Een gecoördineerde wetshandhavingsoperatie heeft geleid tot de arrestatie van sleutelfiguren in Oekraïne die zouden hebben deelgenomen aan verschillende ransomware-programma’s.
“Op 21 november werden 30 eigendommen doorzocht in de regio’s Kiev, Tsjerkasy, Rivne en Vinnytsia, resulterend in de arrestatie van de 32-jarige leider”, zei Europol vandaag in een verklaring. “Vier van de meest actieve handlangers van de leider werden ook gearresteerd.”
De ontwikkeling komt ruim twee jaar nadat twaalf mensen werden aangehouden in verband met dezelfde operatie. De individuen zijn voornamelijk gekoppeld aan LockerGoga-, MegaCortex- en Dharma-ransomwarefamilies.
Naar schatting hebben de verdachten zich sinds 2019 op meer dan 1.800 slachtoffers in 71 landen gericht. Ze zijn ook beschuldigd van het inzetten van de inmiddels ter ziele gegane Hive-ransomware tegen spraakmakende organisaties.
Van sommige van de mede-samenzweerders wordt aangenomen dat ze betrokken zijn bij het binnendringen van IT-netwerken door het organiseren van brute-force-aanvallen, SQL-injecties en het verzenden van phishing-e-mails met kwaadaardige bijlagen om gebruikersnamen en wachtwoorden te stelen.
Na een succesvol compromis verplaatsten de aanvallers zich heimelijk binnen de netwerken, terwijl ze extra malware en post-exploitatietools zoals TrickBot, Cobalt Strike en PowerShell Empire lieten vallen om uiteindelijk de bestandsversleutelende malware te laten vallen.
De andere leden van het cybercriminaliteitsnetwerk worden ervan verdacht verantwoordelijk te zijn voor het witwassen van cryptocurrency-betalingen die door slachtoffers zijn gedaan om hun bestanden te decoderen.
“Uit het onderzoek is gebleken dat de daders meer dan 250 servers van grote bedrijven hebben gecodeerd, wat heeft geleid tot verliezen van meer dan enkele honderden miljoenen euro’s”, aldus Europol.
Bij de gezamenlijke inspanning waren autoriteiten uit Frankrijk, Duitsland, Nederland, Noorwegen, Zwitserland, Oekraïne en de VS betrokken
De onthulling komt minder dan twee weken nadat Europol en Eurojust de ontmanteling hebben aangekondigd van een productieve voice phishing-bende door de Tsjechische en Oekraïense politie, die vermoedelijk miljoenen aan illegale winsten heeft gemaakt door slachtoffers te misleiden om geld van hun ‘gecompromitteerde’ bankrekeningen naar ‘veilige’ bankrekeningen over te maken. ‘bankrekeningen onder hun controle.
Het komt ook een maand nadat Europol onthulde dat wetshandhavings- en gerechtelijke autoriteiten uit elf landen de infrastructuur die verband houdt met de Ragnar Locker-ransomware hebben ontmanteld en een ‘belangrijk doelwit’ in Frankrijk hebben gearresteerd.
