Vijf verdachten gelinkt aan REvil zijn gearresteerd bij internationale operatie

Europol en het Amerikaanse ministerie van Justitie hebben details bekendgemaakt over acties die de afgelopen tijd zijn ondernomen tegen ransomwarebendes. Daarbij zijn zeven verdachten aangehouden, waarvan er vijf worden gelinkt aan REvil.

Roemeense autoriteiten hebben vorige week donderdag twee verdachten opgepakt, die volgens Europol verantwoordelijk worden gehouden voor 5000 infecties met de REvil-ransomware. Daarmee zouden ze een half miljoen euro aan losgeld hebben buitgemaakt. Ook maakt Europol bekend dat er sinds februari nog drie andere verdachten zijn opgepakt, die eveneens gelinkt worden aan REvil. Daarnaast zijn er twee verdachten gearresteerd die connecties zouden hebben met de GandCrab-ransomware. De arrestaties vonden plaats in Zuid-Korea en Koeweit.

De zeven arrestaties zijn allemaal onderdeel van operatie GoldDust, waar zeventien Europese landen aan meewerkten. Ook Nederland en België waren daarbij betrokken. Het gaat om een operatie van Europol, Eurojust en Interpol. De verdachten zijn gearresteerd na succesvolle afluisteroperaties en inbeslagname van apparatuur die gelinkt zou zijn aan de ransomwarebendes. REvil is de groep die achter de grote aanval op Kaseya zat eerder dit jaar. GandCrab wordt gezien als een voorloper van die groep.

Volgens Europol zijn de zeven verdachten samen verantwoordelijk voor 7000 ransomware-infecties en eisten ze meer dan 200 miljoen euro aan losgeld. Hoeveel daarvan daadwerkelijk is betaald, is niet bekend.

Het Amerikaanse ministerie van Justitie schrijft over de arrestatie van een 22-jarige Oekraïense man in oktober, na het uitvaardigen van een internationaal arrestatiebevel. Hij wordt er onder meer van verdacht de aanval op Kaseya te hebben gepleegd en de Amerikaanse overheid heeft om zijn uitlevering gevraagd. Daarnaast heeft het ministerie beslag gelegd op 6,1 miljoen dollar aan losgeld, dat door een 28-jarige Russische verdachte zou zijn ontvangen, eveneens als gevolg van aanvallen met de REvil-ransomware. De betreffende Rus is nog voortvluchtig.

De twee zijn in de Verenigde Staten aangeklaagd voor diverse vergrijpen, waaronder het beschadigen van computersystemen, fraude en witwassen. Opgeteld kunnen de twee gevangenisstraffen krijgen van maximaal 115 en 145 jaar.

Het internationale onderzoek naar de REvil-ransomwarebende is volgens Europol een voortzetting van een onderzoek uit 2018 naar GandCrab, dat geleid werd door Roemeense autoriteiten. Met die acties werden destijds drie decryptietools vrijgegeven voor slachtoffers van ransomware. Bij operatie GoldDust zijn aanwijzingen uit dit eerdere onderzoek gebruikt. Vorige maand ging al het gerucht dat de REvil-groep een halt was toegebracht door acties van de Verenigde Staten en diverse andere landen.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 09-11-2021 10:09 20

