Grootste klap tegen botnets door Europol – Monero-hashraat daalt enorm

Met ‘Operatie Endgame’ viel Europol de zogenaamde ‘droppers’ aan. Dit kan blijvende schade aan de ransomware-infrastructuur veroorzaken, maar de Monero-mijnbouw zal waarschijnlijk ook worden getroffen.

Iedereen die de hashrate van Monero in de gaten houdt, zag eind mei iets interessants: deze daalde van 2,9 Gigahash op 29 mei naar 1,78 Gigahash op 31 mei, verloor binnen twee dagen ruim een ​​derde en staat nu op het laagste niveau in drie jaar.

Er zou kunnen worden aangenomen dat de reden voor deze ongekende zaak zich in Den Haag afspeelt, namelijk op het hoofdkantoor van Europol. Tussen 27 en 29 mei vond daar “Operatie Endgame” plaats. Dit culmineerde in een harde klap tegen de zogenaamde “droppers”.

Hashrate van Monero volgens Coinwarz.com

Droppers zijn malware. Ze infecteren andere systemen, maar veroorzaken zelf geen schade, maar dienen eerder als Trojaans paard voor andere malware, als toegangspoort. In de steeds meer verdeelde wereld van cybercriminaliteit gebruiken de droppers de toegang meestal niet zelf, maar verkopen ze deze aan andere cybercriminelen op het Darknet.

Talrijke Europese politie-eenheden onder leiding van Frankrijk, Duitsland en Nederland werkten samen in wat Europol omschreef als “de grootste operatie ooit tegen botnets”. In een gezamenlijke inspanning hebben ze meer dan 100 servers afgesloten, meer dan 2.000 domeinen in beslag genomen, 16 huizen doorzocht – waarvan 11 in Oekraïne – en vier mensen gearresteerd – van wie drie in Oekraïne. Blijkbaar was Oekraïne een operationeel centrum voor de droppers.

Operatie Endgame schakelde talloze droppers uit, waaronder IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee en Trickbot. Deze infecteerden en openden op hun eigen manier andere systemen. Met de droppers heeft Europol een belangrijke infrastructuur voor cybercriminaliteit aangevallen, wat eigenlijk een slimme zet zou kunnen zijn om de verspreiding van malware duurzaam te remmen.

Na de operatie gingen acht cybercriminelen op de vlucht en werden op de lijst van “Europe’s Most Wanted” geplaatst. Tijdens het onderzoek ontdekte Europol dat een van de hoofdverdachten zeker 69 miljoen euro aan cryptocurrencies verdiende door de drop te verhuren aan ransomware-hackers. “De transacties van de verdachte worden voortdurend gemonitord en er is al voldaan aan de wettelijke vereisten om deze in de toekomst in beslag te nemen.”

Volgens Europol bedraagt ​​de schade door besmettingen via het botnet in Europa enkele honderden miljoenen euro’s. De politieorganisatie legt uit dat de operatie doorgaat: er zullen meer arrestaties plaatsvinden, meer droppers en botnets zullen worden uitgeschakeld.

In het persbericht wordt alleen melding gemaakt van ransomware, maar het is goed denkbaar dat ook met behulp van de droppers aan cryptojacking is gedaan. Cryptojacking betekent het installeren van mining-software die werkt zonder medeweten of toestemming van de gebruiker. Europol arresteerde in januari een cryptojacker in Oekraïne.

Vanwege de weerstand tegen ASIC- en GPU-mining is Monero bijzonder geschikt voor cryptojacking. Niet alleen is het lucratief om de valuta te minen met behulp van de CPU – het enige veilig beschikbare en concurrerende onderdeel van geïnfecteerde systemen – maar de standaardanonimiteit van de transacties bespaart ook de moeite van het witwassen van de munten. In 2018 was al bekend dat Monero de favoriete munt van cryptojackers was.

Het zal voor Europol wellicht niet eenvoudig zijn om deze activiteiten, en vooral de inkomsten daaruit, te bewijzen. Maar de timing van de enorme daling van Monero’s hashraat naar Operatie Endgame is veel te passend om louter toeval te zijn.