Contact
Voor meer informatie over programma Cyclotron en eventuele deelname kunt u contact opnemen via cyclotron@minjenv.nl.
Usecase: Business Email Compromise
Wat is Business Email Compromise?
Business email compromise (BEC) is een vorm van cybercriminaliteit waarbij een kwaadwillende e-mail gebruikt om iemand geld te laten sturen of vertrouwelijke bedrijfsinformatie te laten geven. De dader doet zich voor als een betrouwbaar persoon en vraagt vervolgens om een valse rekening te betalen of om gevoelige gegevens die hij kan gebruiken bij een andere scam. Binnen Cyclotron focust BEC zich op aanvallers die zich toegang hebben verschaft tot M365 accounts.
BEC-fraude komt steeds vaker voor als gevolg van het toegenomen werken op afstand. Eén van de meest voorkomende vormen is de methode waarbij criminelen zich voordoen als CEO of directeur van een organisatie door het e-mailadres van een legitiem bedrijf of persoon na te bootsen. Een andere methode is het daadwerkelijk toegang krijgen tot het emailaccount van (bijvoorbeeld) een CEO of directeur, door middel van phishing of door het gebruik van zwakke wachtwoorden. Bij BEC-fraude richten criminelen zich op bestaande processen binnen een organisatie, zoals het uitvoeren van betalingen, waarbij de opdracht van een positie met autoriteit lijkt te komen. Daardoor is het voor medewerkers vaak niet makkelijk om te herkennen.
Usecase
Binnen Cyclotron worden usecases gebruikt om te testen welke technische, juridische en andere middelen nodig zijn om samenwerking tussen publieke en private partijen mogelijk te maken voor een specifiek doel. In dit geval is dat doel het verminderen van succesvolle BEC-fraude bij Nederlandse organisaties en het verhogen van de weerbaarheid tegen BEC-fraude. Dit kan onder andere door beter inzicht te krijgen in de modus operandi van criminelen en door detectieregels te delen om zo de detectie van BEC-pogingen te verbeteren.
Deze usecase past bij uitstek bij programma Cyclotron om verschillende redenen:
- Publiek-private samenwerking: Door samen te werken met zowel publieke als private entiteiten kunnen we een breder en diepgaander inzicht krijgen in BEC-aanvallen. Deze samenwerking zorgt voor een synergie die essentieel is voor het effectief bestrijden van dit soort geavanceerde bedreigingen.
- Gegevensuitwisseling: Het delen van gegevens en best practices tussen verschillende sectoren versterkt de algehele cyberweerbaarheid. Programma Cyclotron ontwikkelt een platform voor deze uitwisseling, waarop informatie structureel en effectief gedeeld kan worden. Op deze manier wordt onderzoek en analyse optimaal gefaciliteerd.
Usecase: Ransomware Statistieken
Wat is ransomware?
Ransomware is een vorm van malware die bestanden of systemen versleutelt, waarna criminelen losgeld eisen in ruil voor toegang. De impact van ransomware kan groot zijn: organisaties raken belangrijke gegevens kwijt, systemen vallen uit en de bedrijfsvoering komt tot stilstand. Ransomware wordt vaak verspreid via phishingmails, kwetsbaarheden in software of via geïnfecteerde websites. Aanvallers professionaliseren hun werkwijze steeds verder, wat het steeds lastiger maakt om aanvallen te voorkomen of tijdig te detecteren.
Usecase
Binnen Cyclotron wordt onder de vlag van Project Melissa samengewerkt aan een usecase rondom ransomware. In deze usecase werken publieke en private partijen samen om een beter en actueel beeld te krijgen van ransomware-incidenten in Nederland. Dit gebeurt door informatie over incidenten op gestructureerde wijze te verzamelen, te analyseren en te delen. De gedeelde informatie wordt geanonimiseerd en teruggekoppeld aan de deelnemers, wat bijdraagt aan wederzijdse inzichten en versterking van de nationale weerbaarheid tegen ransomwaredreigingen.
Deze usecase past bij uitstek bij programma Cyclotron om verschillende redenen:
- Publiek-private samenwerking: Organisaties zoals de politie, het Openbaar Ministerie, het NCSC en leden van Cyberveilig Nederland werken samen aan één doel: het vergroten van de weerbaarheid tegen ransomware.
- Informatie-uitwisseling: Door incidentdata geanonimiseerd te delen, ontstaat een gedeeld beeld van actoren, werkwijzen en trends. Dit verhoogt het bewustzijn en helpt betrokken organisaties sneller en gerichter reageren op dreigingen.
- Datagedreven aanpak: Door incidentinformatie structureel te analyseren en terug te koppelen, kunnen deelnemers hun detectie- en preventiestrategieën onderbouwen met actuele data en inzichten.
