In het Verenigd Koninkrijk heeft de rechter onlangs uitspraak gedaan in een opmerkelijke cybersecurity zaak. Een 28-jarige Britse IT-security-analist is veroordeeld tot een gevangenisstraf van drie jaar en zeven maanden voor het afpersen van zijn werkgever door zich voor te doen als de ransomwaregroep die zijn bedrijf al aan het afpersen was.
Achtergrond
In februari 2018 werd het bedrijf waar de man werkte het doelwit van een ransomware-aanval waarbij cybercriminelen losgeld eisten in Bitcoin. De werknemer was als IT-securityanalist betrokken bij het onderzoek naar de oorzaak van het beveiligingslek en de gestolen gegevens. Gedurende dit onderzoek besloot de werknemer zelf ook een aanval uit te voeren op het bedrijf door het e-mailaccount van een directielid te hacken en de oorspronkelijke afpersingsmail aan te passen. Hij verving het oorspronkelijke e-mailadres van de cybercriminelen door een nagenoeg identiek adres van hemzelf en gaf hierbij zijn eigen wallet-adres op. Op deze manier hoopte de werknemer zelf het geëiste losgeld te ontvangen. Ook probeerde de werknemer extra druk op zijn werkgever uit te oefenen door middel van dreigmails - een veelvoorkomende tactiek die ransomware groeperingen hanteren gedurende een aanval. Het bedrijf besloot desondanks om niet te voldoen aan de losgeldeis.
Onderzoek
Uiteindelijk werd de ongeautoriseerde toegang tot het e-mailaccount van de werkgever ontdekt. Na politieonderzoek viel alles te herleiden naar het thuisadres van de werknemer. De werknemer werd gearresteerd en tijdens een huiszoeking werden zijn apparaten in beslag genomen. Ondanks dat hij enkele dagen voor zijn arrestatie de apparaten had gewist, konden de gegevens worden hersteld en als bewijsmateriaal worden gebruikt in de rechtszaak. In eerste instantie ontkende de werknemer alle betrokkenheid bij de ransomware-aanval, maar de rechter kwam toch tot een veroordeling toen de werknemer op zitting alsnog schuldig pleitte.
Commentaar
Deze zaak is om meerdere redenen opvallend. In de eerste plaats omdat degene die verantwoordelijk is voor een cyberaanval is opgepakt. Cybercriminelen zijn over het algemeen moeilijk op te sporen. Ze weten eenvoudig anoniem te blijven en opereren vaak grensoverschrijdend, met name in landen waarmee samenwerking of uitlevering onmogelijk is. In de tweede plaats is opvallend dat twee cyberaanvallen hier samenliepen: een ‘legitieme’ ransomware-aanval en fraude door een werknemer. We zien beiden vaak voorkomen, maar tegelijkertijd is vrij uniek. Deze zaak benadrukt het belang voor bedrijven om de cyber security binnen het bedrijf op orde te hebben. Dat betekent uiteraard dat de juiste procedures klaarliggen en teams paraat staan om snel te kunnen schakelen. De zaak illustreert dat daarbij ook dat goed wordt gekeken naar de personen in die teams, niet alleen de functies. Zo veroorzaakt de ene crisis niet direct de andere.
Heb je vragen naar aanleiding van dit artikel? Neem contact op met Rosalie Brand of Cees Plaizier.