Nederlandse politie neemt server van DarkSide-ransomwaregroepering in beslag

De Nederlandse politie heeft een server van de DarkSide-groepering in beslag genomen en daarmee terabytes aan gestolen data verkregen. DarkSide zat ook achter de aanval op een Amerikaans bedrijf voor oliepijpleidingen, maar daar is geen data van verkregen.

De data die op de server van DarkSide stond, was niet versleuteld en de politie kon de informatie daarom onderzoeken. De politie trof geen gegevens over de recente aanval op de Colonial Pipeline Company aan. Dat schrijft het FD, dat met de politie sprak over de actie. De geruchtmakende aanval op de infrastructuur van het Amerikaanse bedrijf had tot gevolg dat een belangrijke oliepijplijn moest worden stilgelegd. Achter de aanval zou een relatief nieuwe Russische groepering met de naam DarkSide zitten, die 100GB aan data van het pijpleidingbedrijf wist buit te maken.

De politie trof wel data van een niet nader genoemde Nederlands techbedrijf aan. Dit bedrijf werd eerder door ransomware getroffen, maar de schade bleek mee te vallen omdat het bedrijf goede back-ups had. Volgens de politie had het bedrijf zijn data ook terug kunnen krijgen via de in beslag genomen server. Niet bekend is om welk techbedrijf het gaat en wanneer deze aanval plaatsvond.

Volgens Sander van der Maden, strategisch adviseur bij het Team High Tech Crime van de politie, maken cybercriminelen bovengemiddeld gebruik van de infrastructuur van Nederlandse webhosters, onder andere door de snelle en stabiele internetverbindingen die deze bedrijven bieden.

Half mei maakte DarkSide zelf bekend dat het zijn blog, betaalserver en server voor het content delivery network niet meer kon bereiken via ssh en dat zijn hostingpartner liet weten dat de blokkade op last van de autoriteiten was ingesteld. Mogelijk ging het daarbij om de actie van de Nederlandse politie. Beveiligingsbedrijf Intel 471 schreef destijds over deze mededeling van de groepering.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 02-07-2021 14:08 43

02-07-2021 • 14:08

43

Lees meer

Amerikaanse overheid looft 10 miljoen dollar uit voor DarkSide-ransomwarebende
Amerikaanse overheid looft 10 miljoen dollar uit voor DarkSide-ransomwarebende Nieuws van 5 november 2021
'Olympus Europa is getroffen door BlackMatter-ransomware'
'Olympus Europa is getroffen door BlackMatter-ransomware' Nieuws van 13 september 2021
Kledingwinkel Guess meldt datalek aan klanten na ransomware-aanval
Kledingwinkel Guess meldt datalek aan klanten na ransomware-aanval Nieuws van 13 juli 2021
Justitie VS haalt grootste deel van losgeld Colonial-oliepijpleiding terug
Justitie VS haalt grootste deel van losgeld Colonial-oliepijpleiding terug Nieuws van 8 juni 2021
'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers'
'Colonial Pipeline betaalde bijna 5 miljoen dollar losgeld aan hackers' Nieuws van 14 mei 2021
Colonial-oliepijpleiding wordt weer in gebruik genomen na ransomware-aanval
Colonial-oliepijpleiding wordt weer in gebruik genomen na ransomware-aanval Nieuws van 13 mei 2021
Meer producten en artikelen
Beveiliging en antivirus Nederland Politie Ransomware

Reacties (43)

-Moderatie-faq
43
40
32
2
0
4
Wijzig sortering
Skyrunner 2 juli 2021 14:18
Lijkt erop dat onze politie de handigheid in cybercrime in de vingers begint te krijgen.

Goede zaak, ze zullen het enkel maar drukker krijgen.
wildhagen
@Skyrunner2 juli 2021 14:20
Lijkt erop dat onze politie de handigheid in cybercrime in de vingers begint te krijgen.
Dat hebben ze al een tijdje hoor. Het Team High Tech Crime bestaat al sinds 2004, en is sindsdien ook al erg goed bezig.

Ik heb in het verleden (zakelijk) meerdere malen met die club te maken gehad (en nee, niet als verdachte ;)), en die weten écht dondersgoed waar ze mee bezig zijn. Dat zijn echt geen beginners.

Probleem is alleen dat ze eigenlijk veel te weinig budget hebben om overal achteraan te gaan, hoewel dat de laatste jaren wel iets aan het bijtrekken is.

