Uhapšeno 12 hakera povezanih sa 1800 napada ransomwarea u više od 70 zemalja

Sajber hronika, 01.11.2021, 11:00 AM

Ukrajinska i švajcarska policija uhapsile su ukupno 12 osoba osumnjičenih da su povezani sa nizom napada ransomwarea širom sveta, saopštio je Europol.

Europol je saopštio da su uhapšeni povezani sa napadima ransomwarea na više od 1800 žrtava u 71 zemlji. Mete su bile pre svega velike kompanije čije je poslovanje posle napada neretko bilo dovedeno u pitanje.

Grupa je korstila ransomware kao što je LockerGoga, MegaCortex i Dhrama, malver kao što je Trickbot i alate za post-eksploataciju kao što je Cobalt Strike.

LockerGoga se prvi put pojavio u januaru 2019. godine, kada je napadnuta francuska konsultantska firma za inovacije i inženjering “Altran Technologies“.

Infekcije LockerGoga i MegaCortex ransomwareima kulminirale su tokom te godine.

Najznačajniji slučaj povezan sa osumnjičenima je napad na jednog od najvećih svetskih proizvođača aluminijuma, norvešku kompaniju Norsk Hydro, koji se dogodio 2019. godine, i koji je izazvao ozbiljne i dugotrajne probleme u radu kompanije.

Posle saopštenja Europola oglasila se saopštenjem i norveška policija koja je rekla da nikada nije prestala da traga za onima koji su odgovorni za napad na Norsk Hydro, u čemu je imala pomoć stranih kolega.

U okviru međunarodne policijske akcije u kojoj je učestvovalo 8 zemalja (Norveška, Francuska, Holandija, Ukrajina, Velika Britanija, Nemačka, Švajcarska i SAD) predvođenih Europolom i Eurojustom, 26. oktobra u Ukrajini i Švajcarskoj uhapšeno je 12 osoba, a policija je prilikom pretresa zaplenila pet luksuznih automobila, elektronske uređaje i 52000 dolara.

Svi osumnjičeni imali su različite uloge u ovoj organizovanoj kriminalnoj grupi. Neki od ovih kriminalaca su se bavili pokušajima penetracije, koristeći više mehanizama za kompromitovanje IT mreža, uključujući napade grube sile, SQL injekcije, ukradene akreditive i fišing imejlove sa zlonamernim prilozima.

Kada bi kompromitovali mrežu, kriminalci bi se fokusirali na bočno kretanje, instaliranje malvera kao što je Trickbot, ili su koristili Cobalt Strike ili PowerShell Empire, kako bi ostali neprimećeni i dobili dalji pristup.

Ponekad su ostajali neprimećeni mesecima u kompromitovanim sistemima, tražeći nove slabosti u IT mrežama pre nego što bi rešili da unovče svoj trud i instaliraju neki od ransomwarea (LockerGoga, MegaCortex i Dharma).

“Efekti napada ransomwarea bili su razorni jer su kriminalci imali vremena da neotkriveni istraže IT mreže. Zatim je žrtvi prikazivana poruka o otkupnini, u kojoj se tražilo da žrtva plati napadačima u bitkoinima u zamenu za ključeve za dešifrovanje”, objasnio je Europol način na koji je radila grupa.

Neki od uhapšenih bili su zaduženi za pranje novca koji je dobijen od žrtava.

Međunarodna saradnja bila je ključan faktor u identifikaciji sajber kriminalaca jer su se žrtve nalazile u različitim zemljama širom sveta, rekao je Europol.

Na inicijativu Francuske u septembru 2019. formiran je zajednički istražni tim (JIT) Norveške, Francuske, Velike Britanije i Ukrajine uz finansijsku podršku Eurojusta i pomoć Europola. Paralelno sa njihovom istragom, tekle su nezavisne istrage holandskih i američkih vlasti. Eurojust je formirao koordinacioni centar kako bi se olakšala prekogranična saradnja pravosudnih organa na dan hapšenja.

Ova operacija je sprovedena u okviru Evropske multidisciplinarne platforme protiv kriminalnih pretnji (EMPACT).