Europol, Eurojust en politie- en opsporingsdiensten uit elf landen hebben gezamenlijk de ransomewaregroep Ragnar Locker offline gehaald. De leider van de groep en vijf verdachten zijn gearresteerd. In totaal zijn er negen servers in beslag genomen.
Dat schrijven Europol en Eurojust in een gezamenlijke persverklaring.
Infrastructuur Ragnar Locker vernietigd
De internationale politieactie tegen Ragnar Locker liep van 16 tot en met 20 oktober. Daarbij werden huiszoekingen verricht in Tsjechië, Spanje en Letland. De hoofdverdachte, de vermoedelijke leider van de ransomwarebende, werd in Parijs aangehouden. Zijn huis in Tsjechië is eveneens doorzocht. Hij werd deze week voorgeleid aan de onderzoeksrechters van het gerechtshof in Parijs. De afgelopen paar dagen arresteerde de politie van Spanje en Letland nog eens vijf handlangers.
Naast zes arrestaties werd de infrastructuur Van Ragnar Locker onklaar gemaakt. Hiervoor werden negen servers in beslag genomen. Vijf daarvan stonden in Nederland, twee in Duitsland en twee in Zweden. In totaal namen politie-eenheden uit elf landen deel aan de actie: Duitsland, Frankrijk, Italië, Japan, Letland, Nederland, Oekraïne, Spanje, Tsjechië, de Verenigde Staten en Zweden.
Zo ging Ragnar Locker te werk
Ragnar Locker is sinds december 2019 actief en werkt volgens het Ransomware-as-a-Service of RaaS-model. Dat is een verdienmodel waarbij ontwikkelaars hun gijzelsoftware verhuren aan andere hackersgroepen. In ruil voor een deel van de opbrengst mogen deze affiliates de ransomware naar eigen inzicht inzetten om slachtoffers te maken. Onder meer de Japanse gameontwikkelaar Capcom, duizenden Belgische Orange-klanten en de Belgische gemeente Zwijndrecht waren de afgelopen jaren doelwit van Ragnar Locker. In totaal zou de ransomwaregroep 168 internationale bedrijven hebben aangevallen.
Leden van de hackersgroep maakten doorgaans misbruik van Windows-services als Remote Desk Protocol (RDP) om toegang te krijgen tot bedrijfssystemen. Eenmaal binnen werden digitale bestanden versleuteld en dreigden de hackers deze gegevens openbaar te maken of te verkopen op het dark web, tenzij het slachtoffer bereid was om een fors bedrag aan losgeld te betalen. Gedupeerden kregen het advies om geen contact op te nemen met de politie ‘aangezien zij de boel verpesten’.
In oktober 2021 arresteerde de Oekraïense politie twee prominente leden van Ragnar Locker. Daardoor kreeg Europol andere verdachten in het vizier. Dat heeft deze week tot meerdere arrestaties geleid deze week.
Voorkomen, verstoren en vervolgen
“We zijn er als team in geslaagd de ICT-infrastructuur van de Ragnar Locker groepering in kaart te brengen, net als hun werkwijze”, zo zegt coördinator Peter Bos van het Cybercrimeteam Oost-Nederland. “Ook hebben we tijdens de actieweek, waaraan wereldwijd door elf landen werd deelgenomen, verschillende servers in beslaggenomen en hostingdiensten down gehaald. Verder hebben we slachtofferdata van meer dan zestig multinationals veiliggesteld en gedurende het onderzoek enkele slachtoffers genotificeerd over dreigende ransomware-aanvallen door deze groep.”
Bos zegt dat de politie bij ransomware inzet op voorkomen, verstoren en vervolgen. “We voorkomen door bedrijven te waarschuwen als we zien dat ze op het punt staat om aangevallen te worden. We verstoren aanvallen, bijvoorbeeld door een computerserver stil te leggen die de aanvallers gebruiken. We zoeken met onze partners actief naar de daders.”