[Reactie gewijzigd door wildhagen op 23 juli 2024 13:32]

Frame164 @wildhagen2 juli 2021 14:37
Het leuke is wel dat een groot deel van het publiek, waaronder waarschijnlijk ook veel criminelen, denkt dat het nog steeds een clubje Bromsnorren is waardoor ze onder de radar kunnen blijven en ondertussen dit soort resultaten kunnen realiseren.
tweaker2010 @Frame1642 juli 2021 16:05
Het leuke is wel dat een groot deel van het publiek, waaronder waarschijnlijk ook veel criminelen, denkt dat het nog steeds een clubje Bromsnorren is waardoor ze onder de radar kunnen blijven en ondertussen dit soort resultaten kunnen realiseren.
Het zal altijd een kat en muis spel blijven. Af en toe worden er wat successen gedeeld maar een deel zal vast ook niet publiek gemaakt (mogen) worden. Het blijft een kwestie van prioriteiten stellen en veel geld.
AxiMaxi @tweaker20102 juli 2021 20:55
Net als bij drugs.
Het heeft een functie om juist die keren breed uit in het nieuws te laten komen dat ze weer servers in beslag genomen hebben, net als wanneer er weer een drugsvangst is.
Om te beginnen laten ze zien dat er altijd een pakkans is, maar ook tonen ze aan de hogere boeven dat er weer een paar loopjongens door de mand zijn gevallen. Daardoor blijven de loopjongens relatief veilig, omdat ze dan door de kartelbazen niet verdacht worden van het flessen van de boel.
Skyrunner @Frame1642 juli 2021 14:56
Ik zal eerlijk toegeven dat tot voor kort ook te hebben gedacht :-)
Jerie @wildhagen3 juli 2021 00:39
THTC is opgezet door Pim Takkenberg. Die heeft later Northwave opgezet. Mocht die naam je niets zeggen: soort van FoxIT, maar dan beter ;)

Er schijnt bij THTC enige uitloop te zijn omdat de lonen niet zo hoog liggen, zo las ik elders op T.net.

Een boel dingen die bij THTC gebeuren kom je pas later achter via media, als de naam al genoemd wordt (bijv hier niet specifiek maar wel zijdelings). Een low profile heeft zo z'n voor- en nadelen.
Snow_King @Skyrunner2 juli 2021 14:32
Zoals @wildhagen ook al aan geeft werken er capabele mensen. Ik heb ze vaker gesproken vanuit mijn rol in de hosting industrie en ze weten echt wel waar ze het over hebben.

Nu is het probleem gewoon mankracht en budget.

Het lijkt mij persoonlijk ook erg leuk om er te werken, maar ik zou het nooit doen ivm het salaris wat gewoon te laag is. Wel denk ik dat het gaaf werk is om je kennis op een andere manier in te zetten.
Jan Onderwater @Snow_King2 juli 2021 14:46
Heb daar jaren geleden ook eens gesolliciteerd, toen het Salaris ter sprake kwam was het voor mij voorbij, dat scheelde niet een paar honderd euro bruto in de maand, maar bijna duizend netto. Het leek mij ook heel leuk om daar te werken, maar heb ook een hypotheek en vakantievoorstellingen enzo.
Skyrunner @Jan Onderwater2 juli 2021 14:53
Zonde.

Dat motiveert niet om een steeds meer opkomend fenomeen aan te pakken voor die mensen. Linksom of rechtsom werken we toch om te leven (en sommigen andersom).
Jan Onderwater @vinkjb2 juli 2021 14:58
Ik heb iedere maand vaste lasten, en wil meer dan droog brood eten.
Jerie @Jan Onderwater3 juli 2021 00:44
Zat mensen die bij THTC werken die prima rond komen, maar inderdaad een vetpot is het niet. Op zich ook een voordeel: krijg je mensen die begaan zijn met het werk.
Mastofun @vinkjb2 juli 2021 15:09
Bedoeling is toch om het interessant te maken om goede technische mensen binnen te halen? Dan mogen ze wel goed betalen ook. Ook zal je in die functie mogelijks met omkoping te maken krijgen. Met droog brood te eten zal je makkelijk te overhalen zijn dan als je goed boert.
zoals het gekende zinnetje "if you pay peanuts, you get monkeys"
Jerie @Mastofun3 juli 2021 00:46
Ook zal je in die functie mogelijks met omkoping te maken krijgen.
Er gaat een zeer zware screening aan vooraf.

