Polícia Ucraniana desmantela grupo hacker por trás de ataques em 71 países

Em cooperação com a Europol e a Eurojust, agências policiais de sete países prenderam na Ucrânia os principais membros de um grupo de ransomware vinculado a ataques contra organizações em 71 países.

Os hackers paralisaram as operações de grandes corporações em ataques usando ransomware como LockerGoga, MegaCortex, HIVE e Dharma.

"Após permanecerem sem serem detectados nos sistemas comprometidos, às vezes por meses, os criminosos implantaram diferentes tipos de ransomware, como LockerGoga, MegaCortex, HIVE ou Dharma", informou a Eurojust.

"Uma nota de resgate foi apresentada à vítima pelos atacantes para que o resgate fosse pago em bitcoin, em troca das chaves de descriptografia."

As funções de cada membro dessa rede criminosa variavam de forma significativa: alguns membros eram responsáveis por invadir as redes das empresas, enquanto outros eram responsáveis por lavar os pagamentos de criptomoedas feitos pelas empresas vítimas dos ataques para descriptografar seus arquivos.

Os invasores obtiveram acesso às redes das empresas roubando credenciais de usuários em ataques de força bruta e SQL Injection, além de usar e-mails de phishing com anexos de arquivos maliciosos.

Uma vez dentro da rede, eles usavam ferramentas como malware TrickBot, Cobalt Strike e PowerShell Empire para realizar movimentação lateral e comprometer outros sistemas antes de executar os ransomwares.

A investigação revelou que este grupo ransomware criptografou mais de 250 servidores de grandes corporações, levando a perdas superiores a várias centenas de milhões de euros.

Em 21 de novembro, ataques coordenados em 30 locais em Kiev, Cherkasy, Rivne e Vinnytsia resultaram na prisão do cérebro de 32 anos do grupo e na captura de quatro cúmplices.

Mais de 20 investigadores da Noruega, França, Alemanha e Estados Unidos ajudaram a Polícia Nacional Ucraniana na investigação em Kiev. A Europol também criou um centro de comando virtual na Holanda para processar os dados apreendidos durante as investigações.

"Com o apoio da unidade especial do TOR, os policiais realizaram mais de 30 buscas autorizadas nas instalações e carros dos suspeitos na região de Kiev, bem como em Cherkasy, Regiões Rivne e Vinnytsia", disse o Departamento de Polícia Cibernética da Polícia Nacional da Ucrânia.

"Equipamentos de computador, carros, cartões bancários e SIM, registros de 'rascunho', bem como dezenas de mídias eletrônicas e outras evidências de atividades ilegais foram apreendidas. Em particular, quase 4 milhões de hryvnias(moeda ucraniana) e ativos de criptomoedas."

Esta operação segue de outras prisões realizadas em 2021 como parte da mesma ação policial quando a polícia deteve mais 12 suspeitos, parte do mesmo grupo de ransomware, ligada a ataques contra 1.800 vítimas em 71 países.

Como a investigação revelou há dois anos, os atacantes implantaram o LockerGoga, o MegaCortex e o ransomware Dharma. Eles também usaram malware como o Trickbot e ferramentas de pós-exploração, como o Cobalt Strike, em seus ataques.

Os esforços subsequentes na Europol e na Noruega concentraram-se na análise de dados sobre dispositivos apreendidos na Ucrânia em 2021 e ajudaram a identificar suspeitos adicionais presos há uma semana em Kiev.

A análise forense também permitiu que as autoridades suíças desenvolvessem ferramentas de descriptografia para o LockerGoga e MegaCortex em colaboração com os parceiros No More Ransom e Bitdefender.

Esta ação policial internacional foi iniciada pelas autoridades francesas em setembro de 2019 e se concentra na localização de hackers na Ucrânia e em levá-los à justiça com a ajuda de uma equipe conjunta de investigação (JIT) composta por Noruega, França, Reino Unido e Ucrânia, com apoio financeiro da Eurojust e colaborando com autoridades holandesas, alemãs, suíças e dos EUA.

A lista de agências de segurança participantes inclui:

• Noruega: Serviço Nacional de Investigação Criminal (Kripos)

• França: Ministério Público de Paris, Polícia Nacional (Police Nationale - OCLCTIC)

• Holanda: Polícia Nacional (Polícia), Ministério Público Nacional (Landelijk Parket, Ministério Openbaar)

• Ucrânia: Procurador-Geral da República, Polícia Nacional da Ucrânia

• Alemanha: Ministério Público de Stuttgart, Sede da Polícia de Reutlingen (Polizeipräsidium Reutlingen) CID Esslingen

• Suíça: Escritório Federal Suíço de Polícia (fedpol), Polizei Basel-Landschaft, Ministério Público do cantão de Zurique, Polícia Cantonal de Zurique

• Estados Unidos: Serviço Secreto dos Estados Unidos (USSS), Federal Bureau of Investigation (FBI)

• Europol: Centro Europeu de Cibercrime (EC3)

• Eurojust

"Em um esforço sem precedentes, autoridades policiais e judiciais de sete países uniram forças com a Europol e a Eurojust para desmantelar e apreender na Ucrânia figuras-chave por trás de operações significativas de ransomware que causam estragos em todo o mundo", disse a Europol.

"A operação vem em um momento crítico, como o país lida com os desafios da agressão militar Rússia contra o seu território."

Via - Bleeping Computer