Operation Golddust anholder Revil/Kaseya Ransomware bagmænd

De anholdte er mistænkt for 175.000 computerangreb og at kræve mere end 200 millioner dollars

Den 4. november anholdt rumænske myndigheder to personer, der mistænkes for cyberangreb, der implementerede Sodinokibi/REvil ransomware. De er angiveligt ansvarlige for 5.000 infektioner, som i alt indkasserede en halv million euro i løsepenge og flere ofre har ikke betalt eller er under indkassering. Siden februar 2021 har de retshåndhævende myndigheder anholdt tre andre affiliates af Sodinokibi/REvil og to mistænkte med forbindelse til GandCrab. Det er nogle af resultaterne af operation GoldDust, som involverede 17 lande*, Europol, Eurojust og INTERPOL. Alle disse anholdelser følger den fælles internationale retshåndhævelse indsats identifikation, aflytning og beslaglæggelse af nogle af de infrastruktur servere, der anvendes af Sodinokibi / REvil ransomware familie, som ses som efterfølgeren til GandCrab.

Det skriver Interpol her til morgen på sin hjemmeside. De mistænkte kan vi se andre steder menes at være Ukraineren Yaroslav Vasinskyi (Robotnik), der menes at være en del af hacker-gruppen REvil. Han blev anholdt i Polen og er af den føderale domstol i Texas blevet tiltalt for have installeret REvil-ransomware hos en bred vifte af ofre, herunder i forbindelse med de omfattende Kaseya Ransomware.

I aktionen har myndighederne ifølge Europol ransaget syv ejendommen, samt beslaglagt computere, to biler, 375.000 dollar i kontanter og 1,3 millioner dollar i kryptevalutaer. Europol oplyser i en pressemeddelelse, at de mistænke har været kendte for at afkræve løsepenge på mellem 5 millioner euro og 70 millioner euro pr. Ransomware offer.

USA forsøger samtidig at få Yaroslav Vasinskyi udleveret fra Polen

Det skriver AP her til morgen på en pressekonference, der er indsat herunder:

Proaktivt samarbejde sikrede mange Revil ofre

Siden 2019 har flere store internationale virksomheder stået over for alvorlige cyberangreb, som implementerede Sodinokibi/REvil ransomware. Landende Frankrig, Tyskland, Rumænien, Europol og Eurojust styrkede aktionerne mod denne ransomware ved at oprette et fælles efterforskningshold i maj 2021. Antivirusfirmaet Bitdefender har i samarbejde med retshåndhævelse, gjort et værktøj til rådighed på No More Ransom hjemmesiden, der ville hjælpe ofrene for Sodinokibi / REvil gendanne deres filer og komme sig efter angreb foretaget før juli 2021.

I begyndelsen af oktober blev en Sodinokibi/REvil-partner anholdt ved den polske grænse, efter at USA havde udstedt en international arrestordre. Den ukrainske statsborger er mistænkt for at have begået Kaseya-angrebet, som ramte op mod 1.500 virksomheder, og som Sodinokibi/REvil bad om en løsesum på omkring 70 millioner euro for. Derudover, i februar, april og oktober 2021 har myndigheder i Sydkorea anholdt tre affiliates involveret i GandCrab og Sodinokibi/ REvil ransomware familier, som havde mere end 1.500 ofre. Den 4. november anholdt kuwaitiske myndigheder en anden GandGrab-partner, hvilket betyder, at i alt syv mistænkte med forbindelse til de to ransomware-familier er blevet anholdt siden februar 2021.

De er mistænkt for at have angrebet omkring 175.000 computere.

Golddust forbindelsen til GandCrab udløste dekryptering til 49.000 enheder

Siden 2018 har Europol støttet en rumænsk ledet undersøgelse, der er rettet mod GandCrab ransomware-familien og involverede retshåndhævende myndigheder fra en række lande, herunder UK og USA. Med mere end en million ofre på verdensplan var GandCrab en af verdens mest produktive ransomware kriminelle. Disse fælles retshåndhævelse indsats resulterede i frigivelsen af tre dekrypteringsværktøjer gennem No More Ransom projektet. Dette alene fik mere end 49.000 systemer tilbage og sparede over € 60 millioner i ubetalte løsesum hidtil. Undersøgelsen så også på GandCrabs affiliate system, hvoraf nogle menes at have bevæget sig i retning af Sodinokibi/ REvil. Operation GoldDust blev også bygget op på spor fra denne tidligere undersøgelse rettet mod GandCrab.

Dekrypteringsværktøjer en succes i bekæmpelse af Ransomware med Dekryptering

Støtten fra cybersikkerhedssektoren har vist sig afgørende for at minimere skaderne fra ransomware-angreb, stadig den største cyberkriminalitetstrussel. Mange partnere har allerede givet dekryptering værktøjer til en række ransomware familier via No More Ransom hjemmeside. Bitdefender støttede denne undersøgelse ved at give vigtige tekniske indsigter i hele undersøgelsen, sammen med dekryptering værktøjer til begge disse meget produktive ransomware familier til at hjælpe ofrene inddrive deres filer. KPN og McAfee Enterprises er andre partnere i den private sektor, der også har støttet denne undersøgelse ved at levere teknisk ekspertise til retshåndhævelse.

I øjeblikket, har No More Ransom opnået at få dekryptering værktøjer til GandCrab (V1, V4 og V5 op til V5.2 versioner) og for Sodinokibi/REvil.

Sodinokibi/REvil-dekrypteringsværktøjerne hjalp mere end 1400 virksomheder med at dekryptere deres netværk og sparede dem næsten 475 mio. EUR i potentielle tab. De værktøjer, der stilles til rådighed for begge ransomware familier har aktiveret mere end 50.000 dekrypteringer, som de cyberkriminelle havde spurgt om € 520 millioner i løsesum.

Europol støttede hele vejen i 17 lande

Europol lettede informationsudvekslingen, støttede koordineringen af operation GoldDust og ydede operationel analytisk støtte samt kryptovaluta, malware og retsmedicinsk analyse. I aktionsdagene indsatte Europol eksperter på hvert sted og aktiverede en virtuel kommandopost for at koordinere aktiviteterne på stedet. Det internationale samarbejde gjorde det muligt for Europol at strømline indsatsen for at afbøde ofre i andre EU-lande. Disse aktiviteter forhindrede private virksomheder i at blive ofre for Sodinokibi / REvil ransomware.

Den fælles taskforce for it-kriminalitet (J-CAT) i Europol støttede operationen. Dette stående operationelle team består af cyberforbindelsesofficerer fra forskellige lande, der arbejder fra det samme kontor på højt profilerede cyberkriminalitetsundersøgelser.

*Deltagerlande: Australien, Belgien, Canada, Frankrig, Tyskland, Holland, Luxembourg, Norge, Filippinerne, Polen, Rumænien, Sydkorea, Sverige, Schweiz, Kuwait, Storbritannien og USA

* Deltagende organisationer: Europol, Eurojust og Interpol

Europol har hovedkvarter i Haag i Nederlandene og støtter de 27 EU-medlemsstater i deres kamp mod terrorisme, it-kriminalitet og andre former for grov og organiseret kriminalitet. Europol samarbejder også med mange partnerlande uden for EU og internationale organisationer. Fra sine forskellige trusselsvurderinger til sine efterretningsindsamlings- og operationelle aktiviteter har Europol de værktøjer og ressourcer, det har brug for til at gøre sit til at gøre Europa sikrere.
Interpol har siden 1950 leveret en række ekspertise og tjenester til 194 medlemslande og administrerer 19 politidatabaser med oplysninger om forbrydelser og kriminelle (fra navne og fingeraftryk til stjålne pas), der er tilgængelige i realtid til lande via sig helt eget netværk. De udbyder efterforskningsstøtte såsom retsmedicin, analyse og hjælp til at lokalisere personer rundt om i verden.
Som ekspertise støtter den nationale indsats for at bekæmpe forbrydelser på tre globale områder, nemlig terrorisme, it-kriminalitet og organiseret kriminalitet.
Eurojust, der er EU’s Agentur for Strafferetligt Samarbejde, har hjemsted i Haag, Holland, hvor de nationale retlige myndigheder arbejder tæt sammen om at bekæmpe grov organiseret grænseoverskridende kriminalitet. Eurojusts rolle er at bidrage til at gøre Europa til et sikrere sted ved at koordinere de nationale myndigheders arbejde – fra EU’s medlemsstater såvel som tredjelande – med hensyn til efterforskning og retsforfølgning af grænseoverskridende kriminalitet. Eurojust kan retsforfølge personer og organisationer i mere end 50 lande indtil videre.

Kilde, Interpol.int, Icare.dk og AP

Scroll til toppen