De Europese politiedienst Europol heeft een ransomwarebende opgerold in Oekraïne die voornamelijk grote bedrijven hackte en 'honderden miljoenen' euro's aan schade veroorzaakte. De groep gebruikte verschillende soorten ransomware, maar ontwikkelde ze niet zelf.
Europol zegt samen met politiediensten uit zeven landen 'sleutelfiguren' uit de bende te hebben opgepakt en de bende te hebben ontmanteld. Bij de actie, die vorige week plaatsvond, zijn dertig gebouwen doorzocht in de regio's van Kyiv, Tsjerkasy, Rivne en Vinnytsja, waarbij de 32-jarige vermeende leider werd opgepakt. Vier van zijn meest actieve vermeend medeplichtigen werden ook gearresteerd.
De groep zou de afgelopen jaren meerdere grote organisaties verspreid over 71 landen hebben gehackt, waarbij bedrijven door de groep grotendeels werden stilgelegd. De criminelen gebruikten ransomware als LockerGoga, MegaCortex, HIVE en Dharma. Brute force-aanvallen, SQL-injecties en phishingmails werden gebruikt om gebruikersnamen en wachtwoorden te stelen. Zodra ze het netwerk binnen waren, gebruikten ze TrickBot-malware en tools als Cobalt Strike en PowerShell Empire om andere systemen binnen te dringen, voor ze de ransomwareaanval begonnen. De groep zou zo 250 servers hebben versleuteld.
Aan de actie deden ruim twintig onderzoekers uit Noorwegen, Frankrijk, Duitsland en de Verenigde Staten mee. In Nederland was het virtuele commandocentrum van waaruit in beslaggenomen data meteen werd geanalyseerd. Het onderzoek begon in 2019. Oekraïne werkte met Europol samen om de bende op te rollen. In oktober 2021 arresteerde Europol twaalf verdachten vanwege dit onderzoek; door die arrestaties kwamen de politiediensten de rest van de groepsleden op het spoor.