Politie haalt meerdere botnets gebruikt bij ransomwareaanvallen offline

Tijdens een internationale operatie van opsporingsautoriteiten zijn meerdere botnets offline gehaald die een belangrijke rol speelden bij ransomwareaanvallen. In Nederland werden 33 servers offline gehaald en werd één doorzoeking gedaan.

De internationale opsporingsautoriteiten haalden dinsdag 28 mei onder de noemer 'Operation Endgame' de botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee offline. De Nederlandse politie spreekt in een aankondiging over de grootste operatie ooit in het bestrijden van botnets betrokken bij ransomware wereldwijd.

Wereldwijd werden meer dan honderd servers offline gehaald en zijn ruim tweeduizend domeinnamen overgenomen. Ook konden de opsporingsdiensten meer dan tienduizend geïnfecteerde computersystemen ontsmetten, door de malware te de-installeren. In de afgelopen dagen waren er vier aanhoudingen en zestien doorzoekingen wereldwijd, waarvan dus één in Nederland. Ook zijn er acht dagvaardingen tegen verdachten uitgebracht.

Naar schatting hebben de criminelen achter de botnets honderden miljoenen euro's aan financiële schade aangebracht bij bedrijven en overheidsinstellingen. Ook zijn miljoenen particulieren slachtoffer geworden, doordat hun systemen geïnfecteerd werden en onderdeel werden gemaakt van het botnet. Een systeem werd geïnfecteerd via phishing: slachtoffers werden verleid op een valse link te klikken. Op de site Check je hack van de politie kunnen mensen controleren of ook zij getroffen zijn en of ze deel uitmaakten van de ontmantelde botnets. Daarnaast werkt de politie met het DIVD samen om alle slachtoffers via e-mail op de hoogte te stellen, meldt de organisatie op zijn website.

De operatie werd uitgevoerd door autoriteiten in Nederland, Duitsland, Frankrijk, Denemarken, de Verenigde Staten, het Verenigd Koninkrijk, met ondersteuning van Europol en Eurojust. De Nederlandse politie benadrukt dat Operation Endgame nog niet eindigt, maar dat er in de toekomst nieuwe acties aangekondigd worden. Daarnaast worden verdachten van deze en andere botnets die nog niet aangehouden konden worden, direct aangesproken op hun acties.

Melding van een door de opsporingsdiensten overgenomen domein tijdens Operation Endgame

Door Eveline Meijer

Nieuwsredacteur

30-05-2024 • 07:21

34

Submitter: wildhagen

Lees meer

Reacties (34)

Sorteer op:

Weergave:

Goed werk. Wel vraag ik mij af of termen als ‘operation endgame’ iets toevoegen? Iedereen weet ook wel dat men vandaag of morgen elders weer up and running is.
Hangt er van af hoe de bots bepalen wat de server is.

Als dat via domeinnaam gaat en je neemt de domeinnaam over, moeten ze alles opnieuw infecteren om verder te kunnen met hun operatie.
Het botnet zelf is het allergrootste asset die deze groepen hebben en ze zijn enorme slimme programmeurs. Dus al deze bots hebben al lang allemaal een hidden C&C die alleen actief is nadat ze een tijdje het contact kwijt zijn met de primaire C&C. Op deze manier komt een "seized botnet" na een tijdje toch weer tot leven. Eeuwige kat en muis.
Mag toch aannemen dat als ze zoiets op het spoor zijn dat ze een infected systeem loskoppelen en deze dan zo lang mogelijk monitoren of zo goed mogelijk doorzoeken om dit soort zaken op te vangen en direct mee te nemen in de operatie.
Wat nu als die bot enkel op 11 november om 9:53 een callback doet naar een hidden C&C op een obfuscated domein dat nu nog niet eens geregistreerd is? Daar kom je pas over 6 maanden achter en de politie wil eerder acteren.

Er zitten achterlijk veel reconnect options in die bots want het is hun belangrijkste asset.
Als het domein nog niet geregistreerd is, kan het dus ook zo zijn dat iemand anders dat domein heeft gekocht.
Tuurlijk, het kan, maar of het in de praktijk gebeurd?
Ik weet het niet.

Kan ook zo zijn dat, zoals Cowamundo al schrijft dat ze 1 systeem een jaar aan laten staan (zou me niet verbazen)
Dit soort domeinen zijn niet controller.botnet.com maar fjekeofjfejejrjrjeje.sjejdfkfsleeldkrdeej.tk of zo. Die dingen worden niet door andere per ongeluk geregistreerd. Daarnaast kan je 10000 van dit soort domeinen maken, en 1/10000 van je botnet per domein roteren.

