In Operatie Endgame zijn deze week belangrijke spelers uitgeschakeld die een sleutelrol hadden in de internationale cybercriminaliteit: een van de grootste infostealers Rhadamanthys, een Remote Access Trojan (RAT) VenomRAT en botnet Elysium. “Door het neerhalen van de criminele infrastructuur is het hele businessmodel van veel cybercriminelen tegelijkertijd verstoord”, vertelt Stan Duijf, hoofd Operatiën van de Eenheid Landelijke Opsporing en Interventies.

Er zijn volgens Duijf honderdduizenden slachtoffers wereldwijd besmet geraakt door deze typen malware. De acties zijn onderdeel van Operatie Endgame die in 2022 gestart is, en is de grootste internationale operatie ooit in het bestrijden van ransomware en cybercrime wereldwijd.
In Operatie Endgame werken Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies en het Landelijk Parket nauw samen met de autoriteiten van Duitsland, Denemarken, de Verenigde Staten, Australië, Frankrijk, België, het Verenigd Koninkrijk en Canada – met ondersteuning van Europol en Eurojust.

Duizenden servers neergehaald

In de afgelopen dagen is een van de hoofdverdachten achter VenomRAT aangehouden in Griekenland en vonden er wereldwijd elf doorzoekingen plaats, waarvan negen in Nederlandse datacenters, één in Duitsland en één in Griekenland. Wereldwijd werden er 1025 servers neergehaald, waarvan 83 in Nederland en zijn twintig domeinnamen in beslag genomen. De hoofdverdachte achter de infostealer had vermoedelijk toegang tot meer dan 100.000 cryptowallets van miljoenen slachtoffers, ter waarde van mogelijk miljoenen euro’s.

Meer acties

Ook waren er acties gericht op criminele diensten. Er werd direct contact opgenomen met gebruikers van de criminele diensten om hen erop te wijzen dat zij zich schuldig maken aan strafbare feiten en hen op te roepen relevante informatie (over infostealers) te delen via een speciaal Telegram-kanaal: t.me/operationendgame. Naar deze gebruikers wordt nog verder onderzoek gedaan. Via de website www.operation-endgame.com werden de falende services van infostealers blootgelegd.

Infostealers, botnets en RAT’s

Infostealers en botnets behoren tot de meest gebruikte software wereldwijd om gevoelige persoonlijke informatie (zoals wachtwoorden en bankgegevens) van een apparaat te stelen. Deze diensten werken met een businessmodel waarbij een cybercrimineel een botnet (een netwerk van geïnfecteerde computers) koopt om vervolgens de controle over deze computers over te nemen en de gegevens ervan te verzamelen op hun eigen server. Een RAT is software waarmee je vanaf één basiscomputer kan ingeloggen en alle geregistreerde computers op afstand kan beheren. Cybercriminelen gebruiken deze software om de volledige controle te krijgen over een digitaal systeem.

Intensieve internationale samenwerking

Tien landen en meer dan 30 nationale en internationale publieke en private partijen bundelen hun krachten in deze gecoördineerde operatie waarbij botnets, infostealers en RAT’s aangepakt worden – alles wat cybercriminelen willen gebruiken om slachtoffers te maken. “De opsporingsdiensten en de cybersecuritysector hebben elkaar hard nodig om de digitale wereld zo veilig mogelijk te maken en houden”, vervolgt Duijf. “Daarom wordt er intensief samengewerkt met publieke en private partijen. Nationaal en internationaal hebben de partners Cryptolaemus, Shadowserver en het RolR, Spycloud, Cymru, Proofpoint, Trellix, Crowdstrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus en DIVD een belangrijke bijdrage geleverd. In Nederland is wederom samengewerkt met partners van het Melissa-samenwerkingsverband. Het is niet de eerste keer, en ook niet de laatste keer dat er acties binnen deze operatie plaatsvinden.”