Peanuts/monkeys zit een kern van waarheid in, maar ik vind het ook nogal neerbuigend. Ik weet namelijk dat er capabele mensen werken.
-Colossalman- @vinkjb2 juli 2021 17:53
Dat heeft niks met eisen te maken, commercieel is er als IT'er veel meer te verdienen dan bij de overheid, defensie, politie. Ook ik heb een keer een uurtje gekeken wat dat zou verdienen.. Nou geloof mij ik laat mij liever inhuren tegen mijn eigen tarief... Ik snap dat sommige mensen het voor het doel doen maar niet als je 40+ bent(of niet al binnen bent). Treurig hoe daar het salaris is geregeld. van mij mag daar wel veel meer geld heen, vooral na de successen die ze geboekt hebben afgelopen jaren.
CyBeRSPiN 2 juli 2021 14:14
Ben diep onder de indruk van de capaciteiten van onze Politie! Super dat ze in staat zijn om ook "digitale boeven" te vangen. Criminelen die zich waarschijnlijk veilig waanden door het gebruik van allerlei technologie.
PS. @DarkSide je staat op de FrontPage! ;)
OxWax @CyBeRSPiN2 juli 2021 14:48
Ze hebben een NL server te pakken, of ze de boeven zelf hebben betwijfel ik ten zeerste gezien het Ruskies zijn en die leveren NIET uit. }>

Blijkbaar heeft de FBI ook goed gewerkt 8-)
Specifically, the Justice Department said it seized approximately $2.3 million in Bitcoins paid to individuals in a criminal hacking group known as DarkSide. The FBI said it has been investigating DarkSide, which is said to share its malware tools with other criminal hackers, for over a year.

[Reactie gewijzigd door OxWax op 23 juli 2024 13:32]

CivLord @OxWax3 juli 2021 09:57
Ze hebben een NL server te pakken, of ze de boeven zelf hebben betwijfel ik ten zeerste gezien het Ruskies zijn en die leveren NIET uit. }>
Dat de servers in beslag genomen zijn betekent dat de boeven even vleugellam zijn. Het betekent ook dat iemand ze op het spoor is. Dat geeft ze ook even ademruimte om goed over hun eigen toekomst na te denken.
Een groot bedrijf aanvallen met ransomware is in de meeste gevallen wachten tot het geld binnen komt rollen. Je C&C server in land A hebben, je slachtoffer in land B terwijl je zelf in een land C zit dat lastig doet over uitlevering, garandeert meestal dat je rustig van je centen kunt genieten. Hooguit wordt het opereren je zo lastig gemaakt dat je besluit te rentenieren.
Een vitaal onderdeel van de infrastructuur van de VS aanvallen is niet echt slim. Dan wordt je al snel als terrorist bestempeld en gaan alle regels overboord. Deze gasten zullen de rest van hun, waarschijnlijk korte, leven over hun schouder moeten kijken. Rusland zelf zal hier ook niet blij mee zijn (als het inderdaad Russen zijn die zich in Rusland schuil houden), tenzij het persoonlijk vriendjes zijn van Poutin, of wanneer ze het in opdracht van de Russische staat staat doen. Terwijl er officieel niet kan worden uitgeleverd, kan er onder tafel veel geregeld worden. (In Rusland is belastingontduiking een aardige catch-all waar ze iedereen die lastig doet en opgeborgen moet worden mee aan kunnen pakken. Ze kunnen gedwongen worden het land te verlaten, waarbij ze aan de grens worden opgewacht. De VS kan ook besluiten het helemaal zelf aan te pakken en ze te ontvoeren of door ze iets te laten overkomen.)
OxWax @CivLord3 juli 2021 10:28
Ik ken de verhalen ;)

Ondertussen ....
Tweehonderd bedrijven via managed serviceprovider besmet met ransomware

Bij een grote ransomware-aanval zijn zeker tweehonderd bedrijven via hun managed serviceprovider (MSP) met ransomware besmet geraakt. De aanvallers eisen miljoenen dollars van getroffen bedrijven voor het ontsleutelen van hun bestanden.

De aanval lijkt te zijn uitgevoerd door middel van een malafide update voor Kaseya VSA, laat Mark Loman van antivirusbedrijf Sophos op Twitter weten. Managed serviceproviders gebruiken de software voor het op afstand beheren van de systemen van hun klanten. Bijvoorbeeld voor het installeren van updates en verhelpen van problemen.

https://www.security.nl/p...der+besmet+met+ransomware
janbaarda @OxWax2 juli 2021 15:55
Als je het artikel leest gaat het om een Nederlandse server. Dus geen "Ruskis".

