На прошлой неделе в Румынии в ходе полицейской операции Bakovia были арестованы пятеро предполагаемых участников преступной группы, занимавшейся вымогательством с помощью программ-шифровальщиков — в частности, CTB-Locker и Cerber.

Аресты произведены по результатам совместного расследования, проведенного полицейскими спецподразделениями Румынии и Нидерландов, генпрокуратурами обеих стран, британским Национальным управлением по борьбе с преступностью (NCA) и ФБР. Активное содействие расследованию оказали Европейский центр по борьбе с киберпреступностью (EC3), работающий под эгидой Европола, и Объединенная рабочая группа противодействия киберпреступлениям в странах ЕС (J-CAT).

На территории Румынии были также произведены обыски; полиция изъяла большое количество жестких дисков, лэптопов, съемных накопителей, устройств для майнинга криптовалюты и документов.

В сообщении Европола сказано, что в начале 2017 года голландцы передали румынским властям подробную информацию о деятельности группы граждан Румынии, которые занимались рассылкой вредоносного спама. Распространяемые злоумышленниками поддельные сообщения были написаны от имени известных итальянских, голландских и британских компаний и снабжены вложением, обычно замаскированным под счет-фактуру. На самом деле вложенный файл содержал Windows-шифровальщик CTB-Locker, он же Critroni.

На настоящий момент в рамках данного расследования удалось выявить более 170 жертв заражения CTB-Locker, проживающих в нескольких европейских странах. Все они подали жалобы и представили свидетельства, которые будут рассмотрены судом в рамках дела о несанкционированном доступе к компьютерным системам, нанесении вреда, неправомерном использовании устройств с целью совершения киберпреступлений и о шантаже.

Двое арестованных подозреваются также в распространении другой вымогательской программы — Cerber, от которой пострадали многие жители США. Американская Секретная служба даже запустила собственное расследование по этому поводу. Позднее, когда выяснилось, что к распространению Cerber на территории США причастна та же румынская группировка, которая в Европе оперирует CTB-Locker, оба расследования были объединены.

В сообщении Европола подчеркивается, что румынская ОПГ не занималась созданием зловредов, а покупала готовые образцы и должна была отдавать вирусописателям 30% своего дохода. Такое партнерство известно на черном рынке как RaaS — «вымогатель как услуга».

Следует также отметить, что Секретная служба США, собрав свидетельства, уже передала их в окружной суд округа Колумбия вместе с обвинениями в адрес пойманных распространителей Cerber. Согласно этому документу, проживающим в Лондоне гражданам Румынии Михаю Изванке (Mihai Alexandru Isvanca) и Евелине Чизмару (Eveline Cismaru) инкриминируется взлом 123 из 187 уличных камер видеонаблюдения, используемых полицией г. Вашингтон. Каждой из этих камер управляет «специализированный компьютер, установленный в непосредственной близости», который подключен к сети полицейского департамента округа Колумбия (MPDC). По свидетельству автора документа — агента Секретной службы, Изванке и Чизмару удалось добраться до этих контроллеров и на некоторые установить приложение для рассылки спама через почтовый сервис SendGrid.

Взлом вашингтонских камер предположительно произошел 9 января, вторжение было обнаружено 12-го, и систему сразу отключили на четыре дня для очистки, а три контроллера передали специалистам для анализа. Это позволило также установить адресатов, с которыми переписывались злоумышленники, и по получении ордера изучить их переписку и содержимое почтовых ящиков. Так была обнаружена ссылка на панель управления Cerber и письма с pdf-вложениями, содержащими Cerber и другой шифровальщик — Dharma. Как оказалось, эти вредоносные файлы размещались на скомпрометированных системах MPDC.

Категории: Вредоносные программы, Главное, Кибероборона, Спам