Un total de 12 persoane care au făcut ravagii în întreaga lume cu atacuri ransomware împotriva infrastructurii critice au fost vizate ca rezultat al unei operațiuni judiciare și de aplicare a legii care implică opt țări.
Se crede că aceste atacuri au afectat peste 1.800 de victime în 71 de țări. Acești atacatori cibernetici sunt cunoscuți pentru că vizează în mod specific corporațiile mari, oprindu-le efectiv afacerea. Acțiunile au avut loc la primele ore ale zilei de 26 octombrie în Ucraina și Elveția. Cei mai mulți dintre acești suspecți sunt investigați în mai multe cazuri importante în diferite jurisdicții. În acțiunii au fost confiscate peste 52.000 de dolari cash, alături de 5 vehicule de lux. O serie de dispozitive electronice sunt în prezent examinate criminalistic căutându-se dovezi și pentru a identifica noi piste de investigație.
Malware-ul nedectat. Bombă cu ceas
Suspecții vizați aveau roluri diferite în aceste organizații criminale profesionale, extrem de organizate. Unii dintre acești criminali se ocupau de penetrarea în sistem, folosind mai multe mecanisme pentru a compromite rețelele IT, inclusiv atacuri de forță brută, injecții SQL, acreditări furate și e-mailuri de phishing cu atașamente rău intenționate. Odată intrați în rețea, atacatorii cibernetici se concentrau pe deplasarea laterală, implementând malware precum Trickbot sau cadre post-exploatare precum Cobalt Strike sau PowerShell Empire, pentru a rămâne nedetectați și pentru a obține acces suplimentar. Infractorii rămâneau nedetectați în sistemele compromise, uneori luni de zile, cercetând mai multe puncte slabe în rețelele IT înainte de a trece la monetizarea infecției prin implementarea unui ransomware. Se știe că acești atacatori cibernetici au implementat LockerGoga, MegaCortex și Dharma ransomware, printre altele. Efectele atacurilor ransomware au fost devastatoare, deoarece „hackerii” au avut timp să exploreze rețelele IT nedetectați. Victimei i-a fost apoi prezentată o notă de răscumpărare, care i-a cerut victimei să plătească atacatorilor în Bitcoin în schimbul cheilor de decriptare. O serie de indivizi interogați sunt suspectați că sunt însărcinați cu spălarea plăților de răscumpărare: aceștia ar canaliza plățile de răscumpărare Bitcoin prin servicii de amestecare, înainte de a încasa câștigurile obținute ilicit.
Cooperare internațională
Cooperarea internațională coordonată de Europol și Eurojust a fost esențială în identificarea acestor amenințări, deoarece victimele se aflau în diferite locații geografice din întreaga lume. Inițiată de autoritățile franceze, în septembrie 2019 a fost înființată o echipă comună de anchetă (JIT) între Norvegia, Franța, Marea Britanie și Ucraina, cu sprijinul financiar al Eurojust și asistența ambelor agenții. Partenerii din JIT au lucrat de atunci îndeaproape împreună, în paralel cu investigațiile independente ale autorităților olandeze și americane, pentru a descoperi amploarea și complexitatea reală a activităților criminale ale acestor actori cibernetici pentru a stabili o strategie comună. Eurojust a creat un centru de coordonare pentru a facilita cooperarea judiciară transfrontalieră în timpul zilei de acțiune. În pregătirea acestuia au fost organizate șapte întâlniri de coordonare. Centrul European pentru Criminalitatea Cibernetică (EC3) al Europol a găzduit întâlniri operaționale, a oferit asistență în criminalistică digitală, criptomonede și programe malware, și a facilitat schimbul de informații în cadrul Grupului operativ comun de acțiune împotriva criminalității cibernetice (J-CAT) găzduit la sediul Europol de la Haga.
La această operațiune au participat următoarele autorități:
- Norvegia: Serviciul Național de Investigații Criminale (Kripos)
- Franța: Parchetul din Paris, Poliția Națională (Police Nationale – OCLCTIC)
- Țările de Jos: Poliția Națională (Politie), Serviciul Național de Procuratură Publică (Landelijk Parket, Openbaar Ministerie)
- Ucraina: Procuratura Generală (Офіс Генерального прокурора), Poliția Națională a Ucrainei (Національна поліція України)
- Regatul Unit: Police Scotland, National Crime Agency (NCA)
- Germania: sediul poliției Reutlingen (Polizeipräsidium Reutlingen)
- Elveția: Poliția Federală (fedpol), Polizei Basel-Landschaft
- Statele Unite: Serviciul Secret al Statelor Unite (USSS), Biroul Federal de Investigații (FBI)
- Europol: Centrul european pentru criminalitatea cibernetică (EC3)
- Eurojust.
