DEN HAAG, Nederland – De politie heeft, in samenwerking met justitie en politiediensten van de Europese Unie, computernetwerken platgelegd die verantwoordelijk zijn voor de verspreiding van ransomware via geïnfecteerde e-mails, in wat zij de grootste internationale operatie ooit tegen deze lucratieve vorm van cybercriminaliteit noemden.
De politie heeft vier belangrijke verdachten gearresteerd, meer dan honderd servers platgelegd en de controle over ruim tweeduizend internetdomeinen overgenomen, zei Eurojust, het agentschap voor justitiële samenwerking van de Europese Unie, donderdag.
De massale takedown van deze week, met de codenaam Endgame, omvatte gecoördineerde acties in Duitsland, Nederland, Frankrijk, Denemarken, Oekraïne, de Verenigde Staten en het Verenigd Koninkrijk, aldus Eurojust. Ook in Oekraïne werden drie verdachten gearresteerd en één in Armenië. Europol voegde eraan toe dat er huiszoekingen zijn uitgevoerd in Oekraïne, Portugal, Nederland en Armenië.
Het is de nieuwste internationale operatie gericht op het verstoren van malware- en ransomware-operaties. Eurojust zei dat dit volgde op een grootschalige verwijdering in 2021 van een botnet genaamd Emotet. Een botnet is een netwerk van gekaapte computers dat doorgaans wordt gebruikt om kwaadaardige activiteiten uit te voeren.
Europol beloofde dat dit niet de laatste aanval zou zijn.
“Operatie Endgame eindigt vandaag niet. Nieuwe maatregelen zullen worden aangekondigd op de website van Operatie Endgame”, aldus Europol in een verklaring.
De Nederlandse politie zegt dat de financiële schade die het netwerk aan overheden, bedrijven en individuele gebruikers veroorzaakt, wordt geschat op honderden miljoenen euro’s.
“Miljoenen mensen zijn ook het slachtoffer omdat hun systemen zijn geïnfecteerd, waardoor ze onderdeel zijn geworden van deze botnets”, aldus de Nederlandse verklaring.
Eurojust zei dat een van de hoofdverdachten cryptocurrency ter waarde van minstens 69 miljoen euro ($74 miljoen) heeft verkregen door criminele infrastructuur te leasen om ransomware te verspreiden.
Europol voegde hieraan toe: “De transacties van de verdachte worden voortdurend gemonitord en er is al wettelijke toestemming verkregen om beslag te leggen op deze activa bij toekomstige actie.”
De operatie was gericht op malware genaamd IcedID, Pikabot, Smokeloader, Bumblebee en Trickbot. Een dropper is malware die zich doorgaans verspreidt in e-mails die geïnfecteerde links of bijlagen bevatten, zoals verzendfacturen of bestelformulieren.
“Deze aanpak had een wereldwijde impact op het dropper-ecosysteem. De malware, waarvan de infrastructuur tijdens de dagen van het evenement werd verwijderd, faciliteerde aanvallen met behulp van ransomware en andere malware”, aldus Europol.
Ben Jones, CEO van Searchlight Cyber, een bedrijf dat informatie levert op het dark web, prees de operatie als een voorbeeld van hoe internationale samenwerking cybercriminaliteit kan bestrijden.
“Terwijl cybercriminelen voorheen hun vermogen om over de grenzen heen te opereren gebruikten om de arm van gerechtigheid te ontwijken, bewijzen operaties als Endgame – gecoördineerd in meerdere rechtsgebieden – dat deze ontwijkingstactiek onhoudbaar is”, zei Jones in een commentaar per e-mail aan The Associated Press. “Het internet breidt zich uit en de toegang tot ‘veilige zones’ voor cybercriminele activiteiten wordt steeds moeilijker.”
De Nederlandse politie zegt dat deze maatregelen cybercriminelen moeten waarschuwen voor de mogelijkheid van arrestatie.
“Deze operatie laat zien dat je altijd sporen achterlaat en dat er zelfs op internet niemand te vinden is”, zegt Stan Duif van de Nationale Politie in een videoverklaring.
Plaatsvervangend hoofd van de Duitse federale recherche, Martina Lenk, omschreef de operatie als “de grootste internationale cyberpolitie-operatie tot nu toe”.
“Dankzij uitgebreide internationale samenwerking was het mogelijk om zes van de grootste malwarefamilies onschadelijk te maken”, aldus het bedrijf in een verklaring.
De Duitse autoriteiten willen zeven mensen arresteren op verdenking van lidmaatschap van een criminele organisatie die de Trickbot-malware wil verspreiden. Een achtste persoon wordt ervan verdacht een van de leiders te zijn van de groep achter de Smokeloader.
Europol zei dat het de acht door Duitsland gezochte verdachten aan de meest gezochte lijst zou toevoegen.
___
Associated Press-schrijver Geir Molson in Berlijn heeft bijgedragen aan dit rapport.
“Trotse twitterliefhebber. Introvert. Hardcore alcoholverslaafde. Levenslange voedselspecialist. Internetgoeroe.”