09-11-2021 • 10:09

20

Lees meer

Ransomware in Kaseya-systemen

6 jul 2021

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

79
Internationale politiediensten halen door criminelen gebruikte VPNLab offline
Internationale politiediensten halen door criminelen gebruikte VPNLab offline Nieuws van 18 januari 2022
Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie
Criminelen stelen vertrouwelijke info bij aanval op ict-leverancier van Defensie Nieuws van 6 december 2021
Interpol pakt wereldwijd ruim 1000 criminelen op bij operatie tegen cybercrime
Interpol pakt wereldwijd ruim 1000 criminelen op bij operatie tegen cybercrime Nieuws van 26 november 2021
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord
Gegevens gebruikers webcamsite Stripchat waren toegankelijk zonder wachtwoord Nieuws van 16 november 2021
MediaMarkt: 'er zijn geen klantgegevens gestolen bij ransomwareaanval'
MediaMarkt: 'er zijn geen klantgegevens gestolen bij ransomwareaanval' Nieuws van 10 november 2021
'MediaMarkt onderhandelt over betaling losgeld na Hive-ransomwareaanval'
'MediaMarkt onderhandelt over betaling losgeld na Hive-ransomwareaanval' Nieuws van 9 november 2021
'Verenigde Staten halen samen met andere landen REvil-groep offline'
'Verenigde Staten halen samen met andere landen REvil-groep offline' Nieuws van 22 oktober 2021
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf'
'FBI hield decryptor REvil-ransomware bijna drie weken lang voor zichzelf' Nieuws van 22 september 2021
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet
Decryptor voor ransomware bij Kaseya-klanten verschijnt op internet Nieuws van 12 augustus 2021
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn
REvil eist cyberaanval Kaseya op en zegt dat miljoen systemen geïnfecteerd zijn Nieuws van 5 juli 2021
Wit-Rusland pakt mogelijke distributeur van ransomware-as-a-service GandCrab op
Wit-Rusland pakt mogelijke distributeur van ransomware-as-a-service GandCrab op Nieuws van 3 augustus 2020
Politie helpt ruim 300 Nederlanders met ontsleutelen van Gandcrab-ransomware
Politie helpt ruim 300 Nederlanders met ontsleutelen van Gandcrab-ransomware Nieuws van 15 augustus 2019
Meer producten en artikelen
Networking en security Politiek en recht Europol FBI Ransomware

Reacties (20)

-Moderatie-faq
20
20
11
2
0
5
Wijzig sortering
janbaarda 9 november 2021 11:34
Altijd gedacht dat REvil een groep "Russische staatshackers" was. Nu blijkt het een zootje ongeregeld uit Oekraine, Roemenië en Zuid Korea, allemaal bevriende landen van Amerika. Zijn we steeds voor het propaganda lapje gehouden, of is die ene Rus de vlag op de stront praam?
Martin.Air @janbaarda9 november 2021 11:43
Het een sluit het ander niet uit, maar dat zou zomaar kunnen.

Het kan natuurlijk ook dat dit de enige REvil mensen zijn waar bij gekomen kan worden. Rusland zal indien het 'staatshackers' zijn tenslotte zeker niet meewerken, zelfs als ze de wet tegen uitlevering van staatsburgers niet zouden hebben.
HooksForFeet @janbaarda9 november 2021 12:44
Of zijn dit slechts mensen die zijn ingehuurd door het Russische staatsbureau dat de boel coördineerde? Ik denk dat er wel meer opties zijn dan "zie je wel het was Rusland helemaal niet".
janbaarda @HooksForFeet9 november 2021 14:32
Niet waarschijnlijk, volgens geruchten gebruikt REvil de van CIA gelekte hackware....
HooksForFeet @janbaarda9 november 2021 22:54
Ah, geruchten. Dat is een stuk waarschijnlijker natuurlijk.
Tri Force @janbaarda9 november 2021 15:20
Ooit gehoord van houdt je vijanden dicht bij en je vrienden nog dichter bij ? elke keer als de U.S een land een bondgenoot noemt dan heb ik zo iets waar zijn hun nu weer mee bezig maar het kan niets goeds zijn..
sabas123 @janbaarda10 november 2021 01:46
Dit waren schijnbaar mensen die alleen gerelateerd waren aan REvil, niet de core members zelf
janbaarda @sabas12310 november 2021 05:17
Hoe kom je tot deze conclusie? Het artikel spreekt niet over "core members", er is alleen nog een russische jonge man op de vlucht.
Het is, naar mijn simpele mening, meer een groepje jeugdige delinquenten die een handig hacktool gebruiken voor diefstal en afpersing. Met als gevolg lange opsluiting in werelds ergste gevangenissen. (de VS staan niet bekend om het respecteren van mensenrechten, geld gaat boven alles)

[Reactie gewijzigd door janbaarda op 4 augustus 2024 22:49]

Citroen 9 november 2021 10:26
Ik vraag me af in welke maten deze jonge gasten, net geen tieners meer, beseft hebben wat voor straffen er boven hun hoofd hingen. De opgetelde straffen in de VS zijn echt geen lachertje. Het losgeld zullen ze ook niet meer kunnen aanwenden voor advocaatkosten.

