Politimyndigheter fra elleve land har gjennomført en koordinert politiaksjon mot det de beskriver som en av de farligste løsepengevirus-operasjonene (ransomware) de siste årene.
Aksjonen ble koordinert på internasjonalt nivå av Europol og Eurojust og rettet seg mot ransomwaregruppen Ragnar Locker. Gruppen har stått bak flere høyprofilerte angrep mot kritisk infrastruktur over hele verden, skriver Europol.
Mellom 16. og 20. oktober ble det gjennomført razziaer i Tsjekkia, Spania og Latvia. En nøkkelperson ble pågrepet i Paris 16. oktober, og hjemmet hans i Tsjekkia ble ransaket. Fem mistenkte ble deretter avhørt i Spania og Latvia de påfølgende dagene. I slutten av forrige uke ble den hovedmistenkte, mistenkt for å være en utvikler i gruppen, tatt inn til avhør i domstolen i Paris.
Infrastruktur brukt til løsepengevirus ble også beslaglagt i Nederland, Tyskland og Sverige, og gruppens nettsiden for datalekkasjer på Tor-nettverket ble stengt ned i Sverige.
Angrep via Remote Desktop Protocol
Skadevaren hackergruppen har brukt skal ha vært aktiv siden desember 2019. Gruppen har tilskrevet seg angrep på kritisk infrastruktur over hele verden, sist i Portugal og Israel.
Skadevaren har vært rettet mot enheter som kjører Microsoft Windows-operativsystemer og utnytter vanligvis eksponerte tjenester som Remote Desktop Protocol for å få tilgang til systemet.
Hackergruppen benyttet en dobbel utpressingstaktikk, skriver Europol, der de krevde store betalinger for dekrypteringsverktøy samt for ikke å offentliggjøre stjålne sensitive data.
Trusselnivået til gruppen ble ansett som høyt på grunn av gruppens tendens til å angripe kritisk infrastruktur.
Etterforsket over flere år
Aksjonen kom etter en etterforskning ledet av den franske politimyndigheten Gendarmerie nationale som startet tilbake i 2021, sammen med myndigheter i Tsjekkia, Tyskland, Italia, Japan, Latvia, Nederland, Spania, Sverige, Ukraina og USA. To pågripelser av sentrale personer i gruppen ble gjennomført i Ukraina i oktober 2021 på bakgrunn av etterforskningen.
Etterforskningen har pågått siden den gang, og Europols europeiske cyberkrimsenter har organiserte 15 koordineringsmøter og to uker med intensivt forberedelsesarbeid i forkant av aksjonen.
