2 min Security

Politiediensten draaien RagnarLocker-leaksites de nek om

Politiediensten draaien RagnarLocker-leaksites de nek om

Een internationale coalitie van politiediensten heeft de leaksites van ransomwarebende RagnarLocker offline gehaald. Deze criminele organisatie richtte zich al sinds eind 2019 op onder meer overheidsinstanties, zorginstellingen en grote bedrijven.

De groep had het vooral gemunt op organisaties in Noord-Amerika en Europa. Ook de politiediensten die de leaksites hebben neergehaald, komen overwegend uit deze gebieden. De Nederlandse Politie, Europol, de FBI en Eurojust waren onder andere betrokken.

Tip: Hoe gaan de cybercriminelen van RagnarLocker te werk?

RagnarLocker is zowel de naam van de hackersgroep als de malware die het inzet. In april analyseerde het Israëlische cybersecuritybedrijf Sygnia hoe de groep te werk ging: de inmiddels beruchte tactiek om na infiltratie data te stelen en te versleutelen leverde de criminelen miljoenen op. Zo zou reisorganisatie CWT 4,5 miljoen dollar hebben betaald om de gegevens weer terug te krijgen. Ook raakte RagnarLocker tenminste 52 instellingen in Amerika verspreid over 10 sectoren omtrent kritieke infrastructuur. Sommige security-experts zien bij RagnarLocker een link met de Russische staat.

Volgens Jort Kollerie bij Orange Cyberdefense is de inbeslagname van de Tor-websites een “cruciale stap omdat RagnarLocker een van de oudste cyberafpersingsgroepen is.” Des te meer omdat ze “consistent actief zijn gebleven. Dit is opmerkelijk gezien de snelle veranderingen in het ecosysteem van cyberafpersingen,” aldus Kollerie.

Is RagnarLocker geëlimineerd?

Het succesvol neerhalen van de leaksite voorkomt dat de data van bestolen organisaties eenvoudig online komt. Echter stelt Erich Kron van KnowBe4 tegenover SiliconANGLE dat de politieactie mogelijk “niet meer dan een ongemak” is voor de criminelen. Immers kan de bende nog altijd via andere websites informatie vrijgeven. Daarnaast stelt hij dat gedupeerde organisaties nu wellicht meer moeite zullen ondervinden met hun herstelpogingen. Zo is het mogelijk dat er ook decryption keys verloren zijn gegaan bij de operatie. Daarnaast zou onversleutelde data nog in handen kunnen zijn van de RagnarLocker-criminelen.

Soortgelijke acties van politiediensten hebben al eerder plaatsgevonden dit jaar. De criminele marktplaats Genesis Market werd niet alleen opgerold, er vonden ook wereldwijd tegelijkertijd arrestaties plaats van Genesis-verdachten. Deze keer is daar niets over bekendgemaakt, hoewel de link met Rusland de pakkans lijkt te verkleinen.

Lees ook: Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?