Opnieuw criminele infrastructuur ontmanteld in internationale ransomware-operatie

Gebied: Driebergen

In Operatie Endgame zijn deze week belangrijke spelers uitgeschakeld die een sleutelrol hadden in de internationale cybercriminaliteit: een van de grootste infostealers Rhadamanthys, een Remote Access Trojan (RAT) VenomRAT en botnet Elysium. ‘Door het neerhalen van de criminele infrastructuur is het hele businessmodel van veel cybercriminelen tegelijkertijd verstoord, vertelt Stan Duijf, hoofd Operatiën van de eenheid Landelijke Opsporing en Interventies. ‘Er zijn honderdduizenden slachtoffers wereldwijd besmet geraakt door deze typen malware. De acties zijn onderdeel van operatie Endgame dat in 2022 gestart is, en is de grootste internationale operatie ooit in het bestrijden van ransomware en cybercrime wereldwijd.’

In operatie Endgame werken Team High Tech Crime van de eenheid Landelijke Opsporing en Interventies en het Landelijk Parket nauw samen met de autoriteiten van Duitsland, Denemarken, de Verenigde Staten, Australië, Frankrijk, België, het Verenigd Koninkrijk en Canada - met ondersteuning van Europol en Eurojust.

Aanhouding in Griekenland en duizenden servers neergehaald

In de afgelopen dagen is een van de hoofdverdachten achter VenomRAT aangehouden in Griekenland en vonden er wereldwijd 11 doorzoekingen plaats, waarvan 9 in Nederlandse datacenters, 1 in Duitsland en 1 in Griekenland. Wereldwijd werden er 1025 servers neergehaald, waarvan 83 in Nederland en zijn 20 domeinnamen in beslag genomen. De hoofdverdachte achter de infostealer had vermoedelijk toegang tot meer dan 100.000 cryptowallets van miljoenen slachtoffers, ter waarde van mogelijk miljoenen euro’s.

Meer acties

Ook waren er acties gericht op criminele diensten. Er werd direct contact opgenomen met gebruikers van de criminele diensten om hen erop te wijzen dat zij zich schuldig maken aan strafbare feiten en hen op te roepen relevante informatie (mbt infostealers) te delen via een speciaal Telegram-kanaal: t.me/operationendgame. Via de website www.operation-endgame.com werden de falende services van infostealers blootgelegd.

Infostealers, botnets en RAT's

Infostealers en botnets behoren tot de meest gebruikte software wereldwijd om gevoelige persoonlijke informatie (zoals wachtwoorden en bankgegevens) van een apparaat te stelen. Deze diensten werken met een businessmodel waarbij een cybercrimineel een botnet (een netwerk van geïnfecteerde computers) koopt om vervolgens de controle over deze computers over te nemen en de gegevens ervan te verzamelen op hun eigen server. Een RAT is software waarmee vanaf één basiscomputer kan worden ingelogd en alle geregistreerde computers op afstand kan beheren. Cybercriminelen gebruiken deze software om de volledige controle te krijgen over een digitaal systeem.

Intensieve internationale samenwerking

Tien landen en meer dan 30 nationale en internationale publieke en private partijen bundelen hun krachten in deze gecoördineerde operatie waarbij botnets, infostealers en RAT’s aangepakt worden – alles wat cybercriminelen willen gebruiken om slachtoffers te maken. ‘De opsporingsdiensten en de cybersecuritysector hebben elkaar hard nodig om de digitale wereld zo veilig mogelijk te maken en houden’, vervolgt Stan Duijf. ‘Daarom wordt er intensief samengewerkt met publieke en private partijen. Nationaal en Internationaal hebben de partners Cryptolaemus, Shadowserver en het RolR, Spycloud, Cymru, Proofpoint, Trellix, Crowdstrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus en DIVD een belangrijke bijdrage geleverd. In Nederland is wederom samengewerkt met partners van het Melissa-samenwerkingsverband. Het is niet de eerste keer, en ook niet de laatste keer dat er acties binnen deze operatie plaatsvinden.’

Is jouw computer besmet?

Wereldwijd zijn meer dan 600.000 slachtoffers geïnfecteerd door deze ontmantelde malwaretypes en tientallen miljoenen gegevens van slachtoffers gestolen. Door de Nederlandse politie zijn de gestolen gegevens van computergebruikers (e-mailadressen en inloggegevens) inmiddels veiliggesteld en ontoegankelijk gemaakt. Op www.politie.nl/checkjehack kun je nagaan of jouw inloggegevens voorkomen in de set, en wat je moet doen als jouw computer besmet blijkt te zijn. De politie raadt aan dit over een paar weken nog een keer te checken, omdat er opnieuw inloggegevens worden toegevoegd aan de database van de politie.