0
0
As autoridades polonesas fecharam hoje um super-grupo hacker que teve seus dedos em uma infinidade de operações de crimes cibernéticos, como ataques de ransomware, distribuição de malware, troca de SIM, fraude bancária, execução de lojas online falsas e até mesmo fazer ameaças de bomba a mando de pagar clientes.
Quatro suspeitos foram presos esta semana, e mais quatro estão sob investigação.
De acordo com relatos na mídia polonesa, os hackers estão sob investigação desde maio de 2019, quando enviaram uma primeira ameaça de bomba a uma escola na cidade de Łęczyca.
Investigadores disseram que um indivíduo chamado Lukasz K. encontrou os hackers em fóruns da internet e os contratou para enviar uma ameaça de bomba para a escola local, mas fazer o e-mail parecer que veio de um parceiro de negócios rival.
O homem cuja identidade foi falsificada no e-mail foi preso e passou dois dias na prisão antes que a polícia descobrisse o que aconteceu.
Quando o empresário foi solto da prisão, ele contratou um famoso detetive particular para rastrear os culpados por trás do falso alerta de bomba.
Investigadores disseram que quando os hackers perceberam o que estava acontecendo, eles então hackearam uma operadora de telefonia móvel polonesa e geraram faturas para milhares de zlotys (a moeda polonesa) em nome do detetive e do empresário incriminado.
Ameaças de bomba contra 1.066 creches
Outras ameaças de bomba também foram ligadas ao grupo hacker, como ameaças de bomba contra a Estação Ferroviária Ocidental em Varsóvia, capital da Polônia.
Mas o incidente mais notório a que os hackers estavam ligados ocorreu em 26 e 27 de junho de 2019, quando foram contratados para enviar ameaças de bomba para 1.066 creches em toda a Polônia.
No total, 10.536 pessoas de 275 creches foram evacuadas após ameaças de e-mail, de acordo com a emissora de TV polonesa TVN24.
Os investigadores disseram que para cada ameaça falsa de bomba que enviaram, os hackers pediram 5.000 zlotys (~US$ 1.300) em pagamento.
Ransomware, RATs, phishing, troca de SIM
Mas as autoridades polonesas disseram que este não era o único método de renda do grupo. Enquanto a polícia começou a investigar os hackers por causa das ameaças de bomba, eles também descobriram uma longa lista de crimes que ligavam os membros do grupo ao longo dos anos.
Na maioria das vezes, os hackers distribuíam malware através de ataques de phishing por e-mail. O site de notícias de tecnologia polonês Otopress informa que o grupo estava ligado a 87 domínios diferentes usados para distribuir malware.
O site de notícias Infosec Zaufana Trzeciastrona (Trusted Third Party), disse que o grupo estava envolvido na distribuição de cepas de malware para dispositivos Windows e Android, como Cerberus, Anubis, Danabot, Netwire, Emotet e njRAT. Em suma, as autoridades colocam o número de vítimas infectadas em milhares.
Investigadores disseram que, de usuários infectados, os hackers roubariam dados pessoais, que eles usariam para roubar dinheiro de bancos com segurança fraca.
No caso de alguns bancos terem implementado vários mecanismos de autenticação, o grupo então usaria as informações que roubou das vítimas infectadas para encomendar identidades falsas da dark web e, em seguida, usar as identidades para enganar as operadoras móveis para transferir a conta da vítima para um novo cartão SIM.
Usando este cartão SIM, os hackers então redefiniriam senhas para as contas online da vítima ou contornariam a autenticação de dois fatores (2FA) para roubar dinheiro das vítimas.
A mídia polonesa diz que o grupo foi capaz de roubar 199.000, 220.000 e 243.000 zlotys (US $ 50.000, US $ 56.000 e US $ 62.000) em três incidentes separados usando esta técnica.
Os hackers também tentaram roubar 7,9 milhões de zlotys (US$ 2 milhões) de uma vítima, mas esse hack foi interrompido quando o banco ligou para o número de telefone da vítima para confirmar a transação. Como o número de telefone da vítima foi trocado pelo SIM, o funcionário do banco ligou para os hackers e não reconheceu a voz de seu cliente regular de conversas anteriores, e bloqueou a transação.
Grupo também executou lojas online falsas
Além disso, as autoridades polonesas também disseram que o grupo também criou 50 lojas online falsas onde venderam produtos inexistentes para fraudar mais de 10.000 compradores.
De acordo com Zaufana Trzeciastrona, os membros do grupo hacker presos hoje foram:
- Kamil S., também conhecido sob sua alça hacker de “Razzputin”, e um membro ativo em muitos fóruns de hackers de língua russa como Exploit e Cebulka.
- Pawel K., operando sob o pseudônimo de “Manster_Team”, principalmente envolvido em crimes bancários
- Janusz K., envolvido na maioria dos crimes de uma forma ou de outra
- Lukasz K., descrito como uma figura importante no mundo subterrâneo.
Outros quatro — Mateusz S., Radosław S., Joanna S. e Beata P. — também estão sob investigação por laços com o grupo.
A Europol também emitiu um comunicado à imprensa hoje sobre as prisões do grupo hacker, sugerindo que eles provavelmente fizeram vítimas fora da Polônia também.
FONTE: ZDNET