Tips & Checklists - Gebruik van DDoS als chantagemiddel

15-08-2016 09:40:13

Onlangs deed Peter Versluis van Veka Group een oproep op Facebook met de mededeling dat zijn bedrijf en familie met een cyberaanval worden bedreigd door afpersers. Door de hackers zijn eisen gesteld en wanneer hier niet aan wordt voldaan, zullen de hackers onjuistheden online verspreiden over zowel Veka Group als Peter Versluis en zijn familie.

Ook steeds meer ziekenhuizen worden getroffen door ransomware. In het afgelopen half jaar waren er bij tenminste zes Duitse ziekenhuizen patiëntengegevens geblokkeerd, waardoor de medische dossiers niet meer konden worden ingezien. Een Amerikaans ziekenhuis heeft besloten om de hackers te betalen zodat de data weer snel beschikbaar zou zijn. Echter hebben de hackers na de betaling de data niet vrijgegeven en willen meer geld zien.

Je data of je geld
De laatste tijd worden er veel ransomware- en DDoS-aanvallen gericht op financiële instellingen. Data binnen deze organisaties is van hoge waarde en daarnaast beschikken de bedrijven zelf over veel geld. Hackers chanteren de bedrijven met een DDoS-aanval, wanneer zij geen geldsom overmaken. Deze bedragen kunnen variëren van 500 euro per computer tot wel een paar ton voor het hele bedrijf.

Vaak is het lastig om te achterhalen wie achter zo’n aanval zit. Echter, in sommige gevallen is het vrij duidelijk in welke hoek de hacker zich bevindt. Afgelopen jaren waren er enkele DDoS-aanvallen tijdens de schoolexamen periodes. Hierbij is de kans groot dat de aanvallen worden georganiseerd door leerlingen. Toch zal je vrijwel nooit de persoon direct kunnen aanwijzen die achter een aanval zit. Maar hoe kan het dat een DDoS-aanval zo gemakkelijk als chantagemiddel wordt ingezet?

“DDoS as a service”
Het aantal DDoS-aanvallen neemt snel toe en het wordt alsmaar eenvoudiger. Dit komt door een toename in de diensten voor het uitvoeren van DDoS-aanvallen. Er bestaan tegenwoordig al zo’n duizend speciale websites, ‘marktplaatsen’, waarop DDoS-aanvallen worden verkocht. Voor een bepaald bedrag, te betalen met creditcard of anoniem met bitcoins, is het mogelijk om een DDoS-aanval te laten uitvoeren op het opgegeven IP-adres. Dit betekent dat je als leek al een DDoS-aanval kan (laten) uitvoeren. Dit maakt het dan ook laagdrempelig; wraakgevoelens of negatieve ervaringen kunnen al een aanleiding zijn om een server plat te (laten) leggen.

Toch zijn deze DDoS-aanvallen verborgen voor de gemiddelde internetter. Aan de achterkant van het internet ontwikkelen zich de gevaarlijke en ook creatieve subculturen, zonder dat hier ook maar iets van zichtbaar is voor de reguliere internetgebruiker. Op een gegeven moment komt er verbinding tot stand tussen de onder- en bovenwereld van het internet en kunnen de DDoS-aanvallen besteld worden. De opdracht zelf vindt dan weer aan de achterkant van het internet plaats.

Wat te doen bij een DDoS-afpersing?
De bescherming tegen DDoS-aanvallen is lastiger dan het bestellen ervan. Echter, het Nationaal Cyber Security Centrum (NCSC) geeft enkele adviezen en maatregelen tegen DDoS-aanvallen. Deze maatregelen dienen te worden getroffen op zowel technisch als organisatorisch niveau. Welke technische maatregelen u zelf kunt toepassen, hangt af van welk deel van uw netwerk in eigen beheer is. Beheert u bijvoorbeeld een applicatie, maar niet de onderliggende server, dan kunt u alleen maatregelen treffen voor die applicatie.

Op organisatorisch niveau is het van belang om een vijftal maatregelen te treffen. Deze worden hieronder nader toegelicht.


1.    Infrastructuur in kaart brengen
Maak een duidelijk overzicht van uw infrastructuur en monitor het inkomende en uitgaande verkeer van uw netwerk. Stel een baseline op waarin ‘normaal’ gedrag wordt beschreven. Wanneer er van dit ‘normale’ gedrag wordt afgeweken, kan dit duiden op een DDoS-aanval.

2.    Maatregelen ISP
Ga bij de ISP na hoe zij omgaan met DDoS-aanvallen en welke DDoS-maatregelen zijn getroffen. Dit is een belangrijk selectiecriterium wanneer het netwerk in beheer is bij een externe partij (ISP). Voordat een DDoS-aanval plaatsvindt, is het van groot belang om te weten wat de ISP voor maatregelen heeft getroffen. Daarnaast is het verstandig om de ISP altijd op de hoogte te stellen van DDoS-dreigementen en -chantages. Zo kunnen zij doeltreffend te werk gaan, wanneer de aanval daadwerkelijk wordt uitgevoerd.

3.    Draaiboek DDoS-aanvallen
Beschrijf in een draaiboek hoe een DDoS-aanval herkend kan worden en wie welke stappen tijdens een aanval moet nemen. Probeer ook altijd zoveel mogelijk gegevens te verzamelen tijdens een aanval omtrent de tijdlijn, kenmerken en de essentiële gegevens voor een aangifte.

4.    Aangifte doen
Het is belangrijk om altijd aangifte te doen bij de lokale politie van een DDoS-aanval of een dreigement hiervan. Tenslotte is het uitvoeren van DDoS-aanvallen een strafbaar feit waar een boete of zelfs een gevangenisstraf tegenover staat. Vraag altijd of er een digitaal rechercheur aanwezig kan zijn tijdens de aangifteprocedure. Ook voor de lokale politie is het lastig om de dader(s) daadwerkelijk te achterhalen, maar met de aangiftes kan de politie wel monitoren hoe de ontwikkeling van DDoS-aanvallen verloopt.

5.    NaWas
BIT is aangesloten bij de stichting Nationale Beheersorganisatie Internet Providers (NBIP) en waren nauw betrokken bij de opzet van de De Nationale anti-DDoS Wasstraat (NaWas). NaWas biedt on-demand beveiliging tegen DDoS-aanvallen. Wanneer een ISP-netwerk te maken heeft met een DDoS-aanval, kan het verkeer langs de NaWas geleid worden. De NaWas reinigt het verkeer van ‘rotzooi’ en stuurt het schone verkeer over een aparte VLAN van de AMS-IX of NL-ix, waar praktisch alle Nederlandse ISP’s op zijn aangesloten, naar de deelnemende ISP terug.

Tot slot wil ik graag meegeven dat wanneer u wordt gechanteerd met een DDoS-dreiging, u hier nooit aan toe moet geven en niets betaalt. Als u toegeeft aan deze chantage, zal dit alleen maar een stimulans zijn voor de afpersers om vaker DDoS-dreigingen uit te voeren. Als u niet toegeeft aan de dreigementen en niet betaalt, zullen de afpersers inzien dat DDoS-dreigingen niet veel meer zullen opleveren.

Door: Kristian de Bruijn

Deel deze pagina op