DIICOT a arestat hackeri români implicați în atacuri ransomware

Pe 4 noiembrie, procurorii DIICOT au efectuat patru percheziții domiciliare, pe raza municipiului Constanța, la persoane bănuite de implicare în distribuirea aplicațiilor malițioase de tip ransomware Sodinokibi/Revil și GandCrab. De asemenea, au fost ridicate mai multe dispozitive mobile (laptopuri, telefoane mobile și diferite medii de stocare).

În urma acțiunii, două persoane au fost reținute și apoi arestate preventiv pentru săvârșirea infracțiunilor de acces ilegal la un sistem informatic în formă continuată, perturbarea funcționării sistemelor informatice în formă continuată, șantaj în formă continuată și spălarea banilor în formă continuată, arată Agerpres.

Cercetările au fost efectuate în cadrul unei echipe comune de anchetă (JIT), formată din autorități din Germania, Franța și România, iar la efectuarea perchezițiilor domiciliare au participat echipe de investigatori din Franța și specialiști din cadrul Europol. Potrivit unui comunicat al DIICOT, începând cu anul 2018, inculpații au aderat la mai multe grupări internaționale de crimă organizată, constituite online, ce funcționau după modelul Ransomware as a Service (RaaS). RaaS este un model de afaceri utilizat de creatorii de aplicații malițioase de tip ransomware, în care aceștia închiriază infrastructura informatică cu scopul de a lansa atacuri și de a cripta sisteme informatice, iar, ulterior, de a obține câștiguri ilicite de la victimele ce plătesc pentru răscumpărarea datelor criptate.

Afiliații erau persoanele responsabile pentru identificarea și atacarea efectivă a victimelor cu ajutorul ransomware-ului creat de dezvoltatori. Odată ce sistemele informatice ale victimei erau compromise și datele erau criptate, afiliații livrau victimei un fișier sau un mesaj de răscumpărare. Ulterior, folosind o adresă TOR(The Onion Router), victimei i se comunica suma de răscumpărare cerută și instrucțiunile de plată. După ce o victimă plătea răscumpărarea, dezvoltatorii și afiliații împărțeau procentual veniturile.

Cercetările s-au efectuat în cauză pentru documentarea activității infracționale a membrilor, de pe teritoriul României, ce au făcut parte din grupările cunoscute în mediul online cu denumirile GandCrab și REvil/Sodinokibi.

Având în vedere câștigurile ilicite ale membrilor acestor grupări, estimate la miliardele de dolari, GandCrab și REvil/Sodinokibi au fost două dintre cele mai prolifice de acest gen și au afectat numeroase victime din toată lumea atât din sectorul public cât și privat, printre care companii, municipalități, spitale, forțe de ordine, servicii de urgență, unități școlare, colegii și universități.

În paralel cu ancheta din România, în cadrul Operațiunii GoldDust, cu suportul Europol, au fost desfășurate activități de cooperare internațională, în cadrul unui grup investigativ format din 17 agenții de aplicare a legii din întreaga lume. Astfel, au fost arestate alte cinci persoane implicate în programele ransomware GandCrab și Revil/Sodinokibi, trei de către autoritățile judiciare din Coreea de Sud, una de către cele din Statele Unite ale Americii și una de către autoritățile judiciare din Kuweit.

Cercetările în cauză s-au desfășurat și în cooperare cu autoritățile de aplicare a legii din mai multe state: Australia, Belgia, Canada, Franța, Germania, Țările de Jos, Luxemburg, Norvegia, Filipine, Polonia, România, Coreea de Sud, Suedia, Elveția, Kuweit, Regatul Unit al Marii Britanii, Statele Unite ale Americii, dar și cu sprijinul Europol și Interpol.

Totodată, în documentarea activității infracționale au fost implicați și parteneri din sectorul privat din mai multe state, respectiv companii de securitate cibernetică, furnizori de servicii internet și producători soluții antivirus. Potrivit Poliției Române, compania românească Bitdefender a sprijinit această investigație, oferind sprijin tehnic cheie, pe parcursul întregii investigații, împreună cu instrumente pentru decriptarea ambelor familii de ransomware, extrem de prolifice, pentru a ajuta victimele să-și recupereze fișierele. KPN și McAfee sunt alți parteneri din sectorul privat care au susținut această investigație, oferind expertiză tehnică.

Soluțiile de decriptare dezvoltate de către Bitdefender pot fi descărcate de pe platforma No More Ransom.

Instrumentele de decriptare Sodinokibi/Revil au ajutat peste 1.400 de companii să-și decripteze rețelele, economisindu-le aproape 475 de milioane de euro în pierderi potențiale. Instrumentele puse la dispoziție pentru ambele familii de ransomware au permis peste 50.000 de decriptări, pentru care infractorii cibernetici au cerut o răscumpărare de aproximativ 520 de milioane de euro.