Operacja Towar

Operacja Tovar to międzynarodowa wspólna operacja przeprowadzona przez organy ścigania z wielu krajów przeciwko botnetowi Gameover ZeuS , który zdaniem śledczych był wykorzystywany do oszustw bankowych i dystrybucji ransomware CryptoLocker .

Wśród uczestników są Departament Sprawiedliwości Stanów Zjednoczonych , Europol , FBI i brytyjska Narodowa Agencja ds. Przestępczości , południowoafrykańska policja wraz z wieloma firmami zajmującymi się bezpieczeństwem i badaczami akademickimi, w tym Dell SecureWorks , Deloitte Cyber Risk Services, Microsoft Corporation , Abuse.ch , Afilias , F-Secure , Komunikacja poziomu 3 , McAfee , Neustar , Shadowserver , Anubisnetworks, Symantec , Heimdal Security, Sophos i Trend Micro oraz naukowcy z Carnegie Mellon University , Georgia Institute of Technology , VU University Amsterdam i Saarland University .

Inne zaangażowane organizacje ścigania to australijska policja federalna ; policja krajowa holenderskiej Narodowej Jednostki ds. Przestępstw Zaawansowanych Technologicznie; Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3); niemiecki Bundeskriminalamt ; francuski sąd policyjny ; włoska Polizia Postale e delle Comunicazioni ; Krajowa Agencja Policji Japonii ; Wielki Książę Policji Luksemburga ; policja nowozelandzka ; Królewska Kanadyjska Policja Konna ; i Ukrainy Departament ds. Zwalczania Cyberprzestępczości Ministerstwa Spraw Wewnętrznych . W śledztwie uczestniczyła również Służba Kryminalna Departamentu Obrony USA .

Na początku czerwca 2014 r. Departament Sprawiedliwości Stanów Zjednoczonych ogłosił, że operacja Tovar tymczasowo przerwała komunikację między Gameover ZeuS a jego serwerami dowodzenia i kontroli .

Przestępcy próbowali wysłać kopię swojej bazy danych w bezpieczne miejsce, ale została ona przechwycona przez agencje kontrolujące już część sieci. Rosjanin Evgeniy Bogachev , znany również jako „lucky12345” i „Slavik”, został oskarżony przez amerykańskie FBI o bycie przywódcą gangu stojącego za Gameover Zeus i Cryptolocker. Baza danych wskazuje skalę ataku i umożliwia odszyfrowanie plików CryptoLocked.

W sierpniu 2014 r. firmy ochroniarskie zaangażowane w zamknięcie, Fox-IT i FireEye , stworzyły portal o nazwie Decrypt Cryptolocker, który umożliwia dowolnej z 500 000 ofiar znalezienie klucza do odblokowania ich plików. Ofiary muszą przesłać zaszyfrowany plik bez poufnych informacji, co pozwala programom odblokowującym wywnioskować, który klucz szyfrowania został użyty. Możliwe, że nie wszystkie pliki CryptoLocked mogą zostać odszyfrowane, ani pliki zaszyfrowane przez różne ransomware.

Analiza danych, które stały się dostępne po usunięciu sieci, wykazała, że ok. 1,3% zainfekowanych zapłaciło okup; wielu było w stanie odzyskać pliki, których kopie zapasowe utworzono, a inne prawdopodobnie utraciły ogromne ilości danych. Niemniej jednak uważa się, że gang wyłudził około USD .

Zobacz też