Vroeger waren hackers meestal jongeren die uit nieuwsgierigheid probeerden in te breken in systemen, vooral voor de kick. Tegenwoordig zijn individuele hackers zonder team of organisatie geëvolueerd tot grote groepen met gedeelde belangen of activisten die hacks uitvoeren en deze zelfs commercieel aanbieden. De gemiddelde leeftijd van hackers is daardoor nu gestegen van 17 naar 35 jaar.
In deze blog geschreven door onze collega Jup lees je hoe hackers een technologisch imperium gebouwd hebben waar hacks ‘as-a-service’ worden aangeboden. Net zoals wij betalen voor Microsoft Office 365 as-a-service, is het mogelijk om digitale aanvallen op dezelfde manier aan te schaffen op het darkweb. Sommige websites hebben zelfs een maandelijkse nieuwsbrief.
Het verkopen van deze diensten stamt uit 2011 toen Ross Ulbricht de ‘dark web marktplaats’ Silkroad lanceerde onder zijn digitale schuilnaam “Dread Pirate Roberts”. Silkroad was een plaats op het darkweb waar anoniem illegale producten en diensten verkocht werden. Hier werden naast andere illegale producten voor de eerste keer op grote schaal diensten zoals ‘hacks for hire’ aangeboden. Dergelijke illegale websites zijn te vinden op het darkweb, benaderbaar met speciale browsers die privacy en anonimiteit waarborgen zoals de TOR-browsers.
Alledaagse websites die we benaderen met onze browsers zoals Google Chrome of Mozilla Firefox hebben meestal een webadres dat eindigt op .com, .nl, .net of soortgelijke adressen. Dit noemt men Top-level domains (TLD). In tegenstelling tot deze websites gebruiken websites op het darkweb het .onion Top-level domains. Deze .onion websites staan niet in de bekende centrale registers. In deze centrale registers zijn daarentegen websites zoals google.com, cuccibu.com en andere websites die we doorgaans bezoeken te vinden. Omdat deze websites op het darkweb zich niet bevinden in deze centrale registers is het niet mogelijk deze .onion-websites met je standaardbrowser te bezoeken.
Hacking-as-a-Service (HaaS) is groot geworden tijdens het begin van de COVID-epidemie waar er een duidelijke beweging plaats heeft gevonden vanuit de kantoren naar de online werkplaats. Ook is in deze periode social media nog populairder geworden dan het al was. Dat alles leidt tot een grotere ‘schietschijf’ voor hackers (ook wel attack surface genoemd).
Doorgaans vragen hackers cryptovaluta in ruil voor hun diensten. Prijzen variëren van een paar honderd tot een paar duizend euro voor ‘standaard diensten’ die afgenomen kunnen worden. Zo kan de klant een bestelling plaatsen voor het hacken van een Facebook- of Twitteraccount voor 500 USD, een DDoS (Distributed Denial of Service) aanval voor 900 USD en veel meer andere diensten zoals het veranderen van rapportcijfers die je kan kopen alsof je online boodschappen besteld. De meest voorkomende HaaS-diensten die gekocht worden zijn hacks die gericht zijn op social media, databases (informatie) en telefoons. Bij het hacken van telefoon, ookwel phone hacking genoemd, variëren de diensten van het op afstand kunnen besturen en inzien van een telefoon, het traceren van telefoons en het installeren van malware.
Naast het inhuren van een hacker is het ook mogelijk op dezelfde manier hacking software aan te schaffen (in een soort leasingmodel) met een professionele en makkelijk te gebruiken gebruikersinterface. Deze software is zelfs aan te schaffen in abonnementsvorm waardoor de koper updates kan ontvangen in het geval dat de tool het niet meer doet omdat de ‘slachtoffersoftware’ bijgewerkt is en bestand is tegen de aanval.
In plaats van het ‘leasen’ van software is het ook mogelijk om botnets te huren. Botnets zijn (in dit geval) een verzameling van geïnfecteerde machines die gezamenlijk op afstand of automatisch opereren. Het doel hiervan is het uitvoeren van aanvallen op grote schaal (zoals DDoS opdrachten of het versturen van spam) of het voeren van criminele activiteiten op een machine die niet te herleiden is naar de gebruiker van het botnet. Deze software die geïnstalleerd wordt draait op de achtergrond en is vaak lastig te traceren. Bij het huren van een botnet als Hacking-as-a-Service krijgt de klant toegang tot dit botnet om deze machines aan te sturen.
Eén van de meest gevaarlijkste diensten is Ransomware as a Service (RaaS). Dit snelgroeiende model brengt een dienst aan mensen waar praktisch geen tussenpersoon voor nodig is maar volledig geautomatiseerd uitgevoerd kan worden. Dit is ondertussen zo groot geworden dat in 2020 twee derde van alle ransomware aanvallen uitgevoerd werden vanuit een RaaS model. Het gevaar van diensten zoals deze is dat de kennis en vaardigheid van het hacken niet meer benodigd is voor iemand die kwaadwillend is. Iedereen kan deze diensten afnemen en hackers inhuren op het dark web. Veel van deze diensten hebben zelfs een 24 uurs leveringsgarantie.
De belangrijkste stappen die een organisatie kan nemen om zichzelf te kunnen beschermen is het (laten) uitvoeren van hacks om de beveiligingslekken te vinden die deze hackers (en tools) misbruiken. Hierbij wordt het onderscheid gemaakt tussen white en black hat hackers. Black hat hackers zijn de hackers die te kwader trouw hacken met als doel (bijvoorbeeld) het afhandig maken van informatie, geld en het schaden van reputaties. White hat hackers zijn hackers die hacken om beveiligingslekken te vinden met als doel deze te kunnen beveiligen of melden zodat deze beveiligd kunnen worden. Dit zijn pentesting diensten (penetratie tests) waarbij een applicatie, netwerk of systeem aan de tand wordt gevoeld om te kijken waar verbetering benodigd is op het gebied van security. Daarnaast zijn social engineering tests ook belangrijk om uit te voeren (zoals mystery visits, email phishing en voice phishing) om medewerkers te testen en bewust te maken dat zij een verantwoordelijkheid hebben om de toegang tot bedrijfsinformatie en -systemen te bewaken.
Benieuwd wat Cuccibu voor u kan betekenen met pentests, social engineering en het beveiligen van uw bedrijfsinformatie? Neem contact op met onze professionals. Naast de reguliere diensten wordt ook een Proof of Value geboden voor de klanten die twijfelen over de toegevoegde waarde van deze diensten.
Voor een beperkte investering voeren onze specialisten een pentest uit binnen een door u bepaalde scope. Het resultaat hiervan is een helder overzicht van geconstateerde kwetsbaarheden.