Europol rolt ransomwarebende op die voornamelijk grote bedrijven als doelwit had

De Europese politiedienst Europol heeft een ransomwarebende opgerold in Oekraïne die voornamelijk grote bedrijven hackte en 'honderden miljoenen' euro's aan schade veroorzaakte. De groep gebruikte verschillende soorten ransomware, maar ontwikkelde ze niet zelf.

Europol zegt samen met politiediensten uit zeven landen 'sleutelfiguren' uit de bende te hebben opgepakt en de bende te hebben ontmanteld. Bij de actie, die vorige week plaatsvond, zijn dertig gebouwen doorzocht in de regio's van Kyiv, Tsjerkasy, Rivne en Vinnytsja, waarbij de 32-jarige vermeende leider werd opgepakt. Vier van zijn meest actieve vermeend medeplichtigen werden ook gearresteerd.

De groep zou de afgelopen jaren meerdere grote organisaties verspreid over 71 landen hebben gehackt, waarbij bedrijven door de groep grotendeels werden stilgelegd. De criminelen gebruikten ransomware als LockerGoga, MegaCortex, HIVE en Dharma. Brute force-aanvallen, SQL-injecties en phishingmails werden gebruikt om gebruikersnamen en wachtwoorden te stelen. Zodra ze het netwerk binnen waren, gebruikten ze TrickBot-malware en tools als Cobalt Strike en PowerShell Empire om andere systemen binnen te dringen, voor ze de ransomwareaanval begonnen. De groep zou zo 250 servers hebben versleuteld.

Aan de actie deden ruim twintig onderzoekers uit Noorwegen, Frankrijk, Duitsland en de Verenigde Staten mee. In Nederland was het virtuele commandocentrum van waaruit in beslaggenomen data meteen werd geanalyseerd. Het onderzoek begon in 2019. Oekraïne werkte met Europol samen om de bende op te rollen. In oktober 2021 arresteerde Europol twaalf verdachten vanwege dit onderzoek; door die arrestaties kwamen de politiediensten de rest van de groepsleden op het spoor.

Door Hayte Hugo

Redacteur

Feedback • 28-11-2023 19:28
19 • submitter: Anonymoussaurus

28-11-2023 • 19:28

19

Submitter: Anonymoussaurus

Lees meer

Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen
Europol haalt Cobalt Strike-servers offline die werden gebruikt door criminelen Nieuws van 3 juli 2024
Oekraïense ministerie kondigt AI-gegenereerde woordvoerder Victoria Shi aan
Oekraïense ministerie kondigt AI-gegenereerde woordvoerder Victoria Shi aan Nieuws van 2 mei 2024
'Nederlands systeem festivalsoftware was beveiligd met wachtwoord Welkom01'
'Nederlands systeem festivalsoftware was beveiligd met wachtwoord Welkom01' Nieuws van 24 april 2024
Securitybedrijf: significant minder ransomwareslachtoffers betalen losgeld
Securitybedrijf: significant minder ransomwareslachtoffers betalen losgeld Nieuws van 22 april 2024
Autoriteiten arresteren vermoedelijke ontwikkelaar van Hive-ransomware
Autoriteiten arresteren vermoedelijke ontwikkelaar van Hive-ransomware Nieuws van 14 april 2024
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack
Belgische bierbrouwer Duvel Moortgat staakt brouwen na hack Nieuws van 6 maart 2024
Europol waarschuwt 443 webwinkels die met malware zijn besmet
Europol waarschuwt 443 webwinkels die met malware zijn besmet Nieuws van 22 december 2023
Europol: connectielogs en IP-adressen belangrijkst voor opsporingsdiensten
Europol: connectielogs en IP-adressen belangrijkst voor opsporingsdiensten Nieuws van 19 december 2023
Sony onderzoekt mogelijke ransomwareaanval op Insomniac Games
Sony onderzoekt mogelijke ransomwareaanval op Insomniac Games Nieuws van 13 december 2023
EU bereikt akkoord over uitbreiding geautomatiseerde uitwisseling politiedata
EU bereikt akkoord over uitbreiding geautomatiseerde uitwisseling politiedata Nieuws van 23 november 2023
Politiediensten ontmantelen groep achter Ragnar Locker-ransomware
Politiediensten ontmantelen groep achter Ragnar Locker-ransomware Nieuws van 20 oktober 2023
Internationale politiediensten halen botmarktplaats Genesis Market offline
Internationale politiediensten halen botmarktplaats Genesis Market offline Nieuws van 5 april 2023
Politiediensten halen ChipMixer-dienst die witwaste met cryptovaluta offline
Politiediensten halen ChipMixer-dienst die witwaste met cryptovaluta offline Nieuws van 15 maart 2023
Politiediensten, waaronder Nederlandse, halen Hive-ransomwareservers offline
Politiediensten, waaronder Nederlandse, halen Hive-ransomwareservers offline Nieuws van 26 januari 2023
Europol haalt bij actie met Nederlandse politie vijftig ddos-booters offline
Europol haalt bij actie met Nederlandse politie vijftig ddos-booters offline Nieuws van 15 december 2022
Europol en FBI halen hackersmarktplaats RaidForums offline
Europol en FBI halen hackersmarktplaats RaidForums offline Nieuws van 12 april 2022
Europol arresteert twaalf verdachten voor betrokkenheid bij ransomwarebende
Europol arresteert twaalf verdachten voor betrokkenheid bij ransomwarebende Nieuws van 29 oktober 2021
Meer producten en artikelen
Beveiliging en antivirus Criminaliteit Crimineel Cybercrime Europol Hack Hackers Oekraine Politie Ransomware

