Doi hackeri români de renume internațional, arestați de DIICOT la Constanța
Doi bărbați din Constanța, membri ai două grupări infracționale de renume mondial, care au fraudat, până acum miliarde de dolari, au fost prinși și arestați de DIICOT pentru 30 de zile. Descinderile au avut loc în 17 țări. Pe lângă cei doi constănțeni, au mai fost prinși cinci hackeri din SUA, Coreea de Sud și Kuweit.
Cei doi bărbați făceau parte de mai bine de trei ani din două grupări de hackeri, Sodinokibi/Revil şi GandCrab, care au lansat atacuri de tip ransomware asupra unor entităţi din toată lumea – companii, municipalităţi, spitale, forţe de ordine, servicii de urgenţă, unităţi şcolare, colegii şi universităţi, câştigurile ilicite fiind estimate la miliarde de dolari, informează un comunicat al DIICOT.
Cercetările au fost efectuate în cadrul unei echipe comune de anchetă (JIT), formată din autorităţi din Germania, Franţa şi România, iar la efectuarea percheziţiilor domiciliare au participat echipe de investigatori din Franţa şi specialişti din cadrul Europol. În paralel cu ancheta din România, în cadrul Operaţiunii GoldDust, cu suportul Europol, au fost desfăşurate activităţi de cooperare internaţională, în cadrul unui grup investigativ format din 17 agenţii de aplicare a legii din întreaga lume. Pe lângă cei doi români au mai fost arestați cinci membri ai rețelei, din SUA, Coreea de Sud și Kuweit.
Cum funcționează metoda de fraudă Ransomware as a Service (RaaS)
Ambele „familii de ransomware” GandCrab şi REvil/Sodinokibi au funcţionat după modelul Ransomware-as-a-Service (RaaS), cu „dezvoltatori” şi „afiliaţi”. Odată ce sistemele informatice ale victimei erau compromise şi datele erau criptate, afiliaţii livrau victimei un fişier sau un mesaj de răscumpărare.
Ulterior, folosind o adresă TOR(The Onion Router), victimei i se comunica suma de răscumpărare cerută şi instrucţiunile de plată. După ce o victimă plătea răscumpărarea, dezvoltatorii şi afiliaţii împărţeau procentual veniturile.
Cine erau victimele hackerilor
Ransomware as a Service (RaaS) este un model de afaceri utilizat de creatorii de aplicaţii maliţioase de tip ransomware, în care aceştia închiriază infrastructura informatică cu scopul de a lansa atacuri şi de a cripta sisteme informatice, iar, ulterior, de a obţine câştiguri ilicte de la victimele ce plătesc pentru răscumpărarea datelor criptate. Modelul RaaS oferă tuturor, chiar şi persoanelor fără prea multe cunoştinţe tehnice, capacitatea de a se afilia serviciilor infracţionale şi de a lansa atacuri ransomware doar prin înscrierea la astfel de servicii. Au afectat numeroase victime din toată lumea atât din sectorul public cât şi privat, printre care companii, municipalităţi, spitale, forţe de ordine, servicii de urgenţă, unităţi şcolare, colegii şi universităţi. Atacurile au vizat şi sectorul sănătăţii în timpul pandemiei COVID-19, profitând de criza mondială pentru a extorca victimele.
Cine sunt hackerii?
Dezvoltatorii rețelei frauduloase erau persoanele responsabile pentru crearea şi actualizarea ransomware-ului, precum şi pentru punerea acestuia la dispoziţia afiliaţilor. Afiliaţii erau persoanele responsabile pentru identificarea şi atacarea efectivă a victimelor cu ajutorul ransomware-ului creat de dezvoltatori.
Totodată, în documentarea activităţii infracţionale au fost implicaţi şi parteneri din sectorul privat din mai multe state, respectiv companii de securitate cibernetică, furnizori de servicii internet şi producători soluţii antivirus.
Potrivit Poliţiei Române, compania românească Bitdefender a sprijinit această investigaţie, oferind sprijin tehnic cheie, pe parcursul întregii investigaţii, împreună cu instrumente pentru decriptarea ambelor familii de ransomware, extrem de prolifice, pentru a ajuta victimele să-şi recupereze fişierele. KPN şi McAfee sunt alţi parteneri din sectorul privat care au susţinut această investigaţie, oferind expertiză tehnică. Soluţiile de decriptare dezvoltate de către Bitdefender pot fi descărcate de pe platforma No More Ransom.
Instrumentele de decriptare Sodinokibi/Revil au ajutat peste 1.400 de companii să-şi decripteze reţelele, economisindu-le aproape 475 de milioane de euro, în pierderi potenţiale. Instrumentele puse la dispoziţie pentru ambele familii de ransomware au permis peste 50.000 de decriptări, pentru care infractorii cibernetici au cerut o răscumpărare de aproximativ 520 de milioane de euro.