Europol a další orgány činné v trestním řízení zatkly pět osob, které viní z účasti na sérii ransomwarových útoků po celém světě, informuje magazín Tech Crunch. Mezi zatčenými osobami je 32letý vůdce zločineckého gangu a čtyři jeho „nejaktivnější“ komplicové. Všichni byli zadrženi 21. listopadu během série razií ve třiceti nemovitostech v ukrajinských regionech Kyjev, Čerkasy, Rivne a Vinnycja.
Ukrajinské národní policii pomáhalo s vyšetřováním více než dvacet policejních vyšetřovatelů z Norska, Francie, Německa a Spojených států. Europol rovněž zřídil v Nizozemsku virtuální řídicí středisko, které zpracovává informace získané při prohlídkách.
Úspěšný policejní zátah
Podle oznámení ukrajinské kybernetické policie zabavili strážci zákona počítačové vybavení, automobily, bankovní a telefonní SIM karty a desítky elektronických médií. Policie také zabavila majetek v kryptoměnách a téměř čtyř miliony hřiven (bezmála 2,5 milionů korun), a další údajné důkazy o nelegální činnosti.
„Operativci oddělení kybernetické policie a vyšetřovatelé Hlavního vyšetřovacího oddělení Národní policie pod procesním dohledem Generální prokuratury provedli víceúrovňovou speciální operaci s cílem rozbít organizovanou zločineckou skupinu.“ uvedla ukrajinská policie.
Jde o zatím poslední případ v rámci několikaletého vyšetřování, při němž bylo v roce 2021 při raziích na Ukrajině a ve Švýcarsku zatčeno dvanáct osob. Europol ve svém úterním oznámení uvedl, že jeho předchozí akce následně „usnadnily identifikaci podezřelých osob, na které se zaměřila akce realizovaná minulý týden v Kyjevě“.
Pět zatčených je obviněno ze zašifrování více než 250 serverů patřících velkým firmám v 71 zemích a úspěšného vylákání „několika set milionů eur“ od svých obětí. Europol obvinil hackery z toho, že v napadených organizacích doslova „způsobili spoušť“.
Přišli si na miliardy korun
Útočníci se nejprve nabourávali do účtů zaměstnanců, přičemž využívali informace z otevřených zdrojů a metody sociálního inženýrství. Ukradené účty použili k distribuci škodlivého kódu v rámci firmy. Tímto způsobem získali přístup k serverům a odcizili z nich informace. Data v počítačích obětí nakonec zašifrovali, učinili je nepoužitelnými a za dešifrování požadovali miliony dolarů v kryptoměnách.
Jednou z variant ransomwaru, kterou skupina použila, byl LockerGoga – stejný druh malwaru, který byl použit při kybernetickém útoku na norského zpracovatele hliníku Norsk Hydro v březnu 2019. Podle oznámení Europolu útočníci nasadili také ransomware MegaCortex, Hive a Dharma.
Předpokládá se, že pachatelé hráli ve zločinecké síti různé role. Část prováděla útoky hrubou silou a pomocí ukradených přihlašovacích údajů pronikala do sítě oběti. Další nasazovali malware, například Trickbot, aby získali další přístup, a jiní členové skupiny jsou podezřelí z toho, že zajišťovali praní peněz z kryptoměnových plateb, které oběti zaplatily, aby získaly zpět své ukradené soubory.
Vyšetřování této zločinecké organizace také umožnilo švýcarským úřadům ve spolupráci se společností Bitdefender a projektem Evropské unie No More Ransom vyvinout dešifrovací nástroje pro soubory zašifrované ransomwarem LockerGoga a MegaCortex. Tyto nástroje umožňují obětem obnovit ukradené soubory, aniž by musely platit výkupné.