Iranski državljanin priznao je svoju ulogu u orkestriranju jedne od najštetnijih kampanja ransomwarea protiv američke infrastrukture , što označava značajnu pobjedu u međunarodnom procesuiranju cyber kriminala.
Sina Gholinejad (37) priznala je krivnju u utorak na saveznom sudu u Sjevernoj Karolini po optužbama koje proizlaze iz sofisticirane cyber operacije koja je prouzrokovala gubitke od desetina miliona dolara u više sektora.
Operater ransomwarea RobbinHood priznao je krivicu
Gholinejadovo priznanje krivice po optužbama za kompjutersku prevaru i zloupotrebu te zavjeru za činjenje žičane prevare predstavlja napredak u istrazi sheme ransomwarea RobbinHood koja je terorisala američke gradove i organizacije od januara 2019. do marta 2024. godine.
Operacija je ciljala kritičnu infrastrukturu, uključujući opštinske vlasti, zdravstvene organizacije i privatne korporacije, a grad Baltimore je pretrpio najrazorniji udarac.
Ministarstvo pravosuđa saopštilo je da je samo napad u Baltimoreu rezultirao štetom od preko 19 miliona dolara, paralizirajući osnovne gradske usluge mjesecima.
Građani nisu mogli pristupiti online sistemima za obradu poreza na imovinu, računa za vodu i kazni za parkiranje, dok su gradski sistemi e-pošte i govorne pošte bili potpuno paralizirani.
Napadači su tražili 13 Bitcoina, vrijednih otprilike 76.000 dolara u to vrijeme, kako bi vratili pristup šifrovanim sistemima.
Osim Baltimorea, program je bio usmjeren na brojne druge opštine, uključujući Greenville u Sjevernoj Karolini, Gresham u Oregonu i Yonkers u New Yorku, demonstrirajući širok opseg kampanje i razoran uticaj na američke zajednice.
Ransomware RobbinHood se istakao neviđenom tehničkom sofisticiranošću, koristeći taktiku “donesi svoju ranjivost” koja je iskorištavala legitimni softver za zaobilaženje sigurnosnih zaštita.
Maliciozni softver je koristio ranjivi Gigabyte drajver matične ploče (GDRV.SYS) s poznatim sigurnosnim propustom praćenim kao CVE-2018-19320 kako bi dobio pristup na nivou kernela zaraženih sistema.
Ova tehnika je omogućila napadačima da privremeno onemoguće provjeru potpisa upravljačkih programa za Windows modifikovanjem memorije kernela, što im je omogućilo da instaliraju vlastiti maliciozni nepotpisani upravljački program (RBNL.SYS).
Sekundarni drajver je sistematski eliminisao procese antivirusnog i sigurnosnog softvera, stvarajući jasan put za šifrovanje datoteka bez smetnji.
Proces šifriranja
Ransomware je koristio dvoslojnu enkripciju koristeći AES za pojedinačne datoteke i RSA-4096 za enkripciju AES ključeva, što je dešifrovanje učinilo praktično nemogućim bez privatnih ključeva napadača.
Prije početka šifrovanja, maliciozni softver bi isključio sve mrežne resurse koristeći naredbu cmd.exe /c net use * /DELETE /Y, osiguravajući da je svaki sistem pojedinačno ciljano napadnut.
Gholinejadovo hapšenje na međunarodnom aerodromu Raleigh-Durham 10. januara 2025. godine kulminiralo je višegodišnjom međunarodnom istragom u koju je bilo uključeno više saveznih agencija.
Slučaj pokazuje globalni doseg modernog cyber kriminala, s zavjerenicima koji upravljaju sofisticiranom infrastrukturom, uključujući virtualne privatne mreže, usluge miješanja kriptovaluta i tehnike “chain-hoppinga” za pranje Bitcoin plaćanja.
Tužilaštvo se uveliko oslanjalo na međunarodnu saradnju, a bugarske vlasti su pružile ključnu pomoć u prikupljanju dokaza.
Terenska kancelarija FBI-a u Charlotteu vodila je istragu uz podršku Terenske kancelarije u Baltimoreu i Odjeljenja za nacionalnu sigurnost i kibernetičku sigurnost Ministarstva pravde.
Suočen s maksimalnom kaznom od 30 godina zatvora, Gholinejadov slučaj šalje jasnu poruku da geografska udaljenost ne pruža utočište za sajber kriminalce koji ciljaju američku infrastrukturu.
Ova osuda predstavlja značajnu prekretnicu u borbi protiv ransomware operacija koje i dalje prijete kritičnim uslugama širom zemlje.
Izvor: CyberSecurityNews
