Цього тижня правоохоронні та судові органи одинадцяти країн завдали серйозного удару по одній із найнебезпечніших груп програм-вимагачів за останні роки.
Ця акція, координована на міжнародному рівні Європолом та Євроюстом, була націлена на групу програм-вимагачів Ragnar Locker. Група відповідала за численні резонансні атаки на критично важливу інфраструктуру по всьому світу.
У період з 16 по 20 жовтня обшуки проводилися в Чехії, Іспанії та Латвії. «Ключова мішень» цього шкідливого штаму програм-вимагачів була заарештована в Парижі, Франція, 16 жовтня, а в його будинку в Чехії провели обшук. П'ятьох підозрюваних допитали в Іспанії та Латвії протягом наступних днів. Наприкінці тижня судового розгляду головний злочинець, підозрюваний у причетності до групи Рагнара, постав перед слідчими суддів Паризького суду.
Інфраструктура програми-вимагача також була вилучена в Нідерландах, Німеччині та Швеції, а пов'язаний з нею веб-сайт витоку даних у Tor був видалений у Швеції.
Ця міжнародна зачистка слідує за складним розслідуванням, проведеним Національною жандармерією Франції спільно з правоохоронними органами Чехії, Німеччини, Італії, Японії, Латвії, Нідерландів, Іспанії, Швеції, України та Сполучених Штатів Америки.
У рамках цього розслідування в Україні у жовтні 2021 року за підтримки Європолу було проведено перший раунд арештів.
Що це за шкідливе програмне забезпечення Ragnar Locker?
Ragnar Locker, що діє з грудня 2019 року, є назвою штаму програм-вимагачів і злочинного угруповання, яке його розробило та керувало.
Цей зловмисник зробив собі ім'я, атакуючи критично важливу інфраструктуру по всьому світу, нещодавно заявивши про напади на португальського національного перевізника та лікарню в Ізраїлі.
Цей різновид програм-вимагачів націлений на пристрої під керуванням операційних систем Microsoft Windows і зазвичай використовує відкриті служби, як-от протокол віддаленого робочого столу, щоб отримати доступ до системи.
Відомо, що група Ragnar Locker використовувала тактику подвійного вимагання, вимагаючи грабіжницьких платежів за інструменти дешифрування, а також за нерозголошення викрадених конфіденційних даних.
Рівень загрози Ragnar Locker вважався високим, враховуючи схильність угруповання атакувати критично важливу інфраструктуру.
Не викликайте копів
Ragnar Locker прямо застеріг своїх жертв від звернення до правоохоронних органів, погрожуючи опублікувати всі вкрадені дані постраждалих організацій, які шукають допомоги, на своєму сайті витоку «Стіна ганьби» в даркнеті.
«Усе, що роблять ФБР/переговорники/слідчі щодо програм-вимагачів, — це заплутують ситуацію, тому ми збираємося опублікувати ваші матеріали, якщо ви покличете на допомогу», — оголосила банда програм-вимагачів Ragnar Locker на своєму прихованому веб-сайті.
Вони навіть не підозрювали, що правоохоронні органи наближаються до них.
Ще у жовтні 2021 року слідчі французької жандармерії та ФБР США разом із фахівцями Європолу та Інтерполу були направлені в Україну для проведення слідчих дій з Національною поліцією України, що призвело до арешту двох відомих операторів Ragnar Locker.
З тих пір розслідування тривало, що призвело до арештів і підривних акцій цього тижня. Європейський центр боротьби з кіберзлочинністю Європолу підтримував розслідування з самого початку, об'єднавши всі залучені країни для вироблення спільної стратегії.
Фахівці з кіберзлочинності організували 15 координаційних зустрічей і два тижневі спринти, щоб підготуватися до останніх дій, а також надали аналітичну, шкідливого ПЗ, криміналістичну та криптотехнічну підтримку. Цього тижня Європол створив віртуальний командний пункт для забезпечення безперебійної координації між усіма залученими органами влади.
Підтримка Євроюсту:
Справу відкрив Євроюст у травні 2021 року за запитом французької влади. Агентство провело п'ять координаційних зустрічей для сприяння судовому співробітництву між органами влади країн, які підтримали розслідування. Під час тижня дій Євроюст створив координаційний центр, щоб забезпечити швидку співпрацю між залученими судовими органами.
Керівник Європейського центру боротьби з кіберзлочинністю Європолу Едвардас Шилеріс сказав:
Це розслідування показує, що знову ж таки міжнародне співробітництво є ключем до знищення груп програм-вимагачів. Профілактика та безпека покращуються, однак оператори програм-вимагачів продовжують впроваджувати інновації та знаходити нових жертв. Європол відіграватиме свою роль у підтримці держав-членів ЄС, коли вони націлені на ці групи, і кожен випадок допомагає нам покращити наші методи розслідування та наше розуміння цих груп. Я сподіваюся, що цей раунд арештів надішле сильний сигнал операторам програм-вимагачів, які думають, що можуть продовжувати свої атаки без наслідків.
Тісну співпрацю між залученими правоохоронними органами також підтримувала Об'єднана оперативна група Європолу з протидії кіберзлочинності (J-CAT), до складу якої входять офіцери зв'язку з кіберзлочинністю, відряджені до штаб-квартири Європолу.
У розслідуванні брали участь:
- Чехія: Національне агентство з боротьби з тероризмом, екстремізмом та кіберзлочинністю поліції Чеської Республіки
- Франція: Національний центр кіберзлочинності французької жандармерії (Gendarmerie Nationale – C3N)
- Німеччина: Державне управління кримінальної поліції Саксен (Landeskriminalamt Sachsen), Федеральне управління кримінальної поліції (Bundeskriminalamt)
- Італія: Державна поліція, Поліція пошти та зв'язку
- Японія: Національне поліцейське агентство (NPA)
- Латвія: Державна поліція
- Нідерланди: Поліція Східних Нідерландів (Politie Oost-Nederland)
- Іспанія: Цивільна гвардія (Guardia Civil)
- Швеція: Шведський центр боротьби з кіберзлочинністю (SC3)
- Україна: Департамент кіберполіції Національної поліції України
- США: Польове представництво Федерального бюро розслідувань в Атланті
Розслідування проводилося в рамках Європейської мультидисциплінарної платформи проти кримінальних загроз (EMPACT).
Європейська мультидисциплінарна платформа проти кримінальних загроз (EMPACT) спрямована на боротьбу з найважливішими загрозами, пов'язаними з організованою та серйозною міжнародною злочинністю, що впливає на ЄС. EMPACT зміцнює розвідувальну, стратегічну та оперативну співпрацю між національними органами влади, інституціями та органами ЄС, а також міжнародними партнерами. EMPACT працює за чотирирічними циклами, зосереджуючись на спільних пріоритетах ЄС у боротьбі зі злочинністю.
За інформацією Європолу