[Reactie gewijzigd door Citroen op 4 augustus 2024 22:49]

plind @Citroen9 november 2021 10:52
Tja, ze zijn slim genoeg om dit soort geraffineerde ransomware-aanvallen uit te voeren. Ik acht ze dan zeer zeker ook bij machte om een keertje te Googlen op wat er met je kan gebeuren als je gepakt wordt. Dat lijkt me toch "part of the job" als je zo overduidelijk het criminele pad kiest.

In ieder geval ook goed nieuws dat dit soort gasten niet wegkomen met deze praktijken.

[Reactie gewijzigd door plind op 4 augustus 2024 22:49]

CAPSLOCK2000
@plind9 november 2021 12:22
Je onderschat hoe dat wereldje werkt. @Timoo.vanEsch heeft het beter door. Het is een heel netwerk aan "dienstverleners" die allemaal een klein stukje doen. De meeste daarvan staan op vrij grote afstand van de rest. Ik denk dat de meesten wel weten waar ze aan mee werken maar hun eigen aandeel als klein en relatief onbelangrijk zien.
Er zijn ook overkoepelende organisaties die het allemaal samenbrengen en als kant-en-klaar pakket aanbieden. Phishing mails, malware, technische support voor aanvaller en slachtoffer, betaalservices, witwassen. De slimmerikken die dat allemaal organiseren houden zichzelf op de achtergrond.
De mensen aan de 'voorkant' die de meeste risico's nemen zijn in veel gevallen ook maar geronseld om een klusje uit te voeren dat ze zelf maar half begrijpen. Het is niet heel anders dan werken in de drive-through van de McDonalds.
amx @CAPSLOCK20009 november 2021 13:35
Laatst is een ransom note gelekt waardoor derden ook konden chatten met de ransomware groep. Oplossing van de ransomware groep: ze hebben de chat voor toekomstige campagnes achter een company id login gehangen. Het maakt ze echt niet uit. De mate van verfijning qua verdeling van arbeidsproces is ronduit geraffineerd te noemen, zij het zo crimineel als de pest. Janje levert de hack aan om toegang tot een netwerk te krijgen , Pietje doet de daadwerkelijke inbraak, en Ansje voert de ransomware aanval uit.
Timoo.vanEsch @plind9 november 2021 11:07
"Ransomware as a Service" is tegenwoordig gemeengoed. Zó geavanceerd is het nu ook allemaal weer niet...
bbob
@plind9 november 2021 11:22
Zou je denken maar als je de instelling hebt ik ben zo goed ik wordt niet gepakt dan denk je ook niet na over een eventuele straf.
ALittleTooLate @Citroen9 november 2021 11:33
Ik vraag me af in welke maten deze jonge gasten, net geen tieners meer, beseft hebben wat voor straffen er boven hun hoofd hingen.
Als je bedrijven voor 200 miljoen probeert af te persen dan heb je echt wel door dat dit negatieve consequenties kan hebben.
Citroen @ALittleTooLate9 november 2021 12:05
Anticiperen op een celstraf van een paar (tientallen) jaren vs meer dan levenslang... toch een verschil.

Zou het goed kunnen begrijpen dat een 22-jarige geen idee heeft van strafmaten in een ander land.
Huugje @Citroen9 november 2021 15:07
En iemand van 52 die zich daar eveneens nooit in verdiept heeft zal daar ook geen idee van hebben, dus wat is nou eigenlijk je punt?
DocMac @Huugje11 november 2021 07:28
Hoe jonger het brein, hoe minder remmingen. Dat is gewoon zo. En ja, individuele gevallen zullen daarin afwijken. Maar tot 25 jaar is het brein nog aan het ontwikkelen. Als ik terugkijk naar toen ik nog zo jong was, dacht ik ook niet zo na over de consequenties. Ik ben nooit de criminaliteit ingegaan, maar dat heeft andere redenen.
Tintel
9 november 2021 12:06
half miljoen valt me mee/tegen... :O

FB maakt 75 miljard buit en houdt veel meer mensen 'gevangen' in hun systeem... }>
Tri Force 9 november 2021 15:14
Ah ja natuurlijk een 115 en 145 jaar achter de tralies.. als hun goed in hun werk zijn dan wordt het eerder 11 en 15 jaar huis arrest met vast contract :+ Gij zult niet stelen of hacken want de overheid dult geen Concurrentie.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq