A polícia polonesa prendeu supergrupo de hackers envolvidos em ameaças de bomba, ransomware e troca de SIM
Os hackers também distribuíram malware para Windows e Android e até mesmo administraram 50 lojas online falsas, onde fraudaram compradores.
As autoridades polonesas fecharam hoje um supergrupo de hackers que teve seus dedos em várias operações de cibercrime, como ataques de ransomware, distribuição de malware, troca de SIM, fraude bancária, execução de falsas lojas online e até mesmo ameaças de bomba a pedido de clientes pagantes.
Quatro suspeitos foram presos esta semana e outros quatro estão sob investigação.
De acordo com relatos da mídia polonesa, os hackers estão sob investigação desde maio de 2019, quando enviaram a primeira ameaça de bomba a uma escola na cidade de Łęczyca.
Os investigadores disseram que um indivíduo chamado Lukasz K. encontrou os hackers em fóruns da Internet e os contratou para enviar uma ameaça de bomba à escola local, mas fez com que o e-mail parecesse ter vindo de um parceiro de negócios rival.
O homem cuja identidade foi falsificada no e-mail foi preso e passou dois dias na prisão antes que a polícia descobrisse o que aconteceu.
Quando o empresário incriminado foi libertado da prisão, ele contratou um famoso investigador particular para rastrear os culpados por trás do falso alerta de bomba.
Os investigadores disseram que quando os hackers perceberam o que estava acontecendo, eles invadiram uma operadora de telefonia móvel polonesa e geraram faturas de milhares de zlotys (a moeda polonesa) em nome do detetive e do empresário incriminado.
Outras ameaças de bomba também foram vinculadas ao grupo de hackers, como ameaças de bomba contra a Estação Ferroviária Ocidental em Varsóvia, capital da Polônia.
Mas o incidente mais notório ao qual os hackers foram vinculados ocorreu em 26 e 27 de junho de 2019, quando foram contratados para enviar ameaças de bomba a 1.066 jardins de infância em toda a Polônia.
No total, 10.536 pessoas de 275 jardins de infância foram evacuadas após suas ameaças por e-mail, de acordo com a estação de TV polonesa TVN24 .
Os investigadores disseram que para cada ameaça de bomba falsa enviada, os hackers pediram 5.000 zlotys (~ $ 1.300) em pagamento.
RANSOMWARE, RATS, PHISHING, TROCA DE SIM
Mas as autoridades polonesas disseram que esse não era o único método de renda do grupo. Enquanto a polícia começou a investigar os hackers por causa das ameaças de bomba, eles também descobriram uma longa lista de crimes que remontava aos membros do grupo ao longo dos anos.
Na maioria das vezes, os hackers distribuíram malware por meio de ataques de phishing de e-mail. O site polonês de notícias sobre tecnologia Otopress relata que o grupo estava vinculado a 87 domínios diferentes usados para distribuir malware.
O site de notícias Infosec Zaufana Trzeciastrona (Trusted Third Party), disse que o grupo estava envolvido na distribuição de cepas de malware para dispositivos Windows e Android, como Cerberus, Anubis, Danabot, Netwire, Emotet e njRAT. Ao todo, as autoridades estimam o número de vítimas infectadas na casa dos milhares.
Os investigadores disseram que, dos usuários infectados, os hackers roubavam dados pessoais, que usavam para roubar dinheiro de bancos com segurança fraca.
No caso de alguns bancos terem implementado vários mecanismos de autenticação, o grupo usaria as informações que roubaram das vítimas infectadas para solicitar IDs falsos da dark web e, em seguida, usar os IDs para enganar as operadoras de celular para que transferissem a conta da vítima para um novo cartão SIM .
Usando esse cartão SIM, os hackers redefiniriam as senhas das contas online da vítima ou contornariam a autenticação de dois fatores (2FA) para roubar dinheiro das vítimas.
A mídia polonesa diz que o grupo foi capaz de roubar 199.000, 220.000 e 243.000 zlotys ($ 50.000, $ 56.000 e $ 62.000) em três incidentes separados usando esta técnica.
Os hackers também tentaram roubar 7,9 milhões de zlotys (US $ 2 milhões) de uma vítima, mas esse hack foi interrompido quando o banco ligou para o número de telefone da vítima para confirmar a transação. Como o número de telefone da vítima foi trocado pelo SIM, o funcionário do banco contatou os hackers e não reconheceu a voz de seu cliente regular em conversas anteriores e bloqueou a transação.
O GRUPO TAMBÉM ADMINISTRAVA LOJAS ONLINE FALSAS
Além disso, as autoridades polonesas também disseram que o grupo também criou 50 lojas online falsas, nas quais vendiam produtos inexistentes para fraudar mais de 10.000 compradores.
Segundo Zaufana Trzeciastrona, os membros do grupo de hackers presos hoje foram:
- Kamil S., também conhecido por “Razzputin” como hacker, e membro ativo em muitos fóruns de hackers de língua russa, como Exploit e Cebulka.
- Pawel K., operando sob o pseudônimo de “Manster_Team”, está envolvido principalmente em crimes bancários
- Janusz K., envolvido na maioria dos crimes de uma forma ou de outra
- Lukasz K., descrito como uma figura importante no mundo underground.
Quatro outros – Mateusz S., Radosław S., Joanna S. e Beata P. – também estão sob investigação por laços com o grupo.
A Europol também divulgou um comunicado à imprensa sobre as prisões do grupo de hackers, sugerindo que eles provavelmente também fizeram vítimas fora da Polônia.
