-
pplware.sapo.pt, Davide Fernandes
Durante a semana passada, as autoridades romenas prenderam três pessoas suspeitas de infetar sistemas informáticos espalhando o ransomware CTB-Locker (Curve-Tor-Bitcoin Locker). Dois outros suspeitos do mesmo grupo criminoso foram presos em Bucareste numa investigação de resgate paralelo ligada aos EUA.
O malware CTB-Locker e Cerber são das principais famílias de ransomware ao nível mundial. Esta ação provavelmente irá ser quantificada e catalogada como a maior operação relacionada com ransomware.
Durante esta operação de aplicação da lei chamada “Bakovia”, seis casos foram investigados na Roménia, como resultado de uma investigação conjunta realizada pela Polícia Romena (Serviço para Combate à Cibercriminalidade), o Ministério Público da Roménia e da Holanda, a Polícia Nacional Holandesa (NHTCU), a Agência Nacional de Crime do Reino Unido, o FBI com o apoio do Centro Europeu de Cibercrime (EC3) da Europol e do Grupo Conjunto de Ação de Cibercrime (J-CAT).
Como resultado desta investigação, os agentes apreenderam uma quantidade significativa de discos rígidos, computadores portáteis, dispositivos de armazenamento externo, dispositivos para mineração e vários documentos.
As investigações na Roménia resultaram na acusação do grupo criminoso por uso indevido de dispositivos com a intenção de cometer cibercrimes e chantagem.
No início deste ano, as autoridades romenas obtiveram informações detalhadas, enviadas pela Unidade Holandesa de Crime de Alta Tecnologia e outras autoridades, sobre a atividade de um grupo de cidadãos romenos que estavam envolvidos no envio de mensagens de spam.
Os alvos deste ataque de spam foram empresas bem conhecidas em países como Itália, Holanda e Reino Unido. A intenção das mensagens de spam era muito específica: infetar sistemas informáticos e criptografar os seus dados com o Ransomware CTB-Locker também conhecido como Critroni.
Mas o que continham as mensagens?
Segundo o que já era conhecido, cada e-mail tinha um anexo, muitas vezes sob a forma de uma fatura, que escondia um ficheiro com código malicioso. Uma vez aberto o anexo numa máquina com sistema operativo Windows, o malware criptografava os ficheiros no dispositivo infetado.
Uma vez infetados todos os documentos, fotos, música, vídeos, etc., no dispositivo eram criptografados usando técnicas de cifragem assimétricas, o que torna extremamente difícil decifrar os ficheiros sem a chave de cifragem criada pelos criminosos. Este tipo de ataque “obrigava” a que as vítimas pagassem o resgate, tal era o desespero. Muitas empresas, depois de pagarem, recebiam a chave para decifrar os seus ficheiros.
Foram identificadas 170 vítimas em vários países europeus até à data; todos apresentaram queixas e forneceram provas que ajudarão a perseguir os suspeitos.