Tools om gevoelige gegevens te stelen
'Team Cybercrime Limburg leverde een belangrijke bijdrage in het ontmantelen van de technische infrastructuur van deze software die specifiek is ontworpen om gevoelige gegevens te stelen van de computer van nietsvermoedende slachtoffers. Hierbij is ook een grote hoeveelheid data in beslag genomen. De actie vond plaats in het kader van Operation Magnus', aldus de politie.
Politie getipt door beveiligingsbedrijf ESET Nederland
Aanleiding van het onderzoek door Team Cybercrime is een tip van het beveiligingsbedrijf ESET Nederland over de in Nederland aanwezige servers in relatie tot malware. Het onderzoek werd onder leiding van het Openbaar Ministerie Parket Limburg ruim een jaar geleden opgestart. Door dit onderzoek heeft Team Cybercrime zicht gekregen op de technische infrastructuur van de infostealers, de gebruikte communicatiekanalen en het volledige gebruikersbestand.
Infostealer
Een infostealer is een vorm van malware die ontwikkeld is om gegevens van computers van slachtoffers te stelen. Via onder andere downloads van software uit onbetrouwbare bronnen worden slachtoffers besmet. Vervolgens worden ongemerkt gevoelige gegevens zoals inloggegevens, financiële informatie, e-mails en systeeminformatie van de computer van het slachtoffer gestolen en doorgestuurd naar de crimineel. De buitgemaakte gegevens kunnen door de criminelen verkocht worden of gebruikt worden voor onder andere identiteitsdiefstal, financiële fraude en ransomware. Ransomware is een virus dat je computer of bestanden blokkeert totdat je betaalt om deze terug te krijgen.
RedLine en META
RedLine en META behoren tot de meest bekende infostealers wereldwijd met miljoenen slachtoffers en zijn al jaren actief. In het onderzoek zijn duizenden afnemers van deze dienst in beeld gekomen die op hun beurt zelfstandig slachtoffers hebben gemaakt. De buitgemaakte data wordt verhandeld of rechtstreeks misbruikt bij het plegen van andere cybercriminaliteit, zoals hacking of diefstal van data of cryptovaluta.
Internationale samenwerking
Vanwege de wereldwijde verspreiding van de malware werden internationaal de krachten gebundeld in de Joint Cybercrime Action Taskforce (J-CAT). Hierin werken de autoriteiten van Nederland, de Verenigde Staten, het Verenigd Koninkrijk, België, Portugal en Australië met ondersteuning van Europol en Eurojust samen.
Onderzoek
Tot op heden is door de autoriteiten van de Verenigde Staten één beheerder in staat van beschuldiging gesteld en zijn door de Belgische politie twee personen aangehouden. Een persoon is inmiddels weer in vrijheid gesteld, de andere persoon zit nog vast. Dit betreft een afnemer van de infostealer. Ook heeft doorzoeking plaatsgevonden in diens woning. De in beslag genomen data wordt onderzocht. Vervolgacties en aanhoudingen zijn niet uitgesloten.
Telegram
Met behulp van de internationale opsporingsdiensten is bewerkstelligd dat meerdere Telegram accounts uit de lucht zijn gehaald. De infostealers RedLine en META werden via deze groepen aangeboden aan de afnemers. Tot voor kort was Telegram een dienst waar criminelen zich onaantastbaar en anoniem waanden. Uit deze actie is gebleken dat dat niet meer het geval is. Hiermee is een gevoelige en flinke slag toegebracht in de criminele wereld. Het offline halen van deze groepen heeft gemaakt dat de verkoop van de stealers RedLine en META is platgelegd.
Hackbevoegdheid politie
Met gebruikmaking van de hackbevoegdheid is de politie met een technisch hoogstandje in staat geweest de infrastructuur van de beide infostealers offline te halen. Hierdoor functioneert de malware niet meer en is het niet mogelijk om nieuwe data van (geïnfecteerde) slachtoffers te stelen. Op basis van het veiliggestelde klantenbestand vindt vervolgonderzoek naar de afnemers van deze dienst plaats. Daarnaast is er direct naar deze criminelen gecommuniceerd over deze actie, waarbij de mogelijkheid is geboden om contact op te nemen met de politie voor het delen van informatie.