Ransomware-bende opgerold wegens vernietigende aanvallen op kritieke infrastructuur
In een grote internationale operatie van politie en justitie in acht landen zijn 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cyber criminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld.
Deze criminele organisatie richtte zich op agressieve ontwrichting van vitale doelwitten. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen.
Click here for English.
De doorzoekingen van woningen van verdachten vonden voor dag en dauw plaats op 26 oktober in de Oekraïne en Zwitserland. Het merendeel van deze verdachten wordt door Europol beschouwd als grote criminelen die in meerdere onderzoeken voorkomen. Tijdens de actiedag zijn bij de doorzoekingen meer dan 52.000 dollar in contanten in beslag genomen, vijf luxe voertuigen en dure horloges. Verder zijn gegevensdragers als telefoons en laptops inbeslaggenomen. Bij een eerste onderzoek zijn hierop sporen gevonden die duiden op het verspreiden van de ransomware en de criminele infrastructuur achter die verspreiding. Ook zijn sporen aangetroffen die kunnen leiden naar het verdiende criminele vermogen van de verdachten.
Tikkende tijdbom van onontdekte malware
De verdachten achter de ransomware aanvallen, hadden verschillende functies in deze professionele criminele organisatie. Zo hield een aantal van hen zich bezig met het binnendringen van het IT-netwerk bijvoorbeeld met behulp van gestolen toegangsgegevens en phishing-mails met kwaadaardige bijlagen. Anderen richten zich op het verkennen van het netwerk en het ontdekken van de zwakke plekken. Weer anderen verspreidden daadwerkelijk de ransomware. De criminelen maakten onder andere gebruik van LockerGoga-, MegaCortex- en Dharma-ransomware.
Bitcoin-betalingen en mengdiensten
Na de ransomware aanval ontving het slachtoffer een bericht waarin een betaling in Bitcoin geëist werd in ruil voor de decoderingssleutels. Een aantal van de verdachten wordt verdacht van het witwassen van de buit: ze sluisden de Bitcoin-betalingen door via mengdiensten voor ze de crimineel verkregen gelden opnamen. Het buitgemaakte geld werd vaak geïnvesteerd in de aanschaf van middelen voor een volgende ransomware aanval.
Rol Nederland
In Nederland startte het onderzoek in maart 2019 met de aangifte door een multinational uit Rotterdam. Het Cybercrime team van de Eenheid Rotterdam en het Nationaal Cyber Security Centrum pakte het onderzoek in eerste instantie op en verzette enorm veel werk, onder andere in het waarschuwen van bedrijven (slachtoffernotificatie) waarvan het netwerk (mogelijk) besmet was. Na enige tijd nam THTC, Team High Tech Crime, (Landelijke Recherche van de Landelijke Eenheid) het onderzoek over, onder het gezag van het Landelijk Parket van het Openbaar Ministerie.
Belangrijkste doel van het THTC-onderzoek: het in kaart brengen van de criminele samenwerkingsverbanden achter deze ransomware aanvallen en (nog meer) kennis vergaren over hun aanpak. Daarnaast achterhaalde THTC de identiteit van de verdachte van de ransomware aanval op de Rotterdamse multinational, bracht het bitcoin betalingen in beeld en waarschuwde het wereldwijd honderden potentiële slachtoffers, multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk. Door deze waarschuwingen zijn nog meer losgeldafpersingen voorkomen.
“Het lukt criminelen achter ransomware-aanvallen heel lang onder de radar te blijven en zo, ongemerkt, enorm veel schade aan te richten aan personen, grote bedrijven en overheidsdiensten. Deze groeperingen zijn dan misschien minder gewelddadig dan drugscriminelen, maar ze zijn wel degelijk in staat onze maatschappij te ontwrichten. Ransomware aanvallen zijn echt een potentieel gevaar voor iedereen”, aldus Andy Kraag, hoofd Dienst Landelijke Recherche van de Landelijke Eenheid. “Alle reden dus voor ons om hier vol op in te zetten.”
Officier van justitie Wieteke Koorn: “Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware. Kwaadwillenden voeren gerichte aanvallen uit om losgeld te eisen. Intensief recherchewerk tot ver over de nationale grenzen laat zien dat politie en justitie ook deze cybercriminelen kunnen aanpakken.”
Internationale samenwerking
Internationale politiesamenwerking gecoördineerd en gefinancierd door Europol en Eurojust stond centraal in deze operatie. De slachtoffers bevonden zich in verschillende landen over de hele wereld. Op initiatief van Frankrijk startte in september 2019 een Joint Investigation Team (JIT). Naast Frankrijk zaten Noorwegen, het Verenigd Koninkrijk en Oekraïne hierin. De Nederlandse en Amerikaanse politie draaiden parallel zelfstandige onderzoeken en deelden hun kennis en informatie met de JIT-partners.
In totaal reisden er 55 buitenlandse rechercheurs af om de Oekraïense politie tijdens de actiedag te ondersteunen. Onder hen vier Nederlandse digitaal specialisten die helpen bij het veiligstellen van gegevensdragers. Deze operatie is uitgevoerd in het kader van het Europees Multidisciplinair Platform tegen Criminaliteitsdreiging (EMPACT).
De volgende handhavingsinstanties waren betrokken bij deze operatie:
- Noorwegen: Nationale Politie (Politet)
- Frankrijk: Openbaar Ministerie Parijs, National Police (Police Nationale)
- Nederland: Nationale Politie, Landelijk Parket van het Openbaar Ministerie
- Oekraïne: Oekraïense Nationale Politie (Національна поліція України)
- Verenigd Koninkrijk: Schotse Politie en de Nationale Recherche (National Crime Agency, NCA)
- Duitsland: Hoofdbureau van Politie te Reutlingen (Polizeipräsidium Reutlingen)
- Zwitserland: Federale Politie (fedpol)
- Verenigde Staten: United States Secret Service (USSS), Federal Bureau of Investigations (FBI)
- Europol: European Cybercrime Centre (EC3)
- Eurojust
Woordvoering: Landelijke Eenheid