Jak francuscy śledczy internetowi zdemontowali dużą sieć hakerów w Szwajcarii i na Ukrainie?

Ich złośliwe działania dotknęły 1800 ofiar w 71 krajach, a ich bezkarność zakończyła się we wtorek o świcie głośną rozprawą o nazwie Operation Fifth Element. Po dwóch latach starannego śledztwa pod auspicjami Europolu międzynarodowy zespół 50 policjantów – w tym eksperci z policji sądowej – przeprowadził skoordynowane aresztowanie 12 cyberprzestępców na Ukrainie iw Szwajcarii. Paraliżowali i szantażowali swoje cele potężne „ransomware”, Innymi słowy złośliwe oprogramowanie, które szyfruje dane komputera, serwera, sieci korporacyjnej lub władz lokalnych całkowicie nieczytelnymi.

Dochodzenie rozpoczęło się od skargi dużej francuskiej firmy, która została zaatakowana na początku 2019 r. przez oprogramowanie ransomware LockerGoga. Następnie Wyspecjalizowana Prokuratura TGI w Paryżu przejęła policję sądową, która skupia i koordynuje w formie heksagonalnej śledztwa związane z cyberatakami typu „ransomware”.

Dochodzenia internetowe prowadzone przez Centralne Biuro ds. Zapobiegania Przestępczości w Zakresie Technologii Informacyjnych i Komunikacyjnych (OCLCTIC) obejmowały cyberhakerów z ośmiu krajów, w których hakerzy byli rozpowszechnieni: Holandii, Norwegii, Niemiec, Wielkiej Brytanii i Stanów Zjednoczonych. ale również Ukraińskie służby policyjne Szwajcarzy planują aresztowania. Europejskie Centrum ds. Cyberprzestępczości (EC3) zorganizowało siedem spotkań koordynacyjnych w Hadze.

Inspektorzy najpierw powrócili do serwera C2, który kontrolował i komunikował się ze złośliwym oprogramowaniem. Niespodziewany łut szczęścia: byli we Francji i pozwolili im wrócić do innych. Z pomocą europejskich ekspertów zmapowali infrastrukturę przestępczą, a następnie przeanalizowali sposoby komunikacji między oprogramowaniem ransomware a jego ofiarami. W końcu podążyli „ścieżką pieniędzy”, to znaczy adresami portfeli bitcoin, do których czasami trafiał zapłacony okup. „Zaletą IT jest to, że pozostawia ślady, które pozwalają nam podążać śladami”, uśmiecha się policyjny informator.

Struktura kryminalna specjalistów

Aresztowani są uważani za część Prawdziwie zorganizowany gang z dobrze zdefiniowanymi rolami. Niektórzy z nich byli odpowiedzialni za włamywanie się do systemów komputerowych celu. Głównie duże firmyDzięki wszystkim narzędziom dostępnym dla hakerów: kradzież haseł i identyfikatorów, atak brute force czy masowa kampania „phishingowa”.

Po uzyskaniu wstępnego dostępu bandyci na Ukrainie wdrożyli złośliwe oprogramowanie Trickbot i stworzyli narzędzia do głębokiego ataku z ukrycia, takie jak Cobalt Strike. Specjaliści ci następnie potajemnie przenieśli się do sieci swoich ofiar i ukrywali się, czasami przez miesiące, zanim włączyli szyfrowanie danych i twierdzą Zapłać okup w Bitcoin, aby go odszyfrować Lub unikaj publikowania go online.

Historyczny odtwarzacz ransomware

Śledczy są podejrzani o rozpowszechnianie ransomware LockerGoga, które działa od 2019 roku i specjalizuje się w atakowaniu systemów przemysłowych. Ale także złośliwe oprogramowanie MegaCortex i Dharma, które znalazły się wśród Pierwszy, który wyciągnie dane, zanim uczyni je nieczytelnymi Bez klucza deszyfrującego.

Następnie inni cyberprzestępcy z siedzibą w Szwajcarii wzięli odpowiedzialność za wypranie okupu, przekazując wyłudzone bitcoiny za pośrednictwem usług kryptograficznych, co komplikuje ich identyfikowalność. Następnie zamienili te wirtualne pieniądze na gotówkę. Policja odzyskała 52 000 dolarów i skonfiskowała kilka luksusowych samochodów. Wyłączają również komputery i inne urządzenia elektroniczne w celu zebrania dowodów i rozwikłania dalszych tropów dochodzeniowych. Całkowite szkody szacuje się na 100 milionów euro.