CBZC w międzynarodowej operacji CRONOS
Istotny krok w walce z cyberprzestępczością wykonały organy ścigania z 10 krajów, poważnie niszcząc możliwości międzynarodowej grupy przestępczej dokonującej cyberataków typu ransomware oprogramowaniem LockBit. Udana akcja była możliwa dzięki wsparciu m. in. Centralnego Biura Zwalczania Cyberprzestępczości.
LockBit uznawany jest za najbardziej rozpowszechnione i szkodliwe oprogramowanie ransomware na świecie, powodujące szkody o wartości miliardów euro.
Ta międzynarodowa operacja jest następstwem wielowątkowego śledztwa prowadzonego przez brytyjską Narodową Agencję ds. Przestępczości (NCA) w ramach międzynarodowej grupy zadaniowej znanej jako "Operacja Cronos". Operacja ta, na poziomie europejskim koordynowana jest przez Europol i Eurojust.
Wielomiesięczne działania doprowadziły do zablokowania głównej platformy LockBit i innej infrastruktury, kluczowej dla funkcjonowania grupy przestępczej. W ramach tej operacji usunięto 34 serwery w Holandii, Niemczech, Finlandii, Francji, Szwajcarii, Australii, Stanach Zjednoczonych i Wielkiej Brytanii.
W wyniku przeprowadzonych czynności na terenie naszego kraju, ustalono tożsamość osoby, która okazała się być powiązana z badanym środowiskiem. Analiza przepływu kryptowalut wykazała, że na portfele należące do wspomnianej osoby były dokonywane wpłaty, pochodzące z klastra przypisanego sprawcom ataków oprogramowaniem LockBit. Ustalono, że osoba ta figuruje również w postępowaniu prowadzonym przez francuską jednostkę C3N.
Zarząd w Krakowie Centralnego Biura Zwalczania Cyberprzestepczości w 2023 roku zakończył działalność nielegalnego hostingu LolekHosted. Dzięki gruntownej analizie zgromadzonych danych oraz kompleksowemu rozpoznaniu ukierunkowanemu na oprogramowania ransomware, ustalono istnienie kluczowych informacji związanych z oprogramowaniem szyfrującym LockBit.
W Polsce, na terenie Warszawy prowadzone były działania w obecności funkcjonariuszy francuskiej żandarmerii i analityka z Europolu. W wyniku wspólnych czynności zatrzymano na podstawie Europejskiego Nakazu Aresztowania 38-letniego mężczyznę, który po wykonaniu czynności procesowych został doprowadzony do prokuratury, gdzie usłyszał zarzuty karne.
Brytyjska Narodowa Agencja ds. Przestępczości przejęła kontrolę nad infrastrukturą techniczną, która umożliwia działanie wszystkich elementów usługi LockBit, a także nad stroną wycieku w Darknecie, na której wcześniej hostowali dane skradzione ofiarom ataków ransomware. Służby zablokowały również ponad 200 kont kryptowalutowych powiązanych z przestępczą organizacją.
Grupa przestępcza działała w sposób "ransomware jako usługa", co oznacza, że główny zespół tworzył złośliwe oprogramowanie i prowadził swoją stronę internetową, jednocześnie licencjonując swój kod podmiotom stowarzyszonym, które przeprowadzały ataki.
Europol zapewnił funkcjonariuszom zaangażowanym w przeprowadzenie operacji wsparcie analityczne, wsparcie w zakresie śledzenia kryptowalut i wsparcie kryminalistyczne w dochodzeniu oraz ułatwił wymianę informacji w ramach wspólnej grupy zadaniowej ds. działań w zakresie cyberprzestępczości (J-CAT). Ponadto trzech ekspertów Europolu zostało oddelegowanych do punktu dowodzenia w Londynie podczas finałowej fazy działania.
Ten sukces potwierdza determinację CBZC w zwalczaniu cyberprzestępczości oraz zdolność do skutecznego działania w ramach międzynarodowej współpracy. Mimo relatywnie krótkiego czasu, po upływie zaledwie półtora roku od powstania jednostki, funkcjonariusze CBZC są równorzędnymi partnerami w zwalczaniu poważnej, międzynarodowej cyberprzestępczości.
W przeprowadzenie operacji zaangażowane były służby z następujących krajów:
- Francja, Niemcy, Holandia, Szwecja, Australia, Kanada, Japonia, Zjednoczone Królestwo, Stany Zjednoczone, Szwajcaria.
Udana akcja była możliwa dzięki wsparciu następujących krajów:
- Finlandii, Polski (Centralne Biuro Zwalczania Cyberprzestępczości-Zarząd w Krakowie), Nowej Zelandii i Ukrainy.
Narzędzia deszyfrujące dostępne na No More Ransom
Przy wsparciu Europolu, japońska policja, Krajowa Agencja ds. Przestępczości i Federalne Biuro Śledcze opracowało narzędzie deszyfrujące przeznaczonych do odzyskiwania plików zaszyfrowanych przez LockBit Ransomware.
Rozwiązanie to zostało udostępnione bezpłatnie na portalu "No More Ransom". Do tej pory ponad 6 milionów ofiar na całym świecie skorzystało z rozwiązań zamieszczonych na stronie No More Ransom zdolnych do odszyfrowania ponad 150 różnych rodzajów oprogramowania ransomware. Zamieszczone materiały dostępne są w 37 językach.
Jeśli masz problem z rozszyfrowaniem plików typu ransomware, skorzystaj z tego linku:
https://www.nomoreransom.org/en/decryption-tools.html
Pełny komunikat EUROPOLU dotyczący tej wielkiej operacji:
