As autoridades policiais da Alemanha e da Ucrânia prenderam dois suspeitos de comandarem o grupo de crimes cibernéticos apelidado de DoppelPaymer, que está por trás de ataques em larga escala usando o ransomware de mesmo nome. A operação, que ocorreu no dia 28 de fevereiro, foi realizada com o apoio da Polícia Nacional Holandesa (Politie) e do FBI, segundo a Europol.
Os policiais realizaram buscas na casa de um cidadão alemão, além de nas cidades ucranianas de Kiev e Kharkiv, que acabou resultando na prisão de cidadão ucraniano para ser interrogado. Acredita-se que ambos os indivíduos tenham ocupado posições de comando no grupo DoppelPaymer.
“A análise forense do equipamento apreendido ainda está em andamento para determinar o papel exato dos suspeitos e suas ligações com outros cúmplices”, disse Agência da União Europeia para a Cooperação Policial.
O DoppelPaymer, de acordo com a empresa de segurança cibernética CrowdStrike, surgiu em abril de 2019 e compartilha a maior parte de seu código com uma variedade de grupos de ransomware, tais como o BitPaymer e o prolífico grupo baseado na Rússia chamado Indrik Spider (Evil Corp).
O malware de criptografia de arquivos também exibe sobreposições táticas com o Dridex, um trojan bancário focado no Windows que expandiu seus recursos para incluir uma botnet e roubo de informações.
“No entanto, há uma série de diferenças entre o DoppelPaymer e o BitPaymer, o que pode significar que um ou mais membros do Indrik Spider se separaram do grupo e bifurcaram o código-fonte do Dridex e do BitPaymer para iniciar sua própria operação do ransomware Big Game Hunting”, disse a CrowdStrike.
Veja isso
FBI diz que mais de US$ 140 mi já foram pagos em resgates
Europol fecha 50 plataformas de DDoS-as-a-service
O Indrik Spider foi formado em 2014 por ex-afiliados da rede criminosa GameOver Zeus, uma botnet ponto a ponto (P2P) e sucessora do trojan bancário Zeus. No entanto, o aumento do escrutínio por parte de órgão da lei sobre suas operações levou o grupo a mudar de tática, introduzindo o ransomware como um meio de extorquir as vítimas e obter lucros.
“Os ataques DoppelPaymer foram ativados pelo malware Emotet”, disse a Europol. “O ransomware foi distribuído por vários canais, incluindo e-mails de phishing e spam com documentos anexados contendo código malicioso – JavaScript ou VBScript.”
Estima-se que os operadores por trás do esquema criminoso tenham visado ao menos 37 empresas na Alemanha, além de vítimas nos EUA terem pagado nada menos que € 40 milhões entre maio de 2019 e março de 2021.