INTERPOL heeft een uniek optreden tegen cybercriminaliteit in het Midden-Oosten en Noord-Afrika (MENA) gecoördineerd, dat heeft geleid tot 201 arrestaties en de identificatie van nog eens 382 verdachten.
Het initiatief omvatte de inspanningen van 13 landen uit de regio tussen oktober 2025 en februari 2026, met als doel kwaadaardige infrastructuur te onderzoeken en te neutraliseren, daders achter deze activiteiten te arresteren en toekomstige verliezen te voorkomen.
“De operatie was gericht op het neutraliseren van phishing- en malwarebedreigingen, en op het aanpakken van cyberzwendel die de regio ernstige kosten met zich meebrengt”, aldus INTERPOL in een verklaring. “Naast de verrichte arrestaties werden 3.867 slachtoffers geïdentificeerd en werden 53 servers in beslag genomen.”
De operatie, met codenaam Ramzleidde tot de verstoring van een phishing-as-a-service (PhaaS) door de Algerijnse autoriteiten nadat de server in beslag was genomen, samen met een computer, een mobiele telefoon en harde schijven met phishing-software en -scripts. In verband met het plan is één verdachte aangehouden.
Elders namen Marokkaanse functionarissen computers, smartphones en externe harde schijven in beslag die bankgegevens en software bevatten die voor phishing-operaties werd gebruikt.
De autoriteiten identificeerden ook een legitieme server in een privéwoning in Oman die gevoelige informatie bevatte. De server leed aan meerdere kritieke beveiligingsproblemen en was geïnfecteerd met malware. INTERPOL zei dat er maatregelen zijn genomen om de server uit te schakelen.
In een soortgelijk geval werden in Qatar gecompromitteerde apparaten ontdekt, waarbij de eigenaren zelf niet wisten dat hun systemen werden gebruikt om ‘kwaadaardige bedreigingen’ te verspreiden. Hoewel de exacte aard van deze bedreigingen niet is bekendgemaakt, zouden de getroffen machines zijn beveiligd en zijn de eigenaren van de apparaten gewaarschuwd om passende beveiligingsmaatregelen te nemen.
Ten slotte identificeerde de Jordaanse politie een computer die werd gebruikt voor oplichting met financiële fraude, waarbij nietsvermoedende gebruikers werden misleid om hun activa te beleggen in een ogenschijnlijk legitiem handelsplatform, om vervolgens te worden uitgeschakeld zodra het geld was gestort.
“Bij een inval kwamen vijftien personen aan het licht die deze oplichting uitvoerden, maar onderzoekers stelden vast dat zij het slachtoffer waren van mensenhandel en gerecruteerd waren onder de valse belofte van werk vanuit hun thuisland in Azië”, aldus INTERPOL.
“Bij aankomst in Jordanië werden hun paspoorten in beslag genomen en werden ze gedwongen of gedwongen deel te nemen aan het plan. Twee personen die ervan verdacht werden de operatie te orkestreren, werden gearresteerd.”
Group-IB, een van de bedrijven uit de particuliere sector die aan de inspanning deelnamen, zei dat het ‘bruikbare informatie’ heeft verstrekt over meer dan 5.000 gecompromitteerde accounts, inclusief accounts die verband houden met overheidsinfrastructuur, en details heeft gedeeld over actieve phishing-infrastructuur in de hele regio.
“Cybercriminaliteit kent geen grenzen, en de enige effectieve reactie is een reactie die even grenzeloos is”, zegt Joe Sander, CEO van Team Cymru. “Operatie Ramz is precies dat soort reactie: wetshandhaving en vertrouwde partners uit de particuliere sector bundelen inlichtingen, werken samen en ontmantelen de infrastructuur waarvan criminelen afhankelijk zijn.”
Landen die deelnamen aan Operatie Ramz waren onder meer Algerije, Bahrein, Egypte, Irak, Jordanië, Libanon, Libië, Marokko, Oman, Palestina, Qatar, Tunesië en de VAE
Reeks wetshandhavingsacties
De arrestaties komen tegen de achtergrond van een reeks wetshandhavingsacties die Duitsland en het Amerikaanse ministerie van Justitie de afgelopen weken hebben aangekondigd.
- De veroordeling van Thomasz Szabo (ook bekend als Plank, Jonah en Cypher), 27, uit Roemenië, tot 48 maanden gevangenisstraf vanwege zijn rol als brein van een online mep-ring die zich richtte op meer dan 75 overheidsfunctionarissen, vier religieuze instellingen en meerdere journalisten.
- De aanklacht tegen Owe Martin Andresen (ook bekend als Speedstepper), de vermoedelijke hoofdbeheerder van de illegale darknet-marktplaats Dream Market, wegens aanklachten voor het witwassen van geld, na zijn arrestatie in Duitsland vorige week.
- De sluiting van een opnieuw gelanceerde versie van de Crimenetwork-marktplaats (oorspronkelijk ontmanteld in december 2024) en de arrestatie van een vermoedelijke beheerder, een 35-jarige Duitse staatsburger, op het Spaanse eiland Mallorca.
- De veroordeling van Sohaib Akhter, 34, uit Alexandria, Virginia, door een federale jury voor het verwijderen van 96 databases met Amerikaanse overheidsinformatie en het stelen van het leesbare wachtwoord van een persoon die een klacht had ingediend bij de Public Portal van de Equal Employment Opportunity Commission.
- De veroordeling van Alan Bill, 33, uit Bratislava, de Slowaakse beheerder van Kingdom Market, tot 200 maanden (ruim 16 jaar) gevangenisstraf nadat hij eerder deze januari schuldig had gepleit aan een samenzwering om gereguleerde stoffen, illegale drugs, gestolen financiële gegevens, valse documenten en malware te verspreiden.
- De veroordeling van David Jose Gomez Cegarra, 25, uit Venezuela tot uitgezeten tijd en het betalen van een restitutie van in totaal $ 294.820 in verband met een reeks jackpotting-incidenten bij geldautomaten tussen 5 oktober en 11 november 2024 in de Amerikaanse staten New York, Massachusetts en Illinois.
- De veroordeling van Marlon Ferro (ook bekend als GothFerrari), 20, uit Santa Ana, Californië, tot 78 maanden gevangenisstraf in verband met een social engineering-samenzwering die tussen eind 2023 en begin 2025 meer dan $250 miljoen aan cryptocurrency heeft gestolen van slachtoffers in de VS.
“Dit (social engineering) plan combineerde geavanceerde online fraude met ouderwetse inbraken om de slachtoffers miljoenen dollars aan digitale activa afhandig te maken”, aldus de Amerikaanse procureur Jeanine Ferris Pirro.
“De agenten van de samenzwering richtten zich doorgaans op personen waarvan werd aangenomen dat ze aanzienlijke hoeveelheden cryptovaluta in hun bezit hadden. De leden manipuleerden slachtoffers om de toegang tot hun digitale portemonnee op te geven via ingewikkelde fraudeprogramma’s. Toen slachtoffers hun cryptocurrency opsloegen in hardware portemonnees, fysieke apparaten die niet op afstand toegankelijk zijn, wendde het bedrijf zich tot Ferro.”
