Politiediensten ontmantelen groep achter Ragnar Locker-ransomware

Verschillende politiediensten hebben samen met Europol en Eurojust de groep achter de Ragnar Locker-ransomware opgespoord en ontmanteld. Er zijn meerdere arrestaties verricht en in Nederland zijn vijf servers van de groep in beslag genomen.

De internationale politieactie heeft tussen 16 en 20 oktober plaatsgevonden, meldt Europol. Het werd geleid door de Franse Gendarmerie, die samenwerkte met politiediensten uit Tsjechië, Duitsland, Italië, Japan, Letland, Nederland, Spanje, Zweden, Oekraïne en de VS.

Ragnar Locker is sinds december 2019 actief. De groep zat onder meer achter de hack van gameontwikkelaar en uitgever Capcom in 2020 en heeft vorig jaar gegevens gestolen bij de politie van de Belgische gemeente Zwijndrecht. De ransomware van dezelfde naam werd gebruikt om Windows-apparaten te infecteren en gebruikte het Remote Desktop Protocol om toegang te krijgen tot het systeem. In 2021 werden twee andere kopstukken van de groep opgepakt in Oekraïne en vorig jaar werd een verdachte gearresteerd in Canada. Hierdoor kregen de politiediensten de andere verdachten in het vizier.

De hoofdverdachte in deze zaak is afgelopen maandag opgepakt in Parijs en zijn huis in Tsjechië is doorzocht. Verder zijn er vijf andere verdachten gehoord in Spanje en Letland. Inmiddels is de hoofdverdachte voorgeleid bij de rechtercommissaris in Parijs.

IT-banen

Reacties (49)

bluegoaindian 20 oktober 2023 21:29

Geen problemen met dit soort acties.
Al is het wel zo dat het echte probleem de IT veiligheids situatie binnen bedrijven en overheden is.
Als die goed was geweest hadden ze niet toe kunnen slaan.

[Reactie gewijzigd door bluegoaindian op 22 juli 2024 14:38]

Oon

@bluegoaindian • 20 oktober 2023 23:04

Deze discussie komt iedere keer weer omhoog, maar zo simpel is het echt niet. Ransomware is niet een kwestie van wat back-ups maken of policies instellen. Tenzij je met een volledige whitelist van alle uitvoerbare bestanden gaat werken (tot checksums aan toe, ook voor bijv. Word-bestanden) kruipt het tegenwoordig gewoon ongezien je backups in en kom je er niet zomaar meer vanaf.

Alleen als je dingen echt volledig gaat scheiden van elkaar heb je een verkleinde kans dat je hele organisatie geraakt wordt, maar dat is voor veel bedrijven niet te doen.

blorf @Oon • 21 oktober 2023 07:53

Ransomware is slechts een mogelijk gevolg van een hack. Wanneer ergens wordt gesproken van een ransomware-aanval bedoelen ze eigenlijk dat de beveliging van een systeem is omgelegd met volledige privilege escalation. Alleen willen ze het daar liever niet over hebben want dan gaan mensen verder zoeken naar de oorzaak, en die is soms een beetje waardeloos.
Niet dat deze actie daarnee verkeerd of zinloos is, ze hebben een hackersgroep te pakken.

[Reactie gewijzigd door blorf op 22 juli 2024 14:38]

nullbyte @Oon • 21 oktober 2023 10:15

Het zit hem *inderdaad niet alleen in backups, er is een hele reeks aan "veiligheidsschillen" die aanwezig moet zijn.

Hier 10 best practices om ransomware te voorkomen die ik zo snel van het internet haal.

Backup Your Data
Keep All Systems And Software Updated
Install Antivirus Software & Firewalls
Network Segmentation
Email Protection
Application Whitelisting
Endpoint Security
Limit User Access Privileges
Run Regular Security Testing
Security Awareness Training

https://www.upguard.com/b...revent-ransomware-attacks

m_snel @Oon • 20 oktober 2023 23:21

Je kon natuurlijk al bij Windows Nt gewoon rechten instellen, wel een bestand lezen maar niet uitvoeren. Tegenwoordig heb je natuurlijk veel meer opties. Maar dit soort uitbuitingen vallen en staan bij het binnen halen en uitvoeren van code. En natuurlijk slecht programmeren. Nog dagelijks lees je dat een png bestand ik bv winrar, je toegang geeft.