Usecase: Threat Matching
Wat is Threat Matching?
Threat Matching is een use case waarbij organisaties informatie over digitale dreigingen – zoals Advanced Persistent Threats (APT’s) – met elkaar vergelijken en afstemmen. APT’s zijn langdurige, gerichte cyberaanvallen die vaak worden uitgevoerd door staat gesponsorde actoren of goed georganiseerde cybercriminelen. Deze aanvallen zijn complex, strategisch en vragen veel tijd en middelen om te onderzoeken. Doordat verschillende partijen vaak los van elkaar werken aan vergelijkbare APT-onderzoeken, ontstaat er versnippering van kennis en inspanning.
Usecase
In de Threat Matching use case delen deelnemende partijen op een privacy-bestendige manier informatie over lopende APT-onderzoeken. Denk hierbij aan kenmerken zoals de vermoedelijke actor, het land van herkomst, het motief en de gebruikte methoden. Deze informatie wordt geanonimiseerd en geaggregeerd gedeeld met andere deelnemers. Daarnaast kunnen deelnemers genotificeerd worden wanneer een andere partij mogelijk onderzoek doet naar dezelfde APT. Dit maakt het mogelijk om sneller met elkaar in contact te komen en samenwerking aan te gaan wanneer dat relevant is.
Deze usecase past bij uitstek bij programma Cyclotron om verschillende redenen:
- Efficiëntere samenwerking: Door inzicht te geven in overlappende onderzoeken, kunnen partijen gerichter samenwerken en dubbel werk voorkomen.
- Privacybestendig gegevensdelen: Cyclotron biedt een infrastructuur waarbij gevoelige informatie veilig gedeeld en geaggregeerd wordt, zonder dat herleidbare data wordt uitgewisseld.
- Publiek-private verbinding: Partijen zoals het NCSC, Cyberveilig Nederland en cybersecurity dienstverleners werken samen aan het versterken van de aanpak van APT’s binnen Nederland.
Usecase: Bulletproof Hosters
Wat zijn bulletproof hosters?
Bulletproof hosters zijn hostingdiensten die bewust en actief criminelen faciliteren bij het uitvoeren van illegale activiteiten, zoals het hosten van ransomware, kinderporno of phishinginfrastructuur. In tegenstelling tot legitieme hostingproviders werken bulletproof hosters vaak niet mee aan Notice-And-Takedown-verzoeken, hebben ze geen duidelijk anti-abusebeleid en tonen ze geen bereidheid om malafide klanten aan te pakken. Deze infrastructuren vormen de ruggengraat van veel cybercriminaliteit. Tegelijkertijd lopen ook legitieme hosters risico: wie onbewust criminele content host, kan onterecht als bulletproof hoster worden aangemerkt, met reputatieschade en juridische gevolgen tot gevolg.
Usecase
Binnen programma Cyclotron is een usecase opgezet die zich richt op het herkennen en bestrijden van bulletproof hosters. In de eerste fase werken deelnemende partijen aan het ontwikkelen van een methodiek om dergelijke hosters te identificeren. Hierbij wordt gebruikgemaakt van bestaande lijsten met vermoedelijke bulletproof hosters, aangevuld met kennis en data van gespecialiseerde verrijkingspartijen. Relevante factoren in de beoordeling zijn onder andere de medewerking aan Notice-And-Takedown-verzoeken, de aanwezigheid van anti-abusebeleid en het gedrag van de hoster bij signalering.
Een mogelijke tweede fase van de usecase onderzoekt handelingsperspectieven richting geïdentificeerde bulletproof hosters. Denk aan het technisch ontkoppelen van deze hosters (‘de-peering’) of het openbaar maken van een lijst, zodat internetdienstverleners zelf maatregelen kunnen nemen. De uiteindelijke lijst wordt gebaseerd op meer dan alleen opsporingsinformatie, en biedt een breder gedragen basis voor actie.
Deze usecase past bij uitstek bij programma Cyclotron om verschillende redenen:
- Data-verrijking en samenwerking: Politiedata wordt aangevuld met inzichten van hoog volwassen partijen om gezamenlijk tot een breed gedragen methodiek te komen.
- Concrete aanpak van digitale infrastructuur: Door het verstoren van de criminele infrastructuur wordt het fundament van digitale aanvallen aangepakt.
- Versterking van de weerbaarheid: Door bulletproof hosters te identificeren en te isoleren, wordt Nederland minder aantrekkelijk als uitvalsbasis voor cybercriminelen.
Contact
Voor meer informatie over programma Cyclotron en eventuele deelname kunt u contact opnemen via cyclotron@minjenv.nl.