De podcastserie “Takedown” van het Team High Tech Crime (THTC) van de Nederlandse politie belicht de strijd tegen complexe cybercriminaliteit. In de serie delen leden van het THTC hun ervaringen met journalist Vivianne Bendermacher, waarbij elke aflevering zich richt op een specifieke zaak. De eerste aflevering gaat over de zaak van een Nederlandse student, bekend als Rubella, die achter de gelijknamige malware zit. In totaal komen er zes afleveringen.
Rubella ontwikkelde en verkocht een macrobuilder, een toolkit die verborgen code in veelgebruikte Office-documenten zoals Excel en Word invoegde. Wanneer een gebruiker zo’n geïnfecteerd document opende, werd de code uitgevoerd, waardoor malware kon worden gedownload of lokale programma’s konden worden gestart. De toolkit kostte enkele honderden tot duizenden euro’s per maand.
Het THTC kwam Rubella op het spoor nadat ze meerdere rapporten van cyberveiligheidsbedrijven, waaronder Trellix (voorheen McAfee), ontvingen. John Fokker van Trellix ontdekte een nieuwe dreigende malwarevariant op het darkweb, ontwikkeld door Rubella, die computers kon omtoveren tot botnetonderdelen, ideaal voor ransomware-aanvallen. Rubella, waarschijnlijk tussen de 16 en 25 jaar oud, kwam mogelijk via gaming in contact met computercriminaliteit. Het THTC zocht naar aanwijzingen die naar een echt persoon konden leiden, met behulp van open source tools en sociale media. Uiteindelijk werd een informatica-student uit Utrecht geïdentificeerd als de verdachte.
Wat is een macrobuilder?
Een macrobuilder is software die wordt gebruikt om macro’s te maken en in te bedden in documenten, vooral in Microsoft Office-documenten. Deze macro’s, geschreven in een programmeertaal zoals Visual Basic for Applications (VBA), kunnen geautomatiseerde taken uitvoeren. In de context van cyberveiligheid wordt een macrobuilder gebruikt door cybercriminelen om malware te verspreiden.
Na grondig onderzoek, dat metadata en protocolinformatie omvatte maar beperkt werd door versleuteld verkeer, arresteerde het THTC de verdachte in een collegezaal. Bij een huiszoeking vonden ze bewijs, waaronder usb-sticks, een extra computer, en andere bezittingen die verband hielden met de strafbare feiten. Ze slaagden er ook in om relevante data van de laptop van de verdachte te halen, waaronder de broncode van de malware. De verdachte werd uiteindelijk onherroepelijk veroordeeld en ruim 20.000 euro aan cryptovaluta, gevonden tijdens de huiszoeking, werd in beslag genomen.
Bron:Tweakers.net