اليوروبول يطيح بشبكة Ragnar Locker: ضربة قاضية لعصابات الفدية الإلكترونية

وقالت الوكالة: “في عملية نفذت في الفترة ما بين 16 و20 أكتوبر، أجريت عمليات تفتيش في التشيك وإسبانيا ولاتفيا”. قال. “تم تقديم الجاني الرئيسي، المشتبه في أنه مطور لمجموعة راجنار، أمام قضاة التحقيق في المحكمة القضائية بباريس”.

ويقال إنه تم إجراء مقابلات مع خمسة شركاء آخرين مرتبطين بعصابة برامج الفدية في إسبانيا ولاتفيا، وتم الاستيلاء على الخوادم وبوابة تسرب البيانات في هولندا وألمانيا والسويد.

يعد هذا الجهد أحدث تمرين منسق تشارك فيه سلطات من التشيك وفرنسا وألمانيا وإيطاليا واليابان ولاتفيا وهولندا وإسبانيا والسويد وأوكرانيا والولايات المتحدة.

وقد تم القبض سابقًا على اثنين من المشتبه بهم المرتبطين بطاقم برنامج الفدية من أوكرانيا في عام 2021. وبعد مرور عام، تم القبض على عضو آخر في كندا.

يُعرف Ragnar Locker، الذي ظهر لأول مرة في ديسمبر 2019، بسلسلة من الهجمات المستهدفة كيانات البنية التحتية الحيوية في جميع أنحاء العالم.

وفقًا لـ Eurojust، فقد التزمت المجموعة بذلك هجمات ضد 168 شركة عالمية في جميع أنحاء العالم منذ عام 2020.

وقالت يوروبول: “من المعروف أن مجموعة Ragnar Locker تستخدم تكتيك الابتزاز المزدوج، حيث تطالب بدفع مبالغ باهظة مقابل أدوات فك التشفير وكذلك مقابل عدم الكشف عن البيانات الحساسة المسروقة”.

وصف آدم مايرز، رئيس عمليات مكافحة الخصوم في CrowdStrike، Ragnar Locker (المعروف أيضًا باسم Viking Spider) بأنه “واحد من أوائل خصوم برامج الفدية Big Game Hunting الذين استفادوا من التهديد بنشر البيانات المسروقة إلى (موقع تسرب البيانات) للضغط على الضحايا. “

الشرطة السيبرانية في أوكرانيا قال وقامت بمداهمات على أحد مباني الأعضاء المشتبه بهم في كييف، وصادرت أجهزة الكمبيوتر المحمولة والهواتف المحمولة والوسائط الإلكترونية.

يتزامن إجراء إنفاذ القانون مع تسلل التحالف السيبراني الأوكراني (UCA) و اغلاق موقع التسريب الذي تديره مجموعة Trigona Ransomware ومحو 10 من الخوادم، ولكن ليس قبل سحب البيانات المخزنة فيها. هناك أدلة تشير إلى أن الجهات الفاعلة في Trigona تستخدم التقاء الأطلسي لأنشطتهم.

وكما يمثل تفكيك Hive وRagnar Locker الجهود المستمرة لمعالجة تهديد برامج الفدية، كذلك الحال بالنسبة للمبادرات التي اتخذتها الجهات الفاعلة في مجال التهديد للتطور وإعادة التسمية تحت أسماء جديدة. الخلية، على سبيل المثال، لديها عادت إلى الظهور مثل الصيادين الدولية.

ويأتي هذا التطور كما أعلن مكتب التحقيقات المركزي الهندي، بناءً على المعلومات التي شاركها أمازون و مايكروسوفتقال ذلك داهمت 76 موقعًا عبر 11 ولاية في حملة قمع وطنية تهدف إلى تفكيك البنية التحتية المستخدمة لتسهيل الجرائم المالية عبر الإنترنت مثل عمليات احتيال الدعم الفني والاحتيال بالعملات المشفرة.

أدت العملية، التي تحمل الاسم الرمزي “عملية شاكرا-2″، إلى الاستيلاء على 32 هاتفًا محمولًا، و48 جهاز كمبيوتر محمولًا/قرصًا صلبًا، وصورًا لخادمين، و33 بطاقة SIM، ومحركات أقراص القلم، بالإضافة إلى تفريغ 15 حساب بريد إلكتروني.

ويأتي ذلك أيضًا بعد تسليم ساندو دياكونو، وهو مواطن مولدوفي يبلغ من العمر 31 عامًا، من المملكة المتحدة إلى الولايات المتحدة لمواجهة اتهامات تتعلق بدوره كمدير لموقع E-Root Marketplace، وهو موقع ويب يتيح الوصول إلى أكثر من 350 ألف موقع مخترق. بيانات اعتماد الكمبيوتر في جميع أنحاء العالم لهجمات برامج الفدية، والتحويلات المصرفية غير المصرح بها، والاحتيال الضريبي.

تم حذف الموقع، الذي بدأ تشغيله في يناير 2015، في عام 2020 وتم القبض على دياكونو في المملكة المتحدة في مايو 2021 أثناء محاولته الفرار من البلاد.

“عمل E-Root Marketplace عبر شبكة موزعة على نطاق واسع واتخذ خطوات لإخفاء هويات مديريه والمشترين والبائعين،” وزارة العدل الأمريكية (DoJ) قال هذا الاسبوع.

“يمكن للمشترين البحث عن بيانات اعتماد الكمبيوتر المخترقة على E-Root، مثل الوصول إلى RDP وSSH، وفقًا للمعايير المرغوبة مثل السعر والموقع الجغرافي وموفر خدمة الإنترنت ونظام التشغيل.”

وفي إجراء ذي صلة بإنفاذ القانون، تم محاكمة ماركيز هوبر، مدير تكنولوجيا المعلومات السابق بالبحرية الأمريكية محكوم عليه بالسجن لمدة خمس سنوات وخمسة أشهر بتهمة الحصول بشكل غير قانوني على معلومات التعريف الشخصية لمواطنين أمريكيين (PII) لـ 9000 مواطن أمريكي وبيعها على الويب المظلم مقابل 160 ألف دولار بعملة البيتكوين.