Met het uit de lucht halen van servers achter de agressieve malware Emotet is een belangrijke slag geslagen in de strijd tegen cybercriminaliteit. De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd.

Het uit de lucht halen gebeurde deze week in de omvangrijke internationale politieoperatie LadyBird. Daarin werken de Landelijke Eenheid en het Landelijk Parket in Nederland samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen. Twee hoofdservers stonden in Nederland en één daarbuiten.

Sleutelrol
Emotet vervulde de afgelopen jaren een sleutelrol binnen het cybercriminele landschap. Het is een zogenoemde ‘modulaire malwarefamilie’ die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is. Een besmetting van een computer met Emotet-malware komt vaak tot stand via een phishingaanval per e-mail. Daarbij wordt het slachtoffer verleid om op een malafide link te klikken, bijvoorbeeld in een pdf-bestand, of een Word-bestand met macro’s te openen. De cybercriminelen achter Emotet gebruikten verschillende soorten ‘lokaas’ om nietsvermoedende gebruikers te misleiden en te laten toehappen om de kwaadaardige bijlagen te openen. Zo deden zij het afgelopen jaar bijvoorbeeld alsof er in e-mailbijlages informatie over COVID-19 zat.

Open deur voor andere malware
Eén van de dingen die Emotet zo gevaarlijk maakt, is dat het als het ware de deur opent voor andere soorten malware. Grote criminele groepen kregen tegen betaling toegang tot een deel van die systemen om hun eigen malware op te installeren. Concrete voorbeelden hiervan zijn de financiële malware Trickbot en de ransomware Ryuk.
De schade veroorzaakt door Emotet loopt wereldwijd in de honderden miljoenen euro’s. Inmiddels, zo blijkt uit Nederlands onderzoek, zijn er wereldwijd ruim 1 miljoen door Emotet geïnfecteerde computersystemen bekend. Daarnaast zijn in het onderzoek 600.000 e-mailadressen met wachtwoorden aangetroffen.

Hackbevoegdheid
De criminele organisatie achter Emotet verspreidde de malware via een omvangrijk en complex netwerk van honderden servers. Sommige servers werden gebruikt om grip te houden op reeds geïnfecteerde slachtoffers en gegevens door te verkopen, andere om nieuwe slachtoffers te maken, en weer andere servers werden gebruikt om politie en beveiligingsbedrijven op afstand te houden.
Een diepgaand en innovatief rechercheonderzoek bracht uiteindelijk de hele infrastructuur in kaart. Twee van de drie hoofdservers bleken in Nederland te staan, de derde in het buitenland. Deze week is het gelukt om de controle over dit netwerk over te nemen en de Emotet-malware te deactiveren. Op de Nederlandse centrale servers wordt een software-update geplaatst voor alle geïnfecteerde computersystemen. Alle geïnfecteerde computersystemen halen de update daar automatisch op, waarna de Emotet-besmetting in quarantaine wordt geplaatst.
De politie heeft gebruik gemaakt van haar hackbevoegdheid om de cybercriminele infrastructuur van Emotet binnen te dringen en te onderzoeken. Gelijktijdig in alle betrokken landen tot actie overgaan was nodig om het netwerk effectief te kunnen ontmantelen en eventuele wederopbouw ervan te dwarsbomen.

De Emotet-checker
De internationale politieoperatie heeft ervoor gezorgd dat de Emotet-besmetting niet langer actief is op de computers van slachtoffers. Met de Emotet-checker kunnen consumenten en systeembeheerders van bedrijven en organisaties nagaan of eigen apparaten en netwerken besmet zijn en wat je dan kunt doen. Mogelijk zijn er namelijk via Emotet nog tal van andere malafide software, zoals Trickbot en Ryuk, actief op deze apparaten. Er worden verder tips gegeven voor veilig computergebruik.

Goed georganiseerde criminele organisatie
Het OM en de politie startten in juli 2019 met een strafrechtelijk onderzoek naar Emotet. Het onderzoek naar de criminele organisatie die Emotet ontwikkelt en verspreidt, is nog in volle gang. De verdenking tegen betrokkenen is onder meer computervredebreuk en het stelen van persoonsgegevens. Het is nog niet bekend om hoeveel personen het precies gaat. Wel is duidelijk dat de groep goed georganiseerd is en snel inspeelt op veranderende omstandigheden. Dit geeft aan hoe professioneel deze criminele groepen zijn. Politie en justitie dienen daarom evenredig over middelen en experts te kunnen beschikken.
Op enkele onderzochte servers zijn back-up bestanden aangetroffen. Met behulp van dergelijke back-ups kunnen de daders bij eventueel neerhalen van hun criminele infrastructuur relatief snel weer operationeel zijn. De politie hoopt met deze operatie een eventuele wederopbouw van Emotet ernstig te bemoeilijken.

Internationale samenwerking
Internationale samenwerking is een absolute voorwaarde voor succes tegen dergelijke mondiaal georganiseerde cybercrime organisaties.
Het Landelijk Parket en de Landelijke Eenheid staan in deze operatie sinds begin 2020 via Europol en Eurojust in nauw contact met Duitsland, Frankrijk, het Verenigd Koninkrijk, de Verenigde Staten, Canada, Oekraïne en Litouwen. Ook wordt samengewerkt met diverse private partijen en non-profitorganisaties en met het Nederlandse National Cyber Security Centre.
De internationale samenwerking van publieke en private organisaties is gericht op het identificeren en vervolgen van verdachten, verzamelen van bewijs, afpakken van virtuele valuta en het stoppen, verstoren en voorkomen van zware misdrijven. Het strafrechtelijk handhaven van de rechtsorde in de digitaal verbonden wereld is van groot belang. Het is essentieel voor het vertrouwen van burgers in digitale technologie en onze rechtsstaat.

Bron: Openbaar Ministerie