Politie haalt meer dan 300 botnets offline in strijd tegen ransomware

De politie heeft afgelopen week in samenwerking met internationale opsporingsdiensten meer dan driehonderd botnets offline gehaald. Cybercriminelen zetten die vaak in om ransomware-aanvallen uit te voeren. De ordediensten hebben ook cryptovaluta in beslag genomen en arrestatiebevelen uitgevaardigd tegen twintig personen.

De internationale opsporingsdiensten hebben sinds 19 mei verschillende botnets ontmanteld in het kader van Operatie Endgame. Het gaat om de botnets Bumblebee, Qakbot, Danabot, Hijackloader, Warmcookie, Trickbot en Latrodectus. Ook de infostealer Lumma werd deze week offline gehaald, in samenwerking met Microsoft.

De politie haalde onder leiding van het Landelijk Parket van het Openbaar Ministerie zestig servers offline in verschillende Nederlandse datacentra. Wereldwijd gaat het om driehonderd servers die offline zijn gehaald. Tijdens de actieweek is omgerekend 3,5 miljoen euro aan cryptovaluta in beslag genomen. Sinds het begin van het onderzoek in 2023 is in totaal ter waarde van ruim 21 miljoen euro aan cryptovaluta in beslag genomen.

Onder het gezag van de Duitse autoriteiten zijn er twintig verdachten toegevoegd aan de Europese lijst van meest gezochte personen. Deze personen worden gelinkt aan de botnets Trickbot en Qakbot. Parallel hieraan vaardigden de Amerikaanse opsporingsautoriteiten ook aanklachten uit tegen 17 verdachten.

De operatie werd uitgevoerd door de autoriteiten in Nederland, Duitsland, Frankrijk, de Verenigde Staten, het Verenigd Koninkrijk, Denemarken en Canada, met ondersteuning van Europol en Eurojust. De Nederlandse politie zegt dat Operatie Endgame nog niet voorbij is, maar dat er in de toekomst nieuwe acties aangekondigd zullen worden.

Reacties (22)

FrankHe

23 mei 2025 16:51

Goed te horen dat ze driehonderd botnets offline hebben gehaald. De schade die deze hebben aangericht en nog hadden kunnen aanrichten zal aanzienlijk zijn geweest. Mooi werk!

Aan de andere kant ligt er denk ik ook nog steeds een schone taak om mensen voor te lichten hoe ze kans op ransomware sterk kunnen verminderen. Een goede virusscanner hebben, geen vage websites bezoeken en heel erg oppassen met gekraakte software. Wanneer iets 'gratis' wordt aangeboden dan staat daar doorgaans iets tegenover!

Hopelijk brengt de nieuwe EU-richtlijn die verkopers en fabrikanten verplicht blijvend updates uit te brengen voor verkochte en geproduceerde apparaten nog wat verbetering. Apparaten waarvan de firmware/software up-to-date is zijn doorgaans een stuk minder kwetsbaar voor aanvallen van buitenaf. Voorkomen is in alle gevallen uiteraard beter dan genezen.

kodak

Politie
Cybercrime
Beveiliging en antivirus
Ransomware
Criminaliteit

@FrankHe • 23 mei 2025 18:45

Hopelijk brengt de nieuwe EU-richtlijn die verkopers en fabrikanten verplicht blijvend updates uit te brengen voor verkochte en geproduceerde apparaten nog wat verbetering.

Alleen gaan veel van deze besmettingen nu juist niet om bots op kwetsbare apparatuur maar op gebruikelijke Windows systemen van gewone gebruikers. De malware komt vaak op die systemen door bijvoorbeeld downloaden van onbetrouwbare windows apps die zich voor doen als handige hulpmiddelen of updates en door phishing met onbetrouwbare bijlage of links. En laat Microsoft nu net een van de bedrijven zijn die juist wel al jaren maandelijks updates uitgeven en inmiddels vaak standaard weet te updaten. En daar gaat deze verplichting weinig aan verbeteren. Eerder is het voor dit soort malware juist belangrijk dat gebruikers niet zomaar software vertrouwen, ook al hebben ze een leverancier die vaak updates geeft en antivirus.

FrankHe

@kodak • 23 mei 2025 19:44

Het is inderdaad een kwestie van mensen opvoeden. "Wanneer iets 'gratis' wordt aangeboden dan staat daar doorgaans iets tegenover!" Mensen zijn nu eenmaal heel gemakkelijk te verleiden tot het downloaden en installeren van Trojaanse paarden. Zolang mensen de angst hebben dat ze iets missen, the Fear Of Missing Out (FOMO) zullen ze onverantwoorde keuzes maken bij de installatie van gecompromitteerde software. Dat is simpelweg een stukje psychologie.

svenslootweg @FrankHe • 24 mei 2025 15:41

Een goede virusscanner hebben, geen vage websites bezoeken en heel erg oppassen met gekraakte software. Wanneer iets 'gratis' wordt aangeboden dan staat daar doorgaans iets tegenover!