Reacties (19)

-Moderatie-faq
19
19
9
0
0
7
Wijzig sortering
Dracozirion 28 november 2023 20:11
250 servers klinkt wel erg weinig als men als doelwit grote bedrijven had?
gitaarwerk @Dracozirion28 november 2023 21:23
is dat niet een kwestie of veel van die bedrijven meer met cloud functies werkt en SaaS oplossingen? Ik weet niet of deze tegenwoordig als servers klassificeren. VMs weer wel. Bij eerdere bedrijven waar ik heb gewerkt; middelgroot; zat men wel snel aan de 100+, maar na migratie was dit nog bar weinig.

Hoe kijk jij hier tegenaan/wat is jouw ervaring hiermee? Ik vind dit allemaal bere interessant, maar als front-end dev is dit net iets verder weg van me.
Dracozirion @gitaarwerk28 november 2023 23:00
Ik doe voornamelijk KMO's maar kom met regelmaat Enterprise omgevingen tegen en merk dat zij veel trager de overstap maken naar de cloud. Of soms ook gewoon niet, behalve dan voor inmiddels standaard zaken zoals Exchange en Azure AD als het over Microsoft omgevingen gaat.
the_stickie @Dracozirion28 november 2023 23:05
Dat denk ik ook. De 'grote bedrijven' waar ik werkte hadden elk al gauw honderden tot duizenden vm's. Elke site (die de naam waardig is) een dc, fileserver, printserver, een sql, enkele lokale applicatie servers, een Citrix poot, Acces control, camserver,... dat maal een paar honderd sites... en dan nog de (redundant uitgevoerde) centrale services (mailservers, erp farm, monitoring, security services (AV, IPS/IDS, log aggregation, ipam...), beheerstools, virtual desktops, externe services in dmz.... ) het telt echt heel snel op.
Natuurlijk zijn zo'n bedrijven ook per definitie wat gesegmenteerd en kan je die ook veel pijn doen door één grote site echt plat te gooien.
Imo is groot gewoon nogal relatief.

Blijft staan dat 250 servers platleggen bij 'grote' bedrijven niet echt een indrukwekkend palmares te noemen is. Zo'n aantal bereik je even goed door 10 grotere kmo's of één globale speler plat te leggen.
wildhagen
28 november 2023 19:59
Goede actie van Europol. Een mooi bewijs dat met internationale samenwerking via (in dit geval) Europol ook grensoverschrijdende criminaliteit goed aangepakt kan worden.

Hopelijk weten ze in de (nabije) toekomst meer van deze criminele groepen aan te pakken, want ransomware lijkt een steeds groter probleem te worden, met alle schadelijke gevolgen vandien voor bedrijven.

