- WIADOMOŚCI
Niemiecka policja zdemaskowała Rosjan. Trwają poszukiwania
Niemieckie organy ścigania poinformowały o zidentyfikowaniu dwóch domniemanych członków struktur odpowiedzialnych za działalność grupy ransomware REvil oraz ekosystemu GandCrab. Śledczy wiążą podejrzanych z dziesiątkami ataków, które przyniosły milionowe wymuszenia i znaczące straty gospodarcze.
Autor. CyberDefence24/Canva
- Niemiecki Federalny Urząd Kryminalny powiązał podejrzanych ze 130 przypadkami wymuszeń i sabotażu komputerowego w Niemczech.
- W około 25 przypadkach ofiary zapłaciły okup o łącznej wartości 1,9 mln euro.
- Łączne straty gospodarcze spowodowane atakami przekroczyły 35,4 mln euro.
Niemieckie organy ścigania zidentyfikowały dwóch mężczyzn podejrzewanych o udział w działalności struktur związanych z grupą ransomware REvil oraz ekosystemem GandCrab.
Chodzi o 31-letniego obywatela Rosji Daniila Shchukina, który miał używać pseudonimu UNKN (UNKNOWN), oraz 43-letniego Anatolija Krawczuka - urodzonego na Ukrainie obywatela Rosji.
Z ustaleń śledczych wynika, że Shchukin miał odgrywać kluczową rolę w funkcjonowaniu obu operacji. Krawczuk miał odpowiadać za funkcje programistyczne i deweloperskie, a według części oficjalnych opisów należał również do ścisłego kierownictwa operacji.
Skala ataków i straty finansowe
Federalny Urząd Kryminalny Niemiec (BKA) wskazuje, że działalność podejrzanych obejmuje łącznie 130 przypadków wymuszeń i sabotażu komputerowego na terenie Niemiec.
W około 25 przypadkach ofiary zdecydowały się zapłacić okup, którego łączna wartość wyniosła 1,9 mln euro. Jednocześnie całkowite straty gospodarcze wynikające z tych incydentów oszacowano na ponad 35,4 mln euro.
Model działania: ransomware-as-a-service
Zarówno REvil, jak i GandCrab funkcjonowały w modelu ransomware-as-a-service (RaaS). W tym modelu twórcy oprogramowania udostępniają narzędzia afiliantom, którzy przeprowadzają ataki, dzieląc się zyskami z okupów.
GandCrab to nazwa złośliwego oprogramowania, które było dystrybuowane różnymi kanałami, w tym poprzez kampanie spamowe oraz zainfekowane strony internetowe.
REvil to grupa ransomware (znana również jako Sodinokibi), powiązana z GandCrab. Koncentrowała się na atakach na większe organizacje i żądaniu wyższych okupów.
Jedna z najbardziej agresywnych grup ransomware
REvil należał do najbardziej agresywnych grup ransomware na świecie. Wśród głośnych incydentów znajdował się atak na kancelarię prawną Grubman Shire Meiselas & Sacks, obsługującą m.in. znane osoby ze świata show-biznesu, w tym Lady Gagę.
Charakterystycznym elementem działania grupy było łączenie szyfrowania systemów ofiar z kradzieżą danych. W przypadku odmowy zapłaty okupów przestępcy grozili ich publikacją w internecie.
REvil została rozbita w październiku 2021 r., a w styczniu 2022 r. rosyjska Federalna Służba Bezpieczeństwa (FSB) poinformowała o zatrzymaniu 14 podejrzanych członków tej sieci.
Podejrzani poza zasięgiem zachodnich organów ścigania
Niemieccy śledczy uważają, że obaj podejrzani przebywają obecnie na terytorium Rosji. Są poszukiwani międzynarodowo pod zarzutem udziału w licznych operacjach wymuszeń z użyciem ransomware.
Pomimo działań organów ścigania, postępowania prowadzone w Rosji przebiegają powoli. Do tej pory jedynie część zatrzymanych osób stanęła przed sądem w Moskwie, a rozprawy były wielokrotnie odraczane.
Działania niemieckich służb wpisują się w szersze działania europejskich służb ukierunkowane na identyfikację operatorów ransomware powiązanych z rosyjskim środowiskiem cyberprzestępczym.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Krajowy system e-Faktur - co musisz wiedzieć o KSEF?
Materiał sponsorowany