In Roemenië zijn vorige week bij invallen vijf personen aangehouden die verdacht worden van het verspreiden van ransomware. De aanhoudingen zijn het resultaat van een internationale politieactie, waarbij het Nederlandse Team High Tech Crime betrokken was.
Europol meldt dat Roemeense autoriteiten drie personen hebben opgepakt die worden verdacht van het verspreiden van CTB-Locker, ransomware die vanaf 2014 met name in Europa rondgaat. De verdachten zouden zelf niet de makers zijn van de ransomware, maar deze hebben afgenomen bij andere ontwikkelaars. Europol spreekt van een ransomware-as-a-service-model, waarbij de afnemers dertig procent van de opbrengsten moeten afdragen aan de ontwikkelaars.
Het onderzoek naar CTB-Locker werd in Nederland in 2015 gestart. Tijdens dat onderzoek kreeg de politie bijna tweehonderd aangiften van slachtoffers, maar het daadwerkelijke aantal slachtoffers in Nederland wordt veel hoger ingeschat. De ransomware werd verspreid via een phisingmails die afkomstig leken te zijn van KPN.
Het Team High Tech Crime van de Nederlandse politie kreeg in 2016 informatie dat een Nederlandse server betrokken zou zijn bij de verspreiding van CTB-Locker. THTC heeft die server gekopieerd en onderzocht. Op de server stond broncode voor de verspreiding van phisingmails en een groot aantal varianten van CTB-Locker. Het team van de Nederlandse politie heeft ook beveiligingsbedrijf McAfee onderzoek laten uitvoeren.
Nadat het Nederlandse onderzoek leidde tot verdenking van een groepering in Roemenië, is de informatie overgedragen aan de Roemeense politie, die de verdachten heeft gearresteerd. Op zes locaties vonden doorzoekingen plaats, daarbij zijn laptops, documenten, honderden simkaarten en een mining-opstelling voor cryptocurrency in beslag genomen.
Bij de doorzoekingen zijn ook twee andere verdachten aangehouden, die behoren tot dezelfde groepering, maar verdacht worden van het verspreiden van Cerber-ransomware in de VS. Aanvankelijk ging het om een los onderzoek, maar toen ontdekt werd dat het om dezelfde groepering ging, zijn internationale politiediensten samen gaan werken.
De internationale operatie was uiteindelijk het resultaat van een gezamenlijk onderzoek door de Roemeense politie en het Roemeense Openbaar Ministerie, het Team High Tech Crime van de Nederlandse politie, het Nederlands Openbaar Ministerie, de Britse National Crime Agency, de FBI, de Amerikaanse Secret Service en het European Cyber Crime Center van Europol.
De verdachten die zijn aangehouden worden in Roemenië vervolgd. Het internationale onderzoek gaat verder en richt zich op het zoeken naar andere verspreiders en de daadwerkelijke makers van CTB-Locker. De ransomware verscheen in 2014 voor het eerst en was een van de eerste varianten die Tor gebruikt om zijn command and control-infrastructuur te maskeren.
/i/2000918374.png?f=fpa)
:strip_exif()/i/2002231359.jpeg?f=fpa)
/i/2001462189.png?f=fpa)
:strip_exif()/i/1317201694.gif?f=fpa)
/i/1213015486.png?f=fpa)
:strip_icc():strip_exif()/u/140070/kalief.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/511209/ima.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/417493/crop58174774d1256.jpeg?f=community){kind=small}
/u/336463/crop61a6352d9866b_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/310769/biohazard2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/517301/crop5db71a623244f_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/6105/crop5864bdfc59eeb_cropped.jpeg?f=community){kind=small}
/u/334974/dislike.png?f=community){kind=small}
:strip_icc():strip_exif()/u/63985/Image1.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/897689/crop59858667cdfe6_cropped.jpeg?f=community){kind=small}