Vooral doorgaan met steeds intensievere internationale samenwerking tussen de diverse landen dus. Het blijkt te werken.
willieverhoef @wildhagen28 november 2023 20:10
Het oppakken zal ook vaak liggen in welk land ze actief zijn. Waarschijnlijk had Oekraïne reden to mee werken. Maar ik denk dat juist het meewerken van de landem één van de uitdagingen is.
telenut @willieverhoef29 november 2023 07:49
Feit. Hadden ze in Rusland actief geweest zou het zo vlot niet lopen... En we merken dat veel aanvallen toch van die kant komen.
MilanSxD @telenut29 november 2023 12:19
Rusland, China, Indie en Indonesie zijn volgens mij de landen waar de meeste Ransomware aanvallen vandaan komen.
Rusland en China hebben beiden staatshackers die zeer actief zijn.
Indie doet vrij weinig aan het probleem en wil ook niet echt meewerken.
Indonisie heeft gewoon de middelen niet om het tegen te gaan of mee te werken.

Vandaar dat hackers vanuit die landen zo goed als vrij spel krijgen.
wildhagen
28 november 2023 20:19
@Dracozirion
250 servers klinkt wel erg weinig als men als doelwit grote bedrijven had?
Aantal servers zegt an sich niet zoveel. Als dat bijvoorbeeld fileserver met tientallen terabytes aan data is, kan de schade nog altijd immers zijn.

Daar de totale aangerichte schade dus in de honderden miljoenen euro's loopt blijkt dat ook wel.

[Reactie gewijzigd door wildhagen op 23 juli 2024 23:41]

Dracozirion @wildhagen28 november 2023 20:34
Ik heb al ettelijke entry points voor ransomware aanvallen moeten onderzoeken en ik heb nog geen enkele keer een aanval gezien waarbij men specifieke servers encrypteert en de rest laat voor wat het is.
the_stickie @Dracozirion28 november 2023 23:15
Inderdaad, zo'n ransomware attackers laten hun tools los en vallen (geautomatiseerd) alles aan wat binnen bereik ligt. Ze zijn niet geïnteresseerd in tijd spenderen aan analyseren wat wat doet, alleen in zo snel mogelijk zoveel mogelijk schade aanrichten.
Dat ligt een beetje anders bij kerels die data willen extraheren, maar zelfs dan nog wordt afaik meestal maar weinig geavanceerde 'lateral movement' vastgesteld. Vandaar ook dat zulke leaks vaak bijv HR data en maar zelden echt IP bevatten.
TheekAzzaBreek 28 november 2023 22:34
Klinkt niet heel indrukwekkend.
Vervolgarrestaties twee jaar na de eerste klap? Dat moet beter kunnen. Benieuwd waar die vertraging uit voortkomt.
JurGor @TheekAzzaBreek29 november 2023 09:43
Inherent aan recherchewerk is dat het bewijsmateriaal zorgvuldig moet worden verzameld en rechtsgeldig moet worden verkregen.

Als je een hele bende op wil rollen, moet je wel eerst die hele bende goed in beeld krijgen, en het rechtsgeldige bewijs voor alle bendeleden in handen krijgen. Die processen kosten tijd.

Daarnaast zal ongetwijfeld de oorlogssituatie in Oekraïne voor enige vertraging hebben gezorgd. In dat licht bezien is dit resultaat -juist- indrukwekkend.
The Raido @TheekAzzaBreek28 november 2023 23:59
Hmm, Oekraïne… daar was iets mee de afgelopen jaren. Weet niet meer wat precies.
Roel1966 28 november 2023 23:23
Hopelijk dat dit dan misschien andere hackersbendes aan het denken zet dat de kans steeds groter word dat ze gepakt worden. Alleen jammer dat het zo lang heeft moeten duren dat cybercriminaliteit aangepakt word en eens serieus genomen word.
Aldy @Roel196629 november 2023 15:17
Ik heb nu toch een systeem. 0% kans dat je gepakt wordt. En we beginnen weer van voren af aan. Elke crimineel denkt dat hij of zij ermee weg komt. Hun probleem is dat ze door blijven gaan omdat ze nooit genoeg hebben.
Roel1966 @Aldy29 november 2023 18:08
Ik weet het, zo is het helaas in de praktijk maar beter iets dan niets doen.
Aldy @Roel196629 november 2023 22:26
Zeker, beter iets dan niets. Jammer dat er altijd weer iemand opstaat die weer opnieuw begint. Gelukkig dat deze groep niet uit Rusland of China kwam.
PloLeider 29 november 2023 08:43
Mooi resultaat van een lang onderzoek. Ik denk dat het belangrijk is dat er altijd een kans bestaat dat je uiteindelijk in je kraag gevat wordt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq