Europol, Almanya ve Ukrayna’daki kolluk kuvvetlerinin DoppelPaymer fidye yazılımı grubunun çekirdek üyeleri olduğuna inanılan iki kişiyi hedef aldığını duyurdu.
Operasyon, Şubat ayında iki ülkede birden fazla yere baskın yapılmasından ibaretti ve Europol, FBI ve Hollanda Polisinin de dahil olduğu koordineli bir çabanın sonucuydu.
Europol bugün yayınlanan bir basın açıklamasında, “Alman memurları, DoppelPaymer fidye yazılımı grubunda önemli bir rol oynadığına inanılan bir Alman vatandaşının evine baskın düzenledi.”
Ajans, “Ukrayna’nın” Rus işgali nedeniyle “mevcut son derece zor güvenlik durumuna rağmen” ülkedeki polis memurlarının “aynı zamanda çekirdek DoppelPaymer grubunun bir üyesi olduğuna inanılan bir Ukrayna uyruklu kişiyi sorguya çektiğini” belirtiyor.
Alman subaylar, “DoppelPaymer fidye yazılımı grubunda önemli bir rol oynadığına” inanılan Alman vatandaşının evi olan bir yere baskın düzenledi. Ukrayna’da polis iki yerde arama yaptı – Kiev ve Kharkiv’de.
Elektronik ekipman ele geçirildi ve müfettişler ve BT uzmanları bunları adli tıp kanıtı olarak inceliyor.
Operasyonel bilgileri Europol’ün veritabanlarından gelen bilgilerle çapraz kontrol etmek ve analiz, kripto izleme ve adli tıp çalışmalarına yardımcı olmak için Europol’den üç uzman da Almanya’ya gönderildi.
Europol, “Bu verilerin ve diğer ilgili vakaların analizinin daha fazla soruşturma faaliyetini tetiklemesi bekleniyor” diyor. Bu çalışma, fidye yazılımı grubunun diğer üyelerini ve ayrıca kötü amaçlı yazılımı dağıtan ve dünya çapında kurbanları fidye alan bağlı kuruluşları ortaya çıkarabilir.
DoppelPayment fidye yazılımı
DoppelPaymer fidye yazılımı operasyonu, 2019 yılında kritik altyapı kuruluşlarını ve büyük şirketleri hedef alarak ortaya çıktı.
2020 yılında tehdit aktörü, kurban ağlarından veri çalmaya başladı ve çalınan dosyaları Tor ağındaki bir sızıntı sitesinde yayınlamakla tehdit ederek çifte gasp yöntemini benimsedi.
Europol, Mayıs 2019 ile Mart 2021 arasında yalnızca ABD’de bulunan mağdurların DoppelPaymer’e en az 42,4 milyon dolar ödediğini tahmin ediyor. Alman yetkililer ayrıca şirketlerin fidye yazılımı çetesi tarafından hedef alındığı 37 vakayı doğruladı.
DoppelPaymer kötü amaçlı yazılımı, BitPaymer fidye yazılımına dayalıdır. Dosya şifreleme tehdidi, kötü şöhretli Emotet botnet tarafından gönderilen Dridex kötü amaçlı yazılımı aracılığıyla iletildi.
Bulaşma vektörü, kötü amaçlı VBS veya JavaScript kodu içeren belgeler içeren hedef odaklı kimlik avı e-postalarıydı. Tehdit aktörü, kurban sistemlerde çalışan güvenlikle ilgili ürünleri sonlandırmak için meşru bir araç olan Process Hacker’ı da kullandı.
Temmuz 2021’de operasyonun adı “Keder” (Pay or Grief) olarak değiştirilse de, saldırılar daha seyrek hale geldi.
DoppelPaymer’ın yüksek profilli kurbanları arasında Kia Motors America, Pennsylvania’daki Delaware County (500.000 $ fidye ödedi), dizüstü bilgisayar üreticisi Compal, Newcastle Üniversitesi (dosyalar sızdırıldı), elektronik devi Foxconn ve Hollanda Araştırma Konseyi (NWO) yer alıyor.
DoppelPaymer fidye yazılımının operatörleri, kurbanları fidyeyi ödemeye zorlamak için, kurbanların kilitli verileri kurtarmak için daha iyi bir fiyat elde etmek amacıyla profesyonel arabulucularla sözleşme yapması halinde şifre çözme anahtarlarını silmekle tehdit etti.
Ancak saldırı sıklığı, çetenin artık sızıntı bölgesini koruyamadığı noktaya kadar düştü.