Tag: De gijzelsoftware werd verspreid met phishingmails met besmette bijlagen

Gijzelsoftwarebende doelwit van internationale politieactie

6 maart 2023 NOS

Europol

De Duitse en Oekraïense politie hebben eind vorige maand huiszoekingen gedaan bij veronderstelde leden van een bekende ransomware-bende. Ze kregen daarbij hulp van de Nederlandse politie, de Europese politieorganisatie Europol en de Amerikaanse FBI.

Gijzelsoftwarebende doelwit van internationale politieactie

De politie van de Duitse deelstaat Noordrijn-Westfalen identificeerde elf mogelijke verdachten. Zij zouden betrokken zijn bij een bende die sinds 2010 organisaties afperst met gijzelsoftware. Die software draagt de naam DoppelPaymer, maar is ook bekend onder namen als Hades en Phoenix. De bende richtte zich de laatste jaren vooral op sectoren die van vitaal belang zijn, zoals de gezondheidszorg en het onderwijs.

Voor zover bekend is niemand aangehouden. De huiszoekingen vonden gelijktijdig plaats in Duitsland en in Oekraïne, waar gebouwen in Kyiv en Charkiv werden doorzocht. In Oekraïne werd ook een verondersteld lid van de bende verhoord. Gevonden apparatuur en data worden momenteel door de politiekorpsen onderzocht. Nog eens drie mensen, onder wie twee Russen, zijn voortvluchtig.

Patiënt overleden

De groep internetcriminelen, in cybersecuritykringen onder meer bekend als EvilCorp en Indrik Spider, werkte op grote schaal. Wereldwijd zijn ruim 600 organisaties slachtoffer geworden, waaronder de Britse nationale gezondheidsdienst NHS. Amerikaanse gedupeerden betaalden tussen mei 2019 en maart 2021 bij elkaar minstens 40 miljoen euro losgeld aan de bende, meldt Europol. De politie kon vandaag niet aan de NOS bevestigen of er ook Nederlandse bedrijven en instellingen slachtoffer zijn geworden.

In Duitsland werden zeker 37 organisaties getroffen. Een daarvan was het universitair ziekenhuis van Düsseldorf. Een patiënte die ten tijde van de cyberaanval in 2020 niet geholpen kon worden overleed, nadat ze met spoed naar een ander ziekenhuis was gebracht.

Dubbel betalen

De gijzelsoftware werd verspreid met phishingmails met besmette bijlagen. Als een ontvanger de bijlage opende, drongen de cybercriminelen binnen in de computersystemen. De gijzelsoftware vergrendelde dan de computersystemen en de hackers maakten ondertussen bedrijfsgegevens en gevoelige data buit.

Slachtoffers moesten dubbel losgeld betalen: zowel om de controle over hun systemen terug te krijgen als om te voorkomen dat de gestolen informatie openbaar werd gemaakt. De bende had een speciale website om gestolen data te verdelen of te verkopen.

De groep had daarnaast een ‘helpdesk’ om slachtoffers uit te leggen hoe het losgeld betaald moest worden en hoe de systemen moesten worden ontgrendeld. Ook zocht de ransomware-bende actief naar nieuwe ‘medewerkers’.