Dutch IT Chanel Logo mobile
Search icon
Redactie - 09 november 2021

Verdachte Kaseya ransomware aanval is opgepakt

Security Data protection Juridisch
Verdachte Kaseya ransomware aanval is opgepakt image

Het Amerikaanse ministerie van Justitie (Department of Justice -DOJ) meldt een arrestatie van een Oekraïner en een aanklacht tegen een Rus in verband met de REvil-ransomware-aanval van juli 2021 die werd uitgevoerd via Kaseya en zijn MSP's. De Oekraïense staatsburger Yaroslav Vasinski is in Polen opgepakt en aangeklaagd voor het inzetten van de REvil ransomware-aanval in juli. Het DOJ beschuldigt ook de Russische staatsburger Yevginiy Polyanin van samenzwering om fraude te plegen en heeft ook andere aanklachten ingediend.

Het Ameriikaanse ministerie van Justitie meldt dat recente acties aangekondigd tegen twee buitenlanders die worden beschuldigd van het inzetten van Sodinokibi/REvil-ransomware om bedrijven en overheidsinstanties in de Verenigde Staten aan te vallen:

"Een aanklacht die vandaag is ontsloten, beschuldigt Yaroslav Vasinskyi, 22, een Oekraïens staatsburger, van het uitvoeren van ransomware-aanvallen tegen meerdere slachtoffers, waaronder de aanval van juli 2021 tegen Kaseya, een multinationaal informatietechnologie-softwarebedrijf.

De afdeling kondigde vandaag ook de inbeslagname aan van $ 6,1 miljoen aan fondsen die herleidbaar zijn tot vermeende losgeldbetalingen die zijn ontvangen door Yevgeniy Polyanin, 28, een Russische staatsburger, die ook wordt beschuldigd van het uitvoeren van Sodinokibi/REvil-ransomware-aanvallen op meerdere slachtoffers, waaronder bedrijven en overheidsinstanties in Texas op of omstreeks 16 augustus 2019.

Volgens de aanklachten hebben Vasinskyi en Polyanin toegang gekregen tot de interne computernetwerken van verschillende slachtofferbedrijven en hebben ze Sodinokibi/REvil-ransomware ingezet om de gegevens op de computers van slachtofferbedrijven te versleutelen.

"Cybercriminaliteit is een ernstige bedreiging voor ons land: voor onze persoonlijke veiligheid, voor de gezondheid van onze economie en voor onze nationale veiligheid", zei procureur-generaal Garland. “Onze boodschap van vandaag is duidelijk. De Verenigde Staten zullen, samen met onze bondgenoten, er alles aan doen om de daders van ransomware-aanvallen te identificeren, voor de rechter te brengen en het geld dat ze van hun slachtoffers hebben gestolen, terug te krijgen.”

"Onze boodschap aan ransomware-criminelen is duidelijk: als u zich hier op slachtoffers richt, richten wij ons op u", zei plaatsvervangend procureur-generaal Monaco. “De Sodinokibi/REvil ransomware-groep valt bedrijven en kritieke infrastructuren over de hele wereld aan, en de aankondigingen van vandaag lieten zien hoe we terug zullen vechten. In een ander succes voor de onlangs gelanceerde Ransomware and Digital Extortion Task Force van de afdeling, weten criminelen nu dat we uw winst, uw vermogen om te reizen en - uiteindelijk - uw vrijheid zullen afnemen. Samen met onze partners in binnen- en buitenland zal het ministerie doorgaan met het ontmantelen van ransomware-groepen en het verstoren van het cybercriminele ecosysteem dat ervoor zorgt dat ransomware bestaat en ons allemaal bedreigt.”