We kunnen hier uren lang een en weer berichten sturen, maar het is vrijwel onmogelijk een botnet uit de lucht te halen. Zelfs als bijv de politie het botnet weet over te nemen en de bots wereldwijd de installeert, is de infectie zo weer terug, tenzij de politie alle geïnfecteerde apparaten patcht. Als je dan beseft dat 99% van dat spul geen uptodate Windows machines zijn, maar thuis routers, oude unsupported systemen en iot apparaten, snap je wel dat die binnen de kortste keren weer onderdeel zijn van het zelfde botnet.
De slechteriken moeten toch op zoek naar een nieuwe kwetsbaarheid en een nieuwe uitrol doen.
Je houdt het niet 100% tegen maar maakt het wel moeilijker.
Het is natuurlijk naief om aan te nemen dat alle ciminaliteit stopt nadat je een paar criminelen hebt gedwarsboomd. Maar dat dwarsbomen helpt wel echt. Het zorgt er voor dat andere criminelen vechten om die markt, en daarbij elkaar in de weg zetten. Het zorgt er voor dat toekomstige criminelen meer energie moeten besteden aan voorzorgsmaatregelen en dus minder energie kunnen besteden aan hun misdaden. Het zorgt er voor dat er nieuwe leads zijn waarmee andere criminelen opgepakt kunnen worden. Het zorgt er voor dat misdaden die in voorbereiding waren gestopt worden. Dat zijn allemaal erg nuttige resultaten van zo'n actie.

Over die naam; neem het niet te serieus. Een codenaam mag niet te veel verraden over het project, dus het mag niet gerelateerd zijn aan het project zelf. Als je meerdere jaren werkt aan zo'n onderzoek, heb ik er geen moeite mee dat ze de laatste stap "endgame" noemen.
Operation Endround misschien :+
Niets doen is ook geen oplossing. Het kan misschien wel sommige aan het denken zetten en misschien stoppen met hun activiteiten voor ze naar de gevangenis mogen.
Mijn email-adres staat op de lijst. En nu?
Er is weinig wat je eraan kunt doen helaas. Enkel extra bedacht zijn op kwaadwillende mails met bijvoorbeeld phishing-links etc. Je moet altijd al voorzichtig zijn voor dat soort zaken natuurlijk maar nu je weet dat je op de lijst van Endgame staat, is extra paraatheid wel aan te raden voor de komende paar weken.

Preventief kan je wel een malware scan op je systeem draaien maar ik ga ervanuit dat je sowieso al wel een virusscanner hebt draaien.

[Reactie gewijzigd door wildhagen op 23 juli 2024 18:22]

Inderdaad: de scanner meldt niets. Blijkbaar heb ik simpelweg pech dat mijn email erbij zit.
Ben jij een ontmanteld bot en vrij om de digitale wereld te verkennen tot je jezelf weer in een botnet klikt
Je kunt hier kijken voor instructies:
https://csirt.divd.nl/cases/DIVD-2024-00019/

Wachtwoord veranderen asap is sowieso een goed idee :)
Maar wachtwoord voor wat? Ik heb overal al unieke wachtwoorden en 2FA waar mogelijk.
Op de site Check je hack van de politie kunnen mensen controleren of ook zij getroffen zijn en of deel uitmaakten van de ontmantelde botnets.
Klopt bovenstaande wel? Ik krijg enkel een mail met de tekst dat mijn e-mail adres "bekend is" en ik dus risico loop om spam, scam - en phishing mails te ontvangen en dus moet oppassen <duh> . Maar dat geldt zo'n beetje voor iedereen in de wereld die een e-mail adres heeft dat een keer ergens op Internet openbaar heeft gestaan.
In elk geval was er geen enkele melding in de e-mail van "check je hack" over deze botnets.
Check je hack laat je controleren of je e-mailadres in datasets voorkomt. Sinds 30 mei wordt ook gecontroleerd op de dataset van Operation Endgame, aldus de politie zelf (en ook de website). Maar misschien dat er niet in staat in welke dataset het e-mailadres precies voorkomt. Op de website van Check je hack staat welke op welke datasets gecontroleerd wordt.
Dit staat op de gelinkte site:
Dat kan met onze checkfunctie. De volgende datasets zijn op dit moment doorzoekbaar:

5 april 2023 - Genesis market
29 augustus 2023 - Qakbot
januari 2024 - Bankhelpdeskfraude
30 mei 2024 - Endgame
Las bij nos dat er ook een heel netwerk is opgerold en servers in data centra in beslag zijn genomen. Vond dit altijd wel vet dat ze die serves draaiend en al afvoeren om zo te voorkomen dat er eventueel bewijs materiaal verloren gaat als ze worden uitgeschakeld.
Daarom verschillende deadman switches als er iets in de infra veranderd dat niet verwacht is.
Maar gaat het hier nog over echte bare metal servers of VMs?

