Microsoft Digital Crimes Unit (DCU), een gespecialiseerde afdeling van Microsoft die zich bezighoudt met het bestrijden van cybercriminaliteit, heeft samen met Europol en internationale partners juridische stappen gezet tegen de cybercrime-tools Amadey en StealC.
De actie richt zich niet op één afzonderlijke dreiging, maar op de infrastructuur achter bredere cyberaanvallen.
Volgens Microsoft worden tools als Amadey en StealC vaak gecombineerd: Amadey wordt ingezet om toegang tot systemen te verkrijgen, waarna StealC onder meer wachtwoorden en andere gevoelige gegevens buitmaakt. In de eerste twee weken van mei werden wereldwijd meer dan 140.000 geïnfecteerde computers gekoppeld aan deze malwarefamilies.
Microsoft gebruikte ai-technologie, waaronder Copilot, om malware sneller te analyseren en verbanden tussen cybercriminele netwerken te leggen. Nederland behoort volgens het bedrijf tot de zwaarst getroffen landen door StealC en staat wereldwijd op de negende plaats qua aantal slachtoffers.
Juridische aanpak via RICO-wet
Voor deze actie maakte Microsoft gebruik van de Amerikaanse RICO-wet (Racketeer Influenced and Corrupt Organizations Act), die oorspronkelijk bedoeld is om georganiseerde misdaad aan te pakken. Doordat de ai-analyse aantoonde dat Amadey en StealC op dezelfde infrastructuur draaien, kon het juridisch team beide malwarefamilies als één samenhangende zaak behandelen in plaats van ze afzonderlijk te vervolgen.
Volgens Microsoft zijn sinds de start van de operatie meer dan 18.000 getroffen computers geïdentificeerd en is de criminele controle daarover verbroken. In totaal ontmantelde de Digital Crimes Unit naar eigen zeggen meer dan 200 command-and-control-servers, de systemen waarmee criminelen geïnfecteerde apparaten aansturen.
De actie kwam tot stand via samenwerking met onder meer beveiligingsbedrijven ESET, BitSight, Lumen en Mitsui Bussan Secure Directions, die Microsoft hielpen bij het onderzoek naar Amadey.
Europol’s European Cybercrime Centre onderzocht StealC parallel binnen Operation Endgame, samen met onder meer de Duitse federale recherche, de Nederlandse en Deense politie, IBM X-Force en Proofpoint.
Samenwerking
Microsoft wijst ook op het belang van zulke samenwerking voor de praktijk: het bedrijf zegt dat de aan Rusland gelinkte actor Secret Blizzard Amadey-infecties heeft gebruikt om aangepaste malware te verspreiden tegen doelwitten in Oekraïne.
‘Door ons tegelijkertijd op meerdere schakels in die keten te richten, verkleinen we de kans dat één enkele inbreuk tot grootschalige schade leidt’, klinkt het bij Microsoft. ‘Of simpeler: er slagen minder aanvallen en als dat toch gebeurt, ondervinden minder mensen daar de gevolgen van.’
