Samenwerkende internationale politiekorpsen hebben een grote stap voorwaarts gezet in de strijd tegen cybercriminaliteit met het uit de lucht halen van servers achter de agressieve malware Emotet. Het betekent dat de Emotet-besmetting niet langer actief is op de computers van ruim een miljoen slachtoffers wereldwijd.
Twee hoofdservers bleken in ons land te staan en eentje in het buitenland.
LadyBird
De Landelijke Eenheid en het Landelijk Parket in Nederland werkten in de operatie LadyBird samen met politie en justitie in Duitsland, het Verenigd Koninkrijk, Frankrijk, Oekraïne, de Verenigde Staten, Canada en Litouwen. Ook werd samengewerkt met diverse private partijen en non-profitorganisaties en met het Nederlandse Nationaal Cyber Security Centrum. Emotet vervulde de afgelopen jaren een sleutelrol binnen het cybercriminele landschap. Het gaat om een zogenoemde modulaire malwarefamilie die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is.
Een besmetting van een computer met Emotet-malware gebeurde vaak via een phishingaanval per e-mail. Daarbij wordt het slachtoffer verleid om op een malafide link te klikken. De cybercriminelen achter Emotet gebruikten verschillende soorten ‘lokaas’ om nietsvermoedende gebruikers te misleiden, het afgelopen jaar bijvoorbeeld door te doen alsof er in e-mailbijlages informatie over Covid-19 zat.
Enorme schade
Eén van de dingen die Emotet zo gevaarlijk maakte, is dat Emotet als het ware de deur opende voor andere soorten malware. Grote criminele groepen kregen tegen betaling toegang tot een deel van die systemen om hun eigen malware op te installeren. Concrete voorbeelden hiervan zijn de financiële malware Trickbot en de ransomware Ryuk. De schade veroorzaakt door Emotet loopt wereldwijd in de honderden miljoenen euro’s. Er zijn in het onderzoek 600.000 e-mailadressen met wachtwoorden aangetroffen.
Controle overgenomen
De criminele organisatie achter Emotet verspreidde de malware via een omvangrijk en complex netwerk van honderden servers. Sommige werden gebruikt om grip te houden op al geïnfecteerde slachtoffers en om gegevens door te verkopen, andere om nieuwe slachtoffers te maken en weer andere om politie en beveiligingsbedrijven op afstand te houden. Een diepgaand en innovatief rechercheonderzoek bracht uiteindelijk de hele infrastructuur in kaart. Deze week lukte het om de controle over dit netwerk over te nemen en de Emotet-malware te deactiveren.
Doe een check
Op de Nederlandse centrale servers wordt een software-update geplaatst voor alle geïnfecteerde computersystemen. Die halen de update daar automatisch op, waarna de Emotet-besmetting in quarantaine wordt geplaatst. Met de Emotet-checker kunnen consumenten en systeembeheerders van bedrijven en organisaties nagaan of eigen apparaten en netwerken besmet zijn en wat je dan kunt doen. Mogelijk zijn er namelijk via Emotet nog tal van andere malafide softwareprogramma’s zoals Trickbot en Ryuk actief op deze apparaten. Er worden verder tips gegeven voor veilig computergebruik.
Zoeken naar daders
OM en de politie startten in juli 2019 met een strafrechtelijk onderzoek naar Emotet. Het onderzoek naar de criminele organisatie die Emotet ontwikkelde en verspreidde is nog in volle gang. De verdenking tegen betrokkenen is onder meer computervredebreuk en het stelen van persoonsgegevens. Het is nog niet bekend om hoeveel personen het precies gaat. Wel is duidelijk dat de groep goed georganiseerd is en snel inspeelt op veranderende omstandigheden.
De internationale samenwerking van publieke en private organisaties is gericht op het identificeren en vervolgen van verdachten, verzamelen van bewijs, afpakken van virtuele valuta en het stoppen, verstoren en voorkomen van zware misdrijven. Het strafrechtelijk handhaven van de rechtsorde in de digitaal verbonden wereld is van groot belang. Het is essentieel voor het vertrouwen van burgers in digitale technologie en onze rechtsstaat.
