Gruparea de hackeri din care au făcut parte și doi români, asociată cu GRU: 'Au o loialitate față de Rusia și nu se tem de SUA'

GRU din Rusia pare că ar avea „pupile” inclusiv în România. Doi bărbaţi din Constanţa au fost arestaţi preventiv pentru 30 de zile, ei fiind acuzaţi că au aderat la două grupări de hackeri - Sodinokibi/Revil şi GandCrab, care au lansat atacuri de tip ransomware asupra unor entităţi din toată lumea - companii, municipalităţi, spitale, forţe de ordine, servicii de urgenţă, unităţi şcolare, colegii şi universităţi, câştigurile ilicite fiind estimate la miliarde de dolari,

Gruparea REvil a fost asociată de mediile Occidentale cu GRU din Rusia. Alături de cei doi români au mai fost arestați din grupare și alte persoane. Inclusiv Departamentul de Justiție al SUA a anunțat acuzații formale împotriva a doi cetățeni străini (unul din Ucraina, unul din Rusia) pentru rolul lor în desfășurarea atacurilor ransomware REvil împotriva organizațiilor din SUA. Pe baza acuzațiilor, cei doi indivizi au accesat rețelele victimelor vizate și au folosit ransomware-ul Sodinokibi/REvil pentru a cripta datele sensibile și a cere răscumpărare.

REvil și alte grupuri de ransomware, cum ar fi DarkSide, au fost legate de Rusia, fie operând în numele unității de informații militare GRU, fie efectuând atacuri cu permisiunea tacită a Kremlinului. Aceste legături au provocat administrația Joe Biden, care a încercat să-l convingă pe președintele rus Vladimir Putin să adopte o atitudine mai dură împotriva atacatorilor de ransomware. Pentru un moment grupul de hackeri a intrat într-un con de umbră ca la un semn, dar doar după discuția lui Joe Biden cu Vladimir Putin.

„Grupul de bază care conduce operațiunile REvil rezidă în Rusia”, a spus Jon DiMaggio, strateg șef de securitate la Analyst1 (n. r.: companie care oferă organizațiilor o metodă mai eficientă de colectare și îmbogățire a informațiilor despre atacuri cibernetice).

„Comentariile lor pe forumuri și declarațiile din interviurile presei sugerează că au o loialitate față de Rusia și nu se tem de SUA. Indivizii arestați se aflau în afara Rusiei. Cu toate acestea, diverși afiliați locuiesc în Rusia, Ucraina și alte țări din estul Europei și susțin operațiunile REvil. "

Rolul românilor în schemă
Potrivit unui comunicat al DIICOT, începând cu anul 2018, cei doi inculpaţi români au aderat la mai multe grupări internaţionale de crimă organizată, constituite online, ce funcţionau după modelul Ransomware as a Service (RaaS).

Ransomware as a Service (RaaS) este un model de afaceri utilizat de creatorii de aplicaţii maliţioase de tip ransomware, în care aceştia închiriază infrastructura informatică cu scopul de a lansa atacuri şi de a cripta sisteme informatice, iar, ulterior, de a obţine câştiguri ilicte de la victimele ce plătesc pentru răscumpărarea datelor criptate.

Modelul RaaS oferă tuturor, chiar şi persoanelor fără prea multe cunoştinţe tehnice, capacitatea de a se afilia serviciilor infracţionale şi de a lansa atacuri ransomware doar prin înscrierea la astfel de servicii.

Cercetările s-au efectuat în cauză pentru documentarea activităţii infracţionale a membrilor, de pe teritoriul României, ce au făcut parte din grupările cunoscute în mediul online cu denumirile GandCrab şi REvil/Sodinokibi.

Având în vedere câştigurile ilicite ale membrilor acestor grupări, estimate la ordinul miliardelor de dolari, cele două "familii de ransomware" GandCrab şi REvil/Sodinokibi au fost două dintre cele mai prolifice de acest gen şi au afectat numeroase victime din toată lumea atât din sectorul public cât şi privat, printre care companii, municipalităţi, spitale, forţe de ordine, servicii de urgenţă, unităţi şcolare, colegii şi universităţi.

Atacurile au vizat şi sectorul sănătăţii în timpul pandemiei COVID-19, profitând de criza mondială pentru a extorca victimele.

Ambele "familii de ransomware" GandCrab şi REvil/Sodinokibi au funcţionat după modelul Ransomware-as-a-Service (RaaS), cu "dezvoltatori" şi "afiliaţi".

Dezvoltatorii erau persoanele responsabile pentru crearea şi actualizarea ransomware-ului, precum şi pentru punerea acestuia la dispoziţia afiliaţilor.

Afiliaţii erau persoanele responsabile pentru identificarea şi atacarea efectivă a victimelor cu ajutorul ransomware-ului creat de dezvoltatori.

Odată ce sistemele informatice ale victimei erau compromise şi datele erau criptate, afiliaţii livrau victimei un fişier sau un mesaj de răscumpărare.

Ulterior, folosind o adresă TOR(The Onion Router), victimei i se comunica suma de răscumpărare cerută şi instrucţiunile de plată. După ce o victimă plătea răscumpărarea, dezvoltatorii şi afiliaţii împărţeau procentual veniturile.

În paralel cu ancheta din România, în cadrul Operaţiunii GoldDust, cu suportul Europol, au fost desfăşurate activităţi de cooperare internaţională, în cadrul unui grup investigativ format din 17 agenţii de aplicare a legii din întreaga lume.

Astfel, au fost arestate alte cinci persoane implicate în programele ransomware GandCrab şi Revil/Sodinokibi, trei de către autorităţile judiciare din Coreea de Sud, una de către cele din Statele Unite ale Americii şi una de către autorităţile judiciare din Kuweit.

Mai multe țări implicate
Cercetările în cauză s-au desfăşurat şi în cooperare cu autorităţile de aplicare a legii din mai multe state: Australia, Belgia, Canada, Franţa, Germania, Ţările de Jos, Luxemburg, Norvegia, Filipine, Polonia, România, Coreea de Sud, Suedia, Elveţia, Kuweit, Regatul Unit al Marii Britanii, Statele Unite ale Americii, dar şi cu sprijinul Europol şi Interpol.

Totodată, în documentarea activităţii infracţionale au fost implicaţi şi parteneri din sectorul privat din mai multe state, respectiv companii de securitate cibernetică, furnizori de servicii internet şi producători soluţii antivirus.

Potrivit Poliţiei Române, compania românească Bitdefender a sprijinit această investigaţie, oferind sprijin tehnic cheie, pe parcursul întregii investigaţii, împreună cu instrumente pentru decriptarea ambelor familii de ransomware, extrem de prolifice, pentru a ajuta victimele să-şi recupereze fişierele.

KPN şi McAfee sunt alţi parteneri din sectorul privat care au susţinut această investigaţie, oferind expertiză tehnică.

Soluţiile de decriptare dezvoltate de către Bitdefender pot fi descarcate de pe platforma No More Ransom.

Instrumentele de decriptare Sodinokibi/Revil au ajutat peste 1.400 de companii să-şi decripteze reţelele, economisindu-le aproape 475 de milioane de euro, în pierderi potenţiale. Instrumentele puse la dispoziţie pentru ambele familii de ransomware au permis peste 50.000 de decriptări, pentru care infractorii cibernetici au cerut o răscumpărare de aproximativ 520 de milioane de euro.

Departamentul de Justiție al SUA îi menționează pe români în raport
Departamentul de Justiție al SUA menționează și rolul avut de cei doi români în schema persoanelor arestate din Ucraina și Rusia.

Departamentul de Justiție a anunțat zilele trecute acțiuni recente întreprinse împotriva a doi cetățeni străini acuzați de implementarea ransomware-ului Sodinokibi/REvil pentru a ataca companiile și entitățile guvernamentale din Statele Unite ( un bărbat din Ucraina și unul din Rusia, dar sunt menționați și cei doi români).

Un rechizitoriu deschis îl acuză pe Yaroslav Vasinskyi, în vârstă de 22 de ani, cetățean ucrainean, că a efectuat atacuri ransomware împotriva mai multor victime, inclusiv atacul din iulie 2021 împotriva Kaseya, o companie multinațională de software pentru tehnologia informației.

De asemenea, departamentul a anunțat confiscarea a 6,1 milioane de dolari în fonduri urmăribile la presupusele plăți de răscumpărare primite de Yevgeniy Polyanin, 28 de ani, cetățean rus, care este, de asemenea, acuzat de desfășurarea atacurilor ransomware Sodinokibi/REvil împotriva mai multor victime, inclusiv întreprinderi și entități guvernamentale din Texas la sau în jurul datei de 16 august 2019.

Potrivit rechizitoriilor, Vasinskyi și Polyanin au accesat rețelele interne de computere ale mai multor companii victime și au implementat ransomware Sodinokibi/REvil pentru a cripta datele de pe computerele companiilor victime.

„Criminalitatea cibernetică este o amenințare serioasă pentru țara noastră: pentru siguranța noastră personală, pentru sănătatea economiei noastre și pentru securitatea noastră națională”, a spus procurorul general Garland. „Mesajul nostru de astăzi este clar. Statele Unite, împreună cu aliații noștri, vor face tot ce ne stă în putere pentru a identifica autorii atacurilor cu ransomware, pentru a-i aduce în fața justiției și pentru a recupera fondurile pe care le-au furat de la victimele lor.”

„Mesajul nostru către infractorii de ransomware este clar: dacă țintiți victimele aici, vă vom viza”, a spus procurorul general adjunct Monaco. „Grupul de ransomware Sodinokibi/REvil atacă companiile și infrastructurile critice din întreaga lume, iar anunțurile de astăzi au arătat cum vom riposta. Într-un alt succes pentru grupul operativ pentru ransomware și extorcare digitală lansat recent de departament, infractorii știu acum că vă vom lua profiturile, capacitatea de a călători și, în cele din urmă, libertatea. Împreună cu partenerii noștri din țară și din străinătate, Departamentul va continua să demonteze grupurile de ransomware și să perturbe ecosistemul infracțional cibernetic care permite să existe ransomware și să ne amenințe pe toți.”

„Arestarea lui Yaroslav Vasinskyi, acuzațiile împotriva lui Yevgeniy Polyanin și confiscarea a 6,1 milioane de dolari din bunurile sale, precum și arestarea altor doi actori Sodinokibi/REvil din România sunt punctul culminant al colaborării strânse cu guvernul nostru internațional, SUA și în special sectorul nostru privat”, a spus directorul FBI Christopher Wray. „FBI a lucrat în mod creativ și fără încetare pentru a contracara hackerii criminali din spatele lui Sodinokibi/REvil. Grupuri de ransomware ca acestea reprezintă o amenințare gravă și inacceptabilă la adresa siguranței noastre și a bunăstării noastre economice. Vom continua să țintăm în mare parte actorii și facilitatorii lor, infrastructura și banii lor, oriunde în lume s-ar afla aceștia.”