Hackeri din Constanţa, implicați în atacuri ransomware REvil asupra unor mari companii din toată lumea, arestaţi de DIICOT

Europol (Agenția Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii) este organismul european care sprijină autoritățile naționale în privința aplicării legii în combaterea formelor grave de criminalitate internațională și a terorismului.

Agenția europeană a precizat, într-un comunicat de presă, că arestările au fost rezultatul „Operațiunii GoldDust”, la care au participat Europol, Eurojust și INTERPOL și 17 țări.

Începând cu 2019, mai multe mari corporații internaționale s-au confruntat cu atacuri cibernetice grave, care au implementat ransomware-ul Sodinokibi/REvil. Franța, Germania, România, Europol și Eurojust au consolidat acțiunile împotriva acestui ransomware prin înființarea unei echipe comune de anchetă în mai 2021.

Compania Bitdefender, în colaborare cu autoritățile de aplicare a legii, a pus la dispoziție pe site-ul No More Ransom un instrument care să ajute victimele Sodinokibi/REvil să își restabilească fișierele și să recupereze atacurile efectuate înainte de iulie 2021.

Ofițerii DIICOT (Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism) și de la Poliția Judiciară au efectuat, la data de 4 noiembrie, patru percheziții domiciliare pe raza municipiului Constanța, ocazie cu care au ridicat mai multe dispozitive electronice, printre care laptopuri, telefoane mobile și medii de stocare.

În aceeași zi, Tribunalul București a dispus arestarea preventivă a celor doi inculpați, pentru o perioadă de 30 de zile. Ca urmare a activităților desfășurate, au fost arestate alte cinci persoane implicate în programele ransomware GandCrab și Revil/Sodinokibi, trei de către autoritățile judiciare din Coreea de Sud, una de către cele din Statele Unite ale Americii și una de către autoritățile judiciare din Kuweit.

„Având în vedere câștigurile ilicite ale membrilor acestor grupări, estimate la ordinul miliardelor de dolari, cele două “familii de ransomware” GandCrab și REvil / Sodinokibi au fost două dintre cele mai prolifice de acest gen și au afectat numeroase victime din toată lumea atât din sectorul public cât și privat, printre care companii, spitale, municipalități, forțe de ordine, servicii de urgență, unități școlare, colegii și universități, etc. Atacurile au vizat și sectorul sănătății în timpul pandemiei COVID-19, profitând de criza mondială pentru a extorca victimele”, spune DIICOT într-un comunicat.

Ambele “familii de ransomware” GandCrab și REvil / Sodinokibi au funcționat după modelul Ransomware-as-a-Service (RaaS), cu „dezvoltatori” și „afiliați”.

Potrivit DIICOT, dezvoltatorii erau persoanele responsabile pentru crearea și actualizarea ransomware-ului, precum și pentru punerea acestuia la dispoziția afiliaților.

Afiliații erau persoanele responsabile pentru identificarea și atacarea efectivă a victimelor cu ajutorul ransomware-ului creat de dezvoltatori.Odată ce sistemele informatice ale victimei erau compromise și datele erau criptate, afiliații livrau victimei un fișier sau un mesaj de răscumpărare.

Ulterior, folosind o adresă TOR(The Onion Router), victimei i se comunica suma de răscumpărare cerută și instrucțiunile de plată. După ce o victimă plătea răscumpărarea, dezvoltatorii și afiliații împărțeau procentual veniturile.

Potrivit DIICOT, începând cu anul 2018, cei doi au aderat la mai multe grupări internaționale de crimă organizată, constituite online, ce funcționau după modelul Ransomware as a Service (RaaS).