Un hacker din Cluj anchetat de FBI într-un uriaș dosar de fraudă informatică. Sute de firme ”de mare valoare” ar fi căzut în plasa clujeanului, victimele au plătit zeci de milioane de euro
ActualitateTop News by Actual de Cluj - aug. 17, 2023 0 1391
Un clujean a fost extrădat în SUA, acuzat de FBI de fraudă informatică cu programe ransomware.
Instanța Curții de Apel Cluj a decis extrădarea unui clujean acuzat de fraudă informatică prin ransomware, în Statele Unite, acuzat de Biroul Federal de Investigații de săvârşirea infracţiunilor de participarea la o conspiraţie de fraudă prin sisteme informatice și participare la conspirație la fraudă prin cablu. Acesta riscă închisoarea până la cinci ani și respectiv până la 20 de ani de închisoare.
Acuzatul a fost deja arestat preventiv la Cluj și a declarat că nu are cunoștință despre dosarul FBI.
Anchetatorii au cerut arestarea preventivă a presupusului hacker în 12 iulie pentru 30 de zile în vederea extrădării către autorităţile judiciare din Statele Unite ale Americii. În motivarea sesizării, s-a arătat că autoritățile americane în 6 aprilie au emis într-un dosar penal un mandat de arestare, prin care se ordonă arestarea şi aducerea sa în faţa unui judecător magistrat al Statelor Unite ale Americii. În acest sens, autorităţile judiciare din SUA au formulat o solicitare pentru arestarea provizorie în vederea extrădării, în baza unui rechizitoriu, pentru a fi cercetat sub aspectul săvârşirii infracţiunilor de participarea la o conspiraţie de fraudă prin sisteme informatice, faptă pentru care pedeapsa maximă prevăzută de lege este de 5 ani închisoare, și respectiv participare la o conspiraţie la fraudă prin cablu, faptă pentru care pedeapsa maximă prevăzută de lege este de 20 ani închisoare.
În fapt, o investigaţie desfăşurată de Biroul Federal de Investigaţii (FBI) a arătat că presupusul hacker a făcut parte dintr-un grup de persoane care au participat la o conspiraţie pentru a efectua atacuri de tip ransomware folosind varianta de ransomware NetWalker ca să obţină acces neautorizat în reţeaua victimei, să cripteze datele victimei, adesea să fure datele victimei şi apoi să ceară acesteia să plătească o sumă de răscumpărare pentru decriptarea datelor sau pentru evitarea situaţiei în care datele furate să fie făcute publice.
Din jurul lunii august 2019 şi până aproximativ în jurul lunii ianuarie 2021, victime din întreaga lume au căzut victime ale unei variante de ransomware numită ”NetWalker”, au arătat anchetatorii. Dezvoltatorii programului NetWalker îşi fac reclamă în forumurile pentru infractori cibernetici ca fiind un serviciu Ransomware-as-a-Service (”RaaS”), în care sunt menţionaţi dezvoltatori şi afiliaţi.
Potrivit acestui model, dezvoltatorii sunt responsabili de crearea şi actualizarea softului ransomware şi de a-l face disponibil pentru afiliaţi. Aceștia din urmă sunt responsabili de identificarea victimelor de valoare şi de atacurile cu ransomware asupra lor. După ce o victimă plătea răscumpărarea, dezvoltatorii şi afiliaţii îşi împărţeau suma de răscumpărare.
Presupusul hacker e acuzat că a acţionat ca un afiliat pentru grupul de ransomware NetWalker şi a participat împreună cu un alt conspirator NetWalker la câteva atacuri asupra unor victime. Agenţii de aplicare a legii din SUA au făcut legătura cu ajutorul unui cont de e-mail Google, prin analizarea conţinutului contului, inclusiv un mesaj de e-mail primit care conţinea un ataşament cu o fotografie a etichetei unui colet. Mesaje de e-mail din contul Google au condus investigatorii la un cont de BitPay, procesor de plăţi în criptomonedă.
Investigatorii au obţinut informaţii referitoare la tranzacţii de la BitPay şi folosind un soft de căutare în blockchain comercial, au identificat câteva adrese de bitcoin asociate cu contul identificat în mesajele de e-mail. Pe baza analizei blockchain, aceste adrese par să fi primit fonduri care au legătură cu plăţile sumelor de răscumpărare pentru NetWalker. Conţinutul contului Google a inclus, de asemenea, mesaje de e-mail de la Twitter care indică faptul că a comunicat prin mesaje directe cu un conspirator cunoscut din grupul de ransomware NetWalker. Programul ar fi conceput de dezvoltatori vorbitori de limba rusă.
NetWalker Ransomware a fost diseminat la aproximativ 400 de firme căzute victimă – inclusiv municipalităţi, spitale, agenţii de aplicarea legii şi servicii de urgenţă, districte şcolare, colegii şi universităţi — care a rezultat în plata unei sume de răscumpărare de peste 5.000 de bitcoin – echivalentul a peste 121 milioane de euro.
Din acești bani majoritatea au ajuns la cei trei conspiratori, între care primul este cel care a autorizat găzduirea pe LolekHosted: anchetatorii au arătat că cei trei, între care unul e cetățean canadian, au executat aproximativ 50 de atacuri ransomware, ceea ce a rezultat în plata unor sume de răscumpărare în valoare de peste 1.500 de bitcoins, echivalentul a 36,6 milioane de euro. NetWalker oferă până la 80% din veniturile din răscumpărare către afiliați.
Să adăugăm, în urmă cu un an un cetățean canadian a fost condamnat la 20 de ani de închisoare, în Canada, pentru astfel de fapte.
În octombrie 2022 Departamentul de Justiție al SUA a arătat că acesta a fost condamnat la 20 de ani de închisoare și i s-a ordonat să pătească 21,5 milioane de dolari pentru rolul său în atacurile ransomware NetWalker. Potrivit documentelor judecătorești, Sebastian Vachon-Desjardins, 35 de ani, din Gatineau, Quebec, a participat la o formă sofisticată de ransomware cunoscută sub numele de NetWalker. Ransomware-ul NetWalker a vizat zeci de victime din întreaga lume, inclusiv companii, municipalități, spitale, forțe de ordine, servicii de urgență, districte școlare, colegii și universități. Atacurile au vizat în mod special sectorul sănătății în timpul pandemiei de COVID-19, profitând de criza globală pentru a forța victimele să plătească. ”Inculpatul a identificat și atacat victime ale ransomware-ului de mare valoare și a profitat de haosul cauzat de criptarea și furtul datelor victimelor”, a declarat procurorul general adjunct Kenneth A. Polite, Jr. al Diviziei Penale a Departamentului de Justiție. ”Sentința de astăzi demonstrează că actorii ransomware se vor confrunta cu consecințe semnificative pentru crimele lor și exemplifică angajamentul ferm al Departamentului de a urmări actorii care participă la scheme de ransomware”.
”Inculpatul din acest caz a folosit mijloace tehnologice sofisticate pentru a exploata sute de victime în numeroase țări în plină criză de sănătate internațională”, a declarat procurorul american Roger B. Handberg pentru Districtul Mijlociu din Florida.
Vachon-Desjardins a fost extrădat în Statele Unite în conformitate cu tratatul de extrădare dintre Statele Unite și Canada. În urma unei cereri depuse de autoritățile americane, oamenii legii canadieni l-au arestat pe Vachon-Desjardins în Gatineau, Quebec, pe 27 ianuarie 2021, și au executat un mandat de percheziție la domiciliul lui Vachon-Desjardins din Gatineau. În timpul percheziției, ofițerii au descoperit și confiscat 742.840 de dolari canadieni și 719 Bitcoin, evaluați la aproximativ 21,8 milioane de dolari în momentul confiscării.
Biroul FBI din Tampa a investigat cazul. În SUA, hackerul canadian a fost condamnat la 20 de ani de închisoare.
