Beveiligingnieuws Logo

Onze partners

HD Security

Seris

Trigion

Alarm Meldnet

Milestone

ARAS

Securitas

Traka ASSA ABLOY

GFT

CardAccess

Bydemes

Akuvox

Nenova

BHVcertificaat.online

G4S

RoSecure

Nimo Drone Security

SOBA

Service Centrale Nederland

De Beveiligingsjurist

ASSA ABLOY

Kiwa

VVNL

SMC Alarmcentrale

VEB

Oribi ID Solutions

Top Security

CDVI

EAL

Avigilon Alta

Ajax Systems

Gold-IP

Genetec

HID

Hanwha Vision Europe

NIBHV

CSL

20face

DZ Technologies

NetworxConnect

VAIBS

OSEC

Eizo

Bosch Security Systems

Masset Solutions

Connect Security

Dero Security Products

Secusoft

Unii

Centurion

ADI

SmartSD

Optex

Hikvision

PG Security Systems

Crown Security Services

2N

Paxton

Paraat

Advancis

Seagate

Brivo

Add Secure

IDIS

Lobeco

Sequrix

Uniview

i-Pro

Regio Control Veldt

SmartCell

ASIS

JMB Groep

VBN

Explicate

Eagle Eye Networks

Nimo Dog Security

VideoGuard

Multiwacht

Alphatronics

Ransomwarebende opgerold na aanvallen op vitale infrastructuur

29 oktober 2021
Redactie
14:39

In een grote internationale operatie van politie en justitie in acht landen zijn twaalf verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de vitale infrastructuur, zoals overheden en multinationals over de hele wereld.

De criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen. De doorzoekingen van woningen van verdachten vonden voor dag en dauw plaats op 26 oktober in Oekraïne en Zwitserland. Het merendeel van de verdachten wordt door Europol beschouwd als grote criminelen die in meerdere onderzoeken voorkomen.

Inbeslagnames
Tijdens de actiedag zijn bij de doorzoekingen meer dan 52.000 dollar in contanten in beslag genomen, evenals vijf luxe voertuigen en dure horloges. Verder zijn gegevensdragers als telefoons en laptops inbeslaggenomen. Bij een eerste onderzoek zijn hierop sporen gevonden die duiden op het verspreiden van de ransomware en de criminele infrastructuur achter die verspreiding. Ook zijn sporen aangetroffen die kunnen leiden naar het verdiende criminele vermogen van de verdachten.

Tikkende tijdbom 
De verdachten achter de ransomware-aanvallen, hadden verschillende functies in deze professionele criminele organisatie. Zo hield een aantal van hen zich bezig met het binnendringen van het IT-netwerk, bijvoorbeeld met behulp van gestolen toegangsgegevens en phishing-mails met kwaadaardige bijlagen. Anderen richten zich op het verkennen van het netwerk en het ontdekken van de zwakke plekken. Weer anderen verspreidden de daadwerkelijk de ransomware. De criminelen maakten onder andere gebruik van LockerGoga-, MegaCortex- en Dharma-ransomware.

Bitcoin-betalingen en mengdiensten
Na de ransomware aanval ontving het slachtoffer een bericht waarin een betaling in bitcoin geëist werd in ruil voor de decoderingssleutels. Een aantal van de verdachten wordt verdacht van het witwassen van de buit: ze sluisden de bitcoin-betalingen door via mengdiensten voor ze de crimineel verkregen gelden opnamen. Het buitgemaakte geld werd vaak geïnvesteerd in de aanschaf van middelen voor een volgende ransomware-aanval.

Rol Nederland
In Nederland startte het onderzoek in maart 2019 met de aangifte door een multinational uit Rotterdam. Het Cybercrime team van de Eenheid Rotterdam en het Nationaal Cyber Security Centrum pakte het onderzoek in eerste instantie op en verzette enorm veel werk, onder andere in het waarschuwen van bedrijven (slachtoffernotificatie) waarvan het netwerk (mogelijk) besmet was. Na enige tijd nam THTC, Team High Tech Crime, (Landelijke Recherche van de Landelijke Eenheid) het onderzoek over, onder het gezag van het Landelijk Parket van het Openbaar Ministerie.

Criminele samenwerkingsverbanden
Het belangrijkste doel van het THTC-onderzoek was het in kaart brengen van de criminele samenwerkingsverbanden achter de ransomware-aanvallen en (nog meer) kennis vergaren over hun aanpak. Daarnaast achterhaalde THTC de identiteit van de verdachte van de ransomware-aanval op de Rotterdamse multinational, bracht het bitcoin-betalingen in beeld en waarschuwde het wereldwijd honderden potentiële slachtoffers, multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen.

Een potentieel gevaar voor iedereen
“Het lukt criminelen achter ransomware-aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware-aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid. “Alle reden dus voor ons om hier vol op in te zetten.”

Internationale samenwerking cruciaal
Internationale politiesamenwerking gecoördineerd en gefinancierd door Europol en Eurojust stond centraal in deze operatie. De slachtoffers bevonden zich in verschillende landen over de hele wereld. Op initiatief van Frankrijk startte in september 2019 een Joint Investigation Team (JIT). Naast Frankrijk zaten Noorwegen, het Verenigd Koninkrijk en Oekraïne hierin. De Nederlandse en Amerikaanse politie draaiden parallel zelfstandige onderzoeken en deelden hun kennis en informatie met de JIT-partners.
Officier van justitie Wieteke Koorn: “Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware. Kwaadwillenden voeren gerichte aanvallen uit om losgeld te eisen. Intensief recherchewerk tot ver over de nationale grenzen laat zien dat politie en justitie ook deze cybercriminelen kunnen aanpakken.”

Handhavingsinstanties
In totaal reisden er 55 buitenlandse rechercheurs af om de Oekraïense politie tijdens de actiedag te ondersteunen. Onder hen vier Nederlandse digitaalspecialisten die helpen bij het veiligstellen van gegevensdragers. Deze operatie is uitgevoerd in het kader van het Europees Multidisciplinair Platform tegen Criminaliteitsdreiging (EMPACT). Bij de operatie waren de volgende handhavingsinstanties betrokken: Noorwegen: Nationale Politie (Politet), Frankrijk: Openbaar Ministerie Parijs, National Police (Police Nationale), Nederland: Nationale Politie, Landelijk Parket van het Openbaar Ministerie, Oekraïne: Oekraïense Nationale Politie (Національна поліція України), Verenigd Koninkrijk: Schotse Politie en de Nationale Recherche (National Crime Agency, NCA), Duitsland: Hoofdbureau van Politie te Reutlingen (Polizeipräsidium Reutlingen), Zwitserland: Federale Politie (fedpol), Verenigde Staten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI), Europol: European Cybercrime Centre (EC3) en Eurojust.

Deel dit artikel via:

Vlog 8

Premium partners

Videoguard

Seagate

Suricat

SequriX

Wordt een partner