LockerGoga: politie onderneemt actie tegen internationale ransomwarebendes


Wetshandhavingsinstanties uit zeven Europese landen, de VS en de EU hebben vermoedelijke leden gearresteerd van een criminele ransomware-groep die al enkele jaren actief is. De rechercheurs beschuldigen de 12 aangehouden personen van het veroorzaken van aanzienlijke verstoringen en “chaos”, bijvoorbeeld bij bedrijven in de kritieke infrastructuursector in Europa en de VS. In totaal werden meer dan 1.800 slachtoffers in 71 landen getroffen door deze cyberaanvallen.

“De toegangen vonden plaats in de vroege ochtenduren van 26 oktober in Oekraïne en Zwitserland”, maakte Europol vrijdag bekend. De meeste verdachten die werden gepakt, werden beschouwd als “doelen op hoog niveau omdat ze worden onderzocht in verschillende spraakmakende zaken in verschillende rechtsgebieden”. Tijdens de invallen werden meer dan 52.000 dollar in contanten en 5 luxe voertuigen in beslag genomen. Een aantal elektronische apparaten wordt momenteel forensisch onderzocht om bewijsmateriaal veilig te stellen en nieuwe onderzoeksbenaderingen te verkrijgen.

Volgens Europol zijn de gearresteerde “cyberacteurs” onder meer bekend van de Blackmail Trojans LockerGoga, MegaCortex en Dharma hebben gebruikt. Over slachtoffers heeft de Haagse Autoriteit geen informatie verstrekt.

De bende die voornamelijk LockerGoga gebruikt, naar verluidt vast maar ongeveer achter de Cyberaanval op het Noorse aluminiumbedrijf Norsk Hydro in maart 2019. Daarna moest hij zijn productie zoveel mogelijk overschakelen naar handmatige bediening. Ook het Franse industriële adviesbureau Altran zou de malware in januari van datzelfde jaar hebben getroffen. Volgens cybersecurity-experts werden ook de Amerikaanse chemiebedrijven Hexion en Momentive getroffen.

De verdachten “hadden allemaal verschillende rollen in deze professionele, goed georganiseerde criminele organisaties”, zegt Europol. “Sommige van deze criminelen probeerden in te breken in het netwerk en gebruikten meerdere mechanismen om IT-netwerken te compromitteren, waaronder brute force-aanvallen, SQL-injecties, gestolen inloggegevens en phishing-e-mails met kwaadaardige bijlagen.”

Toen ze eenmaal in een netwerk waren, concentreerden sommige hackers zich op het zwerven van de gekoppelde machines en malware zoals Truc bot evenals het gebruik van commerciële tools zoals Cobalt Strike of PowerShell Empire “om onopgemerkt te blijven en verdere toegang te krijgen”. De daders zouden dan maandenlang in de gecompromitteerde systemen zijn gebleven en hebben gezocht naar verdere zwakheden in de IT-netwerken “voordat ze geld wilden verdienen met de infectie door het gebruik van ransomware”.

Sommige van de ondervraagde personen worden ervan verdacht verantwoordelijk te zijn voor het witwassen van de losgeldbetalingen: ze moesten de afgeperste Bitcoin-sommen via speciale “gemengde diensten” kanaliseren voordat de onrechtmatig verkregen winsten in contanten werden uitbetaald.

De Franse autoriteiten lanceerden het tegenoperatie-initiatief in september 2019 door een gezamenlijk onderzoeksteam op te zetten met Noorwegen, Frankrijk, Groot-Brittannië en Oekraïne met financiële steun van de EU-aanklager Eurojust en verdere hulp van Europol. Sindsdien werken de partners nauw samen met de onafhankelijke onderzoeken van de Nederlandse en Amerikaanse autoriteiten om de omvang en complexiteit van de criminele activiteiten bloot te leggen en een gezamenlijke strategie te ontwikkelen.

Volgens de autoriteit heeft Europol’s European Centre for Cybercrime (EC3) ondersteuning geboden op het gebied van digitaal forensisch onderzoek, cryptocurrencies en malware, en de uitwisseling van informatie gefaciliteerd. Op de dag van de inval werden meer dan 50 rechercheurs naar Oekraïne gestuurd om de lokale nationale politie te helpen bij het uitvoeren van gezamenlijke maatregelen. Vanuit Duitsland was het hoofdbureau van politie van Reutlingen erbij betrokken. Veiligheidsinstanties, waaronder Europol, hadden eerder Een Oekraïense ransomwarebende werd pas in oktober opgegraven.


(vbr)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: