Nederland speelt een opvallende rol in de wereldwijde infrastructuur van cybercriminaliteit. Dat betekent niet dat cybercriminelen hier massaal fysiek actief zijn, maar wel dat Nederlandse netwerken, datacenters en internetknooppunten structureel worden misbruikt als schakel in grootschalige cyberaanvallen. Recent onderzoek laat zien hoe aanvallers achter onder meer de WantToCry‑ransomware zich effectief weten te verschuilen achter ogenschijnlijk legitieme en alledaagse serveromgevingen.
Schijn bedriegt: twee systemen, maar een wereldwijde infrastructuur
Op het eerste gezicht lijkt de infrastructuur achter WantToCry uiterst beperkt. Analisten troffen herhaaldelijk slechts twee Windows‑hostnames aan: WIN‑J9D866ESIJ2 en WIN‑LIVFRVQFMKO. Zulke namen zijn typisch voor standaard Windows‑installaties en roepen geen directe argwaan op bij beheerders of beveiligingssystemen.
Nader onderzoek wijst echter uit dat deze hostnames slechts het zichtbare topje van de ijsberg vormen. In werkelijkheid maken ze deel uit van een veel grotere virtuele infrastructuur die wordt uitgerold met behulp van VMmanager, een legitieme virtualisatie‑ en beheertool van ISPsystem. Cybercriminelen gebruiken deze software om op grote schaal virtuele machines aan te maken en te beheren bij commerciële hostingproviders.
Geografische spreiding en Europese camouflage
De onderzochte hostnames komen het vaakst voor in Rusland, maar Nederland en Duitsland volgen direct daarna. Die verdeling is geen toeval. Europese landen met sterke digitale infrastructuren en goede internationale connectiviteit zijn aantrekkelijk voor cybercriminelen, juist omdat verkeer vanuit deze landen minder snel als verdacht wordt aangemerkt.
Nederland en Duitsland huisvesten met AMS‑IX en DE‑CIX twee van de grootste internetknooppunten ter wereld. Deze knooppunten zijn essentieel voor legitiem internetverkeer, maar vormen tegelijkertijd een ideale omgeving voor kwaadwillenden die hun activiteiten willen laten opgaan in de massa.
Bulletproof hosting en dubieuze aanbieders
Een belangrijk onderdeel van deze constructie is het gebruik van zogeheten bulletproof hostingproviders. Dit zijn hostingpartijen die meldingen van misbruik negeren of nauwelijks controleren wat klanten met hun infrastructuur doen.
Een voorbeeld is Zomro, formeel een besloten vennootschap met een vestiging in Enschede. Opvallend is dat communicatie en ondersteuning uitsluitend in het Engels of Oekraïens plaatsvinden. Daarnaast speelt Stark Industries Solutions Limited een prominente rol. Dit bedrijf werd opgericht vlak vóór de Russische inval in Oekraïne in februari 2022 en staat inmiddels bekend als een problematische cloudleverancier. Ook First Server Limited wordt in verband gebracht met activiteiten die gelinkt zijn aan Russische statelijke hackers.
Gratis Windows‑licenties als aanvalsmiddel
De virtuele machines draaien veelal op een Windows‑versie die 180 dagen gratis gebruikt mag worden. Dit verlaagt de kosten en drempels voor cybercriminelen aanzienlijk. Door steeds nieuwe VM’s aan te maken, kunnen zij langdurig opereren zonder licentiekosten en zonder direct op te vallen.
Uit waarnemingen blijkt dat vier specifieke hostnames verantwoordelijk zijn voor ongeveer 95 procent van alle VMmanager‑virtuele machines binnen deze context. Deze infrastructuur wordt niet door één enkele groep gebruikt, maar door meerdere beruchte cybercriminele collectieven, waaronder LockBit, Conti, Qilin, WantToCry en BlackCat/ALPHV. Deze groepen overlappen deels in leden en werkwijzen, wat verklaart waarom dezelfde technische aanpak steeds terugkomt.
Tussenpersonen en darkweb‑marktplaatsen
De hackers beheren de infrastructuur zelden rechtstreeks. Zelfs bij bulletproof hosting is het strategisch slimmer om extra lagen in te bouwen. In deze keten fungeert MasterRDP (ook bekend als rdp.monster) als tussenpartij. Deze aanbieder verkoopt toegang tot kant‑en‑klare Windows‑systemen via darkweb‑fora.
De aanwijzingen suggereren dat MasterRDP zelf grootschalig virtuele machines huurt via ISPsystem‑technologie en deze vervolgens doorverkoopt aan cybercriminelen. Daardoor blijven zowel de eindgebruikers als de daadwerkelijke aanvallers buiten beeld van de hostingprovider.
Legitieme tools, kwaadaardig gebruik
Het misbruik van legitieme software is geen uitzondering, maar eerder de norm binnen moderne cybercriminaliteit. Voor aanvallers is het logisch om gebruik te maken van algemeen geaccepteerde tools en diensten: ze zijn betrouwbaar, schaalbaar en wekken minder argwaan.
Dit stelt organisaties voor een lastig dilemma. Wanneer bepaalde tooling of infrastructuur opvallend vaak voorkomt bij ernstige cyberincidenten, ligt het voor de hand om deze te blokkeren. Tegelijkertijd kan dat botsen met een open of pragmatisch netwerkbeleid, zeker wanneer de tools ook legitieme toepassingen hebben.
Indicatoren voor verdedigers
Voor cyberverdedigers biedt de herhaling van dezelfde hostnames wel degelijk houvast. Een verbinding met één van deze vier veelgebruikte hostnames is niet automatisch bewijs van een aanval, maar de correlatie met zware ransomware‑groepen is uitzonderlijk hoog.
Wanneer dergelijke hostnames opduiken in logbestanden, kan dat een vroege indicatie zijn van een compromis of lopende aanval. In combinatie met andere signalen kan dit waardevolle tijd opleveren om in te grijpen voordat schade ontstaat.
Conclusie
Nederland fungeert niet bewust als toevluchtsoord voor cybercriminelen, maar is door zijn sterke digitale positie wel aantrekkelijk als infrastructuur hub. Het onderzoek onderstreept hoe moeilijk het is om kwaadwillende activiteiten te onderscheiden van legitiem verkeer wanneer aanvallers gebruikmaken van algemeen geaccepteerde tools, gratis licenties en meerdere tussenlagen. Voor organisaties en beveiligingsteams betekent dit dat context, correlatie en inzicht in infrastructuur belangrijker zijn dan ooit.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack