Europol gebruikt al enkele jaren een grote sandbox om automatisch malware mee te detecteren en te analyseren en de informatie die dit oplevert met de lidstaten te delen. Het Europol Malware Analysis System (EMAS) ontvangt verdachte bestanden die door experts uit de lidstaten zijn geupload.

Vervolgens wordt het bestand in een gecontroleerde sandbox-omgeving uitgevoerd en de werking van de malware in kaart gebracht. De analyse die EMAS oplevert kan vervolgens naar de Secure Information Exchange Network Application (SIENA) worden gestuurd, een tool voor het delen van informatie tussen Europol, lidstaten en derde partijen, zo laat een woordvoerder van Europol tegenover Vice Magazine weten.

De resultaten van de analyse worden ook naar het Europol Analysis System (EAS), dat alle data opslaat, en het Computer Forensic Network (CFN) gestuurd. Het CFN filtert en verwerkt informatie uit grote hoeveelheden computergegevens, terwijl de geldigheid van de gegevens als bewijs of informatie bewaart blijft. Na de analyse kan EMAS het malware-exemplaar vergelijken met informatie in de eigen database, zoals domeinnamen en IP-adressen.

Zo kunnen onderzoekers malware met andere exemplaren vergelijken die in de Europese Unie zijn gevonden. Op deze manier kan bijvoorbeeld worden vastgesteld dat malware die in Duitsland en Frankrijk is ontdekt van dezelfde cybercriminelen afkomstig is. EMAS is inmiddels bij verschillende grote onderzoeken van Europol ingezet. Daarnaast wordt er later dit jaar een tweede versie van het systeem gelanceerd. Tot nu toe heeft EMAS 186.000 bestanden geanalyseerd, waarvan er ruim 38.000 als kwaadaardig werden bestempeld.