Europol rolt ransomwarebende op die voornamelijk grote bedrijven als doelwit had

De Europese politiedienst Europol heeft een ransomwarebende opgerold in Oekraïne die voornamelijk grote bedrijven hackte en 'honderden miljoenen' euro's aan schade veroorzaakte. De groep gebruikte verschillende soorten ransomware, maar ontwikkelde ze niet zelf.

Europol zegt samen met politiediensten uit zeven landen 'sleutelfiguren' uit de bende te hebben opgepakt en de bende te hebben ontmanteld. Bij de actie, die vorige week plaatsvond, zijn dertig gebouwen doorzocht in de regio's van Kyiv, Tsjerkasy, Rivne en Vinnytsja, waarbij de 32-jarige vermeende leider werd opgepakt. Vier van zijn meest actieve vermeend medeplichtigen werden ook gearresteerd.

De groep zou de afgelopen jaren meerdere grote organisaties verspreid over 71 landen hebben gehackt, waarbij bedrijven door de groep grotendeels werden stilgelegd. De criminelen gebruikten ransomware als LockerGoga, MegaCortex, HIVE en Dharma. Brute force-aanvallen, SQL-injecties en phishingmails werden gebruikt om gebruikersnamen en wachtwoorden te stelen. Zodra ze het netwerk binnen waren, gebruikten ze TrickBot-malware en tools als Cobalt Strike en PowerShell Empire om andere systemen binnen te dringen, voor ze de ransomwareaanval begonnen. De groep zou zo 250 servers hebben versleuteld.

Aan de actie deden ruim twintig onderzoekers uit Noorwegen, Frankrijk, Duitsland en de Verenigde Staten mee. In Nederland was het virtuele commandocentrum van waaruit in beslaggenomen data meteen werd geanalyseerd. Het onderzoek begon in 2019. Oekraïne werkte met Europol samen om de bende op te rollen. In oktober 2021 arresteerde Europol twaalf verdachten vanwege dit onderzoek; door die arrestaties kwamen de politiediensten de rest van de groepsleden op het spoor.

Door Hayte Hugo

Redacteur

28-11-2023 • 19:28

19

Submitter: Anonymoussaurus

Lees meer

Reacties (19)

19
19
9
0
0
7
Wijzig sortering
250 servers klinkt wel erg weinig als men als doelwit grote bedrijven had?
is dat niet een kwestie of veel van die bedrijven meer met cloud functies werkt en SaaS oplossingen? Ik weet niet of deze tegenwoordig als servers klassificeren. VMs weer wel. Bij eerdere bedrijven waar ik heb gewerkt; middelgroot; zat men wel snel aan de 100+, maar na migratie was dit nog bar weinig.

Hoe kijk jij hier tegenaan/wat is jouw ervaring hiermee? Ik vind dit allemaal bere interessant, maar als front-end dev is dit net iets verder weg van me.
Ik doe voornamelijk KMO's maar kom met regelmaat Enterprise omgevingen tegen en merk dat zij veel trager de overstap maken naar de cloud. Of soms ook gewoon niet, behalve dan voor inmiddels standaard zaken zoals Exchange en Azure AD als het over Microsoft omgevingen gaat.
Dat denk ik ook. De 'grote bedrijven' waar ik werkte hadden elk al gauw honderden tot duizenden vm's. Elke site (die de naam waardig is) een dc, fileserver, printserver, een sql, enkele lokale applicatie servers, een Citrix poot, Acces control, camserver,... dat maal een paar honderd sites... en dan nog de (redundant uitgevoerde) centrale services (mailservers, erp farm, monitoring, security services (AV, IPS/IDS, log aggregation, ipam...), beheerstools, virtual desktops, externe services in dmz.... ) het telt echt heel snel op.
Natuurlijk zijn zo'n bedrijven ook per definitie wat gesegmenteerd en kan je die ook veel pijn doen door één grote site echt plat te gooien.
Imo is groot gewoon nogal relatief.

Blijft staan dat 250 servers platleggen bij 'grote' bedrijven niet echt een indrukwekkend palmares te noemen is. Zo'n aantal bereik je even goed door 10 grotere kmo's of één globale speler plat te leggen.
Goede actie van Europol. Een mooi bewijs dat met internationale samenwerking via (in dit geval) Europol ook grensoverschrijdende criminaliteit goed aangepakt kan worden.

