Grootste politie-operatie ooit tegen botnets

Tussen 27 en 29 mei 2024 richtte Operatie Endgame, gecoördineerd vanuit het hoofdkantoor van Europol, zich op droppers zoals IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee en Trickbot. De acties waren gericht op het ontwrichten van criminele diensten door High Value Targets te arresteren, de criminele infrastructuren plat te leggen en illegale opbrengsten te bevriezen. Deze aanpak had een wereldwijde impact op het dropper-ecosysteem – meldt Europol.

Cybercriminelen over de hele wereld hebben te maken gehad met een enorme verstoring nadat rechtshandhavings- en justitiële autoriteiten, gecoördineerd door Europol en Eurojust, de belangrijkste infrastructuur achter de malware die gebruikt wordt om ransomware-aanvallen uit te voeren, hadden ontmanteld. Tussen 19 en 22 mei 2025 hebben de autoriteiten wereldwijd zo'n 300 servers platgelegd, 650 domeinen geneutraliseerd en internationale arrestatiebevelen uitgevaardigd tegen 20 doelwitten, wat een directe klap was voor de ransomware-kill chain.

(Bron Europol - 2025)

Het logo van Operatie Endgame
De malware, waarvan de infrastructuur tijdens de actiedagen werd platgelegd, faciliteerde aanvallen met ransomware en andere kwaadaardige software. Na de actiedagen worden acht voortvluchtigen die in verband worden gebracht met deze criminele activiteiten en die door Duitsland worden gezocht, op 30 mei 2024 toegevoegd aan de Europese Most Wanted-lijst. De personen worden gezocht vanwege hun betrokkenheid bij ernstige cybercriminaliteit.

De gecoördineerde acties leidden tot: 4 arrestaties (1 in Armenië en 3 in Oekraïne), 16 locatiezoekopdrachten (1 in Armenië, 1 in Nederland, 3 in Portugal en 11 in Oekraïne), meer dan 100 servers offline gehaald of verstoord in Bulgarije, Canada, Duitsland, Litouwen, Nederland, Roemenië, Zwitserland, het Verenigd Koninkrijk, de Verenigde Staten en Oekraïne en meer dan 2000 domeinen onder controle van de politie.

Bovendien is uit het onderzoek tot nu toe gebleken dat een van de hoofdverdachten minstens 69 miljoen euro aan cryptovaluta heeft verdiend door criminele infrastructuursites te verhuren voor het verspreiden van ransomware. De transacties van de verdachte worden voortdurend gemonitord en er is al een wettelijke toestemming verkregen om deze activa in beslag te nemen bij toekomstige acties.



Wat is een dropper en hoe werkt het? Malwaredroppers zijn een type schadelijke software dat is ontworpen om andere malware op een doelsysteem te installeren. Ze worden gebruikt tijdens de eerste fase van een malware-aanval, waarin criminelen beveiligingsmaatregelen kunnen omzeilen en aanvullende schadelijke programma's kunnen installeren, zoals virussen, ransomware of spyware. Droppers zelf veroorzaken meestal geen directe schade, maar zijn cruciaal voor het verkrijgen van toegang tot en het implementeren van schadelijke software op de getroffen systemen.

SystemBC faciliteerde anonieme communicatie tussen een geïnfecteerd systeem en command-and-control-servers. Bumblebee, voornamelijk verspreid via phishingcampagnes of gecompromitteerde websites, was ontworpen om de levering en uitvoering van verdere payloads op gecompromitteerde systemen mogelijk te maken. SmokeLoader werd voornamelijk gebruikt als downloader om aanvullende schadelijke software te installeren op de systemen die het infecteerde.

IcedID (ook bekend als BokBot), aanvankelijk gecategoriseerd als een banktrojan, was verder ontwikkeld voor andere cybercriminaliteit, naast de diefstal van financiële gegevens. Pikabot is een trojan die wordt gebruikt om toegang te krijgen tot geïnfecteerde computers en die ransomware-installaties, overnames op afstand en datadiefstal mogelijk maakt. Al deze trojans worden nu gebruikt om ransomware te verspreiden en worden gezien als de belangrijkste bedreiging in de infectieketen.

Werkingsfasen van droppers. Infiltratie: Droppers kunnen systemen via verschillende kanalen binnendringen, zoals e-mailbijlagen en gecompromitteerde websites. Ze kunnen ook worden gebundeld met legitieme software. Uitvoering: Eenmaal uitgevoerd, installeert de dropper de extra malware op de computer van het slachtoffer. Deze installatie vindt vaak plaats zonder medeweten of toestemming van de gebruiker. Ontwijking: Droppers zijn ontworpen om detectie door beveiligingssoftware te vermijden. Ze kunnen methoden gebruiken zoals het verdoezelen van hun code, het uitvoeren in het geheugen zonder op schijf op te slaan, of het imiteren van legitieme softwareprocessen. Payload Delivery: Na het installeren van de extra malware kan de dropper inactief blijven of zichzelf verwijderen om detectie te ontwijken, waardoor de payload de beoogde schadelijke activiteiten kan uitvoeren.

Het eindspel eindigt hier niet. Operatie Eindspel eindigt vandaag niet. Nieuwe acties worden aangekondigd op de website van Operatie Eindspel. Daarnaast zullen verdachten die betrokken zijn bij deze en andere botnets en die nog niet zijn gearresteerd, direct ter verantwoording worden geroepen voor hun daden. Verdachten en getuigen vinden via deze website informatie over hoe zij contact kunnen opnemen.

Commandopost bij Europol coördineert operationele acties. Europol faciliteerde de informatie-uitwisseling en leverde analytische, crypto-tracing en forensische ondersteuning aan het onderzoek. Ter ondersteuning van de coördinatie van de operatie organiseerde Europol meer dan 50 coördinatiegesprekken met alle landen, evenals een operationele sprint op het hoofdkantoor.

Meer dan 20 wetshandhavers uit Denemarken, Frankrijk, Duitsland en de Verenigde Staten ondersteunden de coördinatie van de operationele acties vanuit de commandopost bij Europol en honderden andere functionarissen uit de verschillende landen die bij de acties betrokken waren. Daarnaast maakte een virtuele commandopost realtime coördinatie mogelijk tussen de Armeense, Franse, Portugese en Oekraïense functionarissen die ter plaatse waren ingezet tijdens de veldactiviteiten.

De commandopost bij Europol faciliteerde de uitwisseling van inlichtingen over in beslag genomen servers, verdachten en de overdracht van in beslag genomen gegevens. Er werden ook lokale commandoposten opgezet in Duitsland, Nederland, Portugal, de Verenigde Staten en Oekraïne. Eurojust ondersteunde de actie door een coördinatiecentrum op het hoofdkantoor op te zetten om de justitiële samenwerking tussen alle betrokken autoriteiten te vergemakkelijken. Eurojust verleende ook bijstand bij de uitvoering van Europese aanhoudingsbevelen en Europese onderzoeksbevelen.