In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld.
Deze criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen.
Oekraïne en Zwitserland
De doorzoekingen van woningen van verdachten vonden voor dag en dauw plaats op 26 oktober in de Oekraïne en Zwitserland. Het merendeel van deze verdachten wordt door Europol beschouwd als grote criminelen die in meerdere onderzoeken voorkomen.
Tijdens de actiedag zijn bij de doorzoekingen meer dan 52.000 dollar in contanten in beslag genomen, vijf luxe voertuigen en dure horloges. Verder zijn gegevensdragers als telefoons en laptops inbeslaggenomen. Bij een eerste onderzoek zijn hierop sporen gevonden die duiden op het verspreiden van de ransomware en de criminele infrastructuur achter die verspreiding. Ook zijn sporen aangetroffen die kunnen leiden naar het verdiende criminele vermogen van de verdachten.
Cyber kill chain in actie
De verdachten achter de ransomware aanvallen, hadden verschillende functies in deze professionele criminele organisatie. Zo hield een aantal van hen zich bezig met het binnendringen van het IT-netwerk bijvoorbeeld met behulp van gestolen toegangsgegevens en phishing-mails met kwaadaardige bijlagen. Anderen richten zich op het verkennen van het netwerk en het ontdekken van de zwakke plekken. Weer anderen verspreidden daadwerkelijk de ransomware.
De criminelen maakten onder andere gebruik van LockerGoga-, MegaCortex- en Dharma-ransomware.
Na de ransomware aanval ontving het slachtoffer een bericht waarin een betaling in Bitcoin geëist werd in ruil voor de decoderingssleutels.
Een aantal van de verdachten wordt verdacht van het witwassen van de buit: ze sluisden de Bitcoin-betalingen door via mengdiensten voor ze de crimineel verkregen gelden opnamen. Het buitgemaakte geld werd vaak geïnvesteerd in de aanschaf van middelen voor een volgende ransomware aanval.
Rol Nederland
In Nederland startte het onderzoek in maart 2019 met de aangifte door een multinational uit Rotterdam. Het Cybercrime team van de Eenheid Rotterdam en het Nationaal Cyber Security Centrum pakte het onderzoek in eerste instantie op en verzette enorm veel werk, onder andere in het waarschuwen van bedrijven (slachtoffernotificatie) waarvan het netwerk (mogelijk) besmet was. Na enige tijd nam THTC, Team High Tech Crime, (Landelijke Recherche van de Landelijke Eenheid) het onderzoek over, onder het gezag van het Landelijk Parket van het Openbaar Ministerie.
Belangrijkste doel van het THTC-onderzoek: het in kaart brengen van de criminele samenwerkingsverbanden achter deze ransomware aanvallen en (nog meer) kennis vergaren over hun aanpak. Daarnaast achterhaalde THTC de identiteit van de verdachte van de ransomware aanval op de Rotterdamse multinational, bracht het bitcoin betalingen in beeld en waarschuwde het wereldwijd honderden potentiële slachtoffers, multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen.
“Het lukt criminelen achter ransomware aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid. “Alle reden dus voor ons om hier vol op in te zetten.”
Officier van justitie Wieteke Koorn: “Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware. Kwaadwillenden voeren gerichte aanvallen uit om losgeld te eisen. Intensief recherchewerk tot ver over de nationale grenzen laat zien dat politie en justitie ook deze cybercriminelen kunnen aanpakken.”
Internationale politiesamenwerking
Internationale politiesamenwerking gecoördineerd en gefinancierd door Europol en Eurojust stond centraal in deze operatie. De slachtoffers bevonden zich in verschillende landen over de hele wereld. Op initiatief van Frankrijk startte in september 2019 een Joint Investigation Team (JIT). Naast Frankrijk zaten Noorwegen, het Verenigd Koninkrijk en Oekraïne hierin. De Nederlandse en Amerikaanse politie draaiden parallel zelfstandige onderzoeken en deelden hun kennis en informatie met de JIT-partners.
In totaal reisden er 55 buitenlandse rechercheurs af om de Oekraïense politie tijdens de actiedag te ondersteunen. Onder hen vier Nederlandse digitaal specialisten die helpen bij het veiligstellen van gegevensdragers.
De volgende handhavingsinstanties waren betrokken bij deze operatie:
- Noorwegen: Nationale Politie (Politet)
- Frankrijk: Openbaar Ministerie Parijs, National Police (Police Nationale)
- Nederland: Nationale Politie, Landelijk Parket van het Openbaar Ministerie
- Oekraïne: Oekraïense Nationale Politie (Національна поліція України)
- Verenigd Koninkrijk: Schotse Politie en de Nationale Recherche (National Crime Agency, NCA)
- Duitsland: Hoofdbureau van Politie te Reutlingen (Polizeipräsidium Reutlingen)
- Zwitserland: Federale Politie (fedpol)
- Verenigde Staten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI)
- Europol: European Cybercrime Centre (EC3)
- Eurojust
Deze operatie is uitgevoerd in het kader van het Europees Multidisciplinair Platform tegen Criminaliteitsdreiging (EMPACT).
Bron: anoniem, eurojust.europa.eu, europol.europa.eu, politie.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
"Bad guys sponsoren" Stelling: Ransomware moet uitgesloten worden van verzekeringsdekking
Nederlandse bedrijven sluiten wereldwijd de hoogste verzekeringen af tegen schade door ransomware-aanvallen. Gemiddeld zijn ze voor 5,77 miljoen euro gedekt voor gijzelsoftware. Dat is een hoger bedrag dan in de VS en Japan. Critici willen een verbod op de verzekeringen omdat ze naast de gevolgschade ook losgeld dekken. Daardoor houden ze het verdienmodel van cybercriminelen in stand, luidt de kritiek.
Verdwijning ransomware cybercriminelen 'REvil' een mysterie
De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.
Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer
Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen.
Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug
Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval?
11 miljoen, betalen aan cybercriminelen lijkt de norm!?
De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel.
Cybercrime kartels flink in opmars
Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten. De winst die wordt gemaakt met losgeld operaties wordt vaak gebruikt om zowel tactieken als malware te bevorderen om hun succes te vergroten.