Illegal_Alien @m_snel • 21 oktober 2023 00:10

Ja maar je kan ook teveel dicht timmeren zodat niks meer werkbaar is, of je computer is 80% van zijn resources aan security zit te verbranden.

m_snel @Illegal_Alien • 21 oktober 2023 00:45

Ik had ooit een thin cliënt zo dicht gezet, dat die bij test niet gebruikt kon worden omdat er een ander toetsenbord aan zat. Maar ja dat ging natuurlijk niet om een zo maar computer.

bluegoaindian @Oon • 21 oktober 2023 00:51

Deze discussie komt iedere keer weer omhoog, maar zo simpel is het echt niet. Ransomware is niet een kwestie van wat back-ups maken of policies instellen. Tenzij je met een volledige whitelist van alle uitvoerbare bestanden gaat werken (tot checksums aan toe, ook voor bijv. Word-bestanden) kruipt het tegenwoordig gewoon ongezien je backups in en kom je er niet zomaar meer vanaf.

Alleen als je dingen echt volledig gaat scheiden van elkaar heb je een verkleinde kans dat je hele organisatie geraakt wordt, maar dat is voor veel bedrijven niet te doen.

Beveiliging is nooit makkelijk.
maar white listen , en backups op bijvoorbeeld niet windows systemen maken.
verder is het erg handig als je ook checkt op voormaat , dat betekend dat je encryptie pogingen kan detecteren, en voormomen.
Zomaar deleten van files op de backup systemen vanaf een host kan voorkomen worden.
er is genoeg tegen te doen als je slim je permissies beheert.
maar men is vaak liever lui dan moe , beveiliging is niet sexy.
veiligheid is nodig , maar veel mensen snappen dat niet , ze denken dat het vaak allemaal wel mee valt.
helaas niet , zeker in de werekd van nu waar de stabiliteit ver te zoeken is wordt het tijd dat zaken als veiligheid eens hoog op de prioriteitenlijst komt.

[Reactie gewijzigd door bluegoaindian op 22 juli 2024 14:38]

CivLord

@bluegoaindian • 23 oktober 2023 09:38

Ransomeware werkt niet door het wissen van backups of door het draaien van software op de server waar de backups worden opgeslagen.

Het werkt vaak door bij elke schrijfactie van het hele systeem het geschreven bestand te versleutelen. Als gebruiker heb je dat niet in de gaten, omdat het versleutelde bestand bij het inlezen automatisch ontsleuteld wordt. Dit kan zo maanden duren, totdat er maanden aan backups uit versleutelde bestanden betaat.
Op een gegeven moment wordt de encryptiesleutel gewist waarmee de in te lezen bestande ontsleuteld kunnen worden en krijg je een melding dat je een X-bedrag aan bitcoin mag betalen. Al je backups zijn nog aanwezig, maar bestaan voor de laatste paar maanden enkel uit versleutelde bestanden, waardoor deze waardeloos zijn.
Je kunt detectie wel vervroegen door bv. naar Linux-servers te backupen en vervolgend met een linux-client regelmatig de inhoud van de backups te inspecteren en te kijken of de bestanden nog te lezen zijn.

bluegoaindian @CivLord • 23 oktober 2023 14:37

[quote]
Ransomeware werkt niet door het wissen van backups of door het draaien van software op de server waar de backups worden opgeslagen.

Het werkt vaak door bij elke schrijfactie van het hele systeem het geschreven bestand te versleutelen. Als gebruiker heb je dat niet in de gaten, omdat het versleutelde bestand bij het inlezen automatisch ontsleuteld wordt. Dit kan zo maanden duren, totdat er maanden aan backups uit versleutelde bestanden betaat.
Op een gegeven moment wordt de encryptiesleutel gewist waarmee de in te lezen bestande ontsleuteld kunnen worden en krijg je een melding dat je een X-bedrag aan bitcoin mag betalen. Al je backups zijn nog aanwezig, maar bestaan voor de laatste paar maanden enkel uit versleutelde bestanden, waardoor deze waardeloos zijn.
Je kunt detectie wel vervroegen door bv. naar Linux-servers te backupen en vervolgend met een linux-client regelmatig de inhoud van de backups te inspecteren en te kijken of de bestanden nog te lezen zijn.
[/quote[

Ja dat weet ik en dat ondervang je door op de backup systemen bestands herkenning in te voeren...
als je dan geconfronteerd word met encryptie in besyanden je kan beter ds een NFS achter systeem gebruiken.
dat op systeem nivau checkt of bestands headers...
is het encrypted komt er een melding.
het bacup systeem moet dan geen Windhoos draaien maar bijvoorbeeld Lunux waar geen randsome gevoeligheid is.
Op lLnux nivau word er dan op bestands type geschaned als dat dan encryted is komt er een waarschuwing , of word de opslag geweigerd.
kortom t kan prima maar is niet makkelijk beveiliging is nooit makkelijk.

CivLord

@bluegoaindian • 23 oktober 2023 16:09

kortom t kan prima maar is niet makkelijk beveiliging is nooit makkelijk.

Dat is meteen onderdeel van het probleem.
Specialisten creëren oplossingen die alleen door specialisten te implementeren en te beheren zijn. Daarmee wordt het voor veel bedrijven economisch niet haalbaar.

bluegoaindian @CivLord • 24 oktober 2023 18:43

[...]

