Europol ontwricht phishing-as-a-service platform LabHost

Tussen zondag 14 april en woensdag 17 april werden in totaal 70 adressen over de hele wereld doorzocht, wat resulteerde in de aanhouding van 37 verdachten. Dit omvat de arrestatie van vier personen in het Verenigd Koninkrijk die verband houden met het runnen van de site, waaronder de oorspronkelijke ontwikkelaar van de dienst.

Het LabHost-platform, voorheen beschikbaar op het open web, is afgesloten.

Dit internationale onderzoek werd geleid door de Britse London Metropolitan Police, met de steun van het European Cybercrime Centre (EC3) van Europol en de Joint Cybercrime Action Taskforce (J-CAT), gehuisvest in het hoofdkantoor.

Europol ondersteunt deze zaak sinds september 2023. Op het hoofdkantoor werd een operationele sprint georganiseerd met alle betrokken landen, zodat de nationale onderzoekers informatie over de gebruikers en slachtoffers in hun eigen land konden identificeren en ontwikkelen. Tijdens de actiefase ondersteunde een specialist van Europol de Nationale Politie bij hun handhavingsacties.

Commoditisering van phishing-aanvallen

Cybercrime-as-a-service is een snel groeiend bedrijfsmodel geworden in het criminele landschap, waarbij bedreigingsactoren tools, expertise of diensten verhuren of verkopen aan andere cybercriminelen om hun aanvallen uit te voeren. Hoewel dit model goed ingeburgerd is bij ransomwaregroepen, wordt het ook toegepast bij andere aspecten van cybercriminaliteit, zoals phishing-aanvallen.

LabHost was een belangrijk hulpmiddel geworden voor cybercriminelen over de hele wereld. Voor een maandelijks abonnement bood het platform phishing-kits, infrastructuur voor het hosten van pagina's, interactieve functionaliteit voor directe interactie met slachtoffers en diensten voor campagneoverzichten.

Het onderzoek bracht minstens 40.000 phishingdomeinen aan het licht die gelinkt waren aan LabHost, die wereldwijd zo'n 10.000 gebruikers hadden.

Met een maandelijks bedrag van gemiddeld $249 zou LabHost een reeks illegale diensten aanbieden die aanpasbaar waren en met een paar klikken konden worden ingezet. Afhankelijk van het abonnement kregen criminelen een steeds groter bereik van doelwitten van onder meer financiële instellingen, postbezorgdiensten en aanbieders van telecommunicatiediensten. Labhost bood een menu aan met meer dan 170 nepwebsites die overtuigende phishing-pagina's boden waaruit zijn gebruikers konden kiezen.

Wat LabHost bijzonder destructief maakte, was de geïntegreerde campagnebeheertool genaamd LabRat. Dankzij deze functie konden cybercriminelen die de aanvallen inzetten, deze aanvallen in realtime volgen en controleren. LabRat is ontworpen om tweefactorauthenticatiecodes en inloggegevens vast te leggen, waardoor criminelen verbeterde beveiligingsmaatregelen kunnen omzeilen.

Gemakkelijk toegankelijk, maar toch een misdaad

Platforms zoals LabHost maken cybercriminaliteit gemakkelijker toegankelijk voor ongeschoolde hackers, waardoor de pool van bedreigingsactoren aanzienlijk wordt uitgebreid.

Maar hoe gebruiksvriendelijk de dienst zichzelf ook voorstelt, het kwaadwillige gebruik ervan vormt een illegale activiteit – en de straffen kunnen streng zijn.

Een enorme hoeveelheid gegevens die tijdens het onderzoek zijn verzameld, zijn nu in het bezit van de wetshandhavingsinstanties. Deze gegevens zullen worden gebruikt ter ondersteuning van lopende internationale operationele activiteiten gericht op het aanvallen van de kwaadwillende gebruikers van dit phishing-platform.

De volgende autoriteiten hebben deelgenomen aan het onderzoek:

• Australië: door de Australische federale politie geleid Joint Policing Cybercrime Coördinatiecentrum;
• Oostenrijk: Criminele Inlichtingendienst (Bundeskriminalamt);
• België: Federale Gerechtelijke Politie Brussel (Police judiciaire fédérale Bruxelles/Federale gerechtelijke politie Brussel);
• Finland: Nationale Politie (Poliisi);
• Ierland: An Garda Siochana;
• Nederland: Politie Midden-Nederland (Politie Midden-Nederland);
• Nieuw-Zeeland: Nieuw-Zeelandse politie;
• Litouwen: Litouwen politie;
• Malta: politie van Malta (Il-Korp tal-Pulizija ta' Malta);
• Polen: Centraal Bureau voor de Bestrijding van Cybercriminaliteit (Centralne Biuro Zwalczania Cyberprzestępczości);
• Portugal: gerechtelijke politie (Polícia Judiciária);
• Roemenië: Roemeense politie (Poliția Română);
• Spanje: Nationale Politie (Policía Nacional);
• Zweden: Zweedse politieautoriteit (Polisen);
• Verenigd Koninkrijk: London Metropolitan Police;
• Verenigde Staten: Amerikaanse geheime dienst (USSS) en Federal Bureau of Investigation (FBI);
• En wetshandhaving in Tsjechië en Estland .