Em cooperação com a Europol e a Eurojust, as autoridades policiais de sete países prenderam na Ucrânia os principais membros de um grupo de ransomware ligado a ataques contra organizações em 71 países. Os criminosos paralisaram as operações de grandes empresas em ataques que utilizaram ransomware como o LockerGoga, MegaCortex, HIVE e Dharma.
Policia acaba com grupo de ransomware que atacou em 71 países
As funções dentro desta rede criminosa variavam significativamente. Assim alguns elementos violavam redes de TI. Já outros alegadamente ajudavam a lavar os pagamentos em criptomoeda feitos pelas vítimas para desencriptar os seus ficheiros.
Os atacantes obtiveram acesso às redes dos seus alvos roubando credenciais de utilizador em ataques de força bruta e de injeção de SQL. Entretanto também foram utilizados e-mails de phishing com anexos maliciosos.
Uma vez lá dentro, utilizaram ferramentas como o malware TrickBot, o Cobalt Strike e o PowerShell Empire. Tudo para se deslocarem lateralmente e comprometerem outros sistemas. Isto antes de despoletarem cargas úteis de ransomware previamente implementadas.
A investigação revelou que este grupo organizado de afiliados de ransomware encriptou mais de 250 servidores de grandes empresas. Assim causou perdas superiores a várias centenas de milhões de euros.
Detenções de gangs de ransomware na Ucrânia
No dia 21 de novembro, rusgas coordenadas em 30 locais em Kiev, Cherkasy, Rivne e Vinnytsia resultaram na detenção do cérebro do grupo, de 32 anos, e na captura de quatro cúmplices.
Mais de 20 investigadores da Noruega, França, Alemanha e Estados Unidos ajudaram a polícia nacional ucraniana na investigação em Kiev. A Europol também criou um centro de comando virtual nos Países Baixos para processar os dados apreendidos durante as buscas domiciliárias.
Esta operação segue-se a outras detenções em 2021, no âmbito da mesma ação policial, quando a polícia deteve 12 indivíduos ligados a ataques de ransomware contra 1800 vítimas em 71 países.
Tal como a investigação revelou há dois anos, os atacantes utilizaram o ransomware LockerGoga, MegaCortex e Dharma. Também utilizaram malware como o Trickbot e ferramentas de pós-exploração como o Cobalt Strike nos seus ataques como relata o site Bleeping Computer.
Assim os esforços subsequentes da Europol e da Noruega centraram-se na análise de dados sobre dispositivos apreendidos na Ucrânia em 2021 e ajudaram a identificar outros suspeitos detidos há uma semana em Kiev.
Entretanto esta ação policial internacional foi iniciada pelas autoridades francesas em setembro de 2019 e centra-se na localização de agentes de ameaças na Ucrânia e na sua entrega à justiça com a ajuda de uma equipa de investigação conjunta (JIT) composta pela Noruega, França, Reino Unido e Ucrânia, com o apoio financeiro da Eurojust e a colaboração das autoridades holandesas, alemãs, suíças e norte-americanas.
