.
Policiais alemães e ucranianos prenderam membros suspeitos da equipe de ransomware DoppelPaymer e emitiram mandados para três outros “mentores” por trás da operação global que extorquiu dezenas de milhões de dólares e pode ter levado à morte de um paciente do hospital.
A gangue criminosa, também conhecida como Indrik Spider, Double Spider e Grief, usava táticas de dupla extorsão. Antes de criptografar os sistemas das vítimas, os bandidos roubam dados confidenciais e ameaçam publicar as informações em seu site de vazamento se a organização não pagar.
As autoridades alemãs estão cientes de 37 empresas que foram vítimas desses criminosos, incluindo o Hospital Universitário de Düsseldorf. Aquele ataque de ransomware em 2020 contra o hospital levou à morte de um paciente depois que o malware desligou o departamento de emergência, forçando a equipe a desviar a ambulância da mulher para outro centro médico.
A aplicação da lei dos EUA também vinculou a DoppelPaymer à Evil Corp da Rússia, que o Departamento do Tesouro sancionado em 2019.
O FBI dos EUA também ajudou nas batidas e prisões, e a Europol observado que as vítimas americanas do DoppelPaymer pagaram pelo menos € 40 milhões (US$ 43 milhões) aos bandidos entre maio de 2019 e março de 2021.
Em ações simultâneas em 28 de fevereiro, a polícia alemã prendeu um suspeito local que os policiais dizem “desempenhar um papel importante” na gangue de ransomware e apreendeu equipamentos da casa do suspeito.
Enquanto isso, a polícia ucraniana prendeu um homem local que também se acredita ser um membro central da DoppelPaymer. Durante buscas em Kiev e Kharkiv, os policiais ucranianos também apreenderam equipamentos eletrônicos agora sob exame forense.
Alevinos pequenos presos, mas peixes grandes nadam para longe
Além disso, os policiais emitiram mandados de prisão para três “suspeitos mentores” por trás da gangue de ransomware conectada à Rússia. O trio também foi adicionado à lista dos mais procurados da Europa:
Igor Olegovich Turashev supostamente atuou como administrador da infraestrutura de TI e malware da gangue, de acordo com a polícia alemã. Turashev também é procurado pelo FBI por seu suposto papel na Evil Corp.
Irina Zemlianikina “também é co-responsável por vários ataques cibernéticos a empresas alemãs”, os policiais disse. Ela supostamente administrou os sites de bate-papo e vazamento da gangue e enviou e-mails carregados de malware para infectar os sistemas das vítimas.
O terceiro suspeito, Igor Garshin (alternativamente: Garschin) é acusado de espionar empresas vítimas, além de criptografar e roubar seus dados.
O DoppelPaymer existe desde 2019, quando os criminosos começaram a usar o ransomware para atacar infraestruturas críticas, instalações de saúde, distritos escolares e governos. É baseado no ransomware BitPaymer e faz parte da família de malware Dridex, mas com algumas adaptações interessantes.
De acordo com a Europol, o DoppelPaymer ransomware usou uma ferramenta de evasão exclusiva para encerrar os processos relacionados à segurança dos sistemas atacados, e esses ataques também contaram com o prolífico Emotet botnet.
Os criminosos distribuíram seu malware por vários canais, incluindo e-mails de phishing e spam com documentos anexados contendo código malicioso — JavaScript ou VBScript.
No outono passado, depois de renomear como Grief, a gangue infectou a National Rifle Association e estava ligado ao ataque a Sinclair Broadcast Group, um conglomerado de telecomunicações que possui uma grande quantidade de estações de TV nos Estados Unidos. ®
.