Dat is meteen onderdeel van het probleem.
Specialisten creëren oplossingen die alleen door specialisten te implementeren en te beheren zijn. Daarmee wordt het voor veel bedrijven economisch niet haalbaar.

Dit is Basis IT kennis voor mij.
Ik heb zon systeem thuis draaien niet heel erg moeilijk.
Als dit te moeilijk is en aleen voor "specialisten" dan vrees ik dat er een groter probleem is in de NL IT sector dan aleen veiligheid.

Ik denk namelijk dat veel beheerders niet meer dan aplicatie beheerders zijn.
Ik zit er al bij vanaf de C64 , ben Dus via 6510 assebler van dat ding door gegroeit naar Linux vanaf 0.99.14 en dan ook nog de nodige eletronische kennis.
Ik vraag me nu af hoeveel mensen dat hier mety me delen?

[Reactie gewijzigd door bluegoaindian op 22 juli 2024 14:38]

CivLord

@bluegoaindian • 25 oktober 2023 12:02

En je spreekt je nu zelf tegen:

t kan prima maar is niet makkelijk beveiliging is nooit makkelijk

Dit is Basis IT kennis voor mij.

Wat is het? Basis IT kennis, of niet makkelijk?

En is dat systeem dat jij thuis hebt draaien voldoende voor een groot bedrijf dat met gevoelige gegevens werkt?

bluegoaindian @CivLord • 25 oktober 2023 15:21

En je spreekt je nu zelf tegen:

[...]

en

[...]

Wat is het? Basis IT kennis, of niet makkelijk?

En is dat systeem dat jij thuis hebt draaien voldoende voor een groot bedrijf dat met gevoelige gegevens werkt?

voor mij is het basis kennis.
wat is het voor jouw?

RobbieB @bluegoaindian • 20 oktober 2023 22:17

Ook hier is victim blaming implement onterecht… dit soort organisaties heeft ontzettend veel resources en zijn vaak moeilijk te pakken. Als je dan toch een niet criminele partij aan wilt wijzen, begin dan met de software leveranciers die rommel opleveren en niet snel genoeg patches beschikbaar stellen.

Frame164 @bluegoaindian • 21 oktober 2023 07:02

Als het allemaal zo makkelijk was bestond er geen criminaliteit.

sympa @bluegoaindian • 20 oktober 2023 22:01

Er zijn altijd lekken. Ook met snel patches installeren houd je het risico van 0-days.
En daar komt slechte software en problematische architectuur bij.
Het afschuiven op de gebruiker is al helemaal schandalig: open alleen attachments die u vertrouwt" maar ondertussen laten bijvoorbeeld mailprogramma's niet eens het mailadres zien.

ari2asem @sympa • 20 oktober 2023 22:58

maar ondertussen laten bijvoorbeeld mailprogramma's niet eens het mailadres zien.

helemaal mee eens. gebruik thunderbird als mail programma. had voor versie-9x nog een sender-receiver plugin om het volledig mailadres te zien.
sinds laatste update versie-115 werkt plugin niet meer.
waardeloze actie van thunderbird

bluegoaindian @ari2asem • 21 oktober 2023 00:56

[...]
helemaal mee eens. gebruik thunderbird als mail programma. had voor versie-9x nog een sender-receiver plugin om het volledig mailadres te zien.
sinds laatste update versie-115 werkt plugin niet meer.
waardeloze actie van thunderbird

Tijd voor een ander mail programma

ari2asem @bluegoaindian • 21 oktober 2023 01:01

welke en open source?

EDIT: ik denk dat ik voor BetterBird ga...andere suggesties? alleen mail programma is genoeg. hoef geen kalender e.d.

[Reactie gewijzigd door ari2asem op 22 juli 2024 14:38]

Scriptkid @ari2asem • 21 oktober 2023 08:42

Webmail via edge app

Super light weight en geen issues

DrWaltman @sympa • 20 oktober 2023 23:00

Inderdaad. Het kost alleen al in Outlook echt moeite om alleen het reply adres te zien. Echt bizar hoe lastig het is om dat te zien. Natuurlijk kan ik in de header meer info zien, maar dat is nou niet echt gebruiksvriendelijk.

