Europol ve Eurojust ile işbirliği içinde, yedi ülkeden kolluk kuvvetleri Ukrayna’da 71 ülkedeki kuruluşlara yönelik saldırılarla bağlantılı bir fidye yazılımı grubunun çekirdek üyelerini tutukladı.
Siber suçlular, LockerGoga, MegaCortex, HIVE ve Dharma gibi fidye yazılımlarını kullanan saldırılarda büyük şirketlerin operasyonlarını felce uğrattı.
Bu suç ağı içindeki roller önemli ölçüde farklılık gösteriyordu: bazı üyeler BT ağlarını ihlal ederken, diğerlerinin kurbanların dosyalarının şifresini çözmek için yaptıkları kripto para ödemelerinin aklanmasına yardım ettiği bildirildi.
Saldırganlar, kaba kuvvet ve SQL enjeksiyon saldırılarıyla kullanıcı kimlik bilgilerini çalarak ve kötü amaçlı ekler içeren kimlik avı e-postaları kullanarak hedeflerinin ağlarına erişim sağladı.
İçeri girdikten sonra TrickBot kötü amaçlı yazılımı, Cobalt Strike ve PowerShell Empire gibi araçları kullanarak daha önce dağıtılan fidye yazılımı yüklerini tetiklemeden önce yanal hareket edip diğer sistemleri tehlikeye attılar.
Soruşturma, fidye yazılımına bağlı bu organize grubun, büyük şirketlerin 250’den fazla sunucusunu şifreleyerek birkaç yüz milyon avroyu aşan kayıplara yol açtığını ortaya çıkardı.
Ukrayna’da fidye yazılımı çetesi tutuklandı
21 Kasım’da Kiev, Çerkassi, Rivne ve Vinnytsia’da 30 noktaya düzenlenen koordineli baskınlar, grubun 32 yaşındaki planlayıcısının tutuklanması ve dört suç ortağının yakalanmasıyla sonuçlandı.
Norveç, Fransa, Almanya ve ABD’den 20’den fazla müfettiş, Kiev’deki soruşturmada Ukrayna Ulusal Polisine yardım etti. Europol ayrıca ev aramaları sırasında ele geçirilen verileri işlemek için Hollanda’da sanal bir komuta merkezi kurdu.
Bu operasyon, polisin 71 ülkede 1.800 kurbana yönelik fidye yazılımı saldırılarıyla bağlantılı 12 kişiyi gözaltına aldığı aynı kolluk kuvvetleri eylemi kapsamında 2021’de gerçekleşen diğer tutuklamaların ardından geldi.
Soruşturmanın iki yıl önce ortaya çıkardığı gibi, saldırganlar LockerGoga, MegaCortex ve Dharma fidye yazılımını kullandı. Ayrıca saldırılarında Trickbot gibi kötü amaçlı yazılımlar ve Cobalt Strike gibi sömürü sonrası araçları da kullandılar.
Europol ve Norveç’teki sonraki çalışmalar, 2021’de Ukrayna’da ele geçirilen cihazlara ilişkin verileri analiz etmeye odaklandı ve bir hafta önce Kiev’de tutuklanan diğer şüphelilerin tespit edilmesine yardımcı oldu.
Fransız yetkililer tarafından Eylül 2019’da başlatılan bu uluslararası polis operasyonu, Ukrayna’daki tehdit aktörlerinin yerini tespit etmeye ve Norveç, Fransa, Birleşik Krallık ve Ukrayna’dan oluşan ortak bir soruşturma ekibinin (JIT) yardımıyla mali destek sağlayarak onları adalete teslim etmeye odaklanıyor. Eurojust’tan destek almak ve Hollandalı, Alman, İsviçreli ve ABD’li yetkililerle işbirliği yapmak.
Katılımcı kolluk kuvvetlerinin listesi şunları içerir:
- Norveç: Ulusal Kriminal Soruşturma Servisi (Kripos)
- Fransa: Paris Savcılığı, Ulusal Polis (Polis Nationale – OCLCTIC)
- Hollanda: Ulusal Polis (Polis), Ulusal Savcılık Hizmeti (Ulusal Savcılık Hizmeti)
- Ukrayna: Başsavcılık, Ukrayna Ulusal Polisi
- Almanya: Stuttgart Başsavcılığı, Emniyet Müdürlüğü Reutlingen (Reutlingen Emniyet Müdürlüğü) CID Esslingen
- İsviçre: İsviçre Federal Polis Bürosu (fedpol), Polizei Basel-Landschaft, Zürih Kantonu Savcılığı, Zürih Kanton Polisi
- Amerika Birleşik Devletleri: Amerika Birleşik Devletleri Gizli Servisi (USSS), Federal Soruşturma Bürosu (FBI)
- Europol: Avrupa Siber Suç Merkezi (EC3)
- Eurojust