Ancora una volta i membri principali di un gruppo di ransomware sono stati catturati: i capi del gruppo APT DoppelPaymer sono stati catturati in Ucraina e Germania grazie alla collaborazione della polizia, dell'Europol, dell'FBI e di molte altre autorità. Il gruppo divenne noto grazie all'attacco all'ospedale universitario di Düsseldorf.
Già il 28 febbraio 2023, l'Ufficio di polizia criminale statale tedesco della Renania settentrionale-Vestfalia e la polizia nazionale ucraina, con il sostegno di Europol, la polizia olandese (Politie) e l'Ufficio investigativo federale degli Stati Uniti, hanno preso di mira sospetti membri principali di il gruppo criminale responsabile di attacchi informatici su larga scala responsabile del ransomware DoppelPaymer.
Doppel Palmer ha anche attaccato gli ospedali
Il ransomware è emerso nel 2019 quando i criminali informatici hanno iniziato a lanciare attacchi contro organizzazioni, infrastrutture e settori critici. Basato sul ransomware BitPaymer e parte della famiglia di malware Dridex, DoppelPaymer ha utilizzato uno strumento unico in grado di compromettere i meccanismi di difesa interrompendo il processo relativo alla sicurezza dei sistemi attaccati. Gli attacchi DoppelPaymer sono stati resi possibili anche da Emotet.
Il ransomware è stato distribuito attraverso vari canali, tra cui e-mail di phishing e spam con documenti allegati contenenti codice dannoso, JavaScript o VBScript. Il gruppo criminale dietro questo ransomware si è basato su uno schema di doppio ransomware e ha utilizzato un sito Web di leak lanciato dagli attori criminali all'inizio del 2020. Le autorità tedesche sono a conoscenza di 37 vittime di questo gruppo ransomware, tutte aziende. Uno degli attacchi più gravi è stato perpetrato contro l'ospedale universitario di Düsseldorf. Negli Stati Uniti, le vittime hanno pagato almeno 2019 milioni di euro tra maggio 2021 e marzo 40.
Decine di milioni di bottino
Durante le azioni simultanee, ufficiali tedeschi hanno perquisito la casa di un cittadino tedesco che si ritiene abbia svolto un ruolo importante nel gruppo di ransomware DoppelPaymer. Gli investigatori stanno attualmente analizzando i dispositivi sequestrati per determinare il ruolo esatto del sospetto nella struttura del gruppo ransomware. Allo stesso tempo, e nonostante la situazione di sicurezza estremamente difficile in cui si trova attualmente l'Ucraina a causa dell'invasione russa, gli agenti di polizia ucraini hanno interrogato un cittadino ucraino sospettato anche di essere un membro del gruppo centrale di DoppelPaymer. I funzionari ucraini hanno perquisito due località, una a Kiev e una a Kharkiv. Nel corso delle perquisizioni sono stati sequestrati dispositivi elettronici che sono attualmente oggetto di esame forense.
Dall'inizio dell'indagine, Europol ha facilitato lo scambio di informazioni, ha coordinato la cooperazione internazionale in materia di applicazione della legge e ha sostenuto le attività operative. Europol ha anche fornito supporto analitico collegando i dati disponibili a vari casi penali all'interno e all'esterno dell'UE e ha assistito le indagini con criptovaluta, malware, decrittazione e analisi forense.
Rosso./sel
Altro su Europol.com