“De arrestatie van Yaroslav Vasinskyi, de aanklacht tegen Yevgeniy Polyanin en de inbeslagname van $ 6,1 miljoen van zijn activa, en de arrestaties van twee andere Sodinokibi/REvil-actoren in Roemenië zijn het hoogtepunt van nauwe samenwerking met onze internationale, Amerikaanse regering en vooral onze particuliere sector partners”, aldus FBI-directeur Christopher Wray. “De FBI heeft creatief en meedogenloos gewerkt om de criminele hackers achter Sodinokibi/REvil tegen te gaan. Ransomware-groepen zoals zij vormen een ernstige, onaanvaardbare bedreiging voor onze veiligheid en ons economisch welzijn. We zullen ons blijven richten op hun actoren en facilitators, hun infrastructuur en hun geld, waar ter wereld dat ook is.”

“Ransomware kan een bedrijf binnen enkele minuten kapot maken. Deze twee beklaagden hebben een aantal van de meest virulente code van het internet gebruikt, geschreven door REvil, om computers van slachtoffers te kapen”, zegt waarnemend Amerikaanse procureur Chad E. Meacham voor het noordelijke district van Texas. “Binnen enkele maanden identificeerde het ministerie van Justitie de daders, voerde een arrestatie uit en nam een aanzienlijke som geld in beslag. Het ministerie zal in de donkerste uithoeken van het internet en de verste uithoeken van de wereld duiken om cybercriminelen op te sporen.”

Volgens gerechtelijke documenten zou Vasinskyi verantwoordelijk zijn voor de ransomware-aanval van 2 juli op Kaseya. Bij de vermeende aanval op Kaseya veroorzaakte Vasinskyi de inzet van kwaadaardige Sodinokibi/REvil-code in een Kaseya-product, waardoor de Kaseya-productiefunctionaliteit REvil-ransomware implementeerde op "eindpunten" op Kaseya-klantnetwerken. Nadat de externe toegang tot Kaseya-eindpunten tot stand was gebracht, werd de ransomware op die computers uitgevoerd, wat resulteerde in de versleuteling van gegevens op computers van organisaties over de hele wereld die Kaseya-software gebruikten.

Door de inzet van Sodinokibi/REvil ransomware zouden de verdachten elektronische notities in de vorm van een tekstbestand op de computers van de slachtoffers hebben achtergelaten. De aantekeningen bevatten een webadres dat leidde naar een open-source privacynetwerk dat bekend staat als Tor, evenals de link naar een openbaar toegankelijk website-adres dat de slachtoffers konden bezoeken om hun bestanden te herstellen. Bij het bezoeken van een van beide websites kregen de slachtoffers losgeld en kregen ze een virtueel valuta-adres om het losgeld te betalen. Als een slachtoffer het losgeld betaalde, gaven de beklaagden de decoderingssleutel en konden de slachtoffers toegang krijgen tot hun bestanden. Als een slachtoffer het losgeld niet betaalde, plaatsten de beklaagden meestal de gestolen gegevens van de slachtoffers of beweerden dat ze de gestolen gegevens aan derden hadden verkocht, en hadden de slachtoffers geen toegang tot hun bestanden.

Vasinskyi en Polyanin worden in afzonderlijke aanklachten aangeklaagd voor samenzwering tot het plegen van fraude en aanverwante activiteiten in verband met computers, substantiële tellingen van schade aan beschermde computers en samenzwering tot het witwassen van geld. Als ze op alle punten worden veroordeeld, riskeert elk een maximale gevangenisstraf van respectievelijk 115 en 145 jaar.

De $ 6,1 miljoen die in beslag is genomen van Polyanin zou te herleiden zijn tot ransomware-aanvallen en het witwassen van geld door Polyanin door zijn gebruik van Sodinokibi/REvil-ransomware. Het inbeslagnemingsbevel werd uitgevaardigd vanuit het noordelijke district van Texas. Polyanin wordt verondersteld in het buitenland te zijn.