Hopelijk weten ze in de (nabije) toekomst meer van deze criminele groepen aan te pakken, want ransomware lijkt een steeds groter probleem te worden, met alle schadelijke gevolgen vandien voor bedrijven.

Vooral doorgaan met steeds intensievere internationale samenwerking tussen de diverse landen dus. Het blijkt te werken.
Het oppakken zal ook vaak liggen in welk land ze actief zijn. Waarschijnlijk had Oekraïne reden to mee werken. Maar ik denk dat juist het meewerken van de landem één van de uitdagingen is.
Feit. Hadden ze in Rusland actief geweest zou het zo vlot niet lopen... En we merken dat veel aanvallen toch van die kant komen.
Rusland, China, Indie en Indonesie zijn volgens mij de landen waar de meeste Ransomware aanvallen vandaan komen.
Rusland en China hebben beiden staatshackers die zeer actief zijn.
Indie doet vrij weinig aan het probleem en wil ook niet echt meewerken.
Indonisie heeft gewoon de middelen niet om het tegen te gaan of mee te werken.

Vandaar dat hackers vanuit die landen zo goed als vrij spel krijgen.
@Dracozirion
250 servers klinkt wel erg weinig als men als doelwit grote bedrijven had?
Aantal servers zegt an sich niet zoveel. Als dat bijvoorbeeld fileserver met tientallen terabytes aan data is, kan de schade nog altijd immers zijn.

Daar de totale aangerichte schade dus in de honderden miljoenen euro's loopt blijkt dat ook wel.

[Reactie gewijzigd door wildhagen op 23 juli 2024 23:41]

Ik heb al ettelijke entry points voor ransomware aanvallen moeten onderzoeken en ik heb nog geen enkele keer een aanval gezien waarbij men specifieke servers encrypteert en de rest laat voor wat het is.
Inderdaad, zo'n ransomware attackers laten hun tools los en vallen (geautomatiseerd) alles aan wat binnen bereik ligt. Ze zijn niet geïnteresseerd in tijd spenderen aan analyseren wat wat doet, alleen in zo snel mogelijk zoveel mogelijk schade aanrichten.
Dat ligt een beetje anders bij kerels die data willen extraheren, maar zelfs dan nog wordt afaik meestal maar weinig geavanceerde 'lateral movement' vastgesteld. Vandaar ook dat zulke leaks vaak bijv HR data en maar zelden echt IP bevatten.
Klinkt niet heel indrukwekkend.
Vervolgarrestaties twee jaar na de eerste klap? Dat moet beter kunnen. Benieuwd waar die vertraging uit voortkomt.
Inherent aan recherchewerk is dat het bewijsmateriaal zorgvuldig moet worden verzameld en rechtsgeldig moet worden verkregen.

Als je een hele bende op wil rollen, moet je wel eerst die hele bende goed in beeld krijgen, en het rechtsgeldige bewijs voor alle bendeleden in handen krijgen. Die processen kosten tijd.

Daarnaast zal ongetwijfeld de oorlogssituatie in Oekraïne voor enige vertraging hebben gezorgd. In dat licht bezien is dit resultaat -juist- indrukwekkend.
Hmm, Oekraïne… daar was iets mee de afgelopen jaren. Weet niet meer wat precies.
Hopelijk dat dit dan misschien andere hackersbendes aan het denken zet dat de kans steeds groter word dat ze gepakt worden. Alleen jammer dat het zo lang heeft moeten duren dat cybercriminaliteit aangepakt word en eens serieus genomen word.
Ik heb nu toch een systeem. 0% kans dat je gepakt wordt. En we beginnen weer van voren af aan. Elke crimineel denkt dat hij of zij ermee weg komt. Hun probleem is dat ze door blijven gaan omdat ze nooit genoeg hebben.
Ik weet het, zo is het helaas in de praktijk maar beter iets dan niets doen.
Zeker, beter iets dan niets. Jammer dat er altijd weer iemand opstaat die weer opnieuw begint. Gelukkig dat deze groep niet uit Rusland of China kwam.
Mooi resultaat van een lang onderzoek. Ik denk dat het belangrijk is dat er altijd een kans bestaat dat je uiteindelijk in je kraag gevat wordt.

Op dit item kan niet meer gereageerd worden.