Organi za provođenje zakona iz Njemačke i Ukrajine ciljali su na osumnjičene ključne članove kibernetičke kriminalne grupe koja stoji iza velikih napada koristeći DoppelPaymer ransomware.
Operacija, koja je održana 28. februara 2023. godine, izvedena je uz podršku holandske nacionalne policije (Politie) i američkog Federalnog istražnog biroa (FBI), navodi Europol.
To je obuhvatilo raciju u kući jednog njemačkog državljanina, kao i pretrese u ukrajinskim gradovima Kijevu i Harkovu. Saslušan je i državljanin Ukrajine. Vjeruje se da su obe osobe zauzele ključne pozicije u grupi DoppelPaymer.
“Forenzička analiza zaplijenjene opreme je još uvijek u toku kako bi se utvrdila tačna uloga osumnjičenih i njihove veze sa drugim saučesnicima” dalje je objavila agencija.
S tim u vezi, njemačke vlasti izdale su naloge za hapšenje trojice navodnih operativaca DoppelPaymera, Igora Olegoviča Turaševa, Igora Garšina (poznatog kao Igor Garschin) i Irine Zemlianikine za koje se kaže da su „mozak” kriminalne grupe.
Turashev također ima mjesto na FBI-ovoj listi najtraženijih bjegunaca od decembra 2019. godine u vezi sa zavjerom Dridex malicioznog softvera, što je dovelo do toga da američka vlada uvede sankcije protiv Evil Corp-a u pokušaju da “ometa masovne phishing kampanje” koje je organizovala grupa.
DoppelPaymer, prema firmi za kibernetičku bezbjednost CrowdStrike, pojavio se u aprilu 2019. godine i dijeli većinu svog koda s drugom vrstom ransomware-a poznatim kao BitPaymer, koji se pripisuje plodnoj grupi sa sjedištem u Rusiji pod nazivom Indrik Spider (Evil Corp).
Maliciozni softver za šifrovanje datoteka takođe pokazuje taktička preklapanja sa Dridex malverom, bankarskim trojancem fokusiranim na Windows koji je proširio svoje karakteristike tako da uključuje krađu informacija i botnet mogućnosti.
“Međutim, postoji niz razlika između DoppelPaymer-a i BitPaymer-a, što može značiti da su se jedan ili više članova Indrik Spider-a odvojili od grupe i razdvojili izvorni kod Dridex-a i BitPaymer-a kako bi pokrenuli vlastitu operaciju ransomware-a Big Game Hunting“ rekao je CrowdStrike.
Indrik Spider je, sa svoje strane, formiran 2014. godine od strane bivših podružnica kriminalne mreže GameOver Zeus, peer-to-peer (P2P) botneta i nasljednika bankovnog trojanca Zeus.
Međutim, naknadna pojačana kontrola njenih operacija od strane organa za provođenje zakona navela je grupu da promijeni taktiku, uvodeći ransomware kao sredstvo za iznuđivanje žrtava i stvaranje nezakonite zarade.
“DoppelPaymer napadi su omogućeni plodnim malicioznim softverom Emotet” rekao je Europol. “Ransomware je distribuiran kroz različite kanale, uključujući phishing i neželjene email-ove s priloženim dokumentima koji sadrže maliciozni kod, bilo JavaScript ili VBScript.”
Procjenjuje se da su hakeri koji stoje iza kriminalne šeme ciljali najmanje 37 kompanija u Njemačkoj, a žrtve u SAD-u su platile ne manje od 40 miliona eura (42,5 miliona dolara) između maja 2019. i marta 2021. godine.
U saopštenju objavljenom za The Hacker News, Europol je rekao da su “pojedinci ispitani, dok je elektronska oprema zaplijenjena i trenutno se analizira”. Takođe je potvrđeno da su “kazneni postupci u toku”.
Posljednji udarac takođe dolazi usred povećanja brzine provođenja zakona i vladinih akcija protiv kibernetičkih kriminalnih bandi koje napreduju u ekosistemu ransomware-a. Krajem januara 2023. godine koordinirana akcija uklonila je infrastrukturu povezanu s Hive ransomware-om.
Izvor: The Hacker News
