In een omvangrijke internationale operatie van politie en justitie in acht landen zijn dinsdag twaalf verdachten opgepakt die vermoedelijk deel uitmaken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde volgens de politie vernietigende ransomware-aanvallen uit op kritieke infrastructuur, zoals overheden en multinationals over de hele wereld, waaronder een Rotterdamse multinational.
Actiedag
Tijdens de actiedag zijn dinsdagochtend bij doorzoekingen in de Oekraïne en Zwitserland meer dan 52.000 dollar in contanten in beslag genomen, vijf luxe voertuigen en dure horloges. Verder zijn gegevensdragers als telefoons en laptops inbeslaggenomen. Bij een eerste onderzoek zijn hierop sporen gevonden die duiden op het verspreiden van de ransomware en de criminele infrastructuur achter die verspreiding.
Ook zijn volgens de politie sporen aangetroffen die kunnen leiden naar het verdiende criminele vermogen van de verdachten. Het merendeel van de verdachten wordt door Europol beschouwd als grote criminelen die in meerdere onderzoeken voorkomen. De aanvallen hebben vermoedelijk meer dan 1800 slachtoffers gemaakt in 71 landen.
Verschillende taken
De cybercriminelen achter de ransomware-aanvallen hadden verschillende functies in de professionele criminele organisatie. Zo hield een aantal van hen zich bezig met het binnendringen van het IT-netwerk door midden van gestolen toegangsgegevens en phishing-mails met kwaadaardige bijlagen. Anderen richten zich op het verkennen van het netwerk en het ontdekken van de zwakke plekken. Weer anderen verspreidden daadwerkelijk de ransomware.
Bitcoins
De criminelen maakten onder andere gebruik van LockerGoga-, MegaCortex- en Dharma-ransomware. Na de ransomware-aanval ontving het slachtoffer een bericht waarin een betaling in Bitcoin geëist werd in ruil voor de decoderingssleutels. Sommige verdachten sluisden de Bitcoin-betalingen door via mengdiensten voor ze de crimineel verkregen gelden opnamen. Het buitgemaakte geld werd vaak geïnvesteerd in middelen voor een volgende ransomware-aanval.
Potentiële slachtoffers gewaarschuwd
In Nederland startte het onderzoek in maart 2019 met de aangifte door een Rotterdamse multinational. Het onderzoek werd geleid door THTC (Team High Tech Crime), onder het gezag van het landelijk parket van het Openbaar Ministerie. Naast het in kaart brengen van de criminele organisatie achterhaalde THTC ook de identiteit van de verdachte van de ransomware-aanval op de Rotterdamse multinational. Daarnaast bracht het bitcoinbetalingen in beeld en waarschuwde het wereldwijd honderden potentiële slachtoffers, multinationals die de criminelen op het oog hadden of waarbij ze zelfs al waren binnengedrongen in het netwerk.
Bij de operatie waren ook de Noorse, Franse, Oekraïense, Schotse, Duitse en Zwitserse politie, het Franse OM, de FBI en United States Secret Service, de Britse National Crime Agency, Europol en Eurojust betrokken. In totaal reisden 55 buitenlandse rechercheurs af om de Oekraïense politie tijdens de actiedag te ondersteunen, waaronder vier Nederlandse digitaal specialisten.