nieuwe inzichten en initia-
tieven op.
nog gekeken welke partijen zich bij dit platform willen en kunnen aansluiten.
Samenwerking
THTC doet veel aan publiek-private samenwerking. Zinn: “We scannen continu de markt naar nieuwe samenwerkingspartners. Want elke partner heeft een stukje van de puzzel en beschikt over andere kwaliteiten en bevoegdheden. Zo zijn anti-virusbedrijven veel beter in het analyseren van malware dan de politie. En de politie kan bijzondere opsporingsbe- voegdheden inzetten. We delen ook veel in- formatie. Dat is juridisch helemaal afgedekt.” In de casus Kolthoorn bouwde Kaspers- ky een tool waarmee slachtoffers hun be- standen konden ontsleutelen. Horst: “THTC heeft ook wel de technische kennis om een dergelijke tool te bouwen, maar het is heel specialistisch werk en het zou ons dan ook veel tijd kosten. Bovendien ligt het ver Ten eerste leidde de zaak tot de opzetvan het platform ‘No more ransom’ (www.nomoreransom.org). Kaspersky, Team High Tech Crime (THTC), Europol en Intel hebben dit initiatief genomen en zullen hierbij ook andere anti-virus- bedrijven en buitenlandse politiedien- sten betrekken. Momenteel worden nog zaken op het gebied van beheer en veiligheid uitgewerkt. Op dit platform komt onder andere informatie te staan over aangifte doen en wat daarvoor nodig is. Ook kunnen slachtoffers tools en sleutels uploaden voor het scho- nen van geïnfecteerde computers en ontsleutelen van bestanden. Er wordt
>>
Cyber
cr
ime
van onze corebusiness af.” Dat de slachtof- fers niet hoeven betalen voor het gebruik van de tool was voor THTC een belangrijke voorwaarde. Kaspersky verdient er dus niet direct geld aan. Maar om de tool te bouwen, krijgen ze de beschikking over deze malware. De analyse daarvan levert belangrijke kennis op, die weer gebruikt kan worden bij de ontwikkeling van antivirussoftware. Zinn: “En de PR-afdeling vond het natuurlijk geweldig.” Terecht, zo blijkt ook uit het volgende berichtje van een slachtoffer na gebruik van deze tool: ‘Je Coinvault decrypt tool heeft mijn avond gered! Heb als dank een abonnement op Kaspersky genomen. Thanks a millionJ’.
Doelen
Het Team High Tech Crime van de Landelijke Eenheid heeft zijn activitei- ten in vier opvolgende doelen onderge- bracht: als eerste de schade beperken van de aanval die op dat moment aan de gang is, vervolgens de slachtoffers waarschu- wen, dan het business model van de crimi- nelen ontwrichten en zo mogelijk ook de verdachten opsporen en vervolgen of in het buitenland laten vervolgen. Hierdoorkan het team meer zaken onderzoeken en dus ook meer slachtoffers bijstaan en meer samenwerkingen aangaan, dan wanneer ze in elke zaak tot het uiterste gaat om de verdachte te identificeren, op te sporen en te vervolgen.
Horst: “Dit laatste lukt niet altijd, vooral door de internationale component. Maar in de drie voorgaande stappen kunnen we al wel de middelen inzetten die ons ter beschikking staan, zoals bijzondere opsporingsbevoegdheden. Als we uitein- delijk de dader niet kunnen pakken, maar we weten in de eerste drie stappen veel te bereiken, beschouwen we het onderzoek niet als mislukt.”
Zinn: “Mensen verbazen zich wel eens dat we vrij openlijk de eerste drie doelen najagen, terwijl we de daders nog niet te pakken hebben. Want ze gaan ervanuit dat daders hun activiteiten staken zodra ze merken dat de politie hen op de hielen zit. Maar dat is niet onze ervaring. Een cri- mineel stopt niet. We zien soms wel dat ze hun modus operandus (MO) aanpassen. In de zaak Kolthoorn verschoven de verdach- ten de infrastructuur bijvoorbeeld naar
Rusland. Voor de opsporing is het vaak een voordeel dat ze onder druk hun MO aan- passen. Want dan gaan ze fouten maken.”
Internationaal
In de casus Kolt- hoorn waren de verdachten Nederlanders. Zinn: “Meestal komen de verdachten in onze zaken uit het buitenland. Vaak heb- ben we te maken met drie landen: in land 1 zit de verdachte, in land 2 het slachtoffer en in land 3 - meestal Nederland - wordt de infrastructuur gebruikt.” De geschetste gang van zaken is geen toeval. Er wordt expres in drie landen gewerkt om de opsporing te bemoeilijken en de pakkans te verkleinen. In 2001 werd de Budapest Convention on Crime van kracht. Inmiddels hebben 49 partijen dit verdrag getekend, waaronder veel landen die voor Nederland belangrijk zijn in de gezamenlijke strijd tegen cybercrime. Dankzij dit verdrag kun- nen gegevens worden veilig gesteld op het moment dat hier telefonisch een aan- vraag van een politiedienst in een ander land voor binnenkomt. Het rechtshulpver- zoek komt er dan achteraan. Dit voorkomt dat er sporen kwijt raken.van de slachtoffers van Coinvault ook ge- infecteerd blijken met de malware Sonar, die onzichtbaar op de achtergrond actief is. Hiermee kregen de verdachten macht over alle geïnfecteerde computers en de camera’s op deze computers en konden ze op alle geïnfecteerde computers in één keer Coinvault activeren. Hiermee wilden de verdachte voorkomen dat het virus al bij een relatief klein aantal slachtoffers op- genomen zou worden in antivirussoftware.
Klapdag
Het bewijs stapelt zich op en 12 september 2015 is de klapdag. De verdachten worden in hun eigen huis aangehouden op het moment dat de computers open staan. Er wordt ook een vergrendelde database aangetroffen. Haandrikman vertelt: “De verdachten leken wel onder de indruk van de aanhouding.Begrippen
Malware is een verzamelnaam voor
schadelijke software.
Ransomware is software die een
computer blokkeert en de eigenaar van de computer geld vraagt om dit op te heffen.
Cryptoware werkt vergelijkbaar als
ransomware, maar versleutelt daarbij ook de bestanden die op de compu- ter staan.
■ Reconstructie
>>