Emotet stond te boek als één van de meest hardnekkige en wijdverspreide botnets. Het begon in 2014 als banktrojan, maar evolueerde tot een “modulaire” malwaredienst. Emotet-infecties maakten computers in feite onderdeel van een botnet die werd doorverkocht aan andere criminelen (Europol, 27 januari 2021 en om.nl).

Het Emotet-botnet diende daarmee als “loader” voor bijvoorbeeld TrickBot (bankmalware/credential stealer) en Ryuk (ransomware). Hierdoor werd Emotet een centraal knooppunt voor ransomwarea-aanvallen.

Emotet verspreidde zich vooral via e-mailphishing: slachtoffers kregen ogenschijnlijk legitieme mails met geïnfecteerde Word- of PDF-bijlagen, vaak met actuele lokaasjes (zoals bijvoorbeeld valse COVID-19-informatie in 2020). Eind 2020 was naar schatting 1 miljoen computers wereldwijd geïnfecteerd met Emotet. Het OM.nl stelde de volgende infographic beschikbaar over de operatie.

Opsporing en aanpak

Begin 2019 startten de Nederlandse politie (Team High Tech Crime) en het Landelijk Parket een strafrechtelijk onderzoek naar Emotet, in nauwe samenwerking met internationale partners. Dit culmineerde op 27 januari 2021 in een grote gecoördineerde actie, door Europol betiteld als Operatie “LadyBird”.

In totaal deden opsporingsdiensten uit zeker 8 landen mee (Nederland, Duitsland, VK, Frankrijk, Oekraïne, VS, Canada, Litouwen) onder coördinatie van Europol en Eurojust. Spamhaus en MedianPart (CERTs) hielpen bij het doorgeven van informatie aan getroffen netwerkbeheerders.

Enkele honderden servers wereldwijd hielden het netwerk draaiende en probeerden detectie te ontwijken. Nederland speelde een sleutelrol: twee van de drie belangrijkste servers stonden in een datacentrum in Nederland en deze hoofdservers coördineerden de rest van de infrastructuur.

De Nederlandse politie kon dankzij een door de rechter-commissaris verleende machtiging en gebruikmakend van de hackbevoegdheid, deze servers binnendringen. Vervolgens is op 25 januari 2021 (twee dagen vóór de publieksactie) een speciale Emotet-update op deze servers geplaatst. Alle met Emotet besmette computers wereldwijd haalden automatisch deze update op die de Emotet-malware op het besmette systeem in quarantaine zette, waardoor Emotet effectief gedeactiveerd werd op ruim 1 miljoen machines. Tegelijkertijd werden in diverse landen de servers achter het botnet uitgeschakeld of in beslag genomen.

Ook werd een enorme hoeveelheid gestolen data veiliggesteld: in het Nederlandse onderzoek trof men 600.000 unieke e-mailadressen met bijbehorende wachtwoorden aan die Emotet had buitgemaakt (ICT Magazine). Deze dataset is overgedragen aan het Nederlandse NCSC en via een publiek beschikbare Emotet-checker online gezet zodat mensen konden controleren of hun account was getroffen.

Arrestaties en jurisprudentie

Bij deze actie zijn geen directe arrestaties in Nederland of West-Europa gemeld, maar in Oekraïne werden volgens lokale autoriteiten twee verdachten geïdentificeerd die met Emotet te maken hadden (Kyiv Post, 27 januari 2021). De Oekraïense politie liet op 27 januari 2021 weten dat in de stad Charkov serverapparatuur, contant geld, bankpassen en data waren in beslag genomen en dat men twee Oekraïners al verdachte had aangemerkt.

Tot op heden (juni 2026) heeft operatie Ladybrid in Nederland nog niet geleid tot een uitspraak op uitspraken.rechtspraak.nl.