Meerdere botnets ontmanteld in grootste internationale operatie tegen ransomware ooit

In een eerste gecoördineerde, internationale operatie van opsporingsautoriteiten zijn sinds dinsdag 28 mei meerdere botnets ontmanteld die een sleutelrol hadden in de wereldwijde cybercriminaliteit. Het gaat om de botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee.

Stockfoto Endgame

In de afgelopen dagen werden er ook vier aanhoudingen en zestien doorzoekingen wereldwijd gedaan, waaronder 1 doorzoeking in Nederland. Daarnaast werden acht dagvaardingen tegen verdachten uitgebracht. Het is de grootste operatie ooit in het bestrijden van botnets betrokken bij ransomware wereldwijd, door het neerhalen van deze botnets en de verstoring van de gehele infrastructuur van vele cybercriminelen tegelijkertijd. Naar schatting loopt de financiële schade die deze criminelen aangericht hebben bij bedrijven en overheidsinstellingen in de honderden miljoenen euro’s. Miljoenen particulieren zijn ook slachtoffer geworden omdat hun systemen waren geïnfecteerd, waardoor ze onderdeel werden van deze botnets. Deze grootschalige actie heeft de naam ‘Operation Endgame’.

Meer dan 100 servers offline gehaald en 2000 domeinen overgenomen

In Nederland leidde de operatie met gezamenlijke inspanningen van Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies en diverse politie-eenheden, onder leiding van het Openbaar Ministerie, tot het offline halen van 33 servers in verschillende datacentra. Wereldwijd zijn er meer dan 100 computerservers offline gehaald, en werden er meer dan 2000 domeinnamen overgenomen. Van de verschillende botnets konden meer dan tienduizend geïnfecteerde computersystemen ontsmet worden door de-installatie van de malware. Uit de onderzoeken bleek dat een van de hoofdverdachten 69 miljoen euro aan cryptovaluta heeft verdiend met zijn criminele activiteiten en hier wordt beslag op gelegd zodra dit mogelijk is.

De gezamenlijke acties werden uitgevoerd door de autoriteiten in de Nederland, Duitsland, Frankrijk, Denemarken, Verenigde Staten, en het Verenigd Koninkrijk met ondersteuning van Europol en Eurojust. Daarnaast zijn er ook, met medewerking van de genoemde autoriteiten, politieacties geweest in Oekraïne, Zwitserland, Armenië, Portugal, Roemenië, Canada, Litouwen en Bulgarije voor het aanhouden of verhoren van verdachten, doorzoekingen of het in beslag nemen en neerhalen van servers.

Operation Endgame eindigt niet na vandaag. Op de website www.operation-endgame.com zullen nieuwe acties aangekondigd worden. Ook worden verdachten van deze - maar ook andere botnets - die nog niet aangehouden konden worden, direct aangesproken op hun acties. En geven we criminelen en getuigen de mogelijkheid om contact op te nemen met de politie.

Grootschalige acties

Na de eerdere ontmantelingen van onder meer botnets Emotet en Qakbot, bundelden de opsporingsdiensten hun krachten in de grootste internationale operatie tot nog toe, bestaande uit zeven onderzoeken naar verschillende verdachten en botnets. De criminele organisaties achter de botnets verspreidden al jaren malware via honderden miljoenen phishingmails en vormden zo een omvangrijk en complex netwerk waarmee computersystemen van slachtoffers misbruikt konden worden. Het gaat om het IcedID botnet, Smokeloader botnets, SystemBC botnets, Pikabot, Trickbot en de restanten van het Bumblebee botnet.

Het afgelopen jaar zijn naar schatting wereldwijd enkele miljoenen geïnfecteerde computers geïdentificeerd. Internationaal en nationaal is er samengewerkt met meerdere private partijen. Internationaal hebben de partners Cryptolaemus, Abuse.ch, Sekoia, Shadowserver, Team Cymru, Prodaft and Proofpoint een belangrijke bijdrage geleverd. In Nederland is er ook samengewerkt met partners van het Melissa-samenwerkingsverband: NFIR, Computest, Northwave en Fox-IT.

Ransomware-aanvallen mogelijk dankzij botnets

Een botnet is een netwerk van met malware geïnfecteerde computers. Wat botnets zo gevaarlijk maakt, is dat de geïnfecteerde malware als het ware de deur opent voor andere vormen van cybercrime. Een besmetting van een computer met malware komt vaak tot stand via een phishingaanval per e-mail, waarbij het slachtoffer wordt verleid om op een malafide link of bestand te klikken. De gebruikers van de geïnfecteerde computers zijn zich niet bewust van de besmetting met de malware.

Botnets maken het voor cybercriminelen mogelijk om vooral ransomware-aanvallen uit te voeren maar ook om financiële fraude en andere misdrijven te plegen. Ransomware is gijzelsoftware waarmee criminelen zich toegang verschaffen tot een computer en ervoor zorgen dat de eigenaar nergens meer bij kan. Om het systeem weer in te kunnen of om te voorkomen dat de criminelen privacygevoelige informatie lekken, vragen ze losgeld (‘ransom’), bijvoorbeeld in bitcoins.

Check of je gegevens veilig zijn

Alle slachtofferdata van de botnets uit deze actie, worden gedeeld met No More Leaks. Hierdoor worden klanten of medewerkers van aangesloten bedrijven gewaarschuwd als hun inloggegevens onveilig zijn of als uitgelekt bekend staan. Alle slachtofferdata wordt ook beschikbaar gesteld via het NCSC, internationale partners en via organisaties als DIVD, HaveIBeenPwned en Spamhaus. Door de Nederlandse politie zijn de gestolen gegevens van computergebruikers (e-mailadressen en inloggegevens) veiliggesteld. Op www.politie.nl/checkjehack kun je nagaan of jouw inloggegevens voorkomen in de op dit moment nagekeken dataset uit dit onderzoek.

Ben je slachtoffer van ransomware?

Dan is het belangrijk om aangifte of een melding te doen. Als criminelen betaald zijn geeft dat de politie ook belangrijke informatie. Melding doen kan via de politiewebsite, meld misdaad anoniem of bij een politiebureau bij je in de buurt.

Meer informatie

Operatie Endgame - Wereldwijde actie tegen cybercrime