UTWarcow @bluegoaindian • 21 oktober 2023 07:08

Blaming-the-victim of victim blaming - Nederlands slachtofferbeschuldiging of schuldvraagomkering - is een vorm van morele ontkoppeling waarbij een dader of omstanders de schuld bij het slachtoffer legt. Wikipedia (NL)

CH4OS @bluegoaindian • 21 oktober 2023 09:34

Je kunt de zwakste schakel in het geheel, de gebruikers op het netwerk, nu eenmaal niet uitsluiten op het netwerk.

satya @CH4OS • 21 oktober 2023 21:01

Die gebruikers zijn meestal wel geïsoleerd en beperkt. Beheerders daarintegen

CH4OS @satya • 22 oktober 2023 00:56

Desondanks gaat het ook nog vaak mis bij die beperkte gebruikers. Juist doordat die in een phishing mail trappen, die vervolgens middels een lek links of rechts uiteindelijk voldoende rechten bemachtigd.

slane147129 @bluegoaindian • 21 oktober 2023 11:19

Wat als er een zero day vulnerability hack is waar de huidige beveiligingsmechanismes niet tegen bestand is? Leg je dan nog steeds de schuld neer bij bedrijven en overheden?

Het is eerder de ethiek rondom misbruik maken van kwetsbaarheden want die zullen er altijd zijn. Daarmee wil ik niet zeggen dat bedrijven en overheden vrijuit gaan maar het alleen neerleggen bij 1 partij is wel erg simplistisch.

Zie het als het verschil tussen de deur van je huis wagenwijd open laten staan versus die op slot hebben en dat er alsnog iemand is die je huis kan inbreken omdat diegene via het huis van de buren op je dak terecht is gekomen en daar een gat heeft gevonden om naar binnen te komen.

sellh @bluegoaindian • 21 oktober 2023 22:54

Net de afgelopen dagen een aantal uitzendingen van Kees van der Spek teruggezien. Bij bijna iedere uitzending zit ik me te verbazen over de naïviteit van de slachtoffers.
Naar de manier waarop misbaksels misbruik maken van die naïviteit, kijk ik niet met verbazing, maar met intense ergernis.

Die misbaksels zijn de werkelijke schuldigen, niet de naïevelingen.
Perfect als ze keihard aangepakt worden.

MachIII 20 oktober 2023 22:13

Bijzonder. Rusland staat er niet bij.

Qwerty-273 @MachIII • 20 oktober 2023 22:48

Niet alle cybercriminelen zitten in Rusland natuurlijk

Ook denk ik niet dat in het huidige politieke klimaat er enige samenwerking mogelijk is tussen de Westerse staten en Rusland

CH4OS @MachIII • 21 oktober 2023 09:44

Zo bijzonder is dat niet, Rusland is geen Europol lid; https://www.europol.europ...llaboration/member-states

sellh @MachIII • 21 oktober 2023 22:57

Lijkt het je logisch dan dat onder de huidige politieke omstandigheden Europese politiediensten samenwerken met Russische politiediensten?

[Reactie gewijzigd door sellh op 22 juli 2024 14:38]

Tweakert2020 20 oktober 2023 21:34

*ransomware ipv ransomeware

Plainside 21 oktober 2023 08:42

sinds 2019 actief nu neer gehaald in 2023, de diensten worden er steeds beter in. En dat is zeker goed.

jmsaow 21 oktober 2023 10:44

Hebben ze dan ook de personen van die hackersgroup te pakken en kunnen ze die dan achter slot en grendel krijgen, of hebben ewe een paar servers uit de lucht gehaald die weer opnieuw worden opgetuigd om deze criminelen weer door te laten gaan met hun wandaden.

Zolang bitcoin accounts niet traceerbaar zijn hebben gewoon nog steeds een bankwezen voor criminelen.

Dimitri01! 22 oktober 2023 08:15

Security Awareness blijft toch wel belangrijk aandeel daarin. Wij draaiden laatst een SaaS oplossing bij een zorginstelling om verbetering daarin aan te brengen. Daar volgde een klikrate van 95% klikrate op 2k medewerkers op een salarisstrook mail. Na een jaar besloot men de oplossing niet meer in te zetten, ondanks de klikrates die uitzonderlijk hoog waren bij iedere phishing simulatie. De reden; Geen draagvlak meer intern, het gaf teveel reuring en frustratie bij de medewerkers en de managers. Ik kon het niet geloven.

[Reactie gewijzigd door Dimitri01! op 22 juli 2024 14:38]

bauke1984 @Dimitri01! • 23 oktober 2023 05:27

Het verhaal zit hem in communicatie. Ieder jaar hebben we zo’n mail. Meld je het dan krijg je geen reactie, je kunt er beter op klikken ter bevestiging

. Ik snap niet dat daar niet serieus bij mijn werk op wordt gereageerd. Maarja.. vervolgens moedig ik mijn collega’s maar aan erop te klikken

dan maar lol.

Josh4u 21 oktober 2023 00:59

Verbazend dat in deze discussie nergens het woord SOC (Security operations Center) voorkomt, als je een beetje serieus met security bezig bent als organisatie heb je scanning op "alle" logs door een SOC, die zijn gespecialiseerd in het vinden van oneigenlijkheden bij gebruik van systemen.