Roemenen opgepakt wegens online afpersing

Vijf verdachten verspreidden volgens de politie de ransomware CTB-Locker, die in Nederland vermoedelijk minstens 200 computers besmette.

Een door gijzelingssoftware geïnfecteerde computer. Beeld ter illustratie. Foto Jeroen Jumelet/ANP

Vijf Roemenen zijn vorige week in eigen land gearresteerd op verdenking van internationale en grootschalige verspreiding van gijzelingssoftware. Dat heeft de politie woensdag bekendgemaakt. In Nederland hebben de verdachten vermoedelijk minstens tweehonderd computers besmet met de afpersingsprogramma’s.

De Roemeense politie arresteerde drie verdachten bij doorzoekingen van woningen. Twee anderen werden opgepakt op de luchthaven van Boekarest, vlak voor ze het land wilden verlaten. De politie denkt dat zij ook hebben toegeslagen in België en Italië. De arrestaties zijn dan ook het resultaat van een groot internationaal onderzoek naar cybercriminelen. Naast de Nederlandse en Roemeense politie en justitie werkten ook de Europese politieorganisatie Europol en de Amerikaanse FBI en Secret Service eraan mee.

Nepmail van KPN

De Nederlandse slachtoffers van de verdachte Roenemen klikten in 2015 op een door de criminelen gefabriceerde nepmail, zogenaamd afkomstig van telecomprovider KPN. Via het mailtje werd de ransomware CTB-Locker geïnstalleerd. Het programma versleutelde de bestanden van de gebruikers. Zij konden hun data alleen terugkrijgen als ze geld betaalden. Bijna tweehonderd Nederlanders deden aangifte. De politie schat dat het daadwerkelijke aantal besmettingen “vele malen hoger” is.

Lees ook: Wat doen Nederlandse slachtoffers van de ransomware?

Naast CTB-Locker verspreidden de Roemenen volgens de politie de gijzelingssoftware Cerber. Dat schadelijke programma dook vooral in de Verenigde Staten op. Aanvankelijk startten de Amerikaanse autoriteiten zelf een onderzoek. Nadat bleek dat achter CTB-Locker en Cerber dezelfde criminelen schuilgingen, voegden de Amerikanen hun onderzoek samen met dat van de Europeanen.

Of de arrestatie van het vijftal grote gevolgen heeft voor de internetcriminaliteit, kon een woordvoerder van de politie woensdagavond niet zeggen. Evenmin is duidelijk hoeveel financiële schade de slachtoffers van de ransomware hebben geleden. Wel is duidelijk dat de Roemenen niet de makers van CTB-Locker en Cerber zijn. Zij zijn cybercriminelen die de software gekocht hebben om er mensen mee af te persen, bevestigde de politiewoordvoerder.

In mei infecteerde de WannaCry-ransomware wereldwijd vele computers. NRC zette zeven tips op een rij om besmetting te voorkomen.

Het onderzoek naar de CTB-Locker en Cerber gaat verder. De politie hoopt samen met de andere onderzoekspartijen meer verspreiders te vinden, en “de uiteindelijke makers”. De vijf arrestanten worden in Roemenië berecht.

    • Vincent Sondermeijer