5 romenos distribuidores de ransomware são presos após operação policial

Operação Bakovia: 5 cibercriminos são presos acusados de espalhar ransomware

A polícia na Romênia prendeu cinco suspeitos de espalhar o malware CTB-Locker (Curve-Tor-Bitcoin Locker ou Citroni) e o ransomware Cerbers, que utilizava uma espécie de Ransomware-as-a-service (RaaS) na Dark Web.

De acordo com a Europol, a polícia fez buscas em seis casas na Romênia durante a “Operação Bakovia”: uma operação conjunta entre policiais e promotores da Romênia e do Ministério Público, a Agência Nacional do Crime do Reino Unido, o FBI, o European Cybercrime Center (EC3) da Europol e a Joint Cybercrime Action Taskforce (J-CAT).

As buscas mostraram que os cibercriminosos retinham um grande número de discos rígidos, laptops, dispositivos de armazenamento externo, computadores de mineração de criptografia e outros documentos.

A gangue está sendo processada por acesso a computadores não autorizados e uso indevido de dispositivos com a intenção de cometer cibercrimes e blackmail.

Se o nome CTB-Locker não é estranho, é porque o ransomware existe há algum tempo e vem sendo utilizado de algumas formas. Esse nome foi usado pelos criminosos atrás de uma campanha generalizada do Windows Ransomware em 2014.

O CTB-Locker também foi o nome usado para um ransomware PHP mais recente que atacou blogs, sites, gerentes de conteúdo e mais em 2016.

A Cerber, que apareceu pela primeira vez no início de 2016, foi durante muito tempo o ransomware número 1 em interceptações pelos computadores de clientes, de acordo com a versão recente da Malware Forecast de 2018 da SophosLabs.

A Europol diz que no início deste ano, a Unidade de Crime de Alta Tecnologia da Holanda informou as autoridades romenas de um grupo de cidadãos romenos que estavam por trás de uma onda de spam que pretendia ser originário de empresas bem conhecidas em países como a Itália, Holanda e Reino Unido.

Como esse malware funcionava

A isca era um anexo, tipicamente disfarçado como uma fatura. Abrindo o anexo em um computador Windows era liberado o ransomware para criptografar arquivos de dados – documentos, fotos, música, vídeos e mais – no computador infectado.

Como a Europol explica, o CTB-Locker foi uma das primeiras variantes do ransomware a usar o Tor para ocultar sua infraestrutura de comando e controle.

A Europol diz que a operação identificou mais de 170 vítimas de vários países europeus. Todos apresentaram queixas e forneceram provas. A Europol diz que essas informações devem ajudar nos processos judiciais.

Além do CTB-Locker, duas pessoas da mesma gangue romena também são suspeitas de distribuir o Ransomware Cerber que infectou muitos sistemas nos EUA. O Serviço Secreto dos Estados Unidos está investigando essas infecções.

As investigações sobre os criminosos atrás das duas variantes do ransomware foram inicialmente separadas, mas quando a gangue romena estava ligada a ambos os ataques, tornou-se uma única investigação. Os EUA emitiram um mandado de prisão internacional para os dois suspeitos do ataque Cerber, que foram presos no dia seguinte em Bucareste enquanto tentavam sair do país.

Os investigadores da operação Bakovia descobriram que os suspeitos não desenvolveram o malware; Em vez disso, eles obtiveram isso de desenvolvedores que cobraram cerca de 30% dos lucros adquiridos. Esse tipo de programa de afiliados do ransomware-as-a-service “faz com que o malware seja de fácil acesso para os criminosos que não têm cybersmarts.

Medidas defensivas contra o ransomware

Como observamos anteriormente, a melhor defesa contra o ransomware não é não se infectar em primeiro lugar. Pensando nesse assunto, gostaríamos de indicar a leitura de dois posts. O primeiro explica o que é um antiransomware, suas funcionalidades e porque é tao importante atualmente. O segundo é sobre as funcionalidades do Sophos XG Firewall, que tem dentre uma de suas várias funcionalidades, o antiransomware.

Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do blog@triplait.com.

Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!

O conteúdo desse post foi traduzido do blog da Sophos, uma de nossas parceiras.

 

 

Powered by WP Review