Nieuws
image

Duitse politie neemt servers van ransomwaregroep in beslag

donderdag 31 juli 2025, 16:10 door Redactie, 4 reacties

De Duitse politie heeft in samenwerking met Europol, de FBI en andere politiediensten servers van een ransomwaregroep genaamd BlackSuit/Royal in beslag genomen. Hierbij zijn volgens de autoriteiten grote hoeveelheden gegevens veiliggesteld, die nu worden geanalyseerd om de verantwoordelijken te identificeren. De in beslag genomen servers werden gebruikt voor de verspreiding van de ransomware, het hosten van de 'leksite' van de groep en communicatie. Technische details over de operatie, zoals hoe de servers werden gevonden, zijn niet gegeven. Veel leksites van ransomwaregroepen maken gebruik van het Tor-netwerk om hun werkelijke ip-adres te verbergen.

De Duitse autoriteiten stellen dat BlackSuit/Royal, net als veel andere ransomwaregroepen, een 'Double Extortion' tactiek hanteert. Bij slachtoffers worden bestanden zowel gestolen als versleuteld. Wanneer er geen losgeld wordt betaald dreigen de aanvallers de gegevens via hun eigen leksite openbaar te maken. De groep zou de afgelopen jaren honderden slachtoffers hebben gemaakt en daarbij voor meer dan vijfhonderd miljoen dollar schade hebben veroorzaakt. Onder andere softwarebedrijf CDK Global werd slachtoffer en zou miljoenen dollars losgeld hebben betaald.

Eind 2023 liet de FBI weten dat de Royal-groep vooral via phishingmails toegang tot systemen van organisaties wist te krijgen. Twee derde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.

Reacties (4)
Reageer met quote
31-07-2025, 17:09 door Anoniem
Twee derde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.
RDP? waarom zijn het steeds windows servers die de klos zijn? terwijl de kroonjuwelen (bv SAP en Oracle databases) echt op Linux draaien.
Reageer met quote
31-07-2025, 19:46 door karma4
Door Anoniem: RDP? waarom zijn het steeds windows servers die de klos zijn? terwijl de kroonjuwelen (bv SAP en Oracle databases) echt op Linux draaien.
Veel endpoints draaien op Windows, verbazend dat er kennelijk zoveel via een andere weg gaat.
Direct met een terminal op kritiek dozen werkend SAP Oracle etc.
Reageer met quote
31-07-2025, 22:35 door Anoniem
@karma4 Ik zal je verbazing even verder invullen. Zelfs op Azure draaien er aanzienlijk meer Linux servers en Linux endpoints dan windows. In een beetje serieus ontworpen omgeving heb je geen windows endpoints want dat is vragen om ransomware. En als "Corporate" weer eens een aanbesteding heeft gegund aan een tent met 200K+ werknemers die allemaal niets van veiligheid weten dan worden er door de collectief zuchtende DevOps afdeling Linux/NetBSD firewalls voor gezet. En SecOps verbiedt om vanuit die endpoints een link naar critical infra (DBs) te hebben. Op Balmer die zei: "you can't compete with free" zeg ik "you should never deploy windows endpoints die elke week 3 zero-days RCEs hebben". Welkom in 2025 :-)
Reageer met quote
Gisteren, 15:34 door Anoniem
Door Anoniem: @karma4 Ik zal je verbazing even verder invullen. Zelfs op Azure draaien er aanzienlijk meer Linux servers en Linux endpoints dan windows. In een beetje serieus ontworpen omgeving heb je geen windows endpoints want dat is vragen om ransomware. En als "Corporate" weer eens een aanbesteding heeft gegund aan een tent met 200K+ werknemers die allemaal niets van veiligheid weten dan worden er door de collectief zuchtende DevOps afdeling Linux/NetBSD firewalls voor gezet. En SecOps verbiedt om vanuit die endpoints een link naar critical infra (DBs) te hebben. Op Balmer die zei: "you can't compete with free" zeg ik "you should never deploy windows endpoints die elke week 3 zero-days RCEs hebben". Welkom in 2025 :-)
Ook al klinkt of is dat allemaal logisch dan nog gaat er niet veel veranderen want er wordt te veel aan verdiend. Het bizarre is dat aan windows zelf niets meer wordt verdiend volgens Microsoft. Een normaal commercieel bedrijf zou dan met dit product kappen maar het is welk duidelijk dat het wordt gebruikt om een vendorlock in stand te houden via koppelverkoop,
Ondertussen blijft het oligopolie ons bestoken met nepinfo met een flinke dosis fanatisme, zelfs op deze security news site.
Want wie gaat er nu als Hollands individu een product van een Amerikaanse multinational verdedigen terwijl je er zelf geen enkele controle over hebt (je wordt niet eens eigenaar, je mag de code niet bestuderen, niet mee ontwikkelen of alleen copieren en je mag het pas runnen als je met de voorwaarden instemt) en elke maand kritiek lek blijkt te zijn. Geef mijn portie maar aan Fikkie.
Alleen ransomware kan dit tij nog keren, tenzij de overheid flink ingrijpt maar dat gaat ze niet doen met die rechtse kliek aan de macht.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure