maar recente rapporten dat sommige dreigingsactoren hun eigen Tor-knooppunten hebben, hebben ertoe geleid dat sommige cybercriminelen zich zorgen maken dat grote cyberoperators - mogelijk natiestaten - vervuilen Tor om zijn gebruikers te de-anonimiseren.
Andere aanvallers leasen netwerken van proxyservers, vaak bestaande uit gecompromitteerde servers of Internet of Things-apparaten, om de oorsprong en inhoud van hun verkeer te verbergen.
"De alarmerende vooruitgang in hacking is de specialisatie en federatie van taken van de hackgroepen", zei Garret Grajek, CEO van het cloudgebaseerde identiteitsservicebedrijf YouAttest, in een verklaring. "De specialisatie van taken helpt bij het vermogen van de algehele aanval en vergroot de kans op succes. Daarom moeten bedrijven de sleutelconcepten van beveiliging, zoals nul vertrouwen en realtime identiteitsbeheer, verdubbelen."
Bedrijven zullen moeten afwachten of de inspanningen van wetshandhavingsinstanties resultaat hebben duurzame impact op cybercriminelen en hun tactieken, technieken en procedures (TTP's), zegt Sigler.
"Ik denk dat internationale samenwerking beter wordt, [en] ik denk dat het essentieel is om cybercriminele activiteiten, die doorgaans geen grenzen respecteren, in te dammen", zegt hij. "Het is echter een constant kat-en-muisspel, dus of de samenwerking tussen wetshandhavingsinstanties gelijke tred kan houden met de nieuwe TTP's die criminelen gebruiken, zal een cruciaal onderdeel zijn om te bepalen of dit een aanhoudende wetshandhavingsactie of een spel van 'whack-a- wrat.'"
