FBI neemt 2 miljoen euro aan bitcoin van ransomwaregroep in beslag
De FBI heeft in april 20,2 bitcoin van een ransomwaregroep in beslag genomen, wat omgerekend op dit moment twee miljoen euro is. Dat laat de opsporingsdienst via X weten. De Amerikaanse autoriteiten hebben een rechtbank in Texas vorige week gevraagd om het bedrag verbeurd te laten verklaren. Volgens de autoriteiten gaat het om losgeld betaald bij ransomware-aanvallen. De cryptowallet met bitcoins zou van een lid van de Chaos-ransomwaregroep zijn.
De vermeende eigenaar van de wallet zou ransomware-aanvallen tegen slachtoffers in Texas en andere locaties hebben uitgevoerd, aldus de aanklacht. Het Amerikaanse ministerie van Justitie geeft geen verdere details over de zaak. Een aantal dagen geleden kwam Cisco nog met een analyse van de Chaos-ransomwaregroep, die sinds februari dit jaar actief zou zijn. Het gaat hier om ransomware-as-a-service (RaaS).
Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Cisco liet weten dat slachtoffers van de Chaos-ransomware zich voornamelijk in de Verenigde Staten bevinden.
Voor de verspreiding van de ransomware maken de aanvallers gebruik van social engineering, waarbij slachtoffers eerst worden bestookt met spam e-mails en daarna bericht ontvangen om de 'helpdesk' te bellen. In werkelijkheid gaat het hier om de aanvallers die het slachtoffer Microsoft Quick Assist laten starten. Dit is een remote access tool. Het slachtoffer krijgt daarna instructies om de aanvaller toegang tot zijn systeem te geven. Daarvandaan proberen de aanvallers de omgeving verder te compromitteren en uiteindelijk de ransomware uit te rollen.
1. Technische onduidelijkheden rond inbeslagname:
Het artikel vermeldt dat de FBI 20,2 bitcoin heeft geconfisqueerd, maar er wordt geen inzicht gegeven in hóé dit technisch is gerealiseerd. Inbeslagname van cryptovaluta vereist óf toegang tot de private keys (bijvoorbeeld via een gecompromitteerd apparaat of door vrijwillige overdracht bij arrestatie), óf samenwerking met exchanges of custodial wallets. Aangezien geen details hierover worden gegeven, blijft onduidelijk of dit een operationele doorbraak was in de jacht op ransomwaregroepen of slechts een toevallige vangst.
2. Lage opbrengst, beperkte impact?
Het bedrag – ongeveer twee miljoen euro – is relatief laag in de context van ransomware-ecosystemen waarin individuele losgeldbetalingen regelmatig miljoenen overstijgen. Dit kan erop wijzen dat:
Chaos nog een kleine speler is binnen het RaaS-landschap.
De wallet slechts een deel van het vermogen bevatte.
De betrokken affiliate onervaren was of snel geïdentificeerd kon worden.
3. Beveiligingsfouten bij slachtoffers:
De beschreven aanvalsmethode via Microsoft Quick Assist en social engineering bevestigt een trend waarbij technische kwetsbaarheden steeds vaker worden ingeruild voor menselijk falen als primaire toegangsvector. Het gebruik van een legitieme tool als Quick Assist toont aan hoe makkelijk remote desktopoplossingen kunnen worden misbruikt bij onvoldoende voorlichting of beleid op endpoints. Dit onderstreept het belang van:
Het standaard uitschakelen of controleren van remote support tools in zakelijke omgevingen.
Training van personeel in het herkennen van valse helpdesk-aanvallen.
4. Beperkte transparantie vanuit Justitie:
Het ministerie van Justitie geeft “geen verdere details”, wat de transparantie ondermijnt. Open communicatie over de gebruikte tactieken en middelen zou kunnen bijdragen aan preventie in andere organisaties en samenwerking met de private sector. De huidige vaagheid doet vermoeden dat óf het onderzoek nog loopt, óf men juridische of operationele redenen heeft om details achter te houden. Beide zijn begrijpelijk, maar ook problematisch vanuit het perspectief van collectieve verdediging.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?