In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld.
Deze criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen.
Oekraïne en Zwitserland
De doorzoekingen van woningen van verdachten vonden voor dag en dauw plaats op 26 oktober in de Oekraïne en Zwitserland. Het merendeel van deze verdachten wordt door Europol beschouwd als grote criminelen die in meerdere onderzoeken voorkomen.
Tijdens de actiedag zijn bij de doorzoekingen meer dan 52.000 dollar in contanten in beslag genomen, vijf luxe voertuigen en dure horloges. Verder zijn gegevensdragers als telefoons en laptops inbeslaggenomen. Bij een eerste onderzoek zijn hierop sporen gevonden die duiden op het verspreiden van de ransomware en de criminele infrastructuur achter die verspreiding. Ook zijn sporen aangetroffen die kunnen leiden naar het verdiende criminele vermogen van de verdachten.
Cyber kill chain in actie
De verdachten achter de ransomware aanvallen, hadden verschillende functies in deze professionele criminele organisatie. Zo hield een aantal van hen zich bezig met het binnendringen van het IT-netwerk bijvoorbeeld met behulp van gestolen toegangsgegevens en phishing-mails met kwaadaardige bijlagen. Anderen richten zich op het verkennen van het netwerk en het ontdekken van de zwakke plekken. Weer anderen verspreidden daadwerkelijk de ransomware.
De criminelen maakten onder andere gebruik van LockerGoga-, MegaCortex- en Dharma-ransomware.
Na de ransomware aanval ontving het slachtoffer een bericht waarin een betaling in Bitcoin geëist werd in ruil voor de decoderingssleutels.
Een aantal van de verdachten wordt verdacht van het witwassen van de buit: ze sluisden de Bitcoin-betalingen door via mengdiensten voor ze de crimineel verkregen gelden opnamen. Het buitgemaakte geld werd vaak geïnvesteerd in de aanschaf van middelen voor een volgende ransomware aanval.
Rol Nederland
In Nederland startte het onderzoek in maart 2019 met de aangifte door een multinational uit Rotterdam. Het Cybercrime team van de Eenheid Rotterdam en het Nationaal Cyber Security Centrum pakte het onderzoek in eerste instantie op en verzette enorm veel werk, onder andere in het waarschuwen van bedrijven (slachtoffernotificatie) waarvan het netwerk (mogelijk) besmet was. Na enige tijd nam THTC, Team High Tech Crime, (Landelijke Recherche van de Landelijke Eenheid) het onderzoek over, onder het gezag van het Landelijk Parket van het Openbaar Ministerie.
Belangrijkste doel van het THTC-onderzoek: het in kaart brengen van de criminele samenwerkingsverbanden achter deze ransomware aanvallen en (nog meer) kennis vergaren over hun aanpak. Daarnaast achterhaalde THTC de identiteit van de verdachte van de ransomware aanval op de Rotterdamse multinational, bracht het bitcoin betalingen in beeld en waarschuwde het wereldwijd honderden potentiële slachtoffers, multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen.
“Het lukt criminelen achter ransomware aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid. “Alle reden dus voor ons om hier vol op in te zetten.”
Officier van justitie Wieteke Koorn: “Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware. Kwaadwillenden voeren gerichte aanvallen uit om losgeld te eisen. Intensief recherchewerk tot ver over de nationale grenzen laat zien dat politie en justitie ook deze cybercriminelen kunnen aanpakken.”
Internationale politiesamenwerking
Internationale politiesamenwerking gecoördineerd en gefinancierd door Europol en Eurojust stond centraal in deze operatie. De slachtoffers bevonden zich in verschillende landen over de hele wereld. Op initiatief van Frankrijk startte in september 2019 een Joint Investigation Team (JIT). Naast Frankrijk zaten Noorwegen, het Verenigd Koninkrijk en Oekraïne hierin. De Nederlandse en Amerikaanse politie draaiden parallel zelfstandige onderzoeken en deelden hun kennis en informatie met de JIT-partners.
In totaal reisden er 55 buitenlandse rechercheurs af om de Oekraïense politie tijdens de actiedag te ondersteunen. Onder hen vier Nederlandse digitaal specialisten die helpen bij het veiligstellen van gegevensdragers.
De volgende handhavingsinstanties waren betrokken bij deze operatie:
- Noorwegen: Nationale Politie (Politet)
- Frankrijk: Openbaar Ministerie Parijs, National Police (Police Nationale)
- Nederland: Nationale Politie, Landelijk Parket van het Openbaar Ministerie
- Oekraïne: Oekraïense Nationale Politie (Національна поліція України)
- Verenigd Koninkrijk: Schotse Politie en de Nationale Recherche (National Crime Agency, NCA)
- Duitsland: Hoofdbureau van Politie te Reutlingen (Polizeipräsidium Reutlingen)
- Zwitserland: Federale Politie (fedpol)
- Verenigde Staten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI)
- Europol: European Cybercrime Centre (EC3)
- Eurojust
Deze operatie is uitgevoerd in het kader van het Europees Multidisciplinair Platform tegen Criminaliteitsdreiging (EMPACT).
Bron: anoniem, eurojust.europa.eu, europol.europa.eu, politie.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Logistiek bedrijf in Brabant betaalt losgeld na infectie door ransomware
De Brabantse logistiek dienstverlener 'Van der Helm Logistics' heeft cybercriminelen losgeld betaald nadat bestanden door de Lockbit-ransomware waren versleuteld. De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan. Dat laat het bedrijf tegenover De Volkskrant weten.
Minister: "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd"
Minister van Justitie en Veiligheid Ferd Grapperhaus vraagt verzekeraars om het losgeld dat cybercriminelen eisen bij ransomware niet langer te vergoeden. De minister is van mening dat de geleden schade als gevolg van het niet-betalen van het losgeld het uitgangspunt moet zijn van verzekeraars. Door het gevraagde losgeld te vergoeden, werken ze cybercriminaliteit in de hand.
2,3 miljoen dollar aan cybercriminelen betaald
Wisselkantoor Travelex betaalde 2,3 miljoen dollar aan cybercriminelen na een ransomware-aanval. De systemen van Travelex werden begin januari versleuteld door ransomware. Travelex heeft cyberecriminelen betaald om verloren data terug te krijgen blijkt uit bronnen van The Wall Street Journal.
Organisaties lopen flink risico om geraakt te worden door ransomware
Organisaties lopen flink risico om geraakt te worden door ransomware én de impact kan dan groot zijn. Dit geven IT’ers aan in het 2020-securityonderzoek van AG Connect ‘Reageren op ransomware’, wat is uitgevoerd vlak voordat de coronacrisis uitbrak in Nederland.
Grootste energiebedrijf van Portugal getroffen door ransomware
'Energias de Portugal (EDP)', het grootste energiebedrijf van Portugal, is op tweede paasdag getroffen door ransomware. De aanvallers claimen dat ze tien terabyte aan data van de servers van EDP hebben gestolen en dreigen die openbaar te maken tenzij het bedrijf 10 miljoen euro losgeld betaalt, zo melden beveiligingsonderzoekers Vitali Kremez en 'MalwareHunterTeam' op Twitter.
"Sterke toename van het aantal aanvallen met ransomware op ziekenhuizen" zegt Interpol
Er is een sterke toename van het aantal aanvallen met ransomware op ziekenhuizen en medische instellingen, zo stelt Interpol, dat zowel ziekenhuizen als politiediensten in 194 landen voor de verhoogde dreiging heeft gewaarschuwd.