HAGA, Holandia (AP) – Policja koordynowana przez wymiar sprawiedliwości Unii Europejskiej i agencje policyjne zniszczyła sieci komputerowe odpowiedzialne za rozprzestrzenianie oprogramowania ransomware za pośrednictwem zainfekowanych wiadomości e-mail, w ramach tzw. największej w historii międzynarodowej operacji przeciwko lukratywnej formie cyberprzestępczości.

Europejska agencja współpracy sądowej Eurojust poinformowała w czwartek, że policja aresztowała czterech „wysokiej wartości” podejrzanych, zniszczyła ponad 100 serwerów i przejęła kontrolę nad ponad 2000 domen internetowych.

Jak podał Eurojust, masowa akcja, która miała miejsce w tym tygodniu, o kryptonimie Endgame, obejmowała skoordynowane działania w Niemczech, Holandii, Francji, Danii, Ukrainie, Stanach Zjednoczonych i Wielkiej Brytanii. Zatrzymano także trzech podejrzanych na Ukrainie i jednego w Armenii. Jak dodała unijna agencja policyjna Europol, przeszukania przeprowadzono na Ukrainie, w Portugalii, Holandii i Armenii.

Jest to najnowsza międzynarodowa operacja mająca na celu zakłócenie działania złośliwego oprogramowania i oprogramowania ransomware. Nastąpiło to po masowym usunięciu w 2021 r. botnetu o nazwie Emotet, stwierdził Eurojust. Botnet to sieć porwanych komputerów, zwykle wykorzystywana do szkodliwych działań.

Europol obiecał, że nie będzie to ostatnie obalenie.

„Operacja Endgame nie kończy się dzisiaj. Nowe działania będą ogłaszane na stronie internetowej Operacja Koniec gry”, – stwierdził Europol w oświadczeniu.

Holenderska policja podała, że ​​szkody finansowe wyrządzone przez sieć rządom, firmom i użytkownikom indywidualnym szacuje się na setki milionów euro (dolarów).

„Miliony ludzi są ofiarami również dlatego, że ich systemy zostały zainfekowane, co uczyniło ich częścią botnetów” – stwierdzono w holenderskim oświadczeniu.

Eurojust powiedział, że jeden z głównych podejrzanych zarobił kryptowalutę o wartości co najmniej 69 milionów euro (74 miliony dolarów), wynajmując infrastrukturę przestępczą w celu rozprzestrzeniania oprogramowania ransomware.

„Transakcje podejrzanego są stale monitorowane i uzyskano już prawne pozwolenie na przejęcie tego majątku na potrzeby przyszłych działań” – dodała unijna agencja policyjna Europol.

Celem operacji było „droppery” złośliwego oprogramowania o nazwach IcedID, Pikabot, Smokeloader, Bumblebee i Trickbot. Dropper to złośliwe oprogramowanie rozprzestrzeniające się zwykle w wiadomościach e-mail zawierających zainfekowane łącza lub załączniki, takie jak faktury wysyłkowe lub formularze zamówień.

„To podejście miało globalny wpływ na ekosystem kroplomierzy” – stwierdził Europol. „Szkodliwe oprogramowanie, którego infrastruktura została zniszczona w dniach akcji, ułatwiło ataki z użyciem oprogramowania ransomware i innego złośliwego oprogramowania”.

Ben Jones, dyrektor generalny Searchlight Cyber, firmy dostarczającej informacje wywiadowcze w ciemnej sieci, pochwalił tę operację jako przykład tego, jak współpraca międzynarodowa może rozprawić się z cyberprzestępczością.

„Tam, gdzie cyberprzestępcy wcześniej wykorzystywali swoją zdolność do działania ponad granicami, aby uniknąć ramienia wymiaru sprawiedliwości, operacje takie jak Endgame – koordynowane w wielu jurysdykcjach – pokazują, że ta taktyka unikania jest coraz bardziej nie do utrzymania” – stwierdził Jones w komentarzach przesłanych pocztą elektroniczną do The Associated Press. „Sieć organów ścigania poszerza się, a znalezienie „bezpiecznych stref” dla działalności cyberprzestępczej staje się coraz trudniejsze”.

Holenderska policja stwierdziła, że ​​działania te powinny zaalarmować cyberprzestępców, że mogą zostać złapani.

„Ta operacja pokazuje, że zawsze zostawia się ślady i nikt nie jest nie do znalezienia, nawet w Internecie” – powiedział w oświadczeniu wideo Stan Duijf z holenderskiej policji.

Zastępca szefa niemieckiego Federalnego Urzędu Kryminalnego Martina Link określiła tę operację jako „największą jak dotąd międzynarodową operację cyberpolicji”.

„Dzięki intensywnej współpracy międzynarodowej udało się unieszkodliwić sześć największych rodzin szkodliwego oprogramowania” – stwierdziła w oświadczeniu.

Władze niemieckie dążą do aresztowania siedmiu osób podejrzanych o przynależność do organizacji przestępczej, której celem było rozprzestrzenianie szkodliwego oprogramowania Trickbot. Ósma osoba jest podejrzana o bycie jednym z przywódców grupy stojącej za Smokeloaderem.

Europol oświadczył, że dodaje ośmiu podejrzanych poszukiwanych przez Niemcy do swojej listy najbardziej poszukiwanych osób.

___

Powiązany pisarz prasowy Geir Moulson w Berlinie przyczynił się do powstania tego raportu.