Om het botnet uit te schakelen zijn gisteren 800.000 domeinen in beslag genomen of geblokkeerd. Deze domeinen werden door de malware gebruikt om met besmette computers te communiceren. Het verkeer tussen geïnfecteerde computers en het botnet is in bepaalde gevallen omgeleid om slachtoffers te kunnen informeren, een werkwijze die ook wel "sinkholen" wordt genoemd.
Nederland
Het internationale onderzoek begon vier jaar geleden in Duitsland nadat ransomware een groot aantal computers in het land had geïnfecteerd en/of geblokkeerd. Duits onderzoek wees uit dat het botnet uit een grote hoeveelheid geïnfecteerde computers bestond die gedurende een bepaalde periode zijn aangestuurd vanuit diverse cruciale servers in Nederland. Deze werden onder andere gebruikt als command and control-server (centrale server waarmee cybercriminelen het botnet konden aansturen). Deze servers zijn gisteren offline gehaald bij zes verschillende hosting providers.
Money mules
Het team High Tech Crime van de Landelijke Eenheid van de politie heeft via Duitse rechtshulpverzoeken internettaps geplaatst op verschillende (command and control) servers. Ook wordt nog verder onderzoek verricht naar de huurders van de servers en naar Nederlandse verdachten. Deze verdachten hielden zich met name bezig met de financiële kant van het criminele proces. Zij fungeerden bijvoorbeeld als ‘money mule' door hun rekeningen beschikbaar te stellen aan criminelen om gestolen geld te kunnen ontvangen en doorsturen.
Wereldwijde resultaten
In totaal zijn in 30 landen acties uitgevoerd, waarbij vijf verdachten werden aangehouden. Daarnaast zijn 39 servers in beslag genomen en 221 servers offline gehaald. In meer dan 180 landen werden infecties aangetroffen.
Vandaag verschijnt op de website van Europol een persbericht over de internationaal gecoördineerde actie: www.europol.europa.eu/newsroom