Tijdens een internationale politieoperatie, waar ook de Nederlandse politie aan deelnam, is een vanuit Oekraïne opererende ransomwaregroep opgerold. Dat laat Europol vandaag weten. De groep wordt verantwoordelijk gehouden voor wereldwijde aanvallen met de LockerGoga-, MegaCortex-, HIVE- en Dharma-ransomware. Organisaties in 71 landen zouden door de groep zijn aangevallen.

Volgens Europol hadden de verdachten verschillende rollen in de criminele organisatie. Sommige waren verantwoordelijk voor het compromitteren van de netwerken van slachtoffers, terwijl andere zich bezighielden met het witwassen van het losgeld van slachtoffers. Om toegang tot de netwerken van slachtoffers te krijgen werd gebruikgemaakt van bruteforce-aanvallen, SQL-injection en phishingmails met malafide bijlagen om zo inloggegevens te stelen.

Zodra er toegang was verkregen maakte de groep gebruik van tools zoals de TrickBot-malware, Cobalt Strike en PowerShell Empire om zich lateraal door het netwerk te bewegen en zoveel mogelijk systemen te infecteren voordat de ransomware werd uitgerold. Uit het onderzoek dat de autoriteiten naar de groep uitvoerden blijkt dat die meer dan 250 servers van grote bedrijven hebben versleuteld, wat voor honderden miljoenen euro's schade zorgde, aldus Europol.

Het forensische onderzoek zorgde ervoor dat decryptietools voor varianten van de LockerGoga- en MegaCortex-ransomware konden worden ontwikkeld, die via nomoreransom.org beschikbaar zijn. Naast de Nederlandse politie en Openbaar Ministerie waren ook politiediensten uit Noorwegen, Frankrijk, Oekraïne, Duitsland, Zwitserland en Verenigde Staten betrokken, alsmede Europol en Eurojust.