Je loopt met dit advies minimaal een decennium achter. Het is inmiddels al heel lang bekend (en aangetoond) dat de primaire infectievectors voor Windows-systemen bij advertentienetwerken op 'legitieme' sites en e-mails liggen, en dat er dus weinig klopt van dat spookverhaal over piratensites vol virussen.

"Installeer een adblocker" is dus een veel zinniger advies. Nog even los van dat een hoop botnets tegenwoordig vrijwel geheel uit IoT-apparatuur met beveiligingslekken bestaan.

[Reactie gewijzigd door svenslootweg op 24 mei 2025 15:43]

FrankHe

@svenslootweg • 24 mei 2025 16:20

.. advertentienetwerken op 'legitieme' sites en e-mails ...

Dit zijn dingen waar een up-to-date virusscanner met web browser plug-in zoals bijvoorbeeld F-Secure en soortgelijke toch tegen beschermen? Web browsers hebben zelf ook allerlei sandbox concepten om ervoor te zorgen dat advertenties niet zomaar schadelijke code kunnen uitvoeren.

Voor e-mails met aanhangsels of links geldt hetzelfde. En wanneer iets 'gratis' wordt aangeboden dan staat daar doorgaans iets tegenover! Lijkt iets te mooi om waar te zijn dan is het strikte advies om daar niet op in te gaan. Schreeuw e-mails zetten we in de spam folder. Met een beetje gezond verstand houd je alle narigheid wel netjes buiten.

De meeste botnets bestaan inderdaad uit slechtbeveiligde apparatuur in het netwerk. Hopelijk brengt de nieuwe EU-richtlijn hier op een gegeven moment verbetering in.

Beveiliging bestaat uit verschillende lagen en op ieder aspect moeten mensen verplicht worden om passende maatregelen te nemen. Een internetrijbewijs is daarbij nog helemaal geen gek idee.

Ayporos 23 mei 2025 16:29

Mooi man! Dat ze maar allemaal levenslang in de bak mogen verdwijnen die boeven.
Ik wacht nog steeds tot er eens een keer een Locky/Zepto C&C server gevonden wordt zodat ik wat oude meuk kan decrypten.

kinxton @Ayporos • 23 mei 2025 16:43

Oude meuk? Helemaal geen backups dan? Hoe ben je erin geluisd?

Ayporos @kinxton • 23 mei 2025 17:06

Ik nie, familie lid

GeeBee @kinxton • 23 mei 2025 17:15

Hier ook

Ik heb nog een paar HDD’s liggen met Fairytail encryption.

Gelukkig alleen “gedownloade” media.

T.E.C.H.N.O @GeeBee • 23 mei 2025 18:05

Ik heb hier Lockbit 1 of 2. De decryptor die is uitgegeven werkt helaas niet. Dus de hdd blijft voorlopig nog in de kast liggen

Die_ene_gast @T.E.C.H.N.O • 26 mei 2025 08:12

Af en toe even van stroom voorzien, zodat je geen last krijgt van bitrot e.d.

FrostyPeet 23 mei 2025 16:45

Vrees dat het dweilen is met de kraan open. De geschiedenis leert dat de volgende lichting al klaar staat om met nieuwe servers te herstarten als de oude is opgerold.

Toch positief dat ze een aantal personen te pakken hebben en die crypto is in elk geval weg uit die clubs.

Blijft nog de vraag of die el cheapo internet meukhardware, die ook een onderdeel van het botnet uitmaken is uitgeschakeld. Die botnet beheerders zullen vast wel een ip adreslijst hebben met die gehackte hardware. Dan is een nieuw servertje gauw opgezet en de ellende start opnieuw.

kodak

Politie
Cybercrime
Beveiliging en antivirus
Ransomware
Criminaliteit

@FrostyPeet • 23 mei 2025 23:26

De ellende kan niet zomaar opnieuw starten als enkele criminelen alleen weten welke systemen en domeinen door de politie overgenomen zijn. De criminelen zullen dan toch ook eerst nog een systeem of domein moeten hebben weten te houden waar die bots mee proberen te communiceren. Anders valt er niet zomaar een commando aan de bots te geven. Niet via deze malware.

Wat wel een reële kans is, dat de criminelen de besmette systemen met meer malware geïnfecteerd hebben van andere botnets die nog niet aangepakt zijn.