Stany Zjednoczone zaoferowały nagrodę w wysokości 11 milionów dolarów za informacje prowadzące do ujęcia Wołodymyra Tymoszczuka, obywatela Ukrainy poszukiwanego w związku z serią cyberataków typu ransomware. Według śledczych, Tymoszczuk miał uczestniczyć w zorganizowanych kampaniach, które w ciągu trzech lat doprowadziły do strat szacowanych na 18 miliardów dolarów.
Amerykańscy prokuratorzy oskarżają Tymoszczuka o bycie kluczową postacią w atakach MegaCortex, LockerGoga i Nefilim, które były aktywne między grudniem 2018 a październikiem 2021 roku. Mechanizm działania MegaCortex polegał na szyfrowaniu plików oraz zmianie haseł w systemie Windows. Ofiary stawały przed wyborem: zapłacić okup albo ryzykować upublicznienie poufnych danych.
Jednym z najbardziej nagłośnionych incydentów był atak LockerGoga na Norsk Hydro, norweską firmę energetyczną, w wyniku którego ucierpiało 170 oddziałów przedsiębiorstwa. Straty oszacowano na 81 milionów dolarów, a skutki ataku odczuwano jeszcze długo po jego przeprowadzeniu.
Taktyka unikania wykrycia
Prokurator Joseph Nocella Jr. z Departamentu Sprawiedliwości USA podkreślił, że Tymoszczuk przez lata wymykał się organom ścigania, regularnie tworząc nowe odmiany szkodliwego oprogramowania, gdy wcześniejsze zostawały odszyfrowane. W ocenie amerykańskich władz stanowił zagrożenie dla stabilności międzynarodowych instytucji i przedsiębiorstw, od firm technologicznych, przez placówki medyczne, po koncerny przemysłowe.
Śledczy zarzucają mu, że między lipcem 2019 a czerwcem 2020 roku nadzorował ofensywy LockerGoga i MegaCortex, a następnie miał przerzucić się na administrację i rozwój odmiany ransomware Nefilim. Według ustaleń, sprzedawał dostęp do tego narzędzia innym grupom przestępczym, pobierając 20% udziału z wyłudzonych okupów.
Narzędzia i metody działania
Ataki z udziałem LockerGoga, MegaCortex i Nefilim wykorzystywały Metasploit oraz Cobalt Strike, czyli legalne narzędzia do testów penetracyjnych, które w rękach cyberprzestępców stawały się środkiem utrzymywania długotrwałej obecności w systemach ofiar. Śledztwo wskazuje, że sprawcy potrafili pozostawać niewidoczni w infrastrukturze firmowej przez wiele miesięcy, zanim rozpoczęli proces szyfrowania danych i żądania okupu.
Według aktu oskarżenia, MegaCortex zaczął rozprzestrzeniać się także na komputery indywidualnych użytkowników, którzy mieli niezabezpieczone systemy, podczas gdy Nefilim skupiał się wyłącznie na dużych korporacjach. Amerykańskie służby utrzymują, że celem były firmy o wartości co najmniej 100 milionów dolarów, chociaż wcześniejsze doniesienia wskazywały na pułap miliarda.
Perspektywa sądowa
Tymoszczukowi postawiono siedem zarzutów związanych z umyślnym uszkodzeniem prywatnych komputerów oraz groźbą ujawnienia poufnych informacji. W razie skazania może mu grozić dożywotnie pozbawienie wolności.
Dalsze losy śledztwa zależą od kwestii ekstradycji. Jeśli Tymoszczuk trafi do Stanów Zjednoczonych, zostanie postawiony przed sądem w sprawie powiązanej z Artemem Stryżakiem, jednym z jego domniemanych współpracowników, który już został przekazany amerykańskiemu wymiarowi sprawiedliwości.
Pokaż / Dodaj komentarze do: Rekordowa nagroda za głowę hakera z Ukrainy. Straty idą w miliardy