Február 28-án a német tartományi rendőrség és az ukrán nemzeti rendőrség az Europol, a holland rendőrség és az Egyesült Államok Szövetségi Nyomozó Irodája támogatásával a DoppelPaymer zsarolóprogrammal végrehajtott nagyszabású kibertámadásokért felelős bűnözői csoport feltételezett fő tagjai ellen lépett akcióba – számolt be az Europol.

Ez a zsarolóprogram 2019-ben jelent meg, amikor a kiberbűnözők elkezdték használni szervezetek, kritikus infrastruktúrák és iparágak elleni támadások indítására. A DoppelPaymer a BitPaymer zsarolóprogramon alapul, és a Dridex malware-család része, a DoppelPaymer egy olyan egyedi eszközt használt, amely képes a védelmi mechanizmusok veszélyeztetésére. A DoppelPaymer-támadásokat az elterjedt EMOTET malware tette lehetővé.

A zsarolóvírust különböző csatornákon keresztül terjesztették, többek között adathalász- és spam e-maileken keresztül, amelyekhez rosszindulatú kódot - JavaScriptet vagy VBScriptet - tartalmazó dokumentumokat csatoltak. A zsarolóvírus mögött álló bűnözői csoport kettős zsarolási sémára támaszkodott, egy, a bűnözői szereplők által 2020 elején indított kiszivárogtató weboldal segítségével.

A német hatóságok 37 vállalatról tudnak, amelyeket a zsarolóvírus csoport érintett. Az egyik legsúlyosabb támadást a düsseldorfi egyetemi kórház ellen követték el. Az Egyesült Államokban az áldozatok 2019 májusa és 2021 márciusa között legalább 40 millió euróval lettek megkárosítva.

Egyidejű német és ukrán razzia

Az egyidejű akciók során német rendőrök razziát tartottak egy német állampolgár házában, aki feltehetően jelentős szerepet játszott a DoppelPaymer zsarolóvíruscsoportban. A nyomozók jelenleg elemzik a lefoglalt eszközöket, hogy meghatározzák a gyanúsított pontos szerepét a zsarolóvíruscsoport struktúrájában.

Ezzel azonos időpontban az ukrán rendőrök kihallgattak egy ukrán állampolgárt, aki feltehetően szintén tagja a DoppelPaymer-csoportnak. Az ukrán rendőrök két helyszínen tartottak házkutatást, egy kijevi és egy harkivi helyszínen. A házkutatások során elektronikus berendezéseket foglaltak le, amelyek jelenleg törvényszéki vizsgálat alatt állnak. 

Az Europol a helyszínen felgyorsítja a lefoglalt adatok törvényszéki elemzését.

Az akciónapokon három szakértőt küldtek Németországba, hogy az operatív információkat összevessék az Europol adatbázisával, valamint további operatív elemzést, kriptokövetést és törvényszéki támogatást nyújtsanak. Ezen adatok és más kapcsolódó esetek elemzése várhatóan további nyomozati tevékenységeket indít majd el.

Az Európai Rendőrségi Hivatal egy virtuális parancsnokságot is létrehozott, hogy valós időben összekapcsolja az Europol, Németország, Ukrajna, Hollandia és az Egyesült Államok nyomozóit és szakértőit, és összehangolja a házkutatások során végzett tevékenységeket.

Az Europol közös számítástechnikai bűnözési munkacsoportja (J-CAT) szintén támogatta a műveletet. Ez az állandó operatív csoport különböző országok kiberbűnözéssel foglalkozó összekötő tisztviselőiből áll, akik nagy horderejű kiberbűnözéssel kapcsolatos nyomozásokon dolgoznak. 

Az Europol a rendelkezésre álló adatokat összekapcsolta az EU-n belüli és kívüli különböző büntetőügyekkel, valamint kriptovaluta, rosszindulatú szoftverek, dekódolás és törvényszéki elemzésekkel támogatta a nyomozást.