Șapte hackeri suspectați că au efectuat mii de atacuri cibernetice în întreaga lume, în schimbul răscumpărărilor, au fost arestați într-o operațiune care a implicat 17 țări, au anunțat autoritățile americane și europene. Între ei, doi români, care au fost arestați la Constanța.
Operațiunea, denumită Golddust sau Quicksand a vizat grupul de hackeri rusofoni REvil, numit și Sodinokibi, și grupul de ransomware GandCrab, a detaliat Europol într-un comunicat.
Cei arestați sunt suspectați că au efectuat „aproximativ 7.000 de infectări” în întreaga lume cu software care cripta datele țintelor lor și că au „pretins peste 200 de milioane de euro răscumpărări” în schimbul decriptării”, a adăugat Agenția europeană de poliție
Robotnik, peștele mare
Principala captură a operațiunii este Yaroslav Vasinsky, alias Robotnik. Acest ucrainean este acuzat că a atacat, la 2 iulie, compania informatică americană Kaseya, afectând 1.000 din clienții săi, printre care și lanțul de supermarketuri Coop din Suedia, ale cărui magazine au rămas închise câteva zile.
Tânărul a fost arestat pe 8 octombrie în Polonia la cererea SUA. „Am cerut extrădarea lui în temeiul tratatului dintre cele două țări”, a declarat ministrul american al Justiției, Merrick Garland, la o conferință de presă.
Justiția americană a mai anunțat confiscarea a 6,1 milioane de dolari în criptomonedă, corespunzătoare sumelor extorcate de un alt membru al grupului REvil – rusul Eevgeni Polianin, 28 de ani – în timpul a 3.000 de atacuri efectuate în SUA, în special în august 2019, în Texas. Inculpat în Statele Unite, el se află probabil în Rusia, posibil în , potrivit unui anunț de căutare publicat de poliția federală americană.
Structura din România
Alți doi hackeri, suspectați că ar fi făcut 5.000 de victime și că ar fi primit răscumpărări de 500.000 de euro răscumpărări, au fost arestați joi în România, la Constanța. Potrivit autorităților române, aceștia au aderat, începând cu anul 2018, la mai multe grupări internaționale de crimă organizată, constituite online, ce funcționau după modelul Ransomware as a Service (RaaS).
Ransomware as a Service (RaaS) este un model de afaceri utilizat de creatorii de aplicații malițioase de tip ransomware, în care aceștia închiriază infrastructura informatică cu scopul de a lansa atacuri și de a cripta sisteme informatice, iar, ulterior, de a obține câștiguri ilicte de la victimele ce plătesc pentru răscumpărarea datelor criptate.
Modelul RaaS oferă tuturor, chiar și persoanelor fără prea multe cunoștințe tehnice, capacitatea de a se afilia serviciilor infracționale și de a lansa atacuri ransomware doar prin înscrierea la astfel de servicii. „Cercetările s-au efectuat în cauză pentru documentarea activității infracționale a membrilor, de pe teritoriul României, ce au făcut parte din grupările cunoscute în mediul online cu denumirile GandCrab și REvil / Sodinokibi”.
Școli, spitale, companii, municipalități, nimic nu le-a scăpat
Având în vedere câștigurile ilicite ale membrilor acestor grupări, estimate la ordinul miliardelor de dolari, cele două „familii de ransomware” GandCrab și REvil / Sodinokibi au fost două dintre cele mai prolifice de acest gen și au afectat numeroase victime din toată lumea atât din sectorul public cât și privat, printre care companii, municipalități, spitale, forțe de ordine, servicii de urgență, unități școlare, colegii și universități, etc.
Atacurile au vizat și sectorul sănătății în timpul pandemiei Covid-19, profitând de criza mondială pentru a extorca victimele.
„Dezvoltatorii” și „afiliații”
Ambele „familii de ransomware” GandCrab și REvil / Sodinokibi au funcționat după modelul Ransomware-as-a-Service (RaaS), cu „dezvoltatori” și „afiliați”. Dezvoltatorii erau persoanele responsabile pentru crearea și actualizarea ransomware-ului, precum și pentru punerea acestuia la dispoziția afiliaților.
Afiliații erau persoanele responsabile pentru identificarea și atacarea efectivă a victimelor cu ajutorul ransomware-ului creat de dezvoltatori.
Odată ce sistemele informatice ale victimei erau compromise și datele erau criptate, afiliații livrau victimei un fișier sau un mesaj de răscumpărare. Ulterior, folosind o adresă TOR(The Onion Router), victimei i se comunica suma de răscumpărare cerută și instrucțiunile de plată. După ce o victimă plătea răscumpărarea, dezvoltatorii și afiliații împărțeau procentual veniturile.
Un alt hacker a fost arestat în Kuweit și trei în Coreea de Sud, potrivit Interpol, care a participat la operațiune alături de Eurojust.