Op 8 oktober werd Vasinskyi in hechtenis genomen in Polen, waar hij door de autoriteiten wordt vastgehouden in afwachting van procedures in verband met zijn verzochte uitlevering aan de Verenigde Staten, overeenkomstig het uitleveringsverdrag tussen de Verenigde Staten en de Republiek Polen. Parallel aan de arrestatie werden in meerdere landen verhoren en huiszoekingen uitgevoerd, die niet mogelijk zouden zijn geweest zonder de snelle reactie van de Nationale Politie van Oekraïne en het Openbaar Ministerie van Oekraïne.

De FBI's Dallas en Jackson Field Offices leiden het onderzoek. Aanzienlijke bijstand werd verleend door het Office of International Affairs van het ministerie van Justitie en de afdeling Contraspionage en Exportcontrole van de Nationale Veiligheidsdivisie.

De assistent-advocaat van de VS Tiffany H. Eggers van het US Attorney's Office voor het noordelijke district van Texas en Senior Counsel Byron M. Jones van de sectie Computer Crime and Intellectual Property van het ministerie van Justitie vervolgen de zaak.

Het US Attorney's Office for the Northern District of Texas, de FBI's Dallas en Jackson Field Offices, en de Criminal Division's Computer Crime and Intellectual Property Section voerden de operatie uit in nauwe samenwerking met Europol en Eurojust, die een integraal onderdeel van de coördinatie waren. Onderzoekers en openbare aanklagers uit verschillende rechtsgebieden, waaronder: de Roemeense nationale politie en het directoraat voor onderzoek naar georganiseerde misdaad en terrorisme; Canada's Royal Canadian Mounted Police; Franse rechtbank van Parijs en BL2C (eenheidspolitie tegen cybercriminaliteit); Nederlandse Nationale Politie; het Poolse parket, de grenswacht, het bureau voor binnenlandse veiligheid en het ministerie van Justitie; en de regeringen van Noorwegen en Australië hebben waardevolle hulp geboden.

Het Amerikaanse ministerie van Financiën en het handhavingsnetwerk voor financiële misdrijven (FinCEN), het Agentschap voor cyberbeveiliging en infrastructuurbeveiliging van het ministerie van Binnenlandse Veiligheid (CISA), het Duitse Openbaar Ministerie Stuttgart en het Staatsbureau voor strafrechtelijk onderzoek van Baden-Wuerttemberg; Zwitsers Openbaar Ministerie II van het kanton Zürich en de kantonnale politie Zürich; National Crime Agency van het Verenigd Koninkrijk; Amerikaanse geheime dienst; Texas Ministerie van Informatiebronnen; BitDefender; McAfee; en Microsoft heeft ook aanzienlijke hulp geboden.

Deze zaak maakt deel uit van de Ransomware and Digital Extortion Task Force van het ministerie van Justitie, die is opgericht om het groeiende aantal ransomware- en digitale afpersingsaanvallen te bestrijden. Als onderdeel van de taskforce geeft de Criminal Division, in samenwerking met de Amerikaanse advocatenkantoren, prioriteit aan de verstoring, het onderzoek en de vervolging van ransomware en digitale afpersingsactiviteiten door de ontwikkeling en inzet van malware te volgen en te ontmantelen, de verantwoordelijke cybercriminelen te identificeren en die individuen verantwoordelijk houden voor hun misdaden. De afdeling richt zich via de taskforce ook strategisch op het criminele ecosysteem van ransomware als geheel en werkt samen met binnen- en buitenlandse overheidsinstanties en partners uit de particuliere sector om deze aanzienlijke criminele dreiging te bestrijden.

Lees voor meer informatie over de Ransomware and Digital Extortion Task Force de recente begeleidingsnota van de plaatsvervangend procureur-generaal over gerelateerde onderzoeken en zaken. Bezoek StopRansomware.gov voor meer bronnen over het voorkomen en reageren op ransomware.

Een aanklacht is slechts een aantijging, en alle beklaagden worden voor onschuldig gehouden totdat hun schuld boven redelijke twijfel in een rechtbank is bewezen.

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!