Hoe een Utrechtse ICT-student veranderde in een malware-verkoper
Terwijl de ene rechercheur van het Team High Tech Crime op de schouder van de Utrechtse ICT-student Marco van A. tikte, griste de ander zijn draaiende laptop onder zijn handen vandaan. Een paar verbaasde ogenblikken later escorteerden vijf rechercheurs hem de volle collegezaal uit, zonder dat hij zijn sporen kon wissen.
Vandaag, een jaar later, hoorde de inmiddels 21-jarige Utrechter anderhalf jaar cel tegen zich eisen, waarvan een jaar onvoorwaardelijk. Hij wordt verdacht van het maken van een programma waarmee internetcriminelen virussen in Word- en Excel-documenten kunnen verstoppen.
Het is voor het eerst dat er in Nederland iemand wordt vervolgd voor het verkopen van een programma waarin geen virus zit, maar dat wel kan worden gebruikt voor het verspreiden ervan.
Je hoeft het niet meer zelf te doen, je gaat gewoon naar de cyberdealer.
Cybercrime-onderzoekers en de overheid maken zich al langer zorgen om de ontwikkeling van dit soort kant-en-klare tools. "Je hoeft het als crimineel allemaal niet meer zelf te doen", aldus officier van justitie Wieteke Koorn. "Je gaat gewoon naar de cyberdealer."
Ransomware-verspreiders
Van A. verkocht zijn programma op verschillende websites, waaronder een populair Russisch hackforum. De prijzen varieerden van honderd tot vele honderden euro's per maand die kopers moesten neertellen.
Zeker vijftien keer gingen verschillende varianten van zijn software - met verschillende namen, waaronder Rubella en Dryad - over de toonbank. Onder de geïnteresseerden waren onder meer verspreiders van de GandCrab-ransomware, stelt onderzoeker John Fokker van McAfee, die de politie hielp bij het onderzoek. Die ransomware maakte duizenden slachtoffers in Nederland.
Excel- en Word-documenten zijn populair voor het verstoppen van virussen, omdat slachtoffers de bestanden niet snel als verdacht aanmerken. Ook de aanval op de Universiteit Maastricht begon met een virus dat in een Excel-sheet was verstopt.
"Tussen 2011 en 2017 zagen we dertien van dit soort verkopers", zegt Rolf van Wegberg van de TU Delft, die cybercrime-transacties op illegale handelsplaatsen onder de loep nam. Zij wisten hun programma's samen minimaal vijfhonderd keer te verkopen, maar waarschijnlijk vaker.
Ambities
In 2017 moest de Utrechtse ICT-student nog beginnen aan zijn programmaatje, maar hij had ambities. "De meeste van dit soort programma's zijn heel slecht", schreef hij in 2018 op een hackerforum, "dus besloot ik om een goede te maken." De dan nog 20-jarige eerstejaarsstudent bouwt onder meer een functionaliteit in om virusscanners en slachtoffers om de tuin te leiden.
Ik kan nu al voor een horloge van vijfduizend euro gaan.
De activiteiten leggen hem geen windeieren. "Ik kan nu al voor een horloge van vijfduizend euro gaan", schept de twintiger op in een chat tegen een vriend. Ook zegt hij later dat hij "de 30.000 euro die hij nu heeft" moet zien wit te wassen. Er komt zoveel geld binnen dat hij twijfelt of hij niet een bijbaan moet zoeken, om argwaan bij zijn ouders te vermijden.
Allemaal grootspraak, zegt de advocaat van de verdachte, maar vast staat dat in de bitcoin-wallets van de Utrechter ruim 20.000 euro is aangetroffen.
Onderzoekers
Maar terwijl de zaken hem voor de wind gaan, komen onderzoekers hem op het spoor. Op een conferentie van virusonderzoekers wordt over hem gesproken en beveiligingsbedrijven brengen zijn activiteiten in kaart.
"Wat opviel is hoe snel het kan gaan", zegt Fokker van McAfee. "In 2014 stelde hij nog vragen over zijn internetverbinding en een paar jaar later verkoopt hij ineens hacktools."
Een 'schrikbarend snelle' leercurve, zegt Fokker, maar hij liet ook steekjes vallen. Zo had hij zijn systeemtaal ingesteld op Nederlands, ontdekte Fokker. "Dat maakt je zoekgebied opeens een stuk kleiner, want relatief weinig mensen spreken dat."
Interesse
De Utrechter bekent dat hij achter de programmaatjes zit, maar zegt ook nooit criminelen te hebben willen helpen. "Hij handelde puur uit interesse, van jongs af aan", aldus zijn advocaat.
Bovendien heeft Van A. zelf geen ransomware of andere virussen in zijn programmaatjes gestopt, benadrukt ze. Wel heeft hij te weinig rekening gehouden met het kwaad dat criminelen ermee konden doen.
Hoe dan ook is het jammer dat het zo ver heeft moeten komen, vindt onderzoeker Fokker. "Het is jammer dat we er als maatschappij niet in zijn geslaagd om zo iemand op het rechte pad te houden."
De rechtbank doet uitspraak op 19 maart.
Meer horen over deze zaak? Beluister de Techpodcast:
