Op 28 mei 2024 startte de eerste grote actieronde binnen Operation Endgame, een internationale operatie tegen botnets en zogenoemde dropper-malware die een sleutelrol speelden in ransomware-aanvallen en andere vormen van cybercriminaliteit. De Nederlandse politie berichtte hierover op 29 mei 2024 (politie.nl). Europol publiceerde het bericht op 30 mei 2024.

De operatie richtte zich in 2024 op onder meer IcedID, Smokeloader, SystemBC, Pikabot, Bumblebee en Trickbot. Dit zijn malwarefamilies en botnet-infrastructuren die werden gebruikt om computers te besmetten, toegang tot systemen te verschaffen en vervolgens andere malware – waaronder ransomware – te installeren. Volgens de politie liepen de schadebedragen voor bedrijven en overheidsinstellingen in de honderden miljoenen euro’s.

Opsporing en aanpak

Operation Endgame werd in 2024 uitgevoerd als een gecoördineerde internationale operatie. Volgens Europol vonden de acties plaats tussen 27 en 29 mei 2024 en werden zij vanuit het hoofdkwartier van Europol gecoördineerd. De operatie was gericht op het uitschakelen van criminele diensten door het aanhouden van high value targets, het neerhalen van infrastructuur en het bevriezen van illegale opbrengsten.

De gezamenlijke acties werden uitgevoerd door autoriteiten in Nederland, Duitsland, Frankrijk, Denemarken, de Verenigde Staten en het Verenigd Koninkrijk, met ondersteuning van Europol en Eurojust. Daarnaast vonden met medewerking van deze autoriteiten ook politieacties plaats in Oekraïne, Zwitserland, Armenië, Portugal, Roemenië, Canada, Litouwen en Bulgarije, onder meer voor aanhoudingen, verhoren, doorzoekingen en het in beslag nemen of neerhalen van servers.

In Nederland werd de operatie uitgevoerd door het Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies, samen met diverse politie-eenheden en onder leiding van het Openbaar Ministerie.

De Nederlandse politie werkte daarnaast samen met private partijen, waaronder partners uit het Melissa-samenwerkingsverband zoals NFIR, Computest, Northwave en Fox-IT. Internationaal leverden onder meer Cryptolaemus, abuse.ch, Sekoia, Shadowserver, Team Cymru, Prodaft en Proofpoint een bijdrage.

Arrestaties en Nederlandse strafzaak

Bij de acties in mei 2024 werden wereldwijd vier personen aangehouden: volgens Europol ging het om één arrestatie in Armenië en drie arrestaties in Oekraïne. Daarnaast vonden zestien doorzoekingen plaats, waaronder één doorzoeking in Nederland, en werden acht dagvaardingen tegen verdachten uitgebracht.

Uit het onderzoek bleek volgens de politie en Europol dat één van de hoofdverdachten ongeveer 69 miljoen euro aan cryptovaluta zou hebben verdiend met criminele activiteiten.

Verstoring

De verstoringscomponent was aanzienlijk. In Nederland werden 33 servers in verschillende datacentra offline gehaald. Wereldwijd werden meer dan 100 servers offline gehaald of verstoord en werden meer dan 2.000 domeinnamen door opsporingsdiensten overgenomen. Ook konden van de verschillende botnets meer dan tienduizend geïnfecteerde computersystemen worden ontsmet door de-installatie van de malware.

Ook werden slachtoffergegevens gedeeld met onder meer No More Leaks, het NCSC, internationale partners, DIVD, HaveIBeenPwned en Spamhaus, zodat slachtoffers konden worden gewaarschuwd en inloggegevens konden worden beveiligd. Op www.politie.nl/checkjehack kunnen mensen nagaan of hun inloggegevens voorkomen uit dit onderzoek.