В рамках международной операции правоохранительных органов задержаны 12 человек, которых подозревают в организации атак программ-вымогателей на объекты критической инфраструктуры и крупные организации. По данным следствия, с 2019 года их деятельность затронула более 1800 жертв в 71 стране.
Задержания прошли ранее на этой неделе, 26 октября, на территории Украины и Швейцарии. У подозреваемых изъяли 52 000 долларов наличными, пять автомобилей премиум-класса и целый ряд электронных устройств. Их теперь изучают, чтобы найти новые улики и выйти на дополнительные следы преступной деятельности.
Кого подозревают
Задержанных связывают прежде всего с вымогателями LockerGoga, MegaCortex и Dharma. Помимо самих атак, часть группы отвечала за отмывание выкупов: полученные в биткоинах средства прогонялись через миксеры и затем обналичивались.
«У всех фигурантов были разные роли в этих профессиональных, тщательно организованных преступных группировках, — говорится в пресс-релизе Европола. — Некоторые из них занимались проникновением и использовали сразу несколько механизмов взлома IT-сетей: брутфорс, SQL-инъекции, украденные учётные данные и фишинговые письма с вредоносными вложениями».
Как действовали злоумышленники
После успешного взлома преступники, по версии следствия, сосредотачивались на перемещении внутри скомпрометированной сети. Для этого применялись вредоносное ПО вроде TrickBot и постэксплуатационные фреймворки Cobalt Strike и PowerShell Empire. Цель — как можно дольше оставаться незамеченными, закрепиться в инфраструктуре и найти дополнительные уязвимости, прежде чем разворачивать сам шифровальщик.
Считается, что эта же группа стоит за атакой на норвежского производителя алюминия Norsk Hydro в марте 2019 года. Об этом отдельно сообщила Национальная служба уголовных расследований Норвегии.
Международная операция
В совместную работу были вовлечены власти Франции, Германии, Нидерландов, Норвегии, Швейцарии, Украины, Великобритании и США, а также Европол и Евроюст. Операция велась в рамках Европейской междисциплинарной платформы по противодействию криминальным угрозам (EMPACT).
Задержания произошли всего через несколько недель после того, как представители США, Евросоюза и ещё 30 стран договорились совместно снижать риски программ-вымогателей и защищать финансовую систему от эксплуатации. Цель — подорвать саму экосистему подобных атак, которую назвали «нарастающей глобальной угрозой безопасности с серьёзными экономическими последствиями».
Источник: The Hacker News.