Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

| AE 12486 | Regulering | 3 reacties

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?

“De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd”, zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.

Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.

De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.

De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.

Arnoud