Politie rolt Roemeense cyberbende op die ook in Nederland veel slachtoffers maakte met gijzelsoftware
© Thinkstock

Politie rolt Roemeense cyberbende op die ook in Nederland veel slachtoffers maakte met gijzelsoftware

Bij een gecoördineerde internationale politieactie is een Roemeense bende opgerold achter de wijdverspreide ransomware CTB-Locker. Deze gijzelsoftware maakte ook in Nederland veel slachtoffers.

Bij de actie, waar drie Roemenen zijn opgepakt, heeft de Nederlandse politie samengewerkt met haar collega's in Roemenië, Groot-Brittannië, de Verenigde Staten en met de Europese politiedienst Europol. De bende wordt verantwoordelijk gehouden voor de verspreiding van CTB-Locker, ook bekend onder de naam Critroni.

CTB-locker dook in 2014 voor het eerst op en richtte zich op bijna alle versies van Microsoft Windows. De ransomware was verstopt in mails die zogenaamd afkomstig waren van bekende bedrijven. In Nederland was dat in veel gevallen KPN. Op het moment dat een ontvanger nietsvermoedend de bijlage opende, werden bestanden vergrendeld. Pas na betaling van losgeld werden ze weer vrijgegeven.

Slachtoffers

Volgens computerbeveiligingsbedrijf McAfee, dat ook meehielp bij het onderzoek, was CTB-Locker in 2016 de belangrijkste ransomware-familie, met slachtoffers over de hele wereld. Ook in Nederland dook CTB-Locker veelvuldig op. In Nederland heeft de politie naar eigen zeggen tijdens het onderzoek bijna tweehonderd aangiften ontvangen van slachtoffers van CTB-Locker. Velen daarvan konden gelinkt worden aan de Roemeense groep verdachten. Het daadwerkelijke aantal Nederlandse slachtoffers wordt 'vele malen hoger' geschat.

Het is voor het eerst dat een bende achter de verspreiding van ransomware is opgerold, stelt Christiaan Beek, hoofdonderzoeker bij McAfee Nederland. 'Hier zijn we heel erg blij mee.' Volgens Beek laat het succes zien dat cybercriminelen, die zich vaak onkwetsbaar en volledig anoniem wanen, wel degelijk risico lopen bij hun activiteiten. McAfee werd ingeschakeld door de High Tech Crime Unit van de Nederlandse politie.

Cerber

Twee andere Roemenen, handlangers van de bende, worden verdacht van een andere gijzelsoftware met de naam Cerber. Die dook vorig jaar op en was vooral in de Verenigde Staten actief. Beide verdachten werden vorige week opgepakt op het vliegveld van de Roemeense hoofdstad Boekarest, toen ze probeerden het land te verlaten. In eerste instantie gebeurde het onderzoek naar CTB-Locker los van het Cerber-onderzoek, maar toen bleek dat het om één Roemeense groepering ging, is besloten gecoördineerd op te treden.

De uiteindelijke huiszoekingen die op dit onderzoek volgden, vonden plaats op zes locaties in Roemenië. Hierbij zijn diverse laptops, gegevensdragers, documenten, honderden sim-kaarten en een mining-computer voor het delven van cryptomunten in beslag genomen. Volgens Europol heeft de bende de ransomware niet zelf gemaakt, maar gekocht op het dark web. De daadwerkelijke makers, die 30 procent van de afkomst zouden hebben ontvangen, zijn nog niet gevonden.