Strafeis: 18 maanden tegen student in groot cybercrime onderzoek

"Een high level hacker en professioneel zakenman die tienduizenden euro’s aan Bitcoins verdiende door strafbare feiten te plegen." Zo typeert de officier van justitie van het Landelijk Parket een 21-jarige verdachte uit Utrecht die vanmorgen terechtstond in een cybercrimezaak voor de rechtbank Rotterdam. De officier eiste 18 maanden gevangenisstraf, waarvan 6 voorwaardelijk met een proeftijd van 3 jaar. 

De verdenkingen tegen de man: het vervaardigen en op hackerfora verkopen van drie technische malware programma’s, Rubella/Cetan en Dryad, en het in het bezit hebben van tientallen credit card gegevens met tot oogmerk het plegen van creditcard fraude. Het OM ter zitting: "De verdachte wist dondersgoed waarmee hij zich uit puur winstbejag bezighield en manifesteerde zich bewust op cybercriminele fora."

Twee rapporten

Zomer 2018 ontving het Nationaal Cyber Security Center (NCSC) in Nederland van het NCSC in Israël een rapport van Yin Yang Cyber, een privaat bedrijf dat onderzoek heeft gedaan naar diverse typen malware en uitkwam in Nederland. Het rapport is overgedragen aan Team High Tech Crime (THTC) van de Landelijke Eenheid van de politie. 

Tegelijkertijd werd op het Virus Bulletin congres, hét congres van de Anti-Virus industrie over de trends in malware dat al 30 jaar bestaat, de malware top 10 gepresenteerd. Rubella staat daarin. Onder andere cyber securitybedrijf McAfee doet onderzoek naar Rubella en verstrekt haar rapport aan THTC.   

De twee rapporten vormden de aanleiding voor de start op 17 januari 2019 van het strafrechtelijk onderzoek naar de verdachte. In de rapporten werd gesteld dat de Utrechter zich zou bezighouden met de ontwikkeling en verkoop van verschillende technische malware programma’s, Rubella/Cetan en Dryad. Rubella Macro Builder, Dyrad en Cetan zijn alle drie macro-builders, besmettingen van een Office-bestand, zoals Word of Excel: als je er op klikt, werd op afstand toegang verkregen tot het systeem van het slachtoffer. Voorts konden ‘onderwater scripts’ worden uitgevoerd en alle toetsaanslagen worden gelogd. Het doel van malware is duidelijk; ongezien  blijven door antivirussoftware.

De verkoop door verdachte verliep via verschillende hackersfora waarbij hij gebruikmaakte van een reeks aliassen. Verdachte verdiende met de verkoop van de technische malware programma’s, inclusief handleidingen en tien ‘rebuilds’ goed geld. Hij liet ze ook testen en ging zeer professioneel te werk. Van februari 2018 tot aan zijn aanhouding op 11 maart 2019, de ten laste gelegde periode,  verdiende hij tienduizenden euro’s aan Bitcoins. 

Aanhouding in collegezaal

De student informatiekunde is op 11 maart 2019 door politiemedewerkers van de Landelijke Eenheid (in burger) aangehouden in een collegezaal van de Universiteit Utrecht, terwijl hij op zijn laptop bezig was. Zo heeft de politie toegang gekregen tot zijn geautomatiseerde werken. Verdachte heeft ook meegewerkt door onder meer inloggegevens aan de politie te verstrekken. 

Bij de doorzoeking van zijn zolderkamer in zijn ouderlijk huis is gebleken dat hij op zijn harde schijf over tientallen credit card gegevens beschikte en handleidingen en chats over credit cardfraude (‘carding’) en manieren om illegaal geld wit te wassen. Het OM verdenkt hem daarom ook van het voorhanden hebben van gegevens die credit card fraude tot oogmerk hebben.  

‘Carding’ betreft het geheel aan technieken waarmee persoonlijke financiële gegevens verworven, verhandeld en gebruikt worden door criminelen, zo lichtte de officier van justitie vanochtend ter zitting toe. 

Naast gegevensdragers heeft de politie voor ruim 22.000 euro aan Bitcoins inbeslaggenomenvan verdachte. Hij heeft daarvan afstand gedaan.  

Focus op facilitators   

In haar requisitoir haalde de officier van justitie de grote hackzaak rond Universiteit Maastricht afgelopen kerstperiode aan, omdat daarbij volgens haar is gebruikgemaakt van besmetting middels een technisch malwareprogramma vergelijkbaar aan die, die door de verdachte die vandaag terechtstond zijn ontwikkeld en verkocht:  "De oorzaak van die grootschalige cyberzaak in Maastricht: Eén medewerker, één mail en één klik op een Excel-bijlage , waardoor het voortbestaan van de Universiteit Maastricht werd bedreigd, 267 servers werden gegijzeld door criminelen. Uiteindelijk is een losgeld van 30 Bitcoin (BTC), omgerekend 197.000 euro, betaald."

Rampzalige gebeurtenissen in cyberspace beginnen vaak met die ene mail met die ene bijlage die zo betrouwbaar oogt. Om de wereld van de high tech crime echt een slag toe te brengen, focussen politie en justitie zich landelijk op het aanpakken van de facilitators van de zogenaamde Cybercrime As A Service (CAAS)-keten. In de aanpak en bestrijding van cybercriminaliteit wordt op zoek gegaan naar de programmeurs, de ontwikkelaars, de bouwers en verkopers; de personen erachter die hierin een goed verdienmodel zien en daarmee essentieel zijn voor een cybercrime-samenwerkingsverband.   

Uitspraak

De rechtbank Rotterdam heeft aangegeven langer dan de gebruikelijke twee weken de tijd te willen nemen alvorens uitspraak te doen. Uitspraak is op 19 maart om 13.00 uur.