Români implicați în rețele care au lansat atacuri ransomware asupra unor companii din toată lumea și au obținut câştiguri de miliarde de dolari / Cum acționau grupările
Doi bărbați din Constanța au fost arestați în urma unei operațiuni la care au participat autoritățile judiciare din mai multe țări, fiind suspectați că fac parte din două mari rețele internaționale de hackeri care au lansat atacuri de tip ransomware asupra unor companii din toată lumea, obținând astfel miliarde de dolari.
Conform DIICOT, polițiștii și procurorii au făcut în 4 noiembrie percheziții la persoane suspectate de implicare în distribuirea aplicațiilor de tip ransomware Sodinokibi/Revil și GandCrab, iar doi bărbați din Constanța au fost reținuți, iar ulterior Tribunalul București a decis arestarea lor preventivă, pentru 30 de zile, pentru acces ilegal la un sistem informatic, perturbarea funcţionării sistemelor informatice, şantaj şi spălarea banilor, în formă continuată.
De asemenea, au fost arestate alte cinci persoane implicate în programele ransomware GandCrab și Revil/Sodinokibi – trei de către autoritățile din Coreea de Sud, una de către cele din Statele Unite ale Americii și una de către autoritățile din Kuweit.
Anchetatorii spun că, începând cu anul 2018, inculpații au aderat la mai multe grupări internaționale de crimă organizată, constituite online, care funcționau după modelul Ransomware as a Service (RaaS).
Ce este Ransomware as a Service (RaaS)
Ransomware as a Service (RaaS) este un model de afaceri utilizat de creatorii de aplicații malițioase de tip ransomware, în care aceștia închiriază infrastructura informatică cu scopul de a lansa atacuri și de a cripta sisteme informatice, iar, ulterior, de a obține câștiguri ilicte de la victimele ce plătesc pentru răscumpărarea datelor criptate.
Modelul RaaS oferă tuturor, chiar și persoanelor fără prea multe cunoștințe tehnice, capacitatea de a se afilia serviciilor infracționale și de a lansa atacuri ransomware doar prin înscrierea la astfel de servicii.
Cercetările au vizat documentarea activității infracționale a membrilor de pe teritoriul României care au făcut parte din grupările cunoscute în mediul online cu denumirile GandCrab și REvil / Sodinokibi.
Victime din toată lumea
Potrivit DIICOT, având în vedere câștigurile ilicite ale membrilor acestor grupări, estimate la ordinul miliardelor de dolari, cele două “familii de ransomware” GandCrab și REvil / Sodinokibi au fost două dintre cele mai prolifice de acest gen și au afectat numeroase victime din toată lumea atât din sectorul public cât și privat, printre care companii, municipalități, spitale, forțe de ordine, servicii de urgență, unități școlare, colegii și universități, etc.
Atacurile au vizat și sectorul sănătății în timpul pandemiei COVID-19, profitând de criza mondială pentru a extorca victimele.
Ambele “familii de ransomware” GandCrab și REvil / Sodinokibi au funcționat după modelul Ransomware-as-a-Service (RaaS), cu „dezvoltatori” și „afiliați”.
Dezvoltatorii erau persoanele responsabile pentru crearea și actualizarea ransomware-ului, precum și pentru punerea acestuia la dispoziția afiliaților. Afiliații erau persoanele responsabile pentru identificarea și atacarea efectivă a victimelor cu ajutorul ransomware-ului creat de dezvoltatori.
Odată ce sistemele informatice ale victimei erau compromise și datele erau criptate, afiliații livrau victimei un fișier sau un mesaj de răscumpărare. Ulterior, folosind o adresă TOR (The Onion Router), victimei i se comunica suma de răscumpărare cerută și instrucțiunile de plată. După ce o victimă plătea răscumpărarea, dezvoltatorii și afiliații împărțeau procentual veniturile.
Cercetările în acest caz au fost făcute în cadrul unei echipe comune de anchetă (JIT) încheiate între autoritățile judiciare din România și cele din Germania și Franța, iar la percheziții au participat și reprezentanți ai autorităților de aplicare a legii din Franța, precum și lucrători Europol.
Cercetările s-au desfășurat și în cooperare cu autoritățile de aplicare a legii din mai multe state: Australia, Belgia, Canada, Franța, Germania, Țările de Jos, Luxemburg, Norvegia, Filipine, Polonia, România, Coreea de Sud, Suedia, Elveția, Kuweit, Regatul Unit al Marii Britanii, Statele Unite ale Americii, dar și cu sprijinul Europol și Interpol. Totodată, în documentarea activității infracționale au fost implicați și parteneri din sectorul privat din mai multe state, respectiv companii de securitate cibernetică, furnizori de servicii internet și producători soluții antivirus, mai spune DIICOT.