In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld.
Deze criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen.
Oekraïne en Zwitserland
De doorzoekingen van woningen van verdachten vonden voor dag en dauw plaats op 26 oktober in de Oekraïne en Zwitserland. Het merendeel van deze verdachten wordt door Europol beschouwd als grote criminelen die in meerdere onderzoeken voorkomen.
Tijdens de actiedag zijn bij de doorzoekingen meer dan 52.000 dollar in contanten in beslag genomen, vijf luxe voertuigen en dure horloges. Verder zijn gegevensdragers als telefoons en laptops inbeslaggenomen. Bij een eerste onderzoek zijn hierop sporen gevonden die duiden op het verspreiden van de ransomware en de criminele infrastructuur achter die verspreiding. Ook zijn sporen aangetroffen die kunnen leiden naar het verdiende criminele vermogen van de verdachten.
Cyber kill chain in actie
De verdachten achter de ransomware aanvallen, hadden verschillende functies in deze professionele criminele organisatie. Zo hield een aantal van hen zich bezig met het binnendringen van het IT-netwerk bijvoorbeeld met behulp van gestolen toegangsgegevens en phishing-mails met kwaadaardige bijlagen. Anderen richten zich op het verkennen van het netwerk en het ontdekken van de zwakke plekken. Weer anderen verspreidden daadwerkelijk de ransomware.
De criminelen maakten onder andere gebruik van LockerGoga-, MegaCortex- en Dharma-ransomware.
Na de ransomware aanval ontving het slachtoffer een bericht waarin een betaling in Bitcoin geëist werd in ruil voor de decoderingssleutels.
Een aantal van de verdachten wordt verdacht van het witwassen van de buit: ze sluisden de Bitcoin-betalingen door via mengdiensten voor ze de crimineel verkregen gelden opnamen. Het buitgemaakte geld werd vaak geïnvesteerd in de aanschaf van middelen voor een volgende ransomware aanval.
Rol Nederland
In Nederland startte het onderzoek in maart 2019 met de aangifte door een multinational uit Rotterdam. Het Cybercrime team van de Eenheid Rotterdam en het Nationaal Cyber Security Centrum pakte het onderzoek in eerste instantie op en verzette enorm veel werk, onder andere in het waarschuwen van bedrijven (slachtoffernotificatie) waarvan het netwerk (mogelijk) besmet was. Na enige tijd nam THTC, Team High Tech Crime, (Landelijke Recherche van de Landelijke Eenheid) het onderzoek over, onder het gezag van het Landelijk Parket van het Openbaar Ministerie.
Belangrijkste doel van het THTC-onderzoek: het in kaart brengen van de criminele samenwerkingsverbanden achter deze ransomware aanvallen en (nog meer) kennis vergaren over hun aanpak. Daarnaast achterhaalde THTC de identiteit van de verdachte van de ransomware aanval op de Rotterdamse multinational, bracht het bitcoin betalingen in beeld en waarschuwde het wereldwijd honderden potentiële slachtoffers, multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen.
“Het lukt criminelen achter ransomware aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid. “Alle reden dus voor ons om hier vol op in te zetten.”
Officier van justitie Wieteke Koorn: “Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware. Kwaadwillenden voeren gerichte aanvallen uit om losgeld te eisen. Intensief recherchewerk tot ver over de nationale grenzen laat zien dat politie en justitie ook deze cybercriminelen kunnen aanpakken.”
Internationale politiesamenwerking
Internationale politiesamenwerking gecoördineerd en gefinancierd door Europol en Eurojust stond centraal in deze operatie. De slachtoffers bevonden zich in verschillende landen over de hele wereld. Op initiatief van Frankrijk startte in september 2019 een Joint Investigation Team (JIT). Naast Frankrijk zaten Noorwegen, het Verenigd Koninkrijk en Oekraïne hierin. De Nederlandse en Amerikaanse politie draaiden parallel zelfstandige onderzoeken en deelden hun kennis en informatie met de JIT-partners.
In totaal reisden er 55 buitenlandse rechercheurs af om de Oekraïense politie tijdens de actiedag te ondersteunen. Onder hen vier Nederlandse digitaal specialisten die helpen bij het veiligstellen van gegevensdragers.
De volgende handhavingsinstanties waren betrokken bij deze operatie:
- Noorwegen: Nationale Politie (Politet)
- Frankrijk: Openbaar Ministerie Parijs, National Police (Police Nationale)
- Nederland: Nationale Politie, Landelijk Parket van het Openbaar Ministerie
- Oekraïne: Oekraïense Nationale Politie (Національна поліція України)
- Verenigd Koninkrijk: Schotse Politie en de Nationale Recherche (National Crime Agency, NCA)
- Duitsland: Hoofdbureau van Politie te Reutlingen (Polizeipräsidium Reutlingen)
- Zwitserland: Federale Politie (fedpol)
- Verenigde Staten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI)
- Europol: European Cybercrime Centre (EC3)
- Eurojust
Deze operatie is uitgevoerd in het kader van het Europees Multidisciplinair Platform tegen Criminaliteitsdreiging (EMPACT).
Bron: anoniem, eurojust.europa.eu, europol.europa.eu, politie.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Ransomware in Nederland: Groeiende bedreiging voor organisaties en privacy
Reading in 🇬🇧 or another language
De alarmerende stijging van ransomware-aanvallen: een toename van 73%
Reading in 🇬🇧 or another language
Ransomware in 2024: Opkomende trends en recente ontwikkelingen
Reading in 🇬🇧 or another language
De strijd tegen LockBit: Technologische vooruitgang en Internationale triomf
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De internationale overwinning op LockBit ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
Een strijd van wilskracht: De afname van losgeldbetalingen en de toekomst van ransomware
EN: Click here and choose your language using Google's translation bar at the top of this page ↑