[Reactie gewijzigd door elmuerte op 23 juli 2024 18:22]

Dat zou ik niet durven zeggen.
Neem aan gewoon een stukje server-ruimte gehuurd bij een verhuur-bedrijf.
Gok dat het inderdaad vm’s betreffen dan.
Mooie actie. Je leest en hoort steeds vaker dat er van dit soort netwerken opgeruimd worden. Mooie ontwikkeling en goed werk van de politie (zowel de Nederlandse als de overige betrokken politie-organisatie).

Dat er nog maar vele mogen volgen. Keep up the good work :)

En ja, natuurlijk zal een deel wel weer worden vervangen door nieuwe netwerken, maar het brengt op zijn minst wel tijdelijk een slag toe aan dit soort criminele groeperingen.

Scheelt een hoop ellende voor hun potentiele slachtoffers, zowel bedrijven als particulieren.
Troy Hunt (oprichter van HaveIBeenPwned) meldt dat hij de gelekte mailadressen (16.5 miljoen) en unieke wachtwoorden (13,5 miljoen) in de datebase van HaveIBeenPwned heeft geladen. 72% was al bekend in de database.
Ik heb mijn email adres gecheckt op de politie site en kreeg direct een email daarna dat mijn email adres gevonden i.r.t. databestanden die in januari 2024 gevonden waren tijdens het onderzoek. Heel vreemd omdat ik dat adres pas eind maart heb aangemaakt bij Strato! En ook haveibeenpwned geeft groen aan (al kunnen die nog bezig met inladen zijn)!
Bor Coördinator Frontpage Admins / FP Powermod 30 mei 2024 09:13
Een mooie stap voor justitie. Hier is vast en zeker veel tijd in gaan zitten voor onderzoek etc. Hopelijk volgen er meerdere netwerken. Het blijft een kat- en muisspel.

Opvallend is dat er ook in Nederland 33 servers offline zijn gehaald. Helaas komt het vaker voor dat Nederlandse servers en infrastructuur is betrokken bij cyber criminaliteit. Dit komt mede omdat hosting relatief goedkoop is, betrouwbaar en we over snelle internetverbindingen beschikken in onze datacentra.
Prachtig. Echter, die meukware gekoppeld aan internet met standaard passwords en/of nauwelijks beveiligd, is nog steeds actief. Even wachten tot de volgende botnet master dat apparaat inzet voor botnet V-zoveel. Dat die ene pc ontsmet is met een uninstall, betekend niet dat die zelfde pc niet binnen een paar dagen opnieuw besmet wordt.

Het gaat wel de goede kant op. Kwam een GL-Inet travel router tegen met "uniek password" per apparaat. Lees: twee willekeurige Engelse woorden aan elkaar geplakt. Toch beter als "admin".

Ook opvallend dat 1/3 van de botnet servers in NL gehost is. Benieuwd welke host aanbieders zo laks zijn.
Bor Coördinator Frontpage Admins / FP Powermod @FrostyPeet30 mei 2024 09:35
Het aantal devices met standaard username en password combinaties is de laatste jaren echt behoorlijk afgenomen. Steeds meer fabrikanten verplichten het instellen van een uniek wachtwoord als onderdeel van de setup procedure waarbij ik zelfs 2FA verplichtingen voorbij zie komen. Hoewel dit probleem vast en zeker altijd blijft bestaan neemt de kans op het aantreffen van default credentials wel (snel) af.
Ik geloof best dat de "bekende" merken stappen zetten. Ik refereer meer naar die wish/AliE meuk. Er zijn genoeg landen waar dit soort goedkope meuk de enige oplossing is om überhaupt een apparaat te kunnen bezitten. Of "zuinige" Nederlanders die bijvoorbeeld hun 20 euro internet cam toch "alleen maar" op hun volkstuintje richten.
wellicht kunnen ze de bronnen, verkeer terug traceren. en daar dan een botnet op zetten zodat de besmetters besmet worden. en bij activiteit lekker gaan blokkeren.
Dit is praktisch onmogelijk. Het zijn vaak domeinen bij legit hostingpartijen. De mensen die hierachter zitten zijn niet van het type "even lekker met Chrome wat illegale dingetjes doen". Je loopt direct tegen een muur van tor/vpn/proxies en andere gecomprommiteerde systemen aan.
heel mooi maar operation endgame echt?

Op dit item kan niet meer gereageerd worden.