Overigens kunnen de hackers overal zitten. Het feit dat ze zich als Russisch voordoen zegt niks.
OxWax @janbaarda2 juli 2021 16:59
UIt het artikel :

Achter de aanval zou een relatief nieuwe Russische groepering met de naam DarkSide zitten, die 100GB aan data van het pijpleidingbedrijf wist buit te maken. :*)
DarkSide @CyBeRSPiN2 juli 2021 14:16
dat was nou net niet de bedoeling.... :P
neboekadnezar @DarkSide2 juli 2021 17:20
:D :D
D11 @CyBeRSPiN2 juli 2021 14:20
Welke digitale boeven hebben ze hier dan gevangen?
CyBeRSPiN @D112 juli 2021 15:41
Ok, ik bedoelde meer betrapt / gedwarsboomd / erger voorkomen. Helaas blijkt echt oppakken lastig als men zich in bepaalde buitenlanden bevindt, dat zal waarschijnlijk altijd wel zo blijven..
wildhagen
2 juli 2021 14:13
De data die op de server van DarkSide stond was niet versleuteld en de politie kon de informatie daarom onderzoeken
Dan ben je als crimineel ook niet de slimste thuis. Maargoed, als je wil slim was, hield je je niet met criminele zaken zoals ransomware bezig.

Goede zaak van de politie. Vind sowieso dat ze de laatste goed bezig zijn met het aanpakken van cybercrime. En niet alleen ransomware, maar ook op het gebied van hacking, en illegale marktplaatsen op darknet enzo.

Mag ook wel eens gezegd worden. Deze shit zorgt voor een hoop schade bij bedrijven, die soms dagenlang (deels) stil liggen, en daardoor ook weer gedupeerde klanten, zoals een paar dagen geleden bij de aanval op De Mandemakers Groep.
Iblies @wildhagen2 juli 2021 14:24
Ik twijfel serieus in hoeverre dit waar kan zijn;
De data die op de server van DarkSide stond was niet versleuteld en de politie kon de informatie daarom onderzoeken
Iedere beetje serieuze ICT heeft ergens een honeypot staan,
en als je als opsporingsdienst dit serieus gaat vieren….

Voor hetzelfde geld zijn bestaande structuren van de politie in kaart gebracht.
https://nl.wikipedia.org/wiki/Matroesjka
Nowhereman @Iblies2 juli 2021 14:50
Met russiche houten poppertjes? ;)
tw_gotcha @Iblies2 juli 2021 16:23
dit zijn denk ik geen wizkids maar criminelen die randsomware kopen toepassen. Die hoeven niet te weten hoe het werkt en zijn misschien helemaal niet zo tech savvy. Denk ik zo. Dit is iets te groot voor een honeypot
Iblies @tw_gotcha2 juli 2021 18:17
De politie trof wel data van een niet nader genoemde Nederlands techbedrijf aan. Dit bedrijf werd eerder door ransomware getroffen, maar de schade bleek mee te vallen omdat het bedrijf goede back-ups had. Volgens de politie had het bedrijf zijn data ook terug kunnen krijgen via de in beslag genomen server. Niet bekend is om welk techbedrijf het gaat en wanneer deze aanval plaatsvond.
Een techbedrijf waar ze data zo vanaf konden plukken en die geen vorm van versleuteling kent…

Met ransomware versleutel je in beginsel de informatie,
je gaat niet een backup maken waar ze hun eigen data vandaan kunnen halen 🙂 Of de criminelen een kopie gemaakt van de servers om de zwakheden te onderzoeken om te kijken welke software en versies allemaal gebruikt werden.

De mensen wisten wel waar ze mee bezig waren.
Jan Onderwater 2 juli 2021 14:54
Meer nog dan de kunde van de NL politie, is het vooral ook de internationale samenwerking die hier de resultaten bracht, en dat is wellicht nog een grotere prestatie. Goed samenwerken in de opsporing van verschillende cybercriminelen door het samenwerken van de Politie van NL, D, F, B, UK, USA etc. Er zijn de afgelopen tijd nogal wat stunts geweest van de politie bij het oprollen van criminele organisaties. Het is niet een eenmalig succes van 1 politiecorps. Het zijn het ene succes na het andere van samenwerkende politiecorpsen/cybercrime units.
wildhagen
@Jan Onderwater2 juli 2021 14:57
Klopt, dat kan ook niet anders. Cybercrime is immers vrijwel altijd grensoverschrijdend, dus heb je met meerdere jurisdicties te maken. Je moet dus al een overkoepelende instantie als EuroPol of InterPol hebben om dat allemaal goed op elkaar af te stemmen, en het moment van invalllen goed te plannen.
Jan Onderwater @wildhagen2 juli 2021 15:00
En iedereen die internationaal gewerkt heeft, weet hoe lastig het is dat goed in te richten. Ik heb daarom veel respect voor de teams en de leidinggevenden die dit voor elkaar gekregen hebben.
OxWax 2 juli 2021 14:44
Dit bedrijf werd eerder door ransomware getroffen, maar de schade bleek mee te vallen omdat het bedrijf goede back-ups had.
Het kan dus wél degelijk !!! Goed IT beleid 8-)
kodak
@OxWax2 juli 2021 14:59
Dat het kan is al jaren duidelijk. Dat het nodig is ook. Dit nieuws is daarbij niet alleen een extra bevestiging maar ook dat het (zoals al jaren waarschuwingen voor bestaan) heel hard nodig is omdat je niet afhankelijk wil zijn van toevallige samenloop van omstandigheden dat anderen zoals de politie je van rampspoed behoeden of dat je misschien schade kan verhalen.
Anoniem: 428562 2 juli 2021 16:01
Was dit weer een geval van rekening niet betaald en hosting bedrijf die bij het opruimen iets verdachts vond en politie erbij heeft gehaald ?

Team High Tech Crime heeft concurrentie van een nieuwe opsporingsorganisatie met de naam Multidisciplinair Interventie Team. 'Toppers' lopen over naar het nieuwe team vanwege de hogere salarissen en Team High Tech Crime loopt het risico ondergesneeuwd te raken en status te verliezen en heeft successen nodig.

Diverse kranten hebben begin dit jaar over de onderlinge strijd gepubliceerd.

https://www.msn.com/nl-nl...ganisatie-mit/ar-BB1cZH9q

[Reactie gewijzigd door Anoniem: 428562 op 23 juli 2024 13:32]

Koen Hendriks @Anoniem: 4285622 juli 2021 16:08
Als een rekening niet wordt betaald gaat een hosting bedrijf niet gelijk door de bestanden of applicatie van de klant kijken...
FreshMaker @Anoniem: 4285622 juli 2021 18:29
Was dit weer een geval van rekening niet betaald en hosting bedrijf die bij het opruimen iets verdachts vond en politie erbij heeft gehaald ?
Wel of niet betaald, geen enkel recht om door files te gaan snuffelen.
Het is niet de eigendom van de hoster.
Het enige wat deze MAG en kan doen, is de boel verwijderen zonder in te zien, tenzij er een verzoek is van een rechter / belanghebbende om dat niet te doen.

Door de data gaan als je geen klant bent, blijft een overtreding van de wetgeving.

Of zou diezelfde host ook akkoord gaan, als een klant illegale content host, de hostingpartij net zo goed voor de rechter moet komen.
Nee, dan is het ineens wel scheiding van mijn data en jullie data ....
Jan Onderwater 3 juli 2021 08:26
Intussen verbied de Berlijner rechtbank het gebruik van de gegevens buitgemaakt bij EncroChat

Een Berlijnse rechtbank heeft voor het eerst het gebruik van afgetapte berichten van de encryptiedienst "Encrochat" in een rechtszaak verboden - en gaat daarmee in tegen uitspraken van andere rechtbanken in Duitsland. Aanvankelijk had de "Spiegel" over het controversiële besluit bericht. Volgens het bericht had het Landgericht Berlijn donderdag de opening van een hoofdproces tegen een vermoedelijke drugshandelaar (31) - onderschepte "Encrochat"-gegevens waren onderworpen aan een verbod op exploitatie - afgewezen. De zaak van de aanklager was bijna volledig gebaseerd op deze mededelingen. De redenering van het hof: het bespioneren van de mobiele telefoon is uitgevoerd zonder de "noodzakelijke concrete verdenking". Het loutere bezit van de crypto-mobiel was niet voldoende grond voor onderzoek. Immers, zo redeneerde het hof, het is niet voldoende om een appartement te doorzoeken wegens inbraak als er iemand met een koevoet rondloopt.
Bulkzooi 14 juli 2021 00:40
Half mei maakte DarkSide zelf bekend dat het zijn blog, betaalserver en server voor het content delivery network niet meer kon bereiken via ssh en dat zijn hostingpartner liet weten dat de blokkade op last van de autoriteiten was ingesteld.
En het hosting panel was onbereikbaar. Dus de vraag welke hoster, welke panel, welke blog, welke CDN en welke payment processor moeten eerst beantwoord worden voordat je uitspraken kan doen. Zal wel veel PHP betreffen...

Verder zijn er door DOJ $2.3 million in Bitcoins geconfisceerd. Is wel leuk om iets te vermelden over de herkomst... dat kan toch gewoon dezelfde dag?

Ik vind dit maar een halfslachtig nieuwsbericht.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 13:32]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq