De politie heeft woensdag naar buiten gebracht dat vorige week in Roemenië vier mensen zijn aangehouden voor het het wereldwijd infecteren van pc’s met ransomware waardoor pc’s van Windows-gebruikers alleen tegen betaling weer toegankelijk werden. Bij de invallen waren ook Nederlandse politiemensen aanwezig.
In 2015 gestart
De zoekingen vonden plaats op zes locaties in Roemenië. Laptops, gegevensdragers, documenten honderden sim-kaarten en een crypto currency mining-opstelling zijn in beslag genomen.
Bij een infectie met ransomware worden alle persoonlijke bestanden van de slachtoffers op de computer door de criminelen versleuteld. De criminelen persten de slachtoffers vervolgens af om hun bestanden tegen betaling terug te krijgen.
In Nederland startte het onderzoek naar CTB-Locker al in 2015. De ransomware werd veelvuldig verspreid via phishingmails die afkomstig leken te zijn van telecomprovider KPN. De politie heeft tijdens het onderzoek bijna 200 aangiften van CTB-Locker slachtoffers ontvangen. Het daadwerkelijke aantal slachtoffers van CTB-Locker in Nederland schat de politie vele malen hoger. In 2016 maakte CTB de meeste slachtoffers wereldwijd van alle ransomware, aldus beveiliigingsbedrijf McAfee.
De verdachten waren volgens de politie verantwoordelijk voor de verspreiding van CTB-Locker ransomware. Binnen de Roemeense groep zijn ook twee personen verdacht van het verspreiden van “Cerber” op een groot aantal computers in de Verenigde Staten. De United States Secret Service (USSS) deed onderzoek gestart naar deze Cerber ransomware.
Nederlandse server
In 2016 ontving THTC informatie dat een Nederlandse server betrokken zou zijn bij de verspreiding van het CTB-locker virus. THTC heeft vervolgens de server gekopieerd en onderzocht. Op de server werd broncode aangetroffen voor de verspreiding van phishingmails alsmede een groot aantal varianten van het CTB-Locker virus. Hierop is er een analyse gemaakt van de kwaadaardige bestanden. Om nog beter de werking van het virus te kunnen achterhalen, heeft ook computer securitybedrijf McAfee aanvullend onderzoek gedaan.
CTB-locker werd voor het eerst in 2014 gezien en was een van de eerste ransomware-families die Tor gebruikte om de Command en Control-infrastructuur te verbergen. Het virus richtte zich op bijna alle versies van Microsoft Windows.
Aan de operatie deden ook het Britse National Crime Agency, de FBI en Europol mee.
https://youtu.be/iP9Kr5T9FFs
Zie ook:
Opnieuw grote aanval met ransomware
Gijzelsoftware had ‘kill’-knop
Twitteraccount houdt inkomsten gijzelsoftware bij
Niet betalen aan software-gijzelaars
‘Smartphones kwetsbaar voor digitale criminelen’ (UPDATE)