Європол: затримано причетних до розповсюдження програм-вимагачів

4 листопада влада Румунії заарештувала двох осіб, підозрюваних у кібератаках із застосуванням програмного забезпечення-вимагача Sodinokibi/REvil. Вони підозрюються у  5 000 заражень, та загалом вимагали півмільйона євро як викуп. З лютого 2021 року правоохоронні органи заарештували трьох інших учасника Sodinokibi/REvil і двох підозрюваних, пов’язаних з GandCrab.

Це деякі з результатів операції GoldDust, в якій брали участь 17 країн, Європол, Євроюст та Інтерпол.

Країни-учасниці: Австралія, Бельгія, Канада, Франція, Німеччина, Нідерланди, Люксембург, Норвегія, Філіппіни, Польща, Румунія, Південна Корея, Швеція, Швейцарія, Кувейт, Велика Британія, США

Усі ці арешти відбуваються після спільних зусиль міжнародних правоохоронних органів щодо ідентифікації, прослуховування та захоплення частини інфраструктури, яку використовує сімейство програм-вимагачів Sodinokibi/REvil, яке розглядається як наступник GandCrab.

З 2019 року кілька великих міжнародних корпорацій зіткнулися з серйозними кібератаками, в результаті яких було розгорнуто програмне забезпечення-викуп Sodinokibi/REvil. Франція, Німеччина, Румунія, Європол та Євроюст посилили дії проти цього програмного забезпечення-вимагача, створивши спільну слідчу групу в травні 2021 року. Bitdefender у співпраці з правоохоронними органами розмістив інструмент на веб-сайті No More Ransom, який допомагає жертвам Sodinokibi /REvil відновлювати свої файли після атак здійснених до липня 2021 року. У жовтні в Європі було заарештовано одного підозрюваного. Крім того, у лютому, квітні та жовтні 2021 року влада Південної Кореї заарештувала ще трьох причетних до сімей програм-вимагачів GandCrab і Sodinokibi/REvil, жертвами яких було понад 1500 осіб. 4 листопада влада Кувейту заарештувала іншого.

З 2018 року Європол підтримує розслідування, яке веде Румунія, спрямоване на сімейство програм-вимагачів GandCrab і залучає правоохоронні органи низки країн, у тому числі Великобританії та Сполучених Штатів. Маючи понад мільйон жертв у всьому світі, GandCrab був одним із найплідніших у світі сімей програм-вимагачів.

Спільні зусилля правоохоронних органів призвели до випуску трьох інструментів розшифровки в рамках проекту No More Ransom, що дозволило зберегти понад 49 000 систем і наразі отримати понад 60 мільйонів євро неоплаченого викупу. Розслідування також розглядало філії GandCrab, деякі з яких, як вважають, перейшли до Sodinokibi/REvil. Операція GoldDust також була побудована на основі даних попереднього розслідування, спрямованого на GandCrab.

Підтримка з боку сектора кібербезпеки виявилася важливою для мінімізації шкоди від атак програм-вимагачів, які все ще є найбільшою загрозою кіберзлочинності. Багато партнерів уже надали інструменти розшифровки для кількох сімейств програм-вимагачів через веб-сайт No More Ransom. Bitdefender підтримав це розслідування, надавши ключову технічну інформацію протягом усього розслідування, а також інструменти розшифровки для програм-вимагачів, щоб допомогти жертвам відновити свої файли. KPN і McAfee Enterprises є іншими партнерами з приватного сектора, які також підтримали це розслідування, надавши технічний досвід правоохоронним органам.

Наразі No More Ransom має інструменти дешифрування для GandCrab (версії V1, V4 і V5 аж до V5.2) і Sodinokibi/REvil. Інструменти розшифровки Sodinokibi/REvil допомогли більш ніж 1400 компаніям розшифрувати свої мережі, заощадивши їм майже 475 мільйонів євро потенційних збитків. Інструменти, доступні для обох сімейств програм-вимагачів, дозволили здійснити понад 50 000 розшифровок, за які кіберзлочинці вимагали близько 520 мільйонів євро викупу.

Європол сприяв обміну інформацією, підтримував координацію операції GoldDust та надавав оперативну аналітичну підтримку, а також аналіз криптовалюти, шкідливого програмного забезпечення та криміналістичний аналіз. Європол розмістив експертів у кожному місці та активував віртуальний командний пункт для координації діяльності на місцях. Міжнародне співробітництво дозволило Європолу впорядкувати зусилля з пом’якшення потерпілих з іншими країнами ЄС. Ці дії не дозволили приватним компаніям стати жертвами програм-вимагачів Sodinokibi/REvil.

Операцію підтримала Об’єднана робоча група з боротьби з кіберзлочинністю (J-CAT) при Європолі. Ця постійна оперативна група складається з офіцерів кібер-зв’язку з різних країн, які працюють з одного офісу над розслідуванням кіберзлочинів.