As autoridades da Moldávia anunciaram a detenção de um cidadão estrangeiro de 45 anos, suspeito de envolvimento em ataques de ransomware do grupo DoppelPaymer que visaram organizações nos Países Baixos em 2021. O suspeito encontra-se atualmente sob custódia, aguardando um processo de extradição para território neerlandês.
Buscas e detenção na Moldávia
A operação, que culminou na detenção, ocorreu no passado dia 6 de maio, fruto de uma colaboração entre os procuradores moldavos, o Centro de Combate a Crimes Cibernéticos do país e as forças de segurança do Reino dos Países Baixos. Durante a ação, foram realizadas buscas à residência e ao veículo do suspeito.
As autoridades apreenderam diversos itens, incluindo uma carteira eletrónica, 84.800 euros em numerário, dois computadores portáteis, um telemóvel, um tablet, seis cartões bancários e múltiplos dispositivos de armazenamento de dados. A Procuradoria da Moldávia já deu início aos procedimentos legais necessários para extraditar o indivíduo para os Países Baixos, onde enfrentará acusações.
O ataque milionário ao Conselho de Investigação Neerlandês
Um comunicado de imprensa emitido na segunda-feira detalhou que o suspeito terá orquestrado um ataque de ransomware em 2021 contra o NWO (Conselho de Investigação Neerlandês). Este incidente, divulgado pela própria NWO a 14 de fevereiro de 2021, forçou a organização a encerrar o seu sistema de candidaturas a bolsas e terá causado prejuízos estimados em cerca de 4,5 milhões de euros.
Dez dias após a divulgação inicial, perante a recusa da NWO em pagar o resgate exigido, os atacantes publicaram documentos roubados da rede do conselho no site de fugas de informação do DoppelPaymer na dark web.
DoppelPaymer: A história e táticas do grupo
O grupo de ransomware DoppelPaymer surgiu em junho de 2019, aparentemente após uma cisão dentro do infame grupo cibercriminoso Evil Corp. Alguns membros terão criado esta nova fação, que partilhava bastante código com o ransomware BitPaymer, também associado à Evil Corp.
A tática principal do DoppelPaymer, como no caso da NWO, era a dupla extorsão: roubar dados sensíveis antes de encriptar os sistemas da vítima, usando depois os dados roubados como moeda de troca adicional para pressionar ao pagamento do resgate. Além disso, o grupo era conhecido por ameaçar apagar as chaves de desencriptação caso as vítimas recorressem a negociadores profissionais para tentar obter um valor de resgate mais baixo.
Um alerta emitido pelo FBI a entidades privadas em 2020 já referia que "antes de infetar os sistemas com ransomware, os atores exfiltram dados para usar em esquemas de extorsão e têm realizado chamadas telefónicas de seguimento às vítimas para pressioná-las ainda mais a efetuar os pagamentos do resgate".
O DoppelPaymer continuou a sua atividade, visando grandes empresas e organizações de infraestruturas críticas até 2022, tendo passado por dois rebrandings, adotando os nomes Grief (ou Pay or Grief) e, posteriormente, Entropy.
Investigações anteriores e vítimas de renome
Esta não é a primeira ação das autoridades contra membros do DoppelPaymer. Em março de 2023, foram visados outros dois indivíduos considerados membros centrais do grupo, e foram emitidos mandados de captura para outros três elementos chave.
A lista de vítimas do DoppelPaymer inclui nomes sonantes a nível global, demonstrando a escala das suas operações. Entre as organizações afetadas contam-se a gigante da eletrónica Foxconn, a Kia Motors America, o Condado de Delaware na Pensilvânia (EUA), a fabricante de portáteis Compal e a Universidade de Newcastle, no Reino Unido. A detenção na Moldávia representa mais um passo significativo no combate a este prolífico grupo de cibercrime.
Nenhum comentário
Seja o primeiro!