Internationale opsporingsdiensten ontmantelen infostealers

Aanleiding van het onderzoek door Team Cybercrime is een tip van het beveiligingsbedrijf ESET Nederland over de in Nederland aanwezige servers in relatie tot malware. Het onderzoek werd onder leiding van het Openbaar Ministerie Parket Limburg ruim een jaar geleden opgestart. Door dit onderzoek heeft Team Cybercrime zicht gekregen op de technische infrastructuur van de infostealers, de gebruikte communicatiekanalen en het volledige gebruikersbestand.

Infostealer

Een infostealer is een vorm van malware die ontwikkeld is om gegevens van computers van slachtoffers te stelen. Via onder andere downloads van software uit onbetrouwbare bronnen worden slachtoffers besmet. Vervolgens worden ongemerkt gevoelige gegevens zoals inloggegevens, financiële informatie, e-mails en systeeminformatie van de computer van het slachtoffer gestolen en doorgestuurd naar de crimineel. De buitgemaakte gegevens kunnen door de criminelen verkocht worden of gebruikt worden voor onder andere identiteitsdiefstal, financiële fraude en ransomware. Ransomware is een virus dat je computer of bestanden blokkeert totdat je betaalt om deze terug te krijgen.

RedLine en META

RedLine en META behoren tot de meest bekende infostealers wereldwijd met miljoenen slachtoffers en zijn al jaren actief. In het onderzoek zijn duizenden afnemers van deze dienst in beeld gekomen die op hun beurt zelfstandig slachtoffers hebben gemaakt. De buitgemaakte data wordt verhandeld of rechtstreeks misbruikt bij het plegen van andere cybercriminaliteit, zoals hacking of diefstal van data of cryptovaluta.

Internationale samenwerking

Vanwege de wereldwijde verspreiding van de malware werden internationaal de krachten gebundeld in de Joint Cybercrime Action Taskforce (J-CAT). Hierin werken de autoriteiten van Nederland, de Verenigde Staten, het Verenigd Koninkrijk, België, Portugal en Australië met ondersteuning van Europol en Eurojust samen. Tot op heden is door de autoriteiten van de Verenigde Staten één beheerder in staat van beschuldiging gesteld en zijn door de Belgische politie twee personen aangehouden. Een persoon is inmiddels weer in vrijheid gesteld, de andere persoon zit nog vast. Dit betreft een afnemer van de infostealer. Ook heeft doorzoeking plaatsgevonden in diens woning. De in beslag genomen data wordt onderzocht. Vervolgacties en aanhoudingen zijn niet uitgesloten.

Telegram

Met behulp van de internationale opsporingsdiensten is bewerkstelligd dat meerdere Telegram accounts uit de lucht zijn gehaald. De infostealers RedLine en META werden via deze groepen aangeboden aan de afnemers. Tot voor kort was Telegram een dienst waar criminelen zich onaantastbaar en anoniem waanden. Uit deze actie is gebleken dat dat niet meer het geval is. Hiermee is een gevoelige en flinke slag toegebracht in de criminele wereld. Het offline halen van deze groepen heeft gemaakt dat de verkoop van de stealers RedLine en META is platgelegd.

Impact

Met gebruikmaking van de hackbevoegdheid is de politie met een technisch hoogstandje in staat geweest de infrastructuur van de beide infostealers offline te halen. Hierdoor functioneert de malware niet meer en is het niet mogelijk om nieuwe data van (geïnfecteerde) slachtoffers te stelen. Op basis van het veiliggestelde klantenbestand vindt vervolgonderzoek naar de afnemers van deze dienst plaats. Daarnaast is er direct naar deze criminelen gecommuniceerd over deze actie, waarbij de mogelijkheid is geboden om contact op te nemen met de politie voor het delen van informatie.

Hoe voorkom je dat je slachtoffer wordt?

Download verstandig

• Haal software alleen van officiële bronnen
• Wees extra alert bij ‘gratis’ versies van betaalde software

Houd je antivirussoftware actief

• Zorg voor een betrouwbare up-to-date antivirusoplossing
• Schakel deze nooit uit om een programma te kunnen installeren

Denk na voor je klikt

• Wees extra voorzichtig met te mooie aanbieden

Gebruik een wachtwoordmanager

• Sla wachtwoorden niet op in je browser
• Gebruik een wachtwoordmanager
• Maak sterke en unieke wachtwoord

Houd alles up-to-date

• Zorg voor de nieuwste versies van systemen, browsers en apps
• Schakel automatische updates in

Activeer inloggen in twee stappen (2FA)

• Een authenticatie-app is veiliger dan SMS-verificatie

Vertrouw op je intuïtie

• Als iets te mooi lijkt om waar te zijn, is dat waarschijnlijk ook zo
• Neem de tijd om aanbieden verzoeken te (laten) controleren

Hoe weet je dat je slachtoffer bent geworden?

Mocht je willen controleren of je besmet bent met een de infostealer RedLine of META, gebruik dan de detectietool die door ESET is ontwikkeld. Meer informatie over deze actie en de detectietool vind je op de website www.operation-magnus.com.

Algemene tips
Onverwachte accountactiviteit

• Inlogpogingen op vreemde tijden of locaties

Financiële onregelmatigheden

• Onverklaarbare transacties op je rekening of creditcard

Wachtwoord problemen

• Je kunt plotseling niet meer inloggen op je accounts

Verdachte e-mails

• Contacten ontvangen spam die van jou lijkt te komen

Datalek meldingen

• Je ontvangt een bericht dat je gegevens zijn aangetroffen in een datalek

Onverwachte software

• Nieuwe programma’s of browser-extenties die je niet hebt geïnstalleerd

Wat doe je als je slachtoffer bent geworden?
Verander zo snel mogelijk je wachtwoorden en activeer inloggen in twee stappen. Doe altijd aangifte! Iedere aangifte draagt bij aan het verzamelen van waardevolle informatie die helpt bij het opsporen van daders en het voorkomen van nieuwe slachtoffers. Dit kan via www.politie.nl of een politiebureau in de buurt.