Opsporingsdiensten uit de Verenigde Staten, Canada en verschillende Europese landen hebben een nieuwe slag geslagen in de strijd tegen cybercriminaliteit.
Deze actie is een vervolg op Operatie Endgame uit 2024, waarbij meerdere botnets offline werden gehaald. Ditmaal richtten de autoriteiten zich specifiek op de gebruikers van deze botnets. Daarbij zijn vijf personen verhoord of gearresteerd en zijn opnieuw servers uit de lucht gehaald. De Nederlandse politie speelde een prominente rol in het onderzoek.
Aanhouding in Beverwijk
In Nederland werd in februari een verdachte aangehouden in Beverwijk. De man wordt ervan verdacht toegang te hebben gekocht tot een botnet via de versleutelde chatdienst Telegram. Daarmee zou hij installs hebben aangeschaft waarmee hij toegang kreeg tot mogelijk honderden computers die besmet waren met de Smokeloader-malware. De aanhouding kwam tot stand door onderzoek van Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies.
Volgens de politie laat deze arrestatie zien dat ook afnemers van illegale cyberdiensten niet anoniem blijven. Het online kopen van toegang tot besmette systemen is strafbaar, en opsporingsdiensten zijn in staat om ook gebruikers van dergelijke netwerken te identificeren.
Focus op de vraagzijde van cybercrime
Tijdens de oorspronkelijke Operatie Endgame in 2024 lag de focus op de aanbieders van botnets en hun infrastructuur. In deze nieuwe fase pakken de autoriteiten ook de klanten van deze netwerken aan. De kopers van ‘misdaad als service’-diensten dachten zich vaak achter de anonimiteit van het dark web en versleutelde communicatiekanalen te verschuilen. Toch bleken de verkopers hun klantgegevens onvoldoende te beschermen, waardoor gebruikers nu alsnog in beeld zijn gekomen bij de politie.
Uit wereldwijd onderzoek bleek dat veel gebruikers via Telegram of andere kanalen diensten afnamen van het Smokeloader-netwerk. Sommigen verkochten deze toegang vervolgens door met winst, wat in enkele gevallen leidde tot een extra strafrechtelijk onderzoek.
Verdachten geïdentificeerd via digitale sporen
Dankzij de resultaten van Operatie Endgame konden opsporingsdiensten gebruikersnamen en online profielen koppelen aan echte personen. Meerdere verdachten zijn inmiddels verhoord, waarbij sommigen hun volledige medewerking verleenden en hun apparatuur lieten onderzoeken. Anderen verkeerden in de veronderstelling dat zij buiten beeld waren gebleven, maar kwamen alsnog in aanraking met justitie.
De internationale actie is nog in volle gang. Verdachten die nog niet zijn opgespoord, worden in de komende periode alsnog ter verantwoording geroepen. Informatie over nieuwe acties zal verschijnen op de website operation-endgame.com. Personen die informatie hebben over betrokken botnets worden opgeroepen zich te melden.
Europol coördineert internationale samenwerking
De Joint Cybercrime Action Taskforce (J-CAT), beheerd door Europol, ondersteunt de vervolgacties op Operatie Endgame. Vanuit het Europol-hoofdkantoor in Den Haag worden coördinatiegesprekken gevoerd en worden rechercheurs geholpen met forensische en analytische expertise. Dankzij de internationale samenwerking hopen de opsporingsdiensten het criminele ecosysteem dat draait op botnets en malware verder te ontmantelen.

