Ransomware: acusados de ataques em 71 países são presos na Ucrânia
Autoridades de sete países prenderam cinco suspeitos. Investigadores acreditam que grupo invadiu mais de 250 servidores.
Policiais de sete países, em cooperação com a Europol, prenderam cinco indivíduos suspeitos de serem membros de um grupo de ransomware ligado a ataques contra organizações de 71 países. As prisões aconteceram na semana passada, após buscas em mais de 30 propriedades na Ucrânia.
O líder da gangue, de 32 anos, e quatro de seus cúmplices “mais ativos” foram detidos. As autoridades não revelaram seus nomes.
Mais de 20 investigadores de Noruega, França, Alemanha e EUA colaboraram com a polícia ucraniana na ação. A Europol, agência europeia de aplicação da lei, criou um centro de comando virtual na Holanda, para processar os dados coletados durante as buscas.
Além das prisões, os agentes apreenderam computadores, carros, cartões de banco, chips de telefone e dezenas de itens de mídia eletrônica, além de outras evidências. Também foram confiscadas criptomoedas e US$ 110 mil em moeda ucraniana.
Quadrilha usava técnicas variadas
Segundo a investigação, os criminosos paralisaram as operações de grandes empresas, usando ransomware como LockerGoga, MegaCortex, Hive e Dharma. “Após permanecerem nos sistemas comprometidos sem ser detectados, às vezes por meses, os criminosos instalavam diferentes tipos de ransomware”, diz a Eurojust, agência da União Europeia para questões judiciais.
“Um pedido de resgate, então, era apresentado às vítimas, pedindo o pagamento em bitcoins em troca das chaves de criptografia”, completa o órgão.
Os membros da quadrilha tinham diferentes funções: enquanto uns invadiam redes, outros lavavam o dinheiro obtido com os resgates. As invasões eram feitas por meio de técnicas como força bruta, ataques de injeção SQL e e-mails de phishing com anexos maliciosos.
Após entrar nos sistemas, eles usavam ferramentas como TrickBot, Cobalt Strike e PowerShell Empire para se mover lateralmente, infectando outros computadores da mesma rede.
Gangue invadiu mais de 250 servidores
Os investigadores acreditam que o grupo preso foi responsável por criptografar mais de 250 servidores de grandes empresas, extorquindo “centenas de milhões de euros” das vítimas.
Além das prisões, a investigação da Europol possibilitou que autoridades da Suíça criassem uma ferramenta para quebrar a criptografia usada pelos ransomwares LockerGoga e MegaCortex. Assim, as vítimas podem recuperar acesso a seus arquivos sem perder dinheiro.
Com informações: TechCrunch, Bleeping Computer
