Een grootschalige operatie tegen een Oekraïense ransomwarebende is een succes gebleken. Zeven nationale eenheden werkten samen met Europol en Eurojust om de leider en elf medeplichtigen op te sporen. Uit het cv van de niet nader genoemde groep blijkt wederom hoe wendbaar en wijdreikend cybercriminelen anno 2023 zijn. Op haar beurt laat de internationale operatie juist zien hoe men dergelijke groepen succesvol kan bestrijden.
Een 32-jarige man die als leider van de groep wordt gezien, werd op 26 oktober in Kyiv gearresteerd. In totaal hadden de autoriteiten het bij de gezamenlijke actie gemunt op 12 individuen in Oekraïne en Zwitserland. Daarbij legde men beslag op 52.000 dollar aan contant geld en 5 luxe-voertuigen.
De Franse politie startte met de actie, waarna er in samenwerking met zes andere landen, Europol en Eurojust een gezamenlijk rechercheteam aan de slag ging. Onafhankelijke onderzoeken vonden tegelijkertijd plaats vanuit Nederland, de Verenigde Staten, Duitsland en Zwitserland.
Grote organisaties als doelwit, 1.800 slachtoffers
De aankondiging van Eurojust stelt dat de hackergroep zich vooral richtte op kritieke infrastructuur en grote bedrijven. De criminelen zouden 1.800 slachtoffers hebben uitgebuit verspreid over 71 landen. Deze internationale impact betekent ook dat de meeste verdachten al onderzocht worden in verschillende jurisdicties.
De groep hield zich bezig met verschillende taken, waaronder infiltratiepogingen van IT-netwerken via gestolen credentials, SQL injections, phishing-e-mails en simpelweg brute-force aanvallen. Laterale bewegingen werden mede mogelijk gemaakt met malware als Trickbot en tools als Cobalt Strike en PowerShell Empire, meldt Eurojust.
Tip: Malware-as-a-Service BunnyLoader stuurt je gevoelige data in een ZIP naar hackers
Veelvoud aan ransomware in gebruik
Opvallend is dat de groep zich niet bezighield met een specifieke ransomware-variant. Eerder dit jaar kregen de autoriteiten bijvoorbeeld RagnarLocker te pakken, waarbij de naam zowel naar de criminele organisatie als de ransomware-software verwijst.
Het lijkt erop dat de anoniem gehouden groep opereerde met een Ransomware-as-a-Service-model, met gebruik van meerdere soorten malware: LockerGoga, MegaCortex, HIVE en Dharma worden bij naam genoemd. Hoewel ze allemaal ontworpen zijn om de data van slachtoffers te versleutelen, verschillen ze qua implementatie. Zo is Dharma handmatig via een remote desktop-sessie te installeren, terwijl MegaCortex een mengelmoes van automatisering en handmatige componenten bevat.
Het toont de wendbaarheid van moderne cybercriminaliteit, waarbij aanvallers meerdere soorten software inzetten om organisaties binnen te vallen, ongedetecteerd te blijven en data te versleutelen of te stelen.
De impact van EMPACT
Ook opvallend is hoe lang de internationale operatie tegen de groep al bezig was. Het ‘joint investigation team’ werd in september 2019 op poten gezet door Noorwegen, Frankrijk, het Verenigd Koninkrijk en Oekraïne. Eurojust zorgde voor een deel van het budget voor het onderzoeksteam.
Een operatie als deze gaat over veel schijven. Verschillende jurisdicties en onderzoekacties vereisen coördinatie – en geld. Dat budget kwam dus vanuit Eurojust, EMPACT in het bijzonder. Dit European Multidisciplinary Platform Against Criminal Threats is lang niet bij iedereen bekend, maar wel van cruciaal belang. Boštjan Škrlec, vice-president bij Eurojust, benadrukt dat EMPACT een brug slaat tussen nationale en internationale eenheden, zodat criminele organisaties op een gecoördineerde manier worden aangepakt. Men schakelt daarbij eveneens de expertise in van private security-partijen.
Enrich Kron van KnowBe4, dat zich specialiseert in trainingen voor security-awareness, is tevreden over deze aanpak. Tegenover SiliconANGLE meldt hij dat “coalities als deze een significante en positieve impact heeft” op het wegnemen van bureaucratische hordes. Ook stipt hij aan dat de diverse aanpak van deze criminele organisatie laat zien dat bedrijven op verschillende fronten voorbereid moeten zijn.
Lees ook: Hoe ziet een doeltreffende security awareness-training eruit?
18 uur geleden
