Uma ação conjunta da a Europol, Eurojust e autoridades responsáveis pela aplicação da lei de sete países prenderam na Ucrânia os principais membros de um grupo de ransomware ligado a ataques contra organizações em 71 países.
Grupo de ransomware desmontado
Os cibercriminosos paralisaram as operações de grandes corporações em ataques que usaram ransomware como LockerGoga, MegaCortex, HIVE e Dharma. As funções dentro desta rede criminosa variaram significativamente: alguns membros violaram redes de TI, enquanto outros ajudaram a lavar os pagamentos em criptomoeda feitos pelas vítimas para desencriptar os seus ficheiros.
Os invasores obtiveram acesso às redes de seus alvos roubando credenciais de usuários em ataques de força bruta e injeção de SQL, bem como usando e-mails de phishing com anexos maliciosos. Uma vez lá dentro, eles usaram ferramentas como o malware TrickBot, Cobalt Strike e PowerShell Empire para se mover lateralmente e comprometer outros sistemas antes de acionar cargas de ransomware implantadas anteriormente.
A investigação revelou que este grupo organizado de afiliados de ransomware encriptou mais de 250 servidores de grandes corporações, levando a perdas superiores a várias centenas de milhões de euros em suas ações.
Prisões de gangues de ransomware na Ucrânia
Em 21 de Novembro, ataques coordenados em 30 locais em Kiev, Cherkasy, Rivne e Vinnytsia resultaram na prisão do mentor do grupo, de 32 anos, e na captura de quatro cúmplices. Mais de 20 investigadores da Noruega, França, Alemanha e Estados Unidos ajudaram a Polícia Nacional Ucraniana na investigação em Kiev. A Europol também criou um centro de comando virtual nos Países Baixos para processar os dados apreendidos durante as buscas domiciliárias.
Esta operação segue-se a outras detenções em 2021 como parte da mesma ação policial, quando a polícia deteve 12 indivíduos ligados a ataques de ransomware contra 1.800 vítimas em 71 países. Conforme revelou a investigação há dois anos, os invasores implantaram os ransomware LockerGoga, MegaCortex e Dharma. Eles também usaram malware como o Trickbot e ferramentas pós-exploração como o Cobalt Strike em seus ataques.
Os esforços subsequentes na Europol e na Noruega concentraram-se na análise de dados sobre dispositivos apreendidos na Ucrânia em 2021 e ajudaram a identificar outros suspeitos detidos há uma semana em Kiev.
Esta ação policial internacional foi iniciada pelas autoridades francesas em setembro de 2019 e centra-se na localização de atores ameaçadores na Ucrânia e em levá-los à justiça com a ajuda de uma equipa de investigação conjunta (EIC) composta pela Noruega, França, Reino Unido e Ucrânia, com recursos financeiros. apoio da Eurojust e colaboração com autoridades holandesas, alemãs, suíças e norte-americanas.
