Organy ścigania rozprawiają się z operacją radarową/wywłaszczycielską ransomware

W ramach celebrowanego zwycięstwa nad cyberprzestępczością władze Stanów Zjednoczonych, Niemiec i Wielkiej Brytanii skutecznie zakłóciły działalność grupy ransomware Radar/Dispossessor . Ta niesławna grupa działa od sierpnia 2023 r., atakując przede wszystkim małe i średnie przedsiębiorstwa z różnych sektorów, w tym edukacji, opieki zdrowotnej, usług finansowych i transportu.

Wpływ Radar/Dispossessor był szeroko rozpowszechniony, a potwierdzone ofiary znajdowały się w ponad tuzinie krajów, w tym w Argentynie, Australii i Wielkiej Brytanii. Jednak głównym celem grupy były Stany Zjednoczone, gdzie wiele ofiar może nadal nie zostać zidentyfikowanych. Operacja ransomware, prowadzona przez osobę znaną tylko jako „Brain”, polegała na wyrafinowanych taktykach infiltracji podatnych systemów. Wykorzystując słabe hasła, brak uwierzytelniania wieloskładnikowego i inne luki w zabezpieczeniach, grupa uzyskiwała nieautoryzowany dostęp, eskalowała uprawnienia i ostatecznie wdrażała ransomware w celu szyfrowania plików ofiar.

Oprócz blokowania kluczowych danych Radar/Dispossessor zaangażował się w eksfiltrację danych, wykorzystując skradzione informacje jako dźwignię do wymuszania okupu od swoich ofiar. Grupa zastosowała wieloaspektowe podejście, aby wymusić na organizacjach zapłatę, w tym bezpośredni kontakt z kluczowymi osobami za pośrednictwem poczty e-mail i telefonu. Ofiary były dodatkowo zastraszane groźbami publicznego wycieku danych na stronie internetowej opartej na Tor.

12 sierpnia skoordynowane działania FBI i Bawarskiego Urzędu Kryminalnego (BLKA) doprowadziły do wyłączenia 24 serwerów powiązanych z grupą, rozsianych po Niemczech, USA i Wielkiej Brytanii. Ponadto dziewięć domen używanych przez Radar/Dispossessor zostało zdemontowanych. Ta operacja oznacza poważny cios dla infrastruktury grupy, poważnie zakłócając jej działalność.

Międzynarodowy zasięg tej operacji jest podkreślony identyfikacją 12 osób powiązanych z Radar/Dispossessor, obejmujących kraje od Niemiec po Ukrainę. Wydano międzynarodowy nakaz aresztowania jednego podejrzanego, który obecnie stoi w obliczu zarzutów w Niemczech.

To usunięcie podkreśla znaczenie międzynarodowej współpracy w walce z ransomware. Zakłócenie infrastruktury Radar/Dispossessor jest kluczowym krokiem w łagodzeniu zagrożenia stwarzanego przez takie grupy cyberprzestępców. Jednak biorąc pod uwagę, że wiele ofiar nadal potencjalnie nie zostało zidentyfikowanych, praca jest daleka od zakończenia. Organizacje są wzywane do wzmocnienia środków cyberbezpieczeństwa, w tym wdrożenia silnych haseł, uwierzytelniania wieloskładnikowego i regularnych aktualizacji systemu, aby chronić się przed przyszłymi atakami.

Upadek Radar/Dispossessor jest jaskrawym przypomnieniem o uporczywej i ewoluującej naturze zagrożeń ransomware. Podczas gdy organy ścigania nadal ścigają osoby odpowiedzialne, dla firm i osób prywatnych kluczowe pozostaje zachowanie czujności i proaktywności w zabezpieczaniu swoich zasobów cyfrowych.