Οι αρχές της Μολδαβίας προχώρησαν στη σύλληψη ενός 45χρονου, ο οποίος φέρεται να συμμετείχε σε κυβερνοεπιθέσεις ransomware κατά οργανισμών στην Ολλανδία το 2021. Ο άνδρας συνδέεται με τη διαβόητη ομάδα ransomware DoppelPaymer, που ευθύνεται για σημαντικές ψηφιακές εισβολές με στόχο τον εκβιασμό των θυμάτων.
Η επιχείρηση έλαβε χώρα στις 6 Μαΐου, όταν οι αστυνομικές αρχές πραγματοποίησαν έρευνες στην κατοικία και το όχημα του υπόπτου. Κατά την επιτόπια επιθεώρηση, κατασχέθηκαν σημαντικά αντικείμενα, μεταξύ των οποίων δύο φορητοί υπολογιστές, ένα tablet, ένα κινητό τηλέφωνο, έξι τραπεζικές κάρτες, διάφορες μονάδες αποθήκευσης, ένα ηλεκτρονικό πορτοφόλι και 84.800 ευρώ.
Ο ύποπτος παραμένει υπό κράτηση, ενώ έχουν ήδη ξεκινήσει οι διαδικασίες έκδοσής του στην Ολλανδία, σύμφωνα με σχετική ανακοίνωση των εισαγγελικών αρχών της Μολδαβίας. Η σύλληψη πραγματοποιήθηκε στο πλαίσιο συντονισμένης επιχείρησης, με τη συμμετοχή της μολδαβικής εισαγγελίας, του Κέντρου Καταπολέμησης Κυβερνοεγκλήματος και των ολλανδικών αρχών ασφαλείας.
Δείτε επίσης: Hackers κρύβουν ransomware σε εικόνες JPG
Σύμφωνα με ανακοίνωση που εκδόθηκε τη Δευτέρα, ο 45χρονος κατηγορείται ότι ενορχήστρωσε την επίθεση ransomware (DoppelPaymer) του 2021 κατά του Dutch Research Council (NWO), προκαλώντας ζημιές που υπολογίζονται στα 4,5 εκατομμύρια ευρώ. Το NWO είχε γνωστοποιήσει την κυβερνοεπίθεση στις 14 Φεβρουαρίου εκείνου του έτους, σημειώνοντας ότι αναγκάστηκε να αναστείλει το σύστημα υποβολής αιτήσεων για χρηματοδότηση.
Δέκα ημέρες αργότερα, οι κυβερνοεγκληματίες δημοσίευσαν κλεμμένα αρχεία του οργανισμού στον ιστότοπο διαρροών της ομάδας DoppelPaymer, στο dark web, μετά την άρνηση του NWO να καταβάλει λύτρα.
Η ομάδα DoppelPaymer εμφανίστηκε το 2019, ως παρακλάδι της εγκληματικής ομάδας Evil Corp, με την οποία μοιράζεται τεχνικά χαρακτηριστικά και κώδικα. Οι δράστες της DoppelPaymer είναι γνωστοί για τη στρατηγική διπλής πίεσης: αφενός, απειλούν με διαρροή δεδομένων σε περίπτωση άρνησης πληρωμής και, αφετέρου, διαγράφουν τα κλειδιά αποκρυπτογράφησης εάν τα θύματα στραφούν σε επαγγελματίες διαπραγματευτές για καλύτερους όρους αποκατάστασης.
Ήδη από το 2020, το Ομοσπονδιακό Γραφείο Ερευνών (FBI) είχε προειδοποιήσει ότι οι δράστες ransomware δεν σταματούν στην κρυπτογράφηση δεδομένων. Σύμφωνα με εσωτερικό ενημερωτικό δελτίο εκείνης της χρονιάς, πριν προχωρήσουν στην εγκατάσταση κακόβουλου λογισμικού, οι επιτιθέμενοι κλέβουν ευαίσθητες πληροφορίες τις οποίες στη συνέχεια χρησιμοποιούν ως μοχλό πίεσης σε εκστρατείες εκβιασμού. Σε ορισμένες περιπτώσεις, τα θύματα δέχονται ακόμα και προσωπικές τηλεφωνικές κλήσεις, με στόχο την περαιτέρω πίεση για πληρωμή λύτρων.
Δείτε επίσης: Το νέο Mamona ransomware στοχεύει Windows συστήματα
Η ομάδα πίσω από το ransomware DoppelPaymer συγκαταλέγεται στους πρωτοστάτες αυτής της τακτικής. Από την εμφάνισή της έως και το 2022, εξαπέλυσε επιθέσεις σε μεγάλους επιχειρηματικούς ομίλους και κρίσιμες υποδομές διεθνώς. Στο διάστημα αυτό, η συμμορία έκανε rebranding τουλάχιστον δύο φορές, μετονομάζοντας τις επιχειρήσεις της σε Grief (ή Pay or Grief) και Entropy, διατηρώντας ωστόσο τις ίδιες βασικές τεχνικές και κώδικες.
Η αστυνομική πίεση προς το δίκτυο αυξήθηκε το 2023, όταν οι αρχές εξέδωσαν εντάλματα σύλληψης για πέντε βασικά μέλη της οργάνωσης. Δύο εξ αυτών θεωρούνται σημαντικά πρόσωπα της ομάδας και τέθηκαν υπό διεθνή καταδίωξη τον Μάρτιο εκείνης της χρονιάς.
Ο κατάλογος των θυμάτων της DoppelPaymer περιλαμβάνει μερικά από τα πλέον αναγνωρίσιμα ονόματα στον επιχειρηματικό και δημόσιο τομέα. Μεταξύ αυτών: η Foxconn, μία από τις μεγαλύτερες εταιρείες κατασκευής ηλεκτρονικών παγκοσμίως· η Kia Motors America· η διοίκηση της κομητείας Delaware στην Πενσυλβάνια· ο ταϊβανέζικος κατασκευαστής laptop Compal· αλλά και το Πανεπιστήμιο Newcastle στο Ηνωμένο Βασίλειο.
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Προστασία από ransomware επιθέσεις
- Μείνετε ενημερωμένοι για τις τελευταίες τάσεις και τακτικές ransomware που χρησιμοποιούν οι εισβολείς
- Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποιήστε firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυό σας
- Διατηρήστε τα ευαίσθητα δεδομένα κρυπτογραφημένα
- Ενημερώστε όλες τις συσκευές και τα συστήματά σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξάγετε τακτικούς ελέγχους ασφαλείας και penetration testing
- Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά
- Περιορίστε την πρόσβαση των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Εξετάστε το ενδεχόμενο χρήσης λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Έχετε ένα σχέδιο ανάκαμψης για γρήγορη αποκατάσταση των συστημάτων σε περίπτωση επίθεσης
- Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σας
Πηγή: www.bleepingcomputer.com
