De zoekingen vonden plaats op zes locaties in Roemenië. Hierbij zijn diverse laptops, gegevensdragers, documenten honderden sim-kaarten en een Crypto currency mining opstelling in beslag genomen.
Verspreiden Cerber
Naast de verspreiding van CTB-Locker zijn er binnen de Roemeense groepering twee personen verdacht van het verspreiden van “Cerber” op een groot aantal computers in de Verenigde Staten. De United States Secret Service (USSS) is vervolgens een onderzoek gestart naar de Cerber Ransomware besmetting. In eerste instantie was het onderzoek naar CTB-Locker separaat van het Cerber onderzoek, echter toen bleek dat het om één Roemeense groepering ging, is er besloten om meer gecoördineerd op te treden in de separate onderzoeken.
Ten tijde van de acties vorige week waren de twee verdachten van het Cerber onderzoek echter nog niet gelokaliseerd. De verdachten zijn hierop internationaal gesignaleerd door de Amerikaanse autoriteiten. Op 15 december werden de twee als nog aangehouden op het vliegveld van Boekarest toen zij trachten het land te verlaten.
Start onderzoek
Het onderzoek naar CTB-Locker is in Nederland is in 2015 gestart, nadat er een groot aantal besmettingen van deze ransomware variant werd gemeld. De ransomware is veelvuldig verspreid via phishingmails die afkomstig leken te zijn van telecomprovider KPN. De politie heeft tijdens het onderzoek bijna 200 aangiften van CTB-Locker slachtoffers ontvangen, waarvan velen gelinkt kunnen worden aan de Roemeense groep verdachten. Het daadwerkelijke aantal slachtoffers van CTB-Locker in Nederland wordt vele malen hoger geschat.
In 2016 ontving THTC informatie dat een Nederlandse server betrokken zou zijn bij de verspreiding van het CTB-locker virus. THTC heeft vervolgens de server gekopieerd en grondig onderzocht. Op deze server is broncode aangetroffen voor de verspreiding van phishingmails alsmede een groot aantal varianten van het CTB-Locker virus. Hierop is er een analyse gemaakt van de kwaadaardige bestanden. Om nog beter de werking van het virus te kunnen achterhalen, heeft ook computer securitybedrijf McAfee aanvullend onderzoek gedaan.
Overdracht aan Roemenië
Uiteindelijk heeft intensief onderzoek geleid tot een verdenking jegens de groep van Roemeense verdachten. De Nederlandse politie, het Openbaar Ministerie en de autoriteiten in de andere landen hebben hierop informatie uit de lopende onderzoeken overgedragen aan de Roemeense politie. De Roemeense politie heeft vervolgens een zelfstandig onderzoek geopend naar de groep verdachten. Naast Nederlandse slachtoffers hebben de verdachten vermoedelijk ook slachtoffers gemaakt in België en Italië. De aangehouden personen zullen in Roemenië worden vervolgd.
Het internationale onderzoek gaat verder naar andere verspreiders en de uiteindelijke makers van de CTB-Locker ransomware.
Achtergrond CTB-Locker
CTB-locker werd voor het eerst in 2014 gezien en was een van de eerste ransomware-families die Tor gebruikte om de Command en Control-infrastructuur te verbergen. Het virus richtte zich op bijna alle versies van Microsoft Windows. Eenmaal geïnfecteerd werden alle persoonlijke bestanden van de slachtoffers op de computer door de criminelen versleuteld. De criminelen persten de slachtoffers vervolgens af om hun bestanden tegen betaling terug te krijgen. Volgens computer beveiligingsbedrijf McAfee was CTB-Locker in 2016 de nummer één ransomware- familie die slachtoffers over de hele wereld heeft gemaakt. CTB-Locker stond in 2015 al reeds in de top 10 van de ransomware-families.
Voorkomen is beter dan genezen
De politie doet wereldwijd onderzoek naar diverse soorten ransomware en de criminelen die verantwoordelijk zijn voor de verspreiding hiervan. Ondanks deze inspanningen is voorkomen nog altijd beter dan genezen. Voorkom dat u zelf slachtoffer wordt en kijk voor preventietips en decryptietools op www.nomoreransom.org. Bent u wel slachtoffer geworden, betaal dan niet, maar doe aangifte bij de politie.