image

Duitse politie neemt servers van ransomwaregroep in beslag

donderdag 31 juli 2025, 16:10 door Redactie, 3 reacties

De Duitse politie heeft in samenwerking met Europol, de FBI en andere politiediensten servers van een ransomwaregroep genaamd BlackSuit/Royal in beslag genomen. Hierbij zijn volgens de autoriteiten grote hoeveelheden gegevens veiliggesteld, die nu worden geanalyseerd om de verantwoordelijken te identificeren. De in beslag genomen servers werden gebruikt voor de verspreiding van de ransomware, het hosten van de 'leksite' van de groep en communicatie. Technische details over de operatie, zoals hoe de servers werden gevonden, zijn niet gegeven. Veel leksites van ransomwaregroepen maken gebruik van het Tor-netwerk om hun werkelijke ip-adres te verbergen.

De Duitse autoriteiten stellen dat BlackSuit/Royal, net als veel andere ransomwaregroepen, een 'Double Extortion' tactiek hanteert. Bij slachtoffers worden bestanden zowel gestolen als versleuteld. Wanneer er geen losgeld wordt betaald dreigen de aanvallers de gegevens via hun eigen leksite openbaar te maken. De groep zou de afgelopen jaren honderden slachtoffers hebben gemaakt en daarbij voor meer dan vijfhonderd miljoen dollar schade hebben veroorzaakt. Onder andere softwarebedrijf CDK Global werd slachtoffer en zou miljoenen dollars losgeld hebben betaald.

Eind 2023 liet de FBI weten dat de Royal-groep vooral via phishingmails toegang tot systemen van organisaties wist te krijgen. Twee derde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.

Reacties (3)
Gisteren, 17:09 door Anoniem
Twee derde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.
RDP? waarom zijn het steeds windows servers die de klos zijn? terwijl de kroonjuwelen (bv SAP en Oracle databases) echt op Linux draaien.
Gisteren, 19:46 door karma4
Door Anoniem: RDP? waarom zijn het steeds windows servers die de klos zijn? terwijl de kroonjuwelen (bv SAP en Oracle databases) echt op Linux draaien.
Veel endpoints draaien op Windows, verbazend dat er kennelijk zoveel via een andere weg gaat.
Direct met een terminal op kritiek dozen werkend SAP Oracle etc.
Gisteren, 22:35 door Anoniem
@karma4 Ik zal je verbazing even verder invullen. Zelfs op Azure draaien er aanzienlijk meer Linux servers en Linux endpoints dan windows. In een beetje serieus ontworpen omgeving heb je geen windows endpoints want dat is vragen om ransomware. En als "Corporate" weer eens een aanbesteding heeft gegund aan een tent met 200K+ werknemers die allemaal niets van veiligheid weten dan worden er door de collectief zuchtende DevOps afdeling Linux/NetBSD firewalls voor gezet. En SecOps verbiedt om vanuit die endpoints een link naar critical infra (DBs) te hebben. Op Balmer die zei: "you can't compete with free" zeg ik "you should never deploy windows endpoints die elke week 3 zero-days RCEs hebben". Welkom in 2025 :-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.