De Oekraïense politie heeft huiszoekingen verricht in het kader van een onderzoek naar de criminele bende achter de Cl0p-ransomware. Speciale eenheden van de politie arresteerden zes verdachten. Onder andere de Universiteit Maastricht werd door Cl0p getroffen.

 

ransomware

Op last van de cybereenheid van de Oekraïense politie zijn op 21 plekken in Kiev en omstreken doorzoekingen verricht, in huizen en auto's. De aangehouden personen worden verdacht van hacken en het witwassen van geld, waarmee een gevangenis van maximaal acht jaar gemoeid is in het land. De politie van Oekraïne werkte samen met politie-eenheden van Zuid-Korea en de VS, en met Interpol.

Zuid-Korea was betrokken bij het onderzoek vanwege omvangrijke ransomware-aanvallen in 2019 in het land, waarbij vier bedrijven getroffen werden. De Cl0p-malware kwam binnen via e-mails gericht aan personeelsleden en versleutelde vervolgens de inhoud van 810 servers en werk-pc's van medewerkers.

In Nederland en België sloegen de criminelen achter Cl0p ook toe. In 2019 werden grote delen van de infrastructuur van de Universiteit Maastricht onbereikbaar door de versleuteling en ook servers van de Universiteit van Antwerpen werden in dat jaar getroffen. De Universiteit Maastricht betaalde 197.000 euro aan de criminelen.

Bij de politie-actie zijn computers, auto's en zo'n 5 miljoen Oekraïense hryvnia aan contant geld in beslag genomen, omgerekend zo'n 152.900 euro. De bende achter Cl0p zit achter een groot aantal aanvallen. Recent richtten de criminelen zich op het stelen van grote hoeveelheden data van bedrijven om deze vervolgens af te persen door te dreigen met het vrijgeven ervan. Ze maakten daarbij misbruik van een zero-daykwetsbaarheid in Accellions File Transfer Appliance. Dit programma werd onder andere door Shell, Bombardier en Qualys gebruikt.

De vraag is in hoeverre de organisatie achter Cl0p werkelijk getroffen is door de actie. Volgens beveiligingsbedrijf Intel 471 is alleen het witwas- en financiële deel van business getroffen, wat zou betekenen dat de infrastructuur nog intact is en de beheerders hun werk zouden kunnen voortzetten.

Reacties mogelijk gemaakt door CComment