Politie haalt netwerken van ransomware-criminelen neer, ook invallen in Nederland
Bij een grote internationale politieactie is belangrijke infrastructuur van ransomware-criminelen platgelegd. In Nederlandse datacentra heeft de politie tientallen servers in beslag genomen. Daarop draaiden programma's om in te breken bij bedrijven, waarna afpersers hun data konden vergrendelen.
De politie spreekt zelf van de grootste operatie ooit in de strijd tegen ransomware. Bij de actie waren veertien landen betrokken. Er zijn vier mensen aangehouden, in Oekraïne en Armenië.
De politiediensten hebben vijf verschillende botnets neergehaald, die over de hele wereld gebruikt werden voor cybercriminaliteit. Een botnet is een netwerk van computers die zijn geïnfecteerd met kwaadaardige software. Die zet de digitale deur van gedupeerden stiekem open.
Criminelen kopen deze toegang tot andermans computersystemen, onder meer om ransomware-aanvallen uit te voeren. Ze 'gijzelen' dan belangrijke data van hun slachtoffers en geven die pas weer vrij na het betalen van losgeld.
Honderden miljoenen buit
Via de nu ontmantelde botnets waren wereldwijd miljoenen computers besmet. Vervolgens hebben criminelen met ransomware-aanvallen honderden miljoenen euro's buit kunnen maken. "En dat is een voorzichtige schatting", zegt Stan Duijf van de Eenheid Landelijke Opsporing en Interventies van de politie.
Hoeveel aanvallen er zijn uitgevoerd, is niet bekend. Wel staat vast dat er ook in Nederland slachtoffers zijn. Volgens de politie zijn onder andere onderwijsinstellingen, ziekenhuizen en bedrijven getroffen door gijzelsoftware.
Nederlandse servers
De politie heeft deze week meer dan honderd servers in beslag genomen waar de botnets op draaiden. Daarvan stonden 33 servers in Nederlandse datacentra. Criminelen maken vaak gebruik van opslagruimte in Nederland, omdat hier goed en snel internet ligt en veel hostingbedrijven zijn.
Deze aanbieders van online opslagruimte weten vaak niet wat er op hun servers gebeurt. De situatie is volgens de politie te vergelijken met de verhuur van fysieke opslagruimte: de verhuurder kan controleren aan wie hij verhuurt, maar weet niet wat voor spullen iemand in een opslagbox neerzet en mag daar ook niet zomaar kijken.
Ontwrichtend
Al jaren zijn ransomware-aanvallen een groot probleem. Vorig jaar telde de politie en beveiligingsbedrijven 147 gelukte aanvallen in Nederland. Dat is vermoedelijk nog maar het topje van de ijsberg, omdat veel bedrijven geen aangifte doen uit angst voor imagoschade. In Duitsland, waar het verplicht is om een ransomware-aanval te melden, waren vorig jaar 4000 incidenten.
Stan Duijf van de Nederlandse politie noemt het fenomeen "ontzettend ontwrichtend". "Soms ligt de hele bedrijfsvoering wekenlang stil. Daarnaast vragen criminelen zeer hoge losgeldbedragen, waardoor je ook financieel flink getroffen wordt als instantie, bedrijf of zelfs particulier."
Tijdens de recente actie heeft de politie meer dan tienduizend computersystemen kunnen 'ontsmetten'. Deze computers waren geïnfecteerd, maar nog niet aangevallen door ransomware-criminelen. De politie heeft de kwaadaardige software op afstand onschadelijk gemaakt.
Een besmetting vindt plaats door te klikken op een valse link in een phishing-mail. De organisaties achter de botnets hebben honderden miljoenen van dit soort mails verstuurd. Op de site van de politie kunnen mensen controleren of hun emailadres geraakt is en deel uitmaakte van de ontmantelde botnets. Dan zijn extra veiligheidsmaatregelen nodig.
Buiten schot
Het neerhalen van botnets is volgens de politie cruciaal in de strijd tegen gijzelsoftware, maar tijdens deze actie blijven de afpersers zelf vooralsnog buiten schot. De politie schat dat wereldwijd honderden ransomware-groepen actief zijn. Zij opereren vaak vanuit Rusland en Oost-Europese landen, waar ze uit handen kunnen blijven van de Europese en Amerikaanse politie.
Toch worden ze met dit soort acties wel degelijk geraakt, zegt Duijf. "Het kost jaren om zo'n botnet weer op te bouwen en ook veel geld." De politie heeft tijdens de actie ook 69 miljoen euro aan cryptovaluta bevroren, die een van de hoofdverdachten zou hebben verdiend met cybercriminaliteit. Het is de bedoeling dit bedrag in beslag te nemen.
Volgens de politie is 'Operation Endgame', zoals de actie is gedoopt, ook nog niet ten einde. De politie wil nog meer botnets gaan aanpakken en daarnaast de ransomware-criminelen zelf opsporen.