![](https://zcq.pl/wp-content/uploads/2023/03/image-129-1024x682.png)
Niemiecka i ukraińska policja ogłosiła dzisiaj, że aresztowała dwie osoby uważane za członków grupy ransomware DoppelPaymer po nalotach na wiele lokalizacji w lutym.
Operacja była częścią wielonarodowych działań, w których uczestniczyła Agencja Unii Europejskiej ds. Współpracy Organów Ścigania, amerykańskie Federalne Biuro Śledcze oraz policja holenderska, a także agencje w Niemczech i na Ukrainie.
DopplePaymer, wariant wcześniejszej formy ransomware o nazwie BitPaymer, został odkryty w lipcu 2019 roku i był wówczas powiązany z grupą hakerską o nazwie INDRIK SPIDER. Grupie tej przypisano 37 znanych ataków, w tym ataki na Hon Hai Precision Industry Co. (Foxconn) w grudniu 2020 r., producenta „Big Brothera” Endemol Shine i meksykańską państwową firmę naftową Petróleos Mexicanos.
Osoby stojące za DopplePaymer wykorzystały unikalne narzędzia zdolne do kompromitacji mechanizmów obronnych poprzez zakończenie procesów związanych z bezpieczeństwem zaatakowanych systemów, w tym wykorzystanie znanego złośliwego oprogramowania EMOTET. Ransomware było dystrybuowane za pośrednictwem wiadomości phishingowych i spamowych ze złośliwymi załącznikami w języku JavaScript lub VBScript. Podobnie jak wiele współczesnych grup ransomware, DopplePaymer działał na zasadzie double-tap, szyfrując pliki i kradnąc dane z okupem żądanym w zamian za klucz szyfrujący i obietnicę nieujawniania skradzionych danych.
W ramach śledztwa prowadzącego do aresztowania dwóch osób 28 lutego, niemiecka policja zidentyfikowała 11 osób uważanych za powiązane z tą grupą. Dwa aresztowania miały miejsce zarówno w Niemczech, jak i na Ukrainie, a skonfiskowany sprzęt elektroniczny jest obecnie badany pod kątem dalszych dowodów.
Niemiecka policja uważa obecnie, że istnieje pięciu głównych członków powiązanej z Rosją grupy, którzy są zaangażowani w jej codzienne funkcjonowanie, z nakazami aresztowania wydanymi dla trzech kolejnych podejrzanych.
„Ujęcie grupy podejrzanych cyberprzestępców w Niemczech i na Ukrainie przez międzynarodowy zespół organów ścigania jest znaczącym osiągnięciem we wspólnym śledztwie dotyczącym grupy DoppelPaymer i innych gangów ransomware” – powiedział SiliconANGLE Darren Guccione, współzałożyciel i dyrektor naczelny startupu oprogramowania cyberbezpieczeństwa Keeper Security Inc. „Zatrzymanie tych osób może również okazać się dużym zwycięstwem wywiadu, ponieważ pracują one nad ujawnieniem wszelkich stron trzecich, które mogą finansować lub kierować aspektami działalności przestępczej grupy”.
Guccione zauważył, że podejrzane powiązania DoppelPaymera z EvilCorp sprawiają, że śledczy uważają, że może on mieć powiązania z rosyjskim wywiadem.
„Ponieważ oprogramowanie ransomware jest wspierane przez rozległą, globalną sieć deweloperów i licencjobiorców, ransomware nadal będzie wszechobecnym zagrożeniem” – wyjaśnił Guccione – „ale jeśli śledczy mają rację i ci podejrzani mogą pomóc im w nawiązaniu połączenia, informacje mogą przejść długą drogę w pomaganiu organom ścigania w zdejmowaniu innych operatorów ransomware mających powiązania z tym krajem”.