În urmă cu câteva zile Europol a anunțat că Biroul Central Polonez de Criminalitate Cibernetică (Centralne Biuro Zwalczania Cyberprzestępczości), sub supravegherea Procuraturii Regionale din Katowice (Prokuratura Regionalna w Katowicach), a luat măsuri împotriva LolekHosted.net, serviciul utilizat de criminali pentru a lansa atacuri cibernetice, inclusiv hacker-ul din Cluj. Cinci au fost arestați în Polonia.
Un rechizitoriu a fost deschis în Tampa, Florida, care îl acuza pe cetățeanul polonez Artur Karol Grabowski pentru operarea Lolek. Departamentul de Justiție al SUA (DoJ) l-a acuzat pe Grabowski de conspirație pentru fraudă informatică, conspirație pentru fraudă electronică și spălare internațională de bani într-o declarație publicată a doua zi. Potrivit DoJ, Lolek a facilitat ransomware-ul Netwalker , care a afectat 400 de rețele din spitale, școli și servicii de urgență, ceea ce a dus la peste 5.000 de bitcoin în plăți de răscumpărare – peste 145 de milioane de dolari la momentul scrierii. ”Clienții LolekHosted și-au folosit serviciile pentru a executa aproximativ 50 de atacuri ransomware Netwalker asupra victimelor din întreaga lume, inclusiv în Districtul Mijlociu din Florida. Mai exact, clienții au folosit serverele LolekHosted ca intermediari atunci când obțin acces neautorizat la rețelele victimelor și pentru a stoca instrumente de hacking și date furate de la victime”, a arătat DoJ.
Grabowski riscă până la 45 de ani de închisoare dacă va fi găsit vinovat pentru toate acuzațiile. SUA solicită confiscarea lui 21,5 milioane de dolari, dar el rămâne în libertate. Potrivit documentelor judecătorești, Artur Karol Grabowski, în vârstă de 36 de ani, a operat o companie de găzduire web numită LolekHosted. Prin LolekHosted, Grabowski a furnizat servicii de găzduire web „antiglonț”, care este găzduire web securizată, concepută pentru a facilita activitățile rău intenționate și criminale, inclusiv ransomware, atacuri cu forță brută și phishing. Grabowski ar fi facilitat activitățile criminale ale clienților LolekHosted, permițând clienților să înregistreze conturi folosind informații false, neînregistrând jurnalele de adrese IP (Internet Protocol) ale serverelor clienților, schimbând frecvent adresele IP ale serverelor clienților, ignorând plângerile de abuz făcute de terți împotriva clienților și notificarea clienților cu privire la anchetele juridice primite de la organele de aplicare a legii.
Ransomware-ul NetWalker a fost una dintre variantele de ransomware facilitate de găzduirea pe LolekHosted. Ransomware-ul NetWalker a fost implementat pe aproximativ 400 de rețele de companii victime, inclusiv municipalități, spitale, forțele de ordine și servicii de urgență, districte școlare, colegii și universități, ceea ce a dus la plata a peste 5.000 de bitcoin în răscumpărări, evaluate în prezent la aproximativ 146 milioane de dolari. Clienții LolekHosted și-au folosit serviciile pentru a executa aproximativ 50 de atacuri ransomware NetWalker asupra victimelor din întreaga lume, inclusiv în districtul de mijloc din Florida. Mai exact, clienții au folosit serverele LolekHosted ca intermediari atunci când obțin acces neautorizat la rețelele victimelor și pentru a stoca instrumente de hacking și date furate de la victime. Pe 8 august, autoritățile americane au confiscat LolekHosted.net, numele de domeniu folosit de LolekHosted timp de aproape un deceniu. Vizitatorii LolekHosted.net vor găsi acum un banner de confiscare care îi anunță că numele de domeniu a fost confiscat de autoritățile federale. Tribunalul Districtual din SUA pentru Districtul Mijlociu din Florida a emis mandatul de sechestru. Dacă va fi găsit vinovat de toate acuzațiile, Grabowski riscă o pedeapsă maximă de 45 de ani de închisoare plus confiscarea a 21,5 milioane de dolari, veniturile din comportamentul criminal acuzat.
