Num esforço sem precedentes, as autoridades policiais e judiciais de sete países uniram forças com a Europol e a Eurojust para desmantelar e deter na Ucrânia figuras-chave por detrás de operações de ransomware significativas que causaram estragos em todo o mundo. .
Em 21 de Novembro, foram realizadas buscas em 30 propriedades nas regiões de Kiev, Cherkasy, Rivne e Vinnytsia, que resultaram na detenção do líder do grupo, de 32 anos. Foram igualmente detidos quatro dos seus cúmplices mais activos.
Mais de 20 investigadores da Noruega, França, Alemanha e Estados Unidos foram enviados para Kiev para ajudar a polícia nacional ucraniana nas suas medidas de investigação. Esta acção foi reproduzida a partir da sede da Europol nos Países Baixos, onde foi activado um posto de comando virtual para analisar imediatamente os dados apreendidos durante as buscas domiciliárias na Ucrânia.
Esta última acção segue-se a uma primeira ronda de detenções em 2021 no âmbito da mesma investigação. Desde então, foram organizados vários sprints operacionais na Europol e na Noruega com o objectivo de analisar forensicamente os dispositivos apreendidos na Ucrânia em 2021. Este trabalho de acompanhamento forense facilitou a identificação dos suspeitos visados durante a ação da semana passada em Kiev.
Perigosos, não detectados e versáteis
Acredita-se que os indivíduos sob investigação fazem parte de uma rede responsável por uma série de ataques de ransomware de alto nível contra organizações em 71 países.
Estes cibercriminosos são conhecidos por visarem especificamente as grandes empresas, paralisando efetivamente os seus negócios. Utilizaram o ransomware LockerGoga, MegaCortex, HIVE e Dharma, entre outros, para levar a cabo os seus ataques.
Os suspeitos desempenhavam diferentes papéis nesta organização criminosa. Pensa-se que alguns deles estão envolvidos no comprometimento das redes informáticas dos seus alvos, enquanto outros são suspeitos de serem responsáveis pelo branqueamento dos pagamentos em criptomoeda feitos pelas vítimas para desencriptar os seus ficheiros.
Os responsáveis pela invasão das redes fizeram-no através de técnicas que incluem ataques de força bruta, injecções de SQL e envio de e-mails de phishing com anexos maliciosos para roubar nomes de utilizador e palavras-passe.
Uma vez dentro das redes, os atacantes não foram detectados e obtiveram acesso adicional utilizando ferramentas como o malware TrickBot, o Cobalt Strike e o PowerShell Empire, a fim de comprometer o maior número possível de sistemas antes de desencadear ataques de ransomware.
A investigação determinou que os criminosos encriptaram mais de 250 servidores pertencentes a grandes empresas, resultando em perdas superiores a várias centenas de milhões de euros.
Cooperação internacional
Iniciada pelas autoridades francesas, foi criada em setembro de 2019 uma equipa de investigação conjunta (EIC) entre a Noruega, a França, o Reino Unido e a Ucrânia, com o apoio financeiro da Eurojust e a assistência de ambas as agências. Desde então, os parceiros da EIC têm trabalhado em estreita colaboração, em paralelo com as investigações independentes das autoridades neerlandesas, alemãs, suíças e norte-americanas, para localizar os agentes da ameaça na Ucrânia e levá-los a tribunal.
Esta cooperação internacional tem-se mantido firme e ininterrupta, persistindo mesmo no meio dos desafios colocados pela guerra em curso na Ucrânia.
Um agente da ciberpolícia ucraniana foi inicialmente destacado para a Europol durante dois meses para preparar a primeira fase da ação, antes de ser destacado permanentemente para a Europol para facilitar a cooperação policial neste domínio.
Desde o início da investigação, o Centro Europeu da Cibercriminalidade (EC3) da Europol organizou reuniões operacionais, prestando apoio forense digital, em matéria de criptomoeda e de malware, e facilitando o intercâmbio de informações no âmbito do Grupo de Ação Conjunta contra a Cibercriminalidade (J-CAT), sediado na sede da Europol.
A Eurojust organizou 12 reuniões de coordenação para facilitar a comunicação e a cooperação judiciária entre as autoridades envolvidas.
A análise forense efectuada no âmbito desta investigação também permitiu às autoridades suíças desenvolver, juntamente com os parceiros da No More Ransom e a Bitdefender, ferramentas de desencriptação para as variantes de ransomware LockerGoga e MegaCortex. Estas ferramentas de desencriptação foram disponibilizadas gratuitamente em: www.nomoreransom.org.
Autoridades participantes:
Noruega: Serviço Nacional de Investigação Criminal (Kripos)
França: Ministério Público de Paris, Polícia Nacional (Police Nationale – OCLCTIC)
Países Baixos: Polícia Nacional (Politie), Serviço Nacional do Ministério Público (Landelijk Parket, Openbaar Ministerie)
Ucrânia: Procuradoria-Geral da República (Офіс Генерального прокурора), Polícia Nacional da Ucrânia (Національна поліція України)
Alemanha: Ministério Público de Estugarda, sede da polícia de Reutlingen (Polizeipräsidium Reutlingen), CID Esslingen
Suíça: Serviço Federal Suíço de Polícia (fedpol), Polícia de Basileia-Países Baixos, Ministério Público do Cantão de Zurique, Polícia Cantonal de Zurique
Estados Unidos: Serviço Secreto dos Estados Unidos (USSS), Federal Bureau of Investigation (FBI)
Europol: Centro Europeu da Cibercriminalidade (EC3)
Eurojust
A investigação beneficiou de financiamento da Plataforma Multidisciplinar Europeia contra as Ameaças Criminosas (EMPACT).
