Ukraińska grupa cyberprzestępcza rozbita przez Europol. Przywódca aresztowany

Zatrzymanie członków ukraińskiej grupy cyberprzestępczej jest wynikiem wielomiesięcznego śledztwa, a następnie 30 przeszukań nieruchomości, które w zsynchronizowany sposób zostały przeprowadzone 21 listopada 2023 r. Akcja, która miała miejsce w obwodach kijowskim, czerkaskim, rówieńskim i winnickim, zaowocowała zatrzymaniem 32-letniego przywódcy oraz czwórki spośród jego najaktywniejszych wspólników. Zabezpieczono także ponad sto urządzeń.

Rozbitej już grupie przypisuje się co najmniej 1,8 tys. ataków typu ransomware, w wyniku których spowodowano straty liczone w setkach milionów euro, jak podaje Europol. Ofiarami padały przede wszystkim ważne organizacje i duże korporacje międzynarodowe w przeszło 70 krajach. Niewykluczone, rzecz jasna, że udanych ataków było więcej.

W akcję zaangażowane zostały organy ścigania i organy sprawiedliwości z kilku krajów. Obok ukraińskiej Prokuratury Generalnej i Policji Narodowej, były to między innymi: francuska Policja Krajowa, niemiecka Prokuratura w Stuttgarcie, holenderska Policja Krajowa, norweska Służba Dochodzeniowo-Śledcza, szwajcarska prokuratura i policja oraz FBI i inne amerykańskie służby. Współpracę pomiędzy nimi ułatwiał Eurojust, który zorganizował 12 spotkań koordynacyjnych.

Wspólny zespół dochodzeniowo-śledczy został powołany do życia we wrześniu 2019 r. Pierwsza runda aresztowań nastąpiła dwa lata później. Teraz zaś, po upływie kolejnych dwóch lat, udało się zamknąć sprawę, doprowadzając do zatrzymania najważniejszych osób w tej cyberprzestępczej grupie.

W ramach swojej działalności cyberprzestępcy wykorzystywali rozmaite mechanizmy naruszania bezpieczeństwa sieci IT. Od najprostszych (takich jak ataki brute-force), po phishing i inne formy kradzieży danych uwierzytelniających. Po wejściu do sieci ofiar natomiast stosowano złośliwe oprogramowanie, takie jak Trickbot, Cobalt Strike czy PowerShell Empire, aby uzyskiwać dalszy dostęp i pozostawać w ukryciu.

Kolejnym krokiem – nieraz stawianym po wielu miesiącach od przedarcia się do systemów ofiar – było stosowanie oprogramowania typu ransomware, między innymi LockerGoga, MegaCortex, HIVE i Dharma. Programy te szyfrują pliki na komputerach i serwerach, a następnie wyświetlają komunikat z żądaniem opłacenia okupu (w bitocinach) w zamian za odblokowanie dostępu (w postaci przesłania kluczy deszyfrujących).

Jest też dobra wiadomość dal tych, którzy padli ofiarą ataku i nie zdecydowali się na współpracę z cyberprzestępcami. Przeprowadzona w ramach tego dochodzenia analiza kryminalistyczna umożliwiła opracowanie narzędzi deszyfrujących dla oprogramowania LockerGoga i MegaCortex. Rozwiązanie, które pomogła tworzyć firma Bitdefender, zostało udostępnione bezpłatnie